DPIA dla systemów opartych o AI - jak oceniać ryzyko naruszeń praw i wolności osób fizycznych przy rozwiązaniach opartych o sztuczną inteligencję?

Ryzyko na starcie: klucz do skutecznej DPIA [1]

Ocena ryzyka naruszenia praw lub wolności osób fizycznych stanowi fundament podejścia opartego na ryzyku przy ochronie danych osobowych. RODO[2] wymaga od administratorów danych, aby przed rozpoczęciem nowych operacji przetwarzania przeanalizowali potencjalny wpływ na prywatność i prawa osób, których dane dotyczą. Szczególnie istotne jest to w przypadku nowoczesnych rozwiązań technologicznych, takich jak sztuczna inteligencja (AI), które mogą wiązać się z nieprzejrzystym działaniem algorytmów czy zautomatyzowanym podejmowaniem decyzji. W takich sytuacjach należy ocenić, czy planowane przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co zgodnie z art. 35 ust. 1 RODO obliguje do przeprowadzenia formalnej oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA). Wstępna analiza ryzyka jest więc pierwszym krokiem, który warunkuje prawidłowe wykonanie DPIA.

DPIA w praktyce: mechanizm prewencji ryzyka

Artykuł 35 RODO wprowadza wymóg dokonania DPIA przed rozpoczęciem takiego przetwarzania danych, które ze względu na swój charakter, zakres, kontekst i cele – zwłaszcza przy użyciu nowych technologiach – może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Prezes UODO[3] w wykazie operacji wymagających DPIA z czerwca 2019 r.[4] umieścił m.in. kryterium „innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych”, czyli obejmujące AI i mogące wiązać się z nieznanymi wcześniej zagrożeniami.

Natomiast, w komunikacie „Kiedy trzeba przeprowadzić ocenę skutków dla ochrony danych?” z 31 marca 2025 r.[5], Prezes UODO podkreśla, że poza profilowaniem i monitoringiem publicznych przestrzeni istotne są także takie operacje, jak zautomatyzowane podejmowanie decyzji czy analiza behawioralna w celach wywołujących negatywne skutki prawne. UODO zaznacza ponadto, że kryterium „innowacyjne zastosowanie technologii” odnosi się nie tylko do AI, ale do każdego nowatorskiego rozwiązania informatycznego – od systemów blockchain po IoT – co wzmacnia proaktywne podejście do zarządzania ryzykiem i rozliczalność administratora.

Europejska Rada Ochrony Danych w Wytycznych 04/2022[6] rozwija pojęcie DPIA jako narzędzia opartego na analizie ryzyka („risk-based approach”) i wskazuje, że nawet wątpliwości co do wysokiego ryzyka powinny skłaniać do przeprowadzenia oceny. EROD rekomenduje również dokumentowanie kluczowych działań, takich jak: 

• analiza zgodności z zasadami przetwarzania (minimalizacja, ograniczenie celu, przejrzystość);
• ocena potrzeb i proporcjonalności zastosowanych technologii;
• zaangażowanie osób, których dane dotyczą, np. poprzez konsultacje czy testy pilotażowe;
• ustalenie procedur reagowania na incydenty i regularne przeglądy DPIA.

Również wcześniejsze Opinie Grupy Roboczej Art. 29 (WP 248 rev. 01)[7][8] wskazywały na konieczność stosowania podejścia opartego na ryzyku i zalecały przeprowadzanie DPIA w sytuacjach, gdy istnieje choćby potencjalne zagrożenie dla praw osób, których dane dotyczą.

W świetle obu źródeł – krajowego i unijnego – istotne jest, aby administrator traktował DPIA jako żywy dokument, poddawany rewizji przy każdej zmianie technologii, procesów lub otoczenia prawnego.

Kluczowe kroki poprawnej, pełnej i rzetelnej DPIA

Aby DPIA była efektywna i zgodna z RODO oraz wytycznymi organów nadzorczych, powinna składać się z kilku zasadniczych etapów.

Krokiem zerowym można nazwać opis planowanego przetwarzania – precyzyjne wskazanie celów i zakresu z uwzględnieniem:

• rodzajów danych (np. biometryczne, wrażliwe);
• wykorzystywanych systemów AI i metodologii uczenia maszynowego;
• przypadków użycia (np. rekrutacja, scoring kredytowy).

