14 kwietnia 2026 roku Europejska Rada Ochrony Danych (EDPB) opublikowała pierwszy ujednolicony szablon DPIA i otworzyła go do konsultacji publicznych. Termin składania uwag upływa 9 czerwca 2026 roku. To jeden z ważniejszych kroków w kierunku ujednolicenia praktyki RODO w całej UE od czasu wejścia rozporządzenia w życie.
Czym jest DPIA i kiedy jest obowiązkowa
Ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment — DPIA) to udokumentowany proces wymagany przez art. 35 RODO w sytuacjach gdy planowane przetwarzanie danych może wiązać się z wysokim ryzykiem dla praw i wolności osób fizycznych.
DPIA jest obowiązkowa przede wszystkim gdy:
- przetwarzanie obejmuje systematyczną i kompleksową ocenę czynników osobowych (profilowanie, scoring kredytowy)
- przetwarzane są dane szczególnych kategorii (dane zdrowotne, biometryczne, genetyczne) na dużą skalę
- prowadzone jest systematyczne monitorowanie miejsc dostępnych publicznie na dużą skalę
- przetwarzanie figuruje na liście opublikowanej przez krajowy organ nadzorczy jako rodzaj wymagający DPIA
Każdy organ nadzorczy w UE — w tym UODO w Polsce — jest zobowiązany do publikowania listy rodzajów przetwarzania wymagających DPIA. Jednak dotąd każdy organ robił to według własnego podejścia i w oparciu o własny wzór dokumentu. To właśnie ten chaos EDPB postanowiła teraz zakończyć.
Problem który wzór ma rozwiązać — dotychczasowy brak spójności
Od 2018 roku każde państwo UE i każdy organ nadzorczy stosował własne podejście do DPIA. Dominującym standardem stało się oprogramowanie open-source PIA opracowane przez francuską CNIL — nie dlatego że było oficjalnym standardem europejskim, ale dlatego że jako jedyne było dostępne i dobrze opracowane. Korzystały z niego organizacje i IOD z całej Europy w braku lepszej alternatywy ze strony własnych organów krajowych.
W dokumencie wyjaśniającym EDPB wprost wskazuje że część krajowych organów nadzorczych nie opublikowała żadnych użytecznych wskazówek dotyczących metodologii DPIA. Organizacje działające transgranicznie musiały dostosowywać swoje dokumenty do różnych oczekiwań różnych organów — bez pewności że DPIA sporządzona według podejścia jednego organu zostanie zaakceptowana przez inny.
Co zawiera szablon DPIA EDPB
Wzór v1.0 przyjęto 10 marca 2026 roku w drodze procedury pisemnej. Towarzyszy mu dokument wyjaśniający który rozkłada każdą sekcję na prostszy język i odpowiada na typowe pytania. Wzór jest podzielony na następujące główne sekcje:
Sekcja 0 — Karta techniczna DPIA Podstawowe dane: tytuł, wersja, data, zespół odpowiedzialny za przeprowadzenie oceny (w tym role w modelu RACI: Responsible, Accountable, Consulted, Informed), rola IOD, zatwierdzone przez.
Sekcja 1 — Systematyczny opis przetwarzania Opis wysokiego poziomu: kategorie przetwarzanych danych, cele, wtórne lub kompatybilne zastosowania. Opis funkcjonalny: środki przetwarzania, zasoby wspierające (systemy informatyczne, outsourcing, archiwum), przekazywanie danych do państw trzecich z podaniem mechanizmu (decyzja o adekwatności, SCC), usuwanie i niszczenie danych.
Sekcja 2 — Ocena konieczności i proporcjonalności Czy przetwarzanie jest konieczne do osiągnięcia celu? Czy cel nie mógłby być osiągnięty mniej inwazyjnym sposobem? Zgodność z zasadami RODO — minimalizacja, ograniczenie celu, dokładność. Prawa podmiotów danych i sposób ich realizacji.
Sekcja 3 — Ocena ryzyka Tu EDPB wprowadza ważne rozróżnienie metodologiczne między dwoma rodzajami ryzyka:
- Ryzyko projektowe (design risk) — ryzyko wynikające z samej konstrukcji przetwarzania: długie okresy retencji, użycie unikalnych identyfikatorów, nadmiar zbieranych danych, brak pseudonimizacji. To ryzyko tkwiące w tym jak przetwarzanie zostało zaprojektowane.
- Ryzyko incydentalne (incident risk) — ryzyko wynikające z zagrożeń zewnętrznych i wewnętrznych: ataki hakerskie, błędy konfiguracji, nieuprawniony dostęp przez pracowników, phishing, awarie systemów.
Dla każdego zidentyfikowanego ryzyka wzór wymaga oceny prawdopodobieństwa i powagi skutków oraz identyfikacji źródeł zagrożeń.
