Ocena skutków dla ochrony danych

Kto ma obowiązek oceny skutków dla ochrony danych?

RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.

Nowa, przyjęta w ogólnym rozporządzeniu o ochronie danych (RODO), filozofia ochrony danych osobowych zakłada odejście od konieczności zgłaszania oraz rejestracji zbiorów (po 24 maja 2018 r. zbiory danych osobowych nie będą podlegały rejestracji, zaś rejestr zbiorów danych zostanie zlikwidowany). Zastępuje ją natomiast obowiązkiem przeprowadzenia tzw. oceny skutków dla ochrony danych. Nowe przepisy nie wymagają zatem zgłaszania zbiorów danych osobowych do organu nadzorczego w celu rejestracji, co jest dużym ułatwieniem dla podmiotów przetwarzających dane. Wymóg ten został zaś zastąpiony obowiązkiem przeprowadzenia oceny skutków dla ochrony danych.

Ocena ta powinna obejmować przede wszystkim planowane operacje i cele przetwarzania, zabezpieczenia i mechanizmy mające minimalizować ryzyko. Ten istotny dla rozliczalności proces ma prowadzić do opisania (dokumentacji) przetwarzania danych, oceny jego niezbędności i proporcjonalności, a także pomóc we właściwym zarządzaniu (przeciwdziałaniu) ryzykami wynikającymi z przetwarzania danych. 

Ryzyko jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa wystąpienia. Zarządzanie ryzykiem można zaś określić jako działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod kątem ryzyka.

Ocena skutków musi być realną oceną ryzyk, umożliwiającą administratorom podejmowanie działań mających na celu ich rozwiązanie. Ogólne rozporządzeniezapewnia administratorom danych elastyczność w wykorzystaniu różnych narzędzi służących do przeprowadzenia takiej oceny.

Przeprowadzenie takiej oceny będzie wymagane, jeżeli operacje przetwarzania danych mogą powodować wysokie ryzyko naruszenia prywatności osób, których dane dotyczą (tj. wysokie ryzyko naruszenia praw lub wolności osób fizycznych), np. w sytuacji:

 • gdy działania na danych dokonywane są przy użyciu nowych technologii,
 • użycia zautomatyzowanych procesów przetwarzania danych, w tym profilowania,
 • przetwarzania na dużą skalę szczególnych kategorii danych (danych wrażliwych, takich jak dane biometryczne lub dane na temat stanu zdrowia).

Jeśli administrator danych nie może w wystarczającym stopniu zniwelować zidentyfikowanego ryzyka (znaleźć wystarczających środków) bądź mimo zastosowania środków, ryzyko nadal jest wysokie, to konieczna będzie konsultacja z PUODO. Jest więc oczywiste, że tego typu ocena musi pojawić się na etapie projektowania – jej wynik prowadzi bowiem do decyzji, czy przetwarzanie danych w zakładany sposób wymagać będzie uprzedniej konsultacji z PUODO.

Pamiętać jednak należy, że ocena skutków jest procesem ciągłym, wymagającym aktualizacji. 

Nawet jeżeli z oceny ryzyka nie wynika obowiązek przeprowadzenia oceny skutków dla ochrony danych, nie zmniejsza to obowiązku wdrożenia przez administratorów środków, które umożliwią odpowiednie zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych. W praktyce oznacza to, że administratorzy muszą stale oceniać ryzyko powodowane przez czynności przetwarzania, w celu określenia, kiedy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zwłaszcza jeśli zmieniają się cele przetwarzania, zakres albo wykorzystane rozwiązania technologiczne. Administratorzy danych powinni traktować przeprowadzenie oceny skutków dla ochrony danych jako przydatne i pozytywne działanie, które przyczynia się do zachowania zgodności z prawem.

Rozporządzenie przewiduje  też, iż w określonych przypadkach konieczne może być konsultowanie zamiaru przetwarzania danych osobowych z osobami, których dane dotyczą lub ich przedstawicielami – np. poprzez formalne pytanie do przedstawicieli pracowników, czy też badanie przesłane klientom.

