EuroComply
Sign up
Back to blog
RODO 7 min read

RODO Ocena skutków: kiedy jest wymagana i jak ją przeprowadzić

What you need to know: RODO Ocena skutków: kiedy jest wymagana i jak ją przeprowadzić

Ocena skutków dla ochrony danych jest obowiązkowa przed przetwarzaniem wysokiego ryzyka na podstawie art. 35 RODO. Przewodnik omawia przesłanki, metodologię i dokumentację.

Source: EuroComply Editorial (2025-02-01)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Ocena skutków dla ochrony danych (DPIA/DSFA) to ustrukturyzowany proces identyfikowania i ograniczania ryzyk dla prywatności przed rozpoczęciem nowej działalności związanej z przetwarzaniem danych. Na gruncie RODO przeprowadzenie oceny skutków nie jest fakultatywne — artykuł 35 czyni ją wymogiem prawnym dla określonych kategorii przetwarzania, a organy nadzorcze w całej UE traktują brak oceny skutków lub jej niewystarczający charakter jako poważne uchybienie w zakresie zgodności z przepisami.

Niniejszy przewodnik wyjaśnia, kiedy ocena skutków jest wymagana, jak ją przeprowadzić, co należy udokumentować oraz kiedy konieczna jest konsultacja z organem nadzorczym.

Kiedy ocena skutków jest wymagana?

Artykuł 35 ust. 1 ustanawia podstawową przesłankę: ocena skutków jest obowiązkowa, gdy przetwarzanie „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych". Obowiązek dotyczy nowych operacji przetwarzania oraz istniejących, w których charakter, zakres, kontekst lub cele uległy istotnej zmianie.

Artykuł 35 ust. 3 wskazuje trzy rodzaje przetwarzania, które zawsze wymagają oceny skutków:

  1. Systematyczne i kompleksowe profilowanie wywołujące skutki prawne lub podobnie istotne — zautomatyzowane podejmowanie decyzji dotyczących zdolności kredytowej, wyników, rzetelności lub zachowania osób.
  2. Przetwarzanie na dużą skalę szczególnych kategorii danych w rozumieniu artykułu 9 (dane dotyczące zdrowia, dane biometryczne, pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, orientacja seksualna) lub danych dotyczących wyroków skazujących w rozumieniu artykułu 10.
  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie — monitoring wizyjny, systemy śledzenia w przestrzeni publicznej.

Ponadto każdy organ nadzorczy publikuje wykaz operacji przetwarzania wymagających oceny skutków w swoim zakresie właściwości. W Polsce organem nadzorczym jest Urząd Ochrony Danych Osobowych (UODO). Europejska Rada Ochrony Danych (EROD) wydała wytyczne konsolidujące wspólne kryteria z list krajowych.

8 kryteriów: dwa lub więcej wyzwalają obowiązek oceny skutków

Europejska Rada Ochrony Danych (EROD) zidentyfikowała osiem kryteriów wynikających z artykułu 35 ust. 3 i motywu 91. Jeżeli przetwarzanie spełnia dwa lub więcej z nich, ocena skutków jest wymagana:

  1. Ocena lub punktowanie osób (profilowanie, przewidywanie zachowań)
  2. Zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub podobnie istotne
  3. Systematyczne monitorowanie
  4. Przetwarzanie danych wrażliwych (artykuł 9 lub artykuł 10)
  5. Przetwarzanie na dużą skalę
  6. Łączenie lub zestawianie zbiorów danych z różnych źródeł
  7. Przetwarzanie danych dotyczących osób wymagających szczególnej ochrony (dzieci, pracownicy, pacjenci)
  8. Zastosowanie innowacyjnych technologii lub nowatorskie wykorzystanie istniejących technologii

Spełnienie jednego kryterium może również wyzwolić obowiązek oceny skutków, gdy wynikające z niego ryzyko jest wyjątkowo wysokie. Ocena, czy dwa kryteria są spełnione, wymaga rzetelnej analizy — celem jest identyfikacja rzeczywistych ryzyk dla prywatności, a nie ukształtowanie kwalifikacji pozwalającej uchylić się od obowiązku.