  Przykład: system scoringowy Schufa Holding AG (2023)[9] uznano za naruszający transparentność algorytmu, co podkreśla wymóg szczegółowego opisu działania modelu.

  Krok 1: wstępna ocena ryzyka naruszenia praw lub wolności osób fizycznych – analiza, czy przetwarzanie może powodować wysokie ryzyko; to etap decydujący o konieczności przeprowadzenia DPIA.

  Krok 2a: identyfikacja i ocena ryzyk – badanie potencjalnych zagrożeń, w tym:

• adversarial attacks (manipulacja danymi wejściowymi w modelach AI);
• ryzyko wycieku danych treningowych.

  Krok 2b: szacowanie prawdopodobieństwa i wagi skutków dla osób fizycznych.

  Krok 3: określenie środków łagodzących – zaprojektowanie i wdrożenie działań technicznych oraz organizacyjnych (np. pseudonimizacja, audyty algorytmów, zabezpieczenia dostępu), aby zminimalizować zidentyfikowane ryzyka.

  Krok 4: dokumentacja, konsultacje i monitoring – przygotowanie pisemnego raportu DPIA, w tym:

• konsultacje z Inspektorem Ochrony Danych (IOD) i przedstawicielami osób, których dane dotyczą;
• współpraca z niezależnymi ekspertami ds. etyki AI;
• regularna aktualizacja DPIA po zmianach technologicznych lub incydentach (np. kara UODO 2025 za błędy diagnostyczne AI przy rzadkich chorobach).

Każdy krok powinien być rzetelnie udokumentowany, a konsultacje z zaangażowanymi w proces stronami (np. dostawcami technologii, przedstawicielami grup ryzyka) wzmacniają wiarygodność oceny.

Fundament ochrony praw podstawowych osób, których dane są przetwarzane

W myśl art. 35 ust. 1 RODO administrator musi najpierw ocenić prawdopodobieństwo, że planowane przetwarzanie danych spowoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. RODO czerpie rozumienie „praw i wolności” z Karty Praw Podstawowych UE (np. prawo do życia prywatnego, ochrona danych osobowych, zakaz dyskryminacji, wolność decydowania o sobie).

W ramach tej wstępnej oceny identyfikuje się ryzyko naruszenia takich praw i wolności jak:

• prawo do prywatności i ochrony danych – np. nieuprawniona inwigilacja, nadmierne zbieranie informacji;
• prawo do równego traktowania – np. algorytmiczne uprzedzenia czy dyskryminacja;
• prawo do wyjaśnień i udziału – np. brak transparentności decyzji zautomatyzowanych;
• prawo do wolności myśli i wypowiedzi – np. niepożądane filtrowanie treści lub profilowanie.

Dopiero po potwierdzeniu wysokiego prawdopodobieństwa (na podstawie kryteriów RODO lub arbitralnie podwyższonych wartości ryzyka na podstawie metodyki eksperckiej) podejmuje się decyzję o przeprowadzeniu pełnej DPIA.

Dzięki temu administrator optymalizuje zasoby, unikając DPIA w przypadkach niskiego ryzyka, a jednocześnie zapewnia pogłębioną analizę tam, gdzie jest ona niezbędna.

Warto także wspomnieć o Fundamental Rights Impact Assessment (FRIA) – obowiązku wprowadzonym w AI Act[10], którego celem jest ocena wpływu systemów wysokiego ryzyka na prawa podstawowe, takie jak wolność wyrażania opinii, prawo do niebycia dyskryminowanym czy prawo do prywatności. AI Act wymaga FRIA dla systemów o kwalifikacji „high-risk AI”, m.in. w sektorach edukacji, zatrudnienia, usług finansowych czy wymiaru sprawiedliwości.

W praktyce DPIA i FRIA można połączyć, gdyż obie rozpoczynają się od wstępnej oceny ryzyka naruszenia praw lub wolności osób fizycznych. Połączenie obu ocen umożliwia kompleksowe zarządzanie ryzykiem – od ochrony danych, przez kwestie etyczne, aż po szersze prawa człowieka – w ramach jednego, spójnego procesu dokumentacyjnego.

