Co EDPB opublikował i dlaczego termin ma znaczenie

EDPB udostępnił projekt wytycznych z szablonem DPIA otwartym na uwagi publiczne. Termin zgłaszania uwag: 9 czerwca 2026. To nie jest komunikat do archiwum - to aktywne okno, w którym organizacje i kancelarie mogą wpłynąć na kształt ostatecznego dokumentu.

Data publikacji EDPB
14 kwietnia 2026
Deadline uwag
9 czerwca 2026
Typ dokumentu
Wytyczne + szablon DPIA do konsultacji publicznych

Szablon to nie cel - to efekt uboczny. Prawdziwy problem, który EDPB próbuje zaadresować, jest głębiej: większość organizacji robi DPIA bez solidnego baseline'u z art. 32 pod spodem. Czyli wchodzi na piętro, omijając fundament.

Historia mechanizmu - 1998, nie 2018

ISO/IEC TR 13335-3:1998 - poprzednik dzisiejszego ISO 27005 - opisał dwa poziomy oceny ryzyka w zarządzaniu bezpieczeństwem informacji. Nie jako opcję. Jako mechanizm.

01

Ocena ogólna (baseline)

Pierwsza warstwa - szybka, przekrojowa. Daje obraz ryzyka dla całej organizacji lub procesu. Wynik: "ryzyko niskie / umiarkowane / wysokie". Jeśli niskie - zatrzymujesz się tutaj. Jeśli wysokie - musisz iść dalej.

02

Ocena szczegółowa (detailed) - eskalacja

Wchodzi tylko wtedy, gdy baseline wykaże wysokie ryzyko. Pogłębiona analiza konkretnych aktywów, zagrożeń, podatności i skutków. Nie "można rozważyć" - obowiązek wynikający z wyniku pierwszego poziomu.

Ten mechanizm był znany specjalistom bezpieczeństwa informacji od prawie trzydziestu lat. Mechanizm z TR 13335 znalazł się w tekście RODO - w tym samym rozdziale, w tej samej logice eskalacji, bez przypisu do normy z 1998 roku.

Art. 32 i art. 35 to jeden proces - nie dwa checkboxy

Art. 32 RODO to Twój baseline. Organizacja ocenia ryzyko dla praw i wolności osób fizycznych - ogólnie, dla wszystkich operacji przetwarzania. Wynik tej oceny determinuje dobór środków technicznych i organizacyjnych.

Art. 35 RODO (DPIA) to eskalacja. Wchodzi dokładnie wtedy, gdy operacja przetwarzania "może powodować wysokie ryzyko" - czyli gdy baseline z art. 32 wykaże wyzwalacz. Nie jest to oddzielny projekt, oddzielna procedura ani oddzielny formularz do odhaczenia raz na pięć lat.

Oba artykuły są w tym samym rozdziale RODO. To nie przypadek układu tekstu - to odzwierciedlenie jednego procesu w dwóch aktach prawnych.

Konsekwencja praktyczna

Organizacja, która robi DPIA bez wcześniejszego solidnego baseline'u z art. 32, robi eskalację bez oceny ogólnej. Wchodzi do pokoju przez okno, ignorując drzwi. Szablon EDPB tego nie naprawi - bo problem jest w kolejności działań, nie w jakości formularza.

AI Act dodaje trzeci poziom tej samej piramidy

Mechanizm baseline-eskalacja nie kończy się na RODO. AI Act powtarza go na poziomie systemów AI - i znowu bez cytowania źródeł z 1998 roku.

01

Art. 9 AI Act - system zarządzania ryzykiem (baseline)

Dostawcy systemów AI objętych regulacją muszą wdrożyć ciągły system identyfikacji, analizy i kontroli ryzyka. To nie jednorazowy audyt - to proces, który musi działać przez cały cykl życia systemu. Odpowiednik art. 32 RODO dla AI.

02

Art. 6 + Annex III - systemy wysokiego ryzyka (eskalacja)

Gdy system AI trafia na listę zastosowań wysokiego ryzyka (rekrutacja, ocena kredytowa, wymiar sprawiedliwości, systemy biometryczne), baseline nie wystarczy. Obowiązkowa ocena zgodności, dokumentacja techniczna, rejestracja w unijnej bazie danych.

03

External audit - szczyt piramidy

Dla wybranych kategorii systemów wysokiego ryzyka - trzecia warstwa: obowiązkowy audyt zewnętrzny przez jednostkę notyfikowaną. Ten sam mechanizm eskalacji, tym razem z udziałem niezależnego weryfikatora.

Trzydzieści lat historii, trzy regulacje, zero przypadku. ISO TR 13335-3:1998 - ISO 27005 - RODO art. 32/35 - AI Act art. 9/6/Annex III. Jeden wzorzec myślenia o ryzyku, przepisywany kolejno na język kolejnych regulacji.

Co to oznacza dla kancelarii

Kancelaria, która dziś prowadzi projekt wdrożenia RODO lub AI Act "od strony prawnej", ma szansę popełnić ten sam błąd, który opisuje szablon EDPB: traktować DPIA jako formularz do wypełnienia, a nie jako drugi poziom procesu, który zaczął się wcześniej - w art. 32.

Pytania, które warto zadać przed podpisaniem umowy z doradcą compliance:

  • Jak ocenicie ryzyko w art. 32, zanim przystąpicie do DPIA?
  • Kto w Waszym zespole wdrażał ISO 27001 lub ISO 27005?
  • Jak zmapujecie nasze systemy AI na Annex III AI Act - od strony architektury, nie tylko przepisów?

Cisza w odpowiedzi to też odpowiedź.

Kancelaria bez tych kompetencji w zespole może napisać poprawny dokument DPIA. Nie może natomiast przeprowadzić procesu, którego DPIA jest tylko widocznym efektem. Różnica jest niewidoczna w treści dokumentu - i widoczna dopiero przy pierwszym incydencie lub inspekcji UODO.

Co MateMatic wnosi do tego tematu

Warsztat MateMatic "AI Act dla kancelarii" obejmuje mapowanie systemów AI kancelarii na Annex III, analizę art. 9 jako ciągłego procesu oraz połączenie z baseline'em RODO art. 32 i wyzwalaczami DPIA art. 35. Deliverable po warsztacie: mapa ryzyka systemów AI kancelarii + lista luk do zamknięcia przed pierwszą inspekcją.

Jeśli Twoja kancelaria przygotowuje się do wdrożenia AI Act lub przeglądu zgodności RODO przed 9 czerwca 2026 - termin konsultacji EDPB to dobry moment żeby zacząć od mechanizmu, nie od formularza.