Metodologia oceny skutków

Dobrze skonstruowana ocena skutków przebiega w czterech etapach:

Etap 1: Opis operacji przetwarzania

Należy w pełni udokumentować działalność przetwarzania: jakie dane są gromadzone, od kogo, w jakim celu, na jakiej podstawie prawnej, jak długo są przechowywane, komu są udostępniane oraz czy dane opuszczają EOG. To jest fundament — nie można ocenić ryzyk, których się nie zrozumiało i nie opisało.

Etap 2: Ocena niezbędności i proporcjonalności

Należy ocenić, czy przetwarzanie jest niezbędne do osiągnięcia wskazanego celu oraz czy ten sam cel mógłby zostać osiągnięty przy mniejszym wpływie na prywatność. Etap ten obejmuje weryfikację podstawy prawnej na gruncie artykułu 6, zasady minimalizacji danych z artykułu 5 ust. 1 lit. c oraz zasady ograniczenia celu z artykułu 5 ust. 1 lit. b. Należy udokumentować, dlaczego mniej inwazyjne alternatywy są niewystarczające.

Etap 3: Identyfikacja i ocena ryzyk

Należy zidentyfikować konkretne ryzyka dla osób, których dane dotyczą — nieautoryzowany dostęp, błędne dane prowadzące do błędnych decyzji, ponowna identyfikacja danych pseudonimizowanych, dyskryminacja, szkoda finansowa, uszczerbek dla reputacji. Dla każdego ryzyka należy ocenić jego prawdopodobieństwo i powagę. Jest to ocena jakościowa, a nie wyłącznie techniczna: należy wziąć pod uwagę, co faktycznie mogłoby się przydarzyć osobie, gdyby ryzyko się zmaterializowało.

Etap 4: Ocena środków i ryzyka szczątkowego

Dla każdego zidentyfikowanego ryzyka należy udokumentować techniczne i organizacyjne środki bezpieczeństwa, które zostaną wdrożone w celu jego ograniczenia. Następnie należy ocenić ryzyko szczątkowe po zastosowaniu tych środków. Jeżeli ryzyko szczątkowe pozostaje wysokie — nawet po wdrożeniu środków — przed przystąpieniem do przetwarzania konieczna jest konsultacja z organem nadzorczym (artykuł 36).

Co należy udokumentować?

Artykuł 35 ust. 7 określa, co musi zawierać ocena skutków:

  • Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, w stosownych przypadkach, prawnie uzasadnionego interesu realizowanego przez administratora
  • Ocenę niezbędności i proporcjonalności operacji przetwarzania w stosunku do celów
  • Ocenę ryzyk naruszenia praw lub wolności osób, których dane dotyczą
  • Środki planowane w celu zaradzenia ryzykom, w tym zabezpieczenia, środki bezpieczeństwa i mechanizmy zapewniające ochronę danych osobowych

Należy również udokumentować: kto przeprowadził ocenę skutków, opinię inspektora ochrony danych (IOD) (artykuł 35 ust. 2 wymaga zasięgnięcia opinii IOD, gdy taki inspektor został wyznaczony), datę oceny oraz harmonogram przeglądów.

Kiedy należy skonsultować się z organem nadzorczym?

Artykuł 36 ust. 1 wymaga uprzedniej konsultacji z organem nadzorczym, gdy ocena skutków wskazuje, że przetwarzanie bez środków łagodzących ryzyko spowodowałoby wysokie ryzyko. Nie jest to wymóg formalny — jest to bezwzględny warunek przed rozpoczęciem przetwarzania.

Konsultacja obejmuje przekazanie organowi nadzorczemu pełnej dokumentacji oceny skutków, opisu odpowiednich zakresów odpowiedzialności administratora i ewentualnych podmiotów przetwarzających, danych kontaktowych IOD oraz podsumowania planowanego przetwarzania. Organ nadzorczy ma do ośmiu tygodni na udzielenie odpowiedzi (z możliwością przedłużenia o sześć tygodni w przypadkach złożonych). Jeżeli w tym terminie nie zostanie udzielona odpowiedź, można przystąpić do przetwarzania.

Częste błędy

Do najczęściej stwierdzanych uchybień w zakresie oceny skutków, na które wskazują wytyczne i decyzje organów nadzorczych, należą: traktowanie oceny skutków jako ćwiczenia retrospektywnego, przeprowadzanego po rozpoczęciu przetwarzania (artykuł 35 wymaga oceny przed rozpoczęciem przetwarzania); przeprowadzanie powierzchownej oceny ryzyka, w której ryzyka są wymieniane bez analizy ich prawdopodobieństwa ani powagi; nieangażowanie IOD; pominięcie oceny niezbędności i proporcjonalności; dokumentowanie środków bez oceny, czy ryzyko szczątkowe pozostaje wysokie. Ocena skutków, która wygląda jak ćwiczenie polegające na odznaczaniu pól, a nie rzetelna analiza ryzyka, nie ochroni organizacji w toku postępowania przed organem nadzorczym.


