1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Ocena skutków dla ochrony danych (DPIA) – obowiązki administratora i procedura krok po kroku
Wyszukiwanie...
Data publikacji: 29.03.2026

Ocena skutków dla ochrony danych (DPIA) – obowiązki administratora i procedura krok po kroku

Spis treści

Ocena skutków dla ochrony danych (Data Protection Impact Assessment, DPIA) to mechanizm wprowadzony przez RODO, którego celem jest ochrona praw i wolności osób fizycznych w przypadku przetwarzania danych osobowych mogącego powodować wysokie ryzyko ich naruszenia.

Nie jest to obowiązek powszechny – wykonuje się go tylko w sytuacjach przewidzianych przepisami, ale gdy DPIA jest wymagana, jej brak może prowadzić do poważnych konsekwencji, w tym kar finansowych.

W tym poradniku wyjaśniam:

  • kiedy przeprowadzenie oceny skutków jest obowiązkowe,
  • kiedy można z niej zrezygnować,
  • jakie elementy powinna zawierać,
  • jak wygląda procedura krok po kroku.

📌 Czym jest ocena skutków dla ochrony danych?

DPIA to proces, w którym administrator danych:

  1. Analizuje planowane operacje przetwarzania pod kątem ryzyka dla prywatności osób fizycznych.
  2. Identyfikuje możliwe zagrożenia.
  3. Określa środki techniczne i organizacyjne służące minimalizacji tego ryzyka.

Jej celem jest zapobieganie naruszeniom danych jeszcze przed rozpoczęciem przetwarzania.

📜 Podstawy prawne DPIA

Art. 35 ust. 1 RODO

„Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.

🛑 Kiedy ocena skutków nie jest wymagana

Administrator nie przeprowadza DPIA, jeżeli:

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego (art. 6 ust. 1 lit. c RODO),
  • przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. e RODO),
  • ocena skutków została wykonana na etapie prac legislacyjnych (np. przez prawodawcę przy uchwalaniu ustawy).

💡 Przykład
Urząd skarbowy wdraża nowy rejestr przedsiębiorców na podstawie ustawy, w której już przeprowadzono DPIA – urząd nie musi powtarzać oceny.

✅ Kiedy DPIA jest obowiązkowa

Ocena skutków jest wymagana m.in. w przypadku:

  1. Systematycznej, kompleksowej oceny czynników osobowych (np. scoring kredytowy, rekrutacja z wykorzystaniem AI) opartej na zautomatyzowanym przetwarzaniu, w tym profilowaniu, która jest podstawą decyzji wywołujących skutki prawne lub w podobny sposób znacząco wpływających na osobę fizyczną.
  2. Przetwarzania na dużą skalę szczególnych kategorii danych (art. 9 ust. 1 RODO), takich jak:
    • dane ujawniające pochodzenie rasowe lub etniczne,
    • poglądy polityczne,
    • przekonania religijne lub światopoglądowe,
    • przynależność do związków zawodowych,
    • dane genetyczne,
    • dane biometryczne do jednoznacznej identyfikacji osoby fizycznej,
    • dane o zdrowiu, seksualności lub orientacji seksualnej.
  3. Przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).
  4. Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (np. sieci kamer miejskich).

📋 Wykazy organu nadzorczego

Zgodnie z art. 35 ust. 4 i 5 RODO:

  • organ nadzorczy (w Polsce – Prezes UODO) ma obowiązek określić i podać do publicznej wiadomości wykaz operacji wymagających DPIA,
  • może także opublikować wykaz operacji niewymagających DPIA.

🛠 Procedura przeprowadzania oceny skutków dla ochrony danych

Krok 1 – Ustalenie zamiaru przetwarzania

Zanim administrator zacznie przetwarzać dane osobowe, powinien ustalić:

  • jaki będzie zakres danych,
  • w jakim celu będą przetwarzane,
  • czy rodzaj przetwarzania wymaga DPIA.

