Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO ogólne rozporządzenie o ochronie danych – dziś wchodzi w życie) na podstawie art. 35 wprowadza ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych tzw. Data Privacy Impact Management (DPIA). Ma to zastąpić dotychczasowy obowiązek dokonywania zgłoszeń zbiorów danych osobowych do głównego inspektora ochrony danych osobowych. Administrator danych osobowych samodzielnie ma dokonywać oceny procesów przetwarzania danych osobowych pod kątem ryzyka. Jego zadaniem jest również wdrożenie środków organizacyjnych i technicznych służących jego ograniczeniu.
Ustawodawca unijny przepisy dotyczące DPIA sformułował w sposób niejednoznaczny. W RODO czytamy, że przeprowadzenie DPIA nie jest obowiązkowe dla każdej operacji przetwarzania danych. DPIA wymagane jest jedynie, gdy przetwarzanie jest „prawdopodobnym zagrożeniem dla praw i wolności osób fizycznych". W celu lepszego zrozumienia celu ustawodawcy unijnego, tzw. Grupa Robocza Artykułu 29 (GR29) sformułowała ogólne wytyczne przy przeprowadzaniu DPIA.
Od kiedy stosować DPIA
Głównym celem DPIA jest ustalenie prawdopodobieństwa oraz wagi ryzyka dla praw i wolności osób, które może wiązać się z planowanymi czynnościami przetwarzania, a także wdrożenie środków minimalizujących to ryzyko. Zgodnie z art. 35 ust. 7 RODO, DPIA powinno oprócz tego obejmować opis planowanych operacji i celów przetwarzania, ocenę proporcjonalności i niezbędności przetwarzania, a także zapewnienie jego zgodności z wymogami RODO. Proces ten powinien rozpocząć się już na etapie projektowania planowanych operacji przetwarzania danych. Wszystko po to, aby możliwie szybko móc wpłynąć na kształt projektu, z którym wiąże się przetwarzanie danych osobowych, w zależności od wyników tej analizy. Stworzenie raportu z DPIA powinno stanowić jedynie część tego procesu.
DPIA może dotyczyć zarówno pojedynczych operacji przetwarzania, jak również wielu operacji przetwarzania, które wiążą się z podobnie wysokim ryzykiem. Dlatego też wykonanie DPIA może być niezbędne przed wprowadzeniem nowego produktu technologicznego (np. aplikacji zbierającej dane osobowe), lub też nowego procesu w ramach organizacji, wykorzystującego podobną technologię do zbierania takiego samego rodzaju danych do tych samych celów (np. systemu kontroli dostępu przy wykorzystaniu danych biometrycznych).
Nie ma wymagania, żeby DPIA było przeprowadzone dla każdej formy czy operacji przetwarzania danych osobowych. Przeprowadzenie DPIA jest konieczne tylko, gdy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych". W przepisach RODO wskazane zostały trzy grupy przypadków, kiedy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka". Jednak użyte przez ustawodawcę sformułowanie „w szczególności" zwraca uwagę na charakter otwarty tego katalogu. Oznacza to, że obowiązek taki może powstać również w przypadku przetwarzania o innym charakterze niż wskazany w przepisie RODO. W takiej sytuacji to ADO powinien samodzielnie ocenić, czy planowany projekt związany z przetwarzaniem danych wiąże się z wysokim ryzykiem dla prywatności osób fizycznych. Jednocześnie w sytuacji, w której ADO uzna, że nie zachodzi konieczność przeprowadzania DPIA, powinien udokumentować uzasadnienie swojej decyzji.