DPIA (Data Protection Impact Assessment), czyli Ocena Skutków dla Ochrony Danych, jest jednym z najważniejszych narzędzi GDPR dla firm przetwarzających dane na dużą skalę lub w sposób stwarzający wysokie ryzyko. W kontekście ERP — który z natury gromadzi ogromne ilości danych pracowniczych, klientów i dostawców — DPIA jest często obowiązkowa.

Szerszy kontekst bezpieczeństwa i compliance znajdziecie w pillar Bezpieczeństwo i compliance w cloud ERP 2026.

Czym jest DPIA

DPIA (art. 35 GDPR) to udokumentowana ocena ryzyk dla praw i wolności osób fizycznych wynikających z planowanego przetwarzania danych. Nie jest to jednorazowy formularz — to żyjący dokument, który musi być aktualizowany przy każdej istotnej zmianie operacji przetwarzania.

DPIA odpowiada na pytania:

  • Co przetwarzamy i dlaczego?
  • Jakie ryzyka to stwarza dla osób, których dane przetwarzamy?
  • Jak te ryzyka ograniczamy?
  • Czy ryzyka są akceptowalne?

Kiedy DPIA jest obowiązkowa

GDPR art. 35 ust. 3 określa trzy bezwzględne przypadki:

1. Systematyczna ocena na podstawie profilowania

Automatyczne przetwarzanie danych osobowych w celu oceny czynników osobowych z automatycznym podejmowaniem decyzji wpływających na osoby.

Przykłady w ERP:

  • AI scoring pracowników (ocena wydajności algorytmem)
  • AI credit scoring klientów
  • Automatyczny ranking kandydatów do pracy
  • Predyktywna analiza rotacji pracowników

2. Przetwarzanie danych szczególnych kategorii na dużą skalę

Masowe przetwarzanie danych art. 9 GDPR (zdrowie, rasa/pochodzenie, religia, poglądy polityczne, orientacja seksualna, dane genetyczne/biometryczne).

Przykłady w ERP:

  • Moduł zdrowotny dla pracowników (zwolnienia, orzeczenia lekarskie)
  • Biometria dla kontroli dostępu (odcisk palca, rozpoznawanie twarzy)
  • Dane dotyczące wyznania (przy świadczeniach religijnych)

3. Systematyczne monitorowanie na dużą skalę

Stałe lub regularne monitorowanie osoby fizycznej.

Przykłady w ERP:

  • Śledzenie lokalizacji GPS pracowników terenowych
  • Monitoring aktywności komputerowej pracowników
  • Rejestracja czasu pracy z analizą wzorców

UODO lista procesów wymagających DPIA

UODO (Urząd Ochrony Danych Osobowych) opublikował listę rodzajów przetwarzania wymagających DPIA dla Polski. Zawiera m.in.:

  • Przetwarzanie danych biometrycznych do identyfikacji
  • Monitoring sieci i systemów IT pracowników
  • Profilowanie klientów dla celów marketingowych (na dużą skalę)
  • Analiza danych medycznych pacjentów

Krok po kroku: jak przeprowadzić DPIA

Krok 1: Opis operacji przetwarzania

Opisz szczegółowo planowane przetwarzanie:

  • Jakie dane są przetwarzane (kategorie, zakres)
  • Cel przetwarzania (dlaczego?)
  • Podstawa prawna (art. 6 GDPR — zgoda, umowa, obowiązek prawny, interes publiczny, uzasadniony interes)
  • Kto jest administratorem, kto przetwarzającym
  • Czy dane są przekazywane za granicę
  • Jak długo są przechowywane

Krok 2: Ocena konieczności i proporcjonalności

Udokumentuj, że przetwarzanie jest:

  • Konieczne do osiągnięcia celu (nie można osiągnąć celu bez tych danych)
  • Proporcjonalne — zbieracie minimum danych niezbędnych do celu
  • Oparte na odpowiedniej podstawie prawnej

Krok 3: Identyfikacja i ocena ryzyk

Dla każdego procesu przetwarzania zidentyfikuj potencjalne ryzyka:

RyzykoPrawdopodobieństwoPowagaPoziom ryzyka
Nieuprawniony dostęp do danychŚrednieWysokaWysoki
Wyciek danych przez dostawcęNiskieWysokaŚredni
Nadużycie danych pracowniczych przez HRNiskieWysokaŚredni
Błędna decyzja AI (scoring)ŚrednieWysokaWysoki
Długotrwałe przechowywanie bez celuWysokieŚredniaWysoki

Krok 4: Środki ograniczające ryzyko

Dla każdego ryzyka wysokiego i średniego: jakie środki wdrożycie?

Przykłady środków:

  • Szyfrowanie danych w spoczynku i tranzycie
  • 2FA i kontrola dostępu oparta na rolach (RBAC)
  • Pseudonimizacja/anonimizacja gdzie możliwe
  • Ograniczenie dostępu do danych wrażliwych (need-to-know)
  • Automatyczne usuwanie danych po upływie okresu retencji
  • Nadzór ludzki nad decyzjami AI
  • Regularne szkolenia pracowników

Krok 5: Konsultacja i decyzja

Konsultacja z IOD/DPO jest obowiązkowa gdy firma go ma. IOD musi wydać opinię na piśmie — administrator może nie zgodzić się, ale musi udokumentować powody.

Decyzja:

  • Jeśli ryzyka rezydualne (po środkach) są akceptowalnie niskie → przetwarzanie można rozpocząć
  • Jeśli ryzyka rezydualne są wysokie → konieczna konsultacja z UODO (art. 36 GDPR)

DPIA a procesy ERP — praktyczne przykłady

Przykład 1: Wdrożenie AI scoringu kandydatów do pracy

Opis: ERP z modułem AI rankinguje CV kandydatów na podstawie algorytmu ML.