Porady prawne

Generalny Inspektor Ochrony Danych Osobowych przygotował i przedstawił propozycję wykazu rodzajów przetwarzania, dla których – zgodnie z art. 35 ust. 4 RODO – wymagane jest przeprowadzenie oceny skutków dla ochrony danych. Zapewnił tym samym administratorom i podmiotom przetwarzającym lepsze przygotowanie się do stosowania RODO. Wykaz powinien pomóc administratorom w podjęciu decyzji dotyczących przeprowadzenia oceny skutków. GIODO, opracowując ten dokument, uwzględnił Wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 – WP 248 rev.01 oraz swoje dotychczasowe ponad dwudziestoletnie doświadczenia wynikające z prowadzanych kontroli oraz postępowań.

Ponieważ art. 35 ust. 5 RODO daje organowi nadzorczemu możliwość ustanowienia i podania do publicznej wiadomości wykazów rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych, GIODO rozważa przygotowanie również takiej listy. W opinii organu ochrony danych, taki dokument może być bowiem pomocny administratorom i podmiotom przetwarzającym w podjęciu decyzji co do konieczności dokonywania oceny skutków dla ochrony danych. Zaproponowanie listy takich operacji planowane jest nie później niż 25 maja 2018 r.

Kiedy przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe?

Jak wspomniano, o ile operacja przetwarzania nie stanowi wyjątku, ocenę skutków dla ochrony danych należy przeprowadzić wówczas, gdy operacja przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Zgodnie z art. 35 ust. 5 i 10 Rozporządzenia, z wyjątkiem mamy do czynienia, gdy spełniony jest jeden z warunków:

 • organ nadzorczy ustanowił i podał do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych;
 • przetwarzanie ma podstawę prawną w prawie Unii lub państwa członkowskiego i prawo takie reguluje daną operację przetwarzania (lub zestaw operacji), a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji przed przyjęciem tej podstawy prawnej).

W przepisach RODO wskazano 3 przypadki, gdy przeprowadzenie oceny z pewnością będzie wymagane – operacja przetwarzania może powodować wysokie ryzyko w szczególności w przypadku:

 • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej bądź w podobny sposób znacząco wpływających na osobę fizyczną; 
 • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub; 
 • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Tak więc np. stosowanie monitoringu miejsc publicznie dostępnych powoduje, że przeprowadzenie oceny skutków dla ochronydanych staje się obowiązkowe. Podobnie w przypadku stosowania profilowania. Duża skala powinna być natomiast rozumiana w sposób podobny do przypadków obowiązkowego powołania IOD.

Przy określaniu operacji przetwarzania, które mogą powodować wysokie ryzyko, należy wziąć pod uwagę 9 kryteriów:

 • ocena lub punktacja, w tym profilowanie i prognozowanie, w szczególności w zakresie efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą.

Przykład:

Instytucja finansowa sprawdza swoich klientów w bazie danych kredytowych; przedsiębiorstwo biotechnologiczne bezpośrednio oferuje klientom badania genetyczne w celu oceny i prognozowania ryzyka wystąpienia choroby lub zagrożeń dla zdrowia; organizacja tworzy profile zachowań lub profile marketingowe w oparciu o nawigację na swojej stronie internetowej. Przedsiębiorca świadczący swoim klientom usługi profilowania klientów w sklepach internetowych lub na portalach internetowych.

 • automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku: przetwarzanie mające na celu podjęcie decyzji w sprawie osób, których dane dotyczą, wywołujące skutki prawne wobec tych osób. Np. przetwarzanie może prowadzić do wykluczenia lub dyskryminacji osób fizycznych. Przetwarzanie, które ma niewielki wpływ na osoby fizyczne lub nie ma na nie żadnego wpływu, nie spełnia tego konkretnego kryterium.

Przykład:

Systemy profilowania klientów pod kątem preferencji zakupowych, ustalanie cen promocyjnych w oparciu o profil. 

