Ocena skutków dla ochrony danych (OSOD, DPIA) to proces służący do zapewnienia i wykazania zgodności przetwarzania danych z RODO (art. 35 RODO). Jest to proces opisujący przetwarzanie, oceniający niezbędność i proporcjonalność przetwarzania. OSOD pomaga w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i decydując się na odpowiednie środki mające mu zaradzić). Ocena skutków dla ochrony danych to narzędzie ważne ze względu na rozliczalność, ponieważ pomaga administratorowi danych wykazać, że zostały wdrożone odpowiednie środki w celu zapewnienia zgodności z RODO.

Jeżeli ocena skutków dla ochrony danych wskaże, że przetwarzanie danych osobowych powoduje wysokie ryzyko, gdyby administrator danych nie zastosował środków w celu zminimalizowaniu tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się w tej sprawie z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych (PUODO). Uprzednie konsultacje są rodzajem postępowania administracyjnego, które należy wszcząć w oparciu o wynik oceny skutków dla ochrony danych. W wyniku przeprowadzonego postępowania, organ nadzorczy może wydać zalecenia, które administrator powinien wdrożyć (art. 36 RODO).

Przeprowadzenie oceny skutków ochrony danych jest obowiązkowe, kiedy planowane przetwarzanie danych osobowych wiążę się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, np. korzystanie z nowych technologii.

Wysokie ryzyko występuje, w sytuacji, kiedy:

  1. Do oceny osób fizycznych stosuje się zautomatyzowane przetwarzanie danych oraz profilowanie.
  2. Miejsca publicznie dostępne są monitorowane na dużą skalę.
  3. Szczególne kategorie danych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa są przetwarzane na dużą skalę (np. dane dotyczące stanu zdrowia).

Ocena skutków ochrony danych jest wymagana m.in. w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. Europejska Rada Ochrony Danych (EROD) w swoich wytycznych podkreśliła, że uszczegółowienie przypadków, w których niezbędne jest przeprowadzenie takiej oceny, dokonywane jest przez organy nadzorcze poszczególnych krajów Unii Europejskiej. Prezes Urzędu Ochrony Danych Osobowych w komunikacie z 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony wskazał poszczególne grupy takich przypadków, m.in. w zakresie monitorowania pracowników).