Sekcja 4 — Środki zaradcze i plan działań Techniczne i organizacyjne środki ograniczające zidentyfikowane ryzyka, z przypisaniem odpowiedzialności i terminami.
Sekcja 5 — Wnioski Ocena końcowa: czy ryzyka zostały wystarczająco ograniczone? Czy przetwarzanie można kontynuować? Czy wymagane są uprzednie konsultacje z organem nadzorczym (art. 36 RODO)?
Co się stanie po konsultacjach
Po zakończeniu konsultacji publicznych 9 czerwca 2026 roku EDPB dokona ewentualnych modyfikacji i sfinalizuje wzór. Następnie wszystkie krajowe organy nadzorcze będą zobowiązane do przyjęcia tego wzoru — albo jako jedyny obowiązujący standard, albo jako meta-szablon z którym ich krajowe wzory będą musiały być zgodne.
Oznacza to że po finalizacji wzoru DPIA przeprowadzona w Polsce, Niemczech czy Holandii — jeżeli zostanie oparta o wzór EDPB — będzie uznawana przez organy nadzorcze we wszystkich krajach EOG. Dla organizacji działających transgranicznie to znaczące uproszczenie.
Czy trzeba korzystać z wzoru teraz
Użycie wzoru EDPB nie jest obowiązkowe — RODO pozostawia administratorom swobodę wyboru metodologii DPIA. Wzór jest narzędziem pomocniczym, nie wymogiem prawnym.
Jednak EDPB zachęca organizacje do korzystania z wzoru już teraz i do zgłaszania uwag w ramach konsultacji. Jest to szczególnie wartościowe dla IOD i specjalistów ds. ochrony danych — wzór stanie się wkrótce de facto standardem europejskim i warto się z nim zapoznać przed finalizacją.
Powiązanie z AI Act
Wzór uwzględnia powiązanie z unijnym Aktem o sztucznej inteligencji. Art. 26 ust. 9 AI Act nakłada na podmioty wdrażające systemy AI obowiązek wykorzystania informacji dostarczonych przez dostawcę systemu przy realizacji obowiązku DPIA wynikającego z art. 35 RODO. Wzór EDPB zawiera sekcję uwzględniającą ten kontekst — co jest istotne dla organizacji wdrażających narzędzia AI w procesach przetwarzania danych osobowych.
Podsumowanie
EDPB opublikowała 14 kwietnia 2026 roku pierwszy ujednolicony wzór DPIA dla całej Unii Europejskiej. Wzór nie jest obowiązkowy — ale po zakończeniu konsultacji publicznych (9 czerwca 2026) wszystkie krajowe organy nadzorcze będą zobowiązane do jego przyjęcia lub dostosowania do niego swoich wzorów krajowych. Dla organizacji działających transgranicznie oznacza to koniec ery różnych oczekiwań różnych organów. Dla IOD i specjalistów — nowe narzędzie które warto poznać już teraz.
FAQ
Nie — wzór nie jest obowiązkowy i nie wymaga retroaktywnego przeprowadzania DPIA. Istniejące oceny sporządzone według innych metodologii pozostają ważne. Wzór warto stosować przy nowych DPIA i aktualizacjach istniejących.
Nie zastępuje bezpośrednio — ale jest opracowany jako dokument strukturalny (formularz) a nie oprogramowanie. CNIL może dostosować swoje narzędzie do nowego wzoru po zakończeniu konsultacji.
Uwagi do wzoru należy przesłać przez stronę EDPB do 9 czerwca 2026 roku. Szablon i formularz konsultacyjny dostępne są bezpośrednio na stronie EDPB. Zgłoszone uwagi będą opublikowane — należy mieć to na uwadze przesyłając formularz.
Ryzyko projektowe wynika z samej konstrukcji przetwarzania — zbyt długi okres retencji, użycie unikalnych identyfikatorów, nadmiar zbieranych danych. Ryzyko incydentalne wynika z zagrożeń zewnętrznych — ataki, błędy ludzkie, awarie. Wzór EDPB wymaga oceny obu rodzajów ryzyka osobno.
Po zakończeniu konsultacji (9 czerwca 2026) EDPB sfinalizuje wzór. Następnie każdy krajowy organ nadzorczy (w tym UODO) podejmie niezbędne kroki by przyjąć wzór jako własny standard lub meta-szablon. Harmonogram tego procesu nie został jeszcze ogłoszony.
DPIA w systemie iGDPR — udokumentowana i gotowa na kontrolę
W iGDPR przeprowadzisz ocenę skutków dla ochrony danych bezpośrednio w module ryzyka — powiązaną z rejestrem czynności, z historią wersji i eksportem do PDF. Sprawdź jak to działa w praktyce.
Testuj teraz — 21 dni bezpłatnie