 • systematyczne monitorowanie: przetwarzanie wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których dane dotyczą, w tym danych gromadzonych za pośrednictwem sieci lub w ramach systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Przykład:

Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym ubieralnych (wereable devices). Przedsiębiorca oferujący swoim klientom system monitoringu wizyjnego obejmujący również miejsca publiczniedostępne albo sam stosuje taki system.

 • dane wrażliwe lub dane o charakterze wysoce osobistym: szczególne kategorie danych osobowych oraz dane osobowe dotyczące wyroków skazujących za przestępstwo lub naruszeń prawa;

Przykład:

Szpital przechowujący dokumentację medyczną pacjentów lub prywatny detektyw przechowujący szczegółowe dane przestępców. Przedsiębiorca świadczący usługi przetwarzania danych osobowych zawartych w dokumentacji medycznej.

Oprócz kategorii wymienionych w przepisach, niektóre kategorie danych można uznać za zwiększające potencjalne ryzyko naruszenia praw i wolności osób fizycznych, jak:

 

 •  
  • dane powiązane z gospodarstwem domowym oraz działalnością prywatną (taką jak łączność elektroniczna, której poufność należy chronić); 
  • dane dotyczące lokalizacji, których gromadzenie jest sprzeczne ze swobodą poruszania się; 
  • dokumenty osobiste; 
  • wiadomości e-mail; 
  • dane finansowe, które mogą zostać wykorzystane do oszustw płatniczych; 
  • pamiętniki; 
  • notatki z e-czytników wyposażonych w funkcję notatnika; 
  • dane mające bardzo osobisty charakter zawarte w aplikacjach rejestrujących codzienną aktywność.
 • czy dane przetwarzane są na dużą skalę. RODO nie określa, co to znaczy przetwarzanie na dużą skalę. Żeby stwierdzić, czy przetwarzanie danych odbywa się na dużą skalę, należy wziąć pod uwagę następujące czynniki: liczbę osób, których dane dotyczą, ilość danych lub zakres poszczególnych pozycji danych oraz czas trwania lub trwałość czynności przetwarzania danych, jak też zakres geograficzny czynności przetwarzania.

 

 • dopasowywanie lub łączenie zbiorów danych, np. pochodzących z co najmniej dwóch operacji przetwarzania przeprowadzonych w różnych celach lub przez różnych administratorów, w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą.

Przykład:

Łączenie danych z różnych rejestrów państwowych i/lub publicznych przez firmy marketingowe w celach przeprowadzania akcji marketingowych ukierunkowanych na określone grupy klientów.

 • dane dotyczące osób wymagających szczególnej opieki, do których zaliczają się: dzieci, pracownicy, wrażliwe grupy społeczne wymagające szczególnej ochrony: osoby chore psychicznie osoby ubiegające się o azyl, osoby starsze, pacjenci itp.

Przykład:

Systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności, gdy przetwarzane są w nim dane pracowników.

 • stosowanie nowych rozwiązań technologicznych lub organizacyjnych albo ich innowacyjne wykorzystanie.

Przykład:

Połączenie technologii rozpoznających odcisk palca i twarz w celu poprawy fizycznej kontroli dostępu.

 • przetwarzanie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi czy umowy. Obejmuje to operacje przetwarzania, których celem jest umożliwienie osobom fizycznym dostępu do usługi lub zawarcia umowy, zmiana tej usługi lub odmowa jej wykonania.

Przykład:

Sytuacja, w której bank sprawdza klienta w bazie danych kredytowych, aby zdecydować, czy udzielić mu kredytu.

