Privacy by design a DPIA

Ocena skutków dla ochrony danych osobowych (DPIA) jest jednym z dwóch rodzajów oceny ryzyka (obok oceny ogólnej). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

Art. 35 ust. 7 RODO wymaga aby ocena zawierała:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Privacy by design wraz z privacy by default wymuszają na administratorze danych obowiązek uwzględnienia ochrony danych i prywatności na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie. Jest to obowiązek niezależny od przeprowadzenia DPIA.

Jeżeli więc administrator projektuje taki sposób przetwarzania danych, który może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych to musi on przeprowadzić DPIA.