Procesy przetwarzania danych osobowych wykorzystujące narzędzia AI zazwyczaj spełniają wiele kryteriów wysokiego ryzyka jednocześnie (profilowanie, dane wrażliwe, duża skala, nowe technologie), przez co wstępna ocena ryzyka niemal zawsze prowadzi do konieczności DPIA.

Ryzyko jako kompas: dalsze kroki w dynamicznym świecie AI

Jak pisał Seneka Młodszy: „Nie ma wiatru korzystnego dla tego, który nie wie, do jakiego portu zmierza.”[11]. Ta słynna maksyma dotycząca życia i determinacji dziś może skłaniać do refleksji, że bez realistycznych oczekiwań co do konsekwencji stosowania nowych technologii, takich jak systemy AI, w czynnościach przetwarzania danych osobowych, możemy skończyć bardzo rozczarowani ostatecznym efektem, jaki osiągniemy.

Użycie nowych technologii – a w szczególności systemów AI – potrzebuje klarownego orientowania, ukierunkowania w otaczającym je środowisku prawnym - tak, by przynajmniej osoby decydujące o procesach przetwarzania danych osobowych wiedziały, dokąd chcą zmierzać i jakie reguły nas obowiązują.

Bez solidnego kompasu, którego rolę pełni DPIA, nasze działania mogłyby dryfować w nieznanym kierunku. Dlatego w dynamicznym świecie AI, gdzie prądy technologiczne zmieniają się błyskawicznie, ocena ryzyka nie jest tylko wymogiem proceduralnym – ona wyznacza bezpieczną ścieżkę dla każdej innowacji, utrzymując kurs organizacji na zgodność z RODO.

Kompleksowym rozwiązaniem wspierającym codzienną pracę inspektorów ochrony danych i osób odpowiedzialnych za zgodność z RODO jest program LEX Ochrona Danych Osobowych. W ramach narzędzie dostępnych w programie znajdziesz specjalistyczną aplikację GDPR Risk Tracker, która umożliwia przeprowadzanie analizy ryzyka oraz oceny skutków dla ochrony danych (DPIA) – zgodnie z wymogami RODO.

_{[1] Data Protection Impact Assessment, czyli Ocena Skutków dla Ochrony Danych zgodnie z art. 35 RODO.
[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
[3] Prezes Urzędu Ochrony Danych Osobowych, który jest organem nadzorczym odpowiedzialnym za ochronę danych osobowych w Polsce. Stanowisko to zostało utworzone w 2018 roku na mocy ustawy o ochronie danych osobowych, zastępując wcześniejszy urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
[4] Monitor Polski - rok 2019 poz. 666 – dostęp 30.04.2025 r.
[5] Poradniki i wskazówki (od 2025 r.) - UODO – dostęp 30.04.2025 r.
[6] Wytyczne 04/2022 dotyczące obliczania administracyjnych kar pieniężnych na podstawie RODO | European Data Protection Board – dostęp 30.04.2025 r.
[7] Grupa Robocza Art. 29 (WP29) była niezależnym europejskim organem doradczym ds. ochrony danych osobowych, utworzonym na mocy Dyrektywy 95/46/WE. Działała od 1996 roku do 25 maja 2018 roku, kiedy to została zastąpiona przez Europejską Radę Ochrony Danych (EROD) Dorobek: Grupa Robocza Art. 29 | European Data Protection Board – dostęp 30.04.2025 r.
[8] Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA), opracowane przez Grupę Roboczą Art. 29. Dokument ten pomaga określić, czy przetwarzanie danych osobowych „może powodować wysokie ryzyko” zgodnie z RODO (Rozporządzenie 2016/679). Wytyczne zostały przyjęte 4 kwietnia 2017 r., a ich ostatnia zmiana miała miejsce 4 października 2017 r. JUSTICE AND CONSUMERS ARTICLE 29 - Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) – dostęp 30.04.2025 r.
[9] Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie C-634/21, dotyczącej systemu scoringowego Schufa Holding AG: EUR-Lex - 62021CA0634 - EN - EUR-Lex – dostęp 30.04.2025 r.
[10] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji)
[11] Seneka Młodszy, Listy moralne do Lucyliusza, Wydawnictwo Naukowe PWN, Warszawa 2024.}