Ostatnia aktualizacja: maj 2026. Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Często zadawane pytania

Które działania związane z przetwarzaniem najczęściej wymagają oceny skutków w praktyce?

Najczęstszymi przesłankami oceny skutków w organizacjach komercyjnych są: systemy monitorowania pracowników (w tym oprogramowanie do śledzenia wydajności rejestrujące naciśnięcia klawiszy, aktywność na ekranie lub lokalizację); zautomatyzowane ubezpieczanie kredytów lub ubezpieczeń; przetwarzanie danych dotyczących zdrowia lub dobrostanu, w tym za pośrednictwem aplikacji i urządzeń typu wearable; profilowanie klientów na dużą skalę na potrzeby marketingu; oraz wszelkie wykorzystanie danych biometrycznych do identyfikacji lub kontroli dostępu. Połączenie szczególnych kategorii danych z zautomatyzowanym podejmowaniem decyzji jest szczególnie podatne na objęcie obowiązkiem oceny skutków na podstawie artykułu 35 ust. 3 i podejścia EROD opartego na ośmiu kryteriach.

Czy ocena skutków wymaga aktualizacji po jej zakończeniu?

Tak. Artykuł 35 wymaga przeglądu oceny skutków „w razie potrzeby", a w szczególności gdy zmienia się ryzyko związane z przetwarzaniem. Dobrą praktyką jest wyznaczenie harmonogramu regularnych przeglądów — zazwyczaj corocznych — oraz natychmiastowego przeglądu, gdy cel przetwarzania, kategorie danych, odbiorcy, technologia lub profil ryzyka ulegają istotnej zmianie. Dokument oceny skutków powinien zawierać historię wersji i wskazywać, kto zatwierdził każdą z nich. Nieaktualna ocena skutków dotycząca przetwarzania, które uległo zmianie, jest przez organy nadzorcze traktowana jako równoznaczna z brakiem oceny skutków dla bieżącej działalności przetwarzania.

Co się dzieje, gdy wymagana ocena skutków nie zostaje przeprowadzona?

Nieprzeprowadzenie oceny skutków, gdy jest ona wymagana, stanowi samo w sobie naruszenie artykułu 35 RODO, niezależnie od jakiegokolwiek leżącego u jego podstaw naruszenia ochrony danych. Na mocy artykułu 83 ust. 4 naruszenia artykułu 35 podlegają karom pieniężnym w wysokości do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Kilka organów nadzorczych — w tym belgijski APD oraz duński Datatilsynet — wydało ostrzeżenia i nałożyło grzywny wyłącznie z powodu nieprzeprowadzenia oceny skutków przed rozpoczęciem przetwarzania, niezależnie od tego, czy samo przetwarzanie spowodowało jakąkolwiek szkodę dla osób, których dane dotyczą.

Źródła

  • EUR-Lex, Rozporządzenie (UE) 2016/679 (RODO), artykuły 35 i 36: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Europejska Rada Ochrony Danych, Wytyczne dotyczące oceny skutków dla ochrony danych (WP248 wer.01): https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp248_en
  • Europejska Rada Ochrony Danych, Wytyczne dotyczące zautomatyzowanego podejmowania decyzji i profilowania (WP251 wer.01): https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-wp251_en
  • ICO (Wielka Brytania), Przewodnik i wzór oceny skutków: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/

Key takeaways: RODO Ocena skutków: kiedy jest wymagana i jak ją przeprowadzić

This article covers: Kiedy ocena skutków jest wymagana?, 8 kryteriów: dwa lub więcej wyzwalają obowiązek oceny skutków, Metodologia oceny skutków.

  • Kiedy ocena skutków jest wymagana?
  • 8 kryteriów: dwa lub więcej wyzwalają obowiązek oceny skutków
  • Metodologia oceny skutków
  • Co należy udokumentować?
  • Kiedy należy skonsultować się z organem nadzorczym?
Source: EuroComply Editorial (2025-02-01)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.