Słownik pojęć

DPIA: ocena skutków dla ochrony danych przy monitoringu rozmów

Analiza wymagana przez art. 35 RODO przed przetwarzaniem wysokiego ryzyka — w praktyce obowiązkowa przed uruchomieniem monitoringu rozmów pracowników.

Definicja

DPIA (Data Protection Impact Assessment, ocena skutków dla ochrony danych) to analiza wymagana przez art. 35 RODO, gdy przetwarzanie — zwłaszcza z użyciem nowych technologii — może powodować wysokie ryzyko dla praw i wolności osób. Systematyczna ocena pracowników i monitoring rozmów z użyciem AI to klasyczny przypadek takiego przetwarzania, dlatego DPIA wykonuje się przed uruchomieniem systemu.

Zgodnie z art. 35 ust. 7 RODO ocena zawiera co najmniej: opis operacji przetwarzania i jego celów, ocenę niezbędności i proporcjonalności, ocenę ryzyk dla osób, których dane dotyczą, oraz planowane środki zaradcze. DPIA przeprowadza administrator danych — czyli firma wdrażająca ocenę rozmów — a dostawca jako podmiot przetwarzający ma obowiązek jej w tym pomóc (art. 28 ust. 3 lit. f RODO). CallSea dostarcza komplet informacji o przetwarzaniu w pakiecie wdrożeniowym; architekturę danych opisuje strona zaufanie i bezpieczeństwo.

Przykład z praktyki call center

Call center przed startem analizy AI dokumentuje w DPIA: jakie dane są przetwarzane (nagrania zamieniane na transkrypcje, wyniki ocen per konsultant), gdzie (serwery w UE), jak długo, kto ma dostęp (model uprawnień per kampania), jakie są ryzyka i środki zaradcze (nadzór człowieka, brak analizy emocji, brak trwałego przechowywania audio). Większość tych informacji pochodzi wprost od dostawcy systemu.

Najczęstsze pytania

Kiedy DPIA jest obowiązkowa?

Gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób — m.in. przy systematycznej ocenie osób i monitorowaniu z użyciem nowych technologii (art. 35 RODO). Monitoring rozmów pracowników oceniany przez AI spełnia te przesłanki, więc DPIA wykonuje się przed startem.

Kto przeprowadza DPIA — dostawca czy firma wdrażająca?

Administrator danych, czyli firma wdrażająca system (pracodawca). Dostawca jako podmiot przetwarzający ma obowiązek dostarczyć informacje o przetwarzaniu potrzebne do oceny — wynika to z art. 28 ust. 3 lit. f RODO.

Co zrobić, gdy DPIA wykaże wysokie ryzyko?

Najpierw zaplanować środki, które to ryzyko zminimalizują. Jeśli mimo środków ryzyko pozostaje wysokie, administrator konsultuje się z organem nadzorczym (w Polsce: Prezesem UODO) zgodnie z art. 36 RODO — przed rozpoczęciem przetwarzania.