Czy wymagana DPIA? Tak — systematyczna ocena na podstawie profilowania z automatycznym podejmowaniem decyzji.

Kluczowe ryzyki:

  • Dyskryminacyjny algorytm (bias w danych treningowych)
  • Brak transparentności procesu selekcji
  • Automatyczne odrzucenie bez możliwości odwołania

Środki:

  • Regularna weryfikacja biasu algorytmu
  • Informowanie kandydatów o użyciu AI
  • Obowiązkowa weryfikacja decyzji AI przez człowieka (RODO art. 22)
  • Prawo kandydatów do wyjaśnienia decyzji

Przykład 2: Monitoring czasu pracy z analizą produktywności

Opis: System rejestruje każdą akcję pracownika w ERP, generuje raport produktywności.

Czy wymagana DPIA? Prawdopodobnie tak — systematyczne monitorowanie pracowników.

Kluczowe ryzyki:

  • Naruszenie prywatności pracowników
  • Nadmierne przetwarzanie (monitoring ponad konieczność)
  • Brak podstawy prawnej (czy masz zgodę lub uzasadniony interes?)

Środki:

  • Poinformowanie pracowników o monitoringu (transparentność)
  • Ograniczenie monitoringu do niezbędnego minimum
  • Zapewnienie prawa dostępu do własnych danych
  • Weryfikacja podstawy prawnej z prawnikiem

Przykład 3: Biometryczna kontrola dostępu

Opis: Odcisk palca lub rozpoznawanie twarzy do wejścia do biura/systemu.

Czy wymagana DPIA? Tak — dane biometryczne są danymi szczególnymi (art. 9 GDPR).

Kluczowe ryzyki:

  • Wyciek danych biometrycznych (nieodwracalne — palce nie da się zmienić)
  • Przetwarzanie bez ważnej podstawy prawnej
  • Profiling pracowników przez wzorce dostępu

Środki:

  • Alternatywna metoda dostępu (karta, PIN) dla pracowników, którzy nie wyrażają zgody
  • Szyfrowanie template biometrycznych
  • Ograniczenie retencji do minimum
  • Zgoda jako podstawa (a nie obowiązek pracodawcy)

DPIA a dostawca ERP

Dostawca ERP ma rolę przetwarzającego — przetwarza dane w imieniu administratora (Waszej firmy). DPIA przeprowadza administrator, ale dostawca ERP powinien:

  1. Dostarczyć informacje o przetwarzaniu danych w systemie (DPA, Annex z listą sub-przetwarzających)
  2. Udostępnić dokumentację techniczną (jak dane są chronione, gdzie są przechowywane)
  3. Wspierać DPIA — odpowiadać na pytania, dostarczać oceny ryzyka własnych systemów
  4. Nie angażować nowych sub-przetwarzających bez zgody administratora

Modulario dostarcza klientom dokumentację DPIA-support — opis przetwarzania danych w systemie, środki bezpieczeństwa, listę sub-przetwarzających z lokalizacją danych. To skraca czas przygotowania DPIA znacząco.

Aktualizacja i przegląd DPIA

DPIA nie jest jednorazowym dokumentem. Wymaga aktualizacji gdy:

  • Zmienia się cel lub zakres przetwarzania
  • Wdrażacie nowy moduł AI lub biometrię
  • Zmienia się dostawca lub sub-przetwarzający
  • Pojawia się nowe zagrożenie (incydent u dostawcy, nowa technika ataku)
  • Zmieniają się przepisy (nowe wytyczne UODO, wyrok)

Rekomendowany cykl przeglądu: co 2 lata lub przy każdej istotnej zmianie.

Często zadawane pytania

Kiedy DPIA jest obowiązkowa? DPIA jest obowiązkowa (art. 35 GDPR) gdy przetwarzanie „z dużym prawdopodobieństwem może skutkować wysokim ryzykiem” dla praw i wolności osób fizycznych. Trzy bezwzględne przypadki: (1) systematyczna i kompleksowa ocena czynników osobowych na podstawie profilowania (np. AI scoring pracowników), (2) przetwarzanie na dużą skalę danych szczególnych kategorii (zdrowie, religia, orientacja seksualna), (3) systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. UODO publikuje listę rodzajów przetwarzania wymagających DPIA dla Polski.

Kto powinien przeprowadzić DPIA? DPIA przeprowadza administrator danych (wasza firma) — nie zewnętrzny dostawca. Jeśli firma ma Inspektora Ochrony Danych (IOD/DPO) — IOD musi być skonsultowany i jego opinia uwzględniona. DPIA może być zlecona zewnętrznemu ekspertowi (prawnicy, konsultanci GDPR), ale odpowiedzialność pozostaje u administratora. Dostawca ERP jest procesorem — może dostarczyć informacje o przetwarzaniu danych, ale nie przejmuje odpowiedzialności za DPIA administratora.

Co się stanie jeśli nie przeprowadzę DPIA gdy jest obowiązkowa? Naruszenie obowiązku DPIA podlega karze do 10 mln EUR lub 2% globalnego obrotu (GDPR art. 83 ust. 4). UODO w Polsce stosuje to przepis aktywnie — kontrole DPIA są częścią regularnych inspekcji. Poza karą finansową, brak DPIA przy incydencie danych jest okolicznością obciążającą — może podwoić podstawową karę za naruszenie GDPR.