Krok 2 – Sprawdzenie, czy ocena została wykonana w ramach prac legislacyjnych

Jeżeli:

  • przetwarzanie jest oparte na art. 6 ust. 1 lit. c lub e RODO,
  • ma wyraźną podstawę prawną,
  • a DPIA została przeprowadzona na etapie stanowienia prawa –
    administrator jest zwolniony z jej powtórnego wykonania.

Krok 3 – Brak obowiązku DPIA w innych przypadkach z art. 35 RODO

W pewnych sytuacjach wystarczy jedynie przeprowadzenie analizy ryzyka i wdrożenie adekwatnych środków bezpieczeństwa – bez formalnej DPIA.

Krok 4 – Sprawdzenie, czy dany rodzaj przetwarzania jest obligatoryjny do oceny

Przypadki te opisano w art. 35 ust. 3 RODO (profilowanie, dane wrażliwe na dużą skalę, monitoring miejsc publicznych).
Dodatkowo – jeśli Prezes UODO opublikuje wykaz obowiązkowych DPIA – należy go stosować.

Krok 5 – Sprawdzenie, czy dany rodzaj przetwarzania został uznany za niewymagający oceny

Art. 35 ust. 5 RODO pozwala organowi nadzorczemu opublikować taki wykaz.
W Polsce obecnie taki wykaz nie istnieje.

Krok 6 – Ocena wysokiego ryzyka

Jeżeli przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, trzeba wykonać DPIA.
Dla podobnych operacji przetwarzania z takim samym ryzykiem można wykonać jedną zbiorczą ocenę.

Krok 7 – Przeprowadzenie oceny skutków

Zgodnie z art. 35 ust. 7 RODO DPIA powinna zawierać co najmniej:

  1. Systematyczny opis planowanych operacji i ich celów,
    – uwzględniając prawnie uzasadnione interesy administratora (jeśli mają zastosowanie).
  2. Ocenę niezbędności i proporcjonalności przetwarzania w stosunku do celów.
  3. Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
  4. Środki zaradcze – techniczne i organizacyjne zabezpieczenia, mające ograniczyć ryzyko i zapewnić zgodność z RODO.

📌 Ważne – wynik DPIA musi być utrwalony na piśmie (tradycyjnie lub elektronicznie) jako dowód przestrzegania zasady rozliczalności.

Krok 8 – Konsultacje z inspektorem ochrony danych (IOD)

Jeżeli administrator wyznaczył IOD, to musi on uczestniczyć w DPIA – np. opiniując dokument.

Krok 9 – Zasięgnięcie opinii osób, których dane dotyczą

Zgodnie z art. 35 ust. 9 RODO – w stosownych przypadkach administrator zasięga opinii osób lub ich przedstawicieli.
Nie jest to obowiązek w każdym przypadku.
Administrator może pominąć informacje, które:

  • ujawniają tajemnicę przedsiębiorstwa,
  • naruszają bezpieczeństwo systemów.

Krok 10 – Przegląd zgodności z DPIA

Administrator powinien okresowo sprawdzać, czy przetwarzanie odbywa się zgodnie z wykonaną oceną skutków.
Przegląd jest obowiązkowy, gdy zmienia się ryzyko, ale administrator może go przeprowadzać również częściej.

Krok 11 – Konsultacje z organem nadzorczym

Jeżeli:

  • DPIA wykaże wysokie ryzyko,
  • a administrator nie może go zminimalizować –
    musi skonsultować się z Prezesem UODO (art. 36 RODO) przed rozpoczęciem przetwarzania.

📄 Podstawa prawna

  • art. 6 ust. 1 lit. c i e, art. 35 ust. 1–11, art. 36 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)

Tematy porad zawartych w poradniku

  • procedura oceny skutków RODO
  • przypadki obowiązkowej DPIA
  • brak obowiązku przeprowadzenia DPIA
  • konsultacje z UODO w DPIA
  • zawartość oceny skutków dla ochrony danych

Przydatne linki urzędowe:
https://uodo.gov.pl/
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
https://www.gov.pl/web/cyfryzacja

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: