На практике сформировались подходы, которые в настоящее время признаются недостаточными:

• Компании составляли DPIA на этапе запуска проекта, после чего документ не обновлялся.
• Риски описывались обобщённо, без оценки вероятности, анализа сценариев, привязки к конкретной архитектуре системы.
• В большинстве случаев DPIA не отражал потоки данных, участие подрядчиков, использование облачных сервисов и API.
• Широко применялись типовые формы без адаптации под конкретную обработку.

В 2024 - 2026 годах произошли существенные изменения в практике из-за того, что увеличилось количество жалоб, трансграничных кейсов, появились новые технологические риски, связанные с использованием ИИ и аналитических систем, и в связи с этим DPIA стал одним из первых документов, запрашиваемых регуляторами при проверках. По сути, DPIA трансформировался из формального документа в инструмент управления рисками.

В апреле 2026 года Европейский совет по защите данных (EuropeanDataProtectionBoard, EDPB) предложил стандартизировать подход к проведению DPIA, а также сам шаблон документа, который включает:

• унифицированную структуру;
• обязательную детализацию рисков;
• связь с технической архитектурой;
• интеграцию с оценками в сфере AI.

Можно скачать ЗДЕСЬ.

Новый подход требует конкретных сценариев риска, оценки вероятности и серьёзности, учёта современных угроз (например, утечек через API или анализа моделей). DPIA должен отражать реальные потоки данных, взаимодействие с третьими лицами, технические особенности системы. И, соответственно, документ должен регулярно обновляться, использоваться при принятии решений, интегрироваться в жизненный цикл продукта.
Нарушение требований к DPIA влечёт административную ответственность в соответствии с GDPR (до €10 млн или 2% оборота за нарушение обязанностей контролёра, до €20 млн или 4% при нарушении базовых принципов обработки).

A.Компания управляла веб-сайтом, где клиенты могли создать учетную запись, приобрести товары и присоединиться к программе лояльности компании, собирались IP-адреса, идентификационные данные и контактную информация. Контролер передал часть этих данных компании, работающей в сфере социальных сетей, которая сопоставила данные с профилями своих пользователей для показа целевой рекламы. Наборы данных касались примерно 10,8 миллионов клиентов, из которых 1,6 миллиона получали целевую рекламу. Французский орган по защите персональных данных CNIL оштрафовал ее на 2 500 000 евро за нарушения GDPR, в том числе из-за отсутствия DPIA (ссылка на кейс).

Б. Компания, внедрившая систему биометрической идентификации для контроля доступа работников с использованием отпечатков пальцев, которая использовалась совместно с системой считывания карт, не провела DPIA и была оштрафована Испанским Управлением по защите данных (AEPD) на 20 000 евро (ссылка на кейс).

В. Компания, установившая устройства геолокации для отслеживания транспортных средств ей не принадлежащих, но доставляющих товары от ее имени была оштрафована Итальянским органом по защите данных за нарушения GDPR, в том числе за отсутствие DPIA на 50 000 евро (ссылка на кейс).

Г. Польским Управлением по защите персональных данных оштрафован Toyota Bank Polska SA в размере 72 000 евро за то, что тот не включил профилирование в отчет о деятельности по обработке данных и не провел оценку воздействия на защиту данных (ссылка на кейс).

Компании обязаны учитывать несколько типов оценок воздействия, которые отличаются по своей цели, сфере применения и правовой базе. Как было сказано выше, DPIA про риски, связанные с обработкой персональных данных.

AII Impact Assessment (оценка воздействия ИИ) - широкая, комплексная оценка всех рисков, связанных с ИИ (этических, социальных, технических, экономических и правовых).
Необходима для:
▪️управления рисками;
▪️соблюдения нормативных требований;
▪️повышения прозрачности и подотчетности;
▪️демонстрации общественности и заинтересованным сторонам, что организация серьезно относится к этическим вопросам и воздействию ИИ.
В ЕС разработчикам корпоративных AI-решений (например, в сфере финансовых технологий или здравоохранения) предлагается ALTAI (и подобные ему инструменты для классификации риска своей системы (например, является ли она "высокого риска" в соответствии с AI Act), и самооценки по семи ключевым требованиях к надежному ИИ, в том числе для включения функций объяснимости и справедливости на этапе разработки, а не после завершения.

