Ocena skutków dla ochrony danych (DPIA)

Przy monitoringu pracowników (kamery, GPS, e-mail, internet), systemach biometrycznych (odciski, rozpoznawanie twarzy), AI w rekrutacji i ocenie, profilowaniu pracowników, masowym przetwarzaniu danych zdrowotnych oraz nowych technologiach śledzenia produktywności.

Administrator danych (pracodawca) — w praktyce zespół składający się z IOD, działu HR, IT i prawnika. IOD opiniuje i doradza, ale nie przeprowadza DPIA samodzielnie. Można też zlecić zewnętrznym konsultantom.

Opis przetwarzania (cel, zakres, dane, okres), ocena niezbędności i proporcjonalności, identyfikacja ryzyk dla osób (prawdopodobieństwo × skutki), środki zaradcze (techniczne i organizacyjne), ryzyko rezydualne i rekomendacje. UODO udostępnia wzorcowy szablon.

Tak — gdy zmieni się charakter, zakres lub cel przetwarzania, pojawią się nowe ryzyka lub zmieni się kontekst. Dobrą praktyką jest przegląd DPIA co 2-3 lata. Przy istotnych zmianach w systemie — niezwłocznie.

Wdrożyć dodatkowe środki zaradcze (pseudonimizacja, szyfrowanie, ograniczenie dostępu). Jeśli po środkach ryzyko nadal jest wysokie — obowiązkowa uprzednia konsultacja z UODO przed rozpoczęciem przetwarzania. UODO ma 8 tygodni na odpowiedź.