Słownik pojęć
DPIA: ocena skutków dla ochrony danych przy monitoringu rozmów
Analiza wymagana przez art. 35 RODO przed przetwarzaniem wysokiego ryzyka — w praktyce obowiązkowa przed uruchomieniem monitoringu rozmów pracowników.
Definicja
DPIA (Data Protection Impact Assessment, ocena skutków dla ochrony danych) to analiza wymagana przez art. 35 RODO, gdy przetwarzanie — zwłaszcza z użyciem nowych technologii — może powodować wysokie ryzyko dla praw i wolności osób. Systematyczna ocena pracowników i monitoring rozmów z użyciem AI to klasyczny przypadek takiego przetwarzania, dlatego DPIA wykonuje się przed uruchomieniem systemu.
Zgodnie z art. 35 ust. 7 RODO ocena zawiera co najmniej: opis operacji przetwarzania i jego celów, ocenę niezbędności i proporcjonalności, ocenę ryzyk dla osób, których dane dotyczą, oraz planowane środki zaradcze. DPIA przeprowadza administrator danych — czyli firma wdrażająca ocenę rozmów — a dostawca jako podmiot przetwarzający ma obowiązek jej w tym pomóc (art. 28 ust. 3 lit. f RODO). CallSea dostarcza komplet informacji o przetwarzaniu w pakiecie wdrożeniowym; architekturę danych opisuje strona zaufanie i bezpieczeństwo.
Przykład z praktyki call center
Call center przed startem analizy AI dokumentuje w DPIA: jakie dane są przetwarzane (nagrania zamieniane na transkrypcje, wyniki ocen per konsultant), gdzie (serwery w UE), jak długo, kto ma dostęp (model uprawnień per kampania), jakie są ryzyka i środki zaradcze (nadzór człowieka, brak analizy emocji, brak trwałego przechowywania audio). Większość tych informacji pochodzi wprost od dostawcy systemu.
Najczęstsze pytania
Kiedy DPIA jest obowiązkowa?
Gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób — m.in. przy systematycznej ocenie osób i monitorowaniu z użyciem nowych technologii (art. 35 RODO). Monitoring rozmów pracowników oceniany przez AI spełnia te przesłanki, więc DPIA wykonuje się przed startem.
Kto przeprowadza DPIA — dostawca czy firma wdrażająca?
Administrator danych, czyli firma wdrażająca system (pracodawca). Dostawca jako podmiot przetwarzający ma obowiązek dostarczyć informacje o przetwarzaniu potrzebne do oceny — wynika to z art. 28 ust. 3 lit. f RODO.
Co zrobić, gdy DPIA wykaże wysokie ryzyko?
Najpierw zaplanować środki, które to ryzyko zminimalizują. Jeśli mimo środków ryzyko pozostaje wysokie, administrator konsultuje się z organem nadzorczym (w Polsce: Prezesem UODO) zgodnie z art. 36 RODO — przed rozpoczęciem przetwarzania.