Fundamental Rights Impact Assessment (FRIA) - оценка, направленная на то, чтобы гарантировать, что развертывание и использование конкретной системы ИИ не нарушает основные права и свободы человека.
Необходима для того, чтобы:
▪️ гарантировать, что такие системы уважают права субъектов;
▪️выявить потенциальные риски для прав человека;
▪️ принять адекватные меры для их устранения.

Субъекты, которые обязаны проводить FRIA (ст. 27 EU AI Act)

• разработчики систем ИИ, предназначенных для оценки кредитоспособности или установления кредитных рейтингов для физических лиц (исключение: системы ИИ, предназначенные для обнаружения финансового мошенничества);
• разработчики систем ИИ, используемых для оценки рисков и ценообразования в страховании жизни и здоровья физических лиц.
• органы, регулируемые публичным правом;
• частные субъекты, предоставляющие государственные услуги;

LIA (Legitimate Interests Assessment) используется при выборе основания “законный интерес” для обработки персональных данных. Оценивает наличие законного интереса, необходимость обработки данных, и баланс интересов. Это не оценка рисков, а проверка правового основания.
Transfer Impact Assessment (TIA) - оценка воздействия на передачу данных, обязательная процедура согласно GDPR, анализирующая риски при передаче персональных данных из ЕС/ЕЭЗ в «третьи страны» (не обеспечивающие адекватный уровень защиты), оценивается законодательство страны-получателя и необходимость дополнительных мер защиты.

1. Провести аудит необходимости DPIA и уже существующих оценок
2. Обновить и формализовать описание операций обработки (цели обработки; категории данных и субъектов, правовые основания обработки, описание потоков данных, включая передачи третьим лицам и за пределы ЕС)
3. Обеспечить связь DPIA с технической и организационной архитектурой. DPIA должен отражать архитектуру системы (включая SaaS, API, облака), роли участников (controller / processor), меры безопасности (ст. 32 GDPR), иначе документ будет считаться формальным.
4. Провести структурированную оценку рисков. Определить и обосновать меры по снижению рисков. DPIA должен содержать конкретные технические и организационные меры, обоснование их достаточности, и остаточный риск при необходимости. Если риск остаётся высоким, то возникает обязанность консультации с регулятором (ст. 36 GDPR).
5. Учитывать использование искусственного интеллекта, отразить влияние ИИ- систем на обработку данных; оценить риски профилирования и автоматического принятия решений, определить необходимость дополнительных оценок (например, FRIA по EU AI Act).
6. Интегрировать DPIA в жизненный цикл продукта (privacy by design), т.е. необходимо проводить до начала обработки, обновлять при изменении процессов или технологий, использовать при принятии продуктовых решений.
7. Назначить ответственных и обеспечить внутренний контроль
8. Обеспечить согласованность с другими оценками.
9. Помнить, что регуляторы оценивают не наличие документа, а его качество и соответствие реальной обработке данных.

Мы поможем выстроить системный подход к оценке рисков и обеспечить соответствие требованиям регулирования, в том числе ответить на ключевые вопросы:

• обеспечена ли надлежащая защита персональных данных и проведена ли корректная оценка рисков обработки (DPIA);
• какие риски связаны с использованием систем искусственного интеллекта и как они управляются (AIIA);
• оказывает ли использование ИИ влияние на фундаментальные права и свободы физических лиц и приняты ли меры по их защите (FRIA).

Отсутствие комплексного подхода к указанным вопросам в практике регуляторов рассматривается как признак недостаточного контроля над обработкой данных и использованием технологий, что существенно повышает риск привлечения к ответственности.

Если у Вас есть кейс для рассмотрения – вы можете связаться с нами посредством telegram или оставив заявку на сайте. Мы изучим Вашу ситуацию и поможем найти лучший вариант решения.

Компания ALG Legal предоставляет юридические услуги по вопросам легализации, трудовового, корпоративного и налогового права в Польше, а также рассматривает вопросы защиты персональных данных, интеллектуальной собственности и IT-права.

Оставляйте заявку с описанием кейса – и мы подберем для вас лучшее решение.