W następujących przypadkach przetwarzania danych istnieje prawdopodobieństwo, że wymagane będzie przeprowadzenie oceny skutków dla ochrony danych:

 • organizacja działa w obszarze ochrony zdrowia, prowadzi terapię i rehabilitację - ewentualne istotne kryteria: dane wrażliwe lub dane o charakterze wysoce osobistym, dane dotyczące osób wymagających szczególnej opieki, dane przetwarzane na dużą skalę;
 • zastosowanie systemu kamer monitorujących zachowanie kierowców na drogach; administrator planuje wykorzystać inteligentny system analizy obrazu do namierzania pojedynczych samochodów i automatycznego rozpoznawania tablic rejestracyjnych - ewentualne istotne kryteria: systematyczne monitorowanie, innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych;
 • przedsiębiorstwo systematycznie monitoruje działania swoich pracowników: stanowiska pracy i aktywność w internecie itd. - ewentualne istotne kryteria: systematyczne monitorowanie, dane dotyczące osób wymagających szczególnej opieki;
 • podmiot gromadzi publiczne dane z mediów społecznościowych w celu wygenerowania profilu - ewentualne istotne kryteria: oena lub punktacja, dane przetwarzane na dużą skalę. Dopasowanie lub łączenie zbiorów danych, dane wrażliwe lub dane o charakterze wysoce osobistym;
 • instytucja tworząca krajowy rating kredytowy lub bazę danych zawierającą informacje o nadużyciach finansowych - ewentualne istotne kryteria: ocena lub punktacja, automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku, uniemożliwienie osobom, których dane dotyczą, wykonywania prawa lub korzystania z usługi lub umowy, dane wrażliwe lub dane o charakterze wysoce osobistym;
 • podmiot przechowuje do celów archiwizacji wrażliwe dane osobowe opatrzone pseudonimem, dotyczące osób wymagających szczególnej opieki, biorących udział w projektach badawczych - ewentualne istotne kryteria: dane wrażliwe, dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą, uniemożliwienie osobom, których dane dotyczą, wykonywania prawa lub korzystania z usługi lub umowy, dane wrażliwe lub dane o charakterze wysoce osobistym;
 • przetwarzanie danych osobowych pacjentów lub klientów przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika - ewentualne istotne kryteria: dane wrażliwe lub dane o charakterze wysoce osobistym, dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą;
 • podmiot korzysta z listy dystrybucyjnej do wysyłania ogólnego newslettera do swoich subskrybentów - ewentualne istotne kryteria: dane przetwarzane na dużą skalę;
 • strona internetowa z handlem elektronicznym wyświetla reklamy części do samochodów i korzysta z ograniczonego profilowania w oparciu o elementy przeglądane lub kupione na tej stronie - ewentualne istotne kryteria: ocena lub punktacja.

Przykład:

Przetwarzanie danych dotyczących zdrowia na dużą skalę uważa się za mogące powodować wysokie ryzyko i wymaga ono przeprowadzenia oceny skutków dla ochrony danych. W takim przypadku obowiązkiem administratora danych jest dokonanie oceny ryzyka naruszenia praw i wolności osób fizycznych oraz określenie, jakie środki zaplanować w celu zmniejszenia ryzyka do dopuszczalnego poziomu i wykazania przestrzegania RODO.

Przykład:

Przykładem zmniejszenia ryzyka, jeżeli chodzi o przechowywanie danych osobowych na laptopach, może być zastosowanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa (skuteczne szyfrowanie całego dysku, solidne zarządzanie kluczami, odpowiednia kontrola dostępu, zabezpieczone kopie zapasowe, itd.), które uzupełnią już stosowane środki. W przypadkach, w których nie jest jasne, czy wymagane jest przeprowadzenie oceny skutków dla ochrony danych, zaleca się przeprowadzenie takiej oceny, ponieważ stanowi ona przydatne narzędzie ułatwiające administratorom przestrzeganie RODO.

Kiedy przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe?

Ocena skutków dla ochrony danych nie jest wymagana w następujących przypadkach:

 • gdy nie jest prawdopodobne, aby operacja przetwarzania mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych; 
 • gdy charakter, zakres, kontekst i cele przetwarzania są bardzo podobne do operacji przetwarzania, w przypadku których przeprowadzono już ocenę skutków dla ochrony danych; w takich przypadkach można wykorzystać wyniki wcześniej przeprowadzonej oceny skutków dla ochrony danych; 
 • gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach, które nie uległy zmianie; 
 • jeżeli operacja przetwarzania ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, które reguluje daną operację przetwarzania, oraz jeśli oceny skutków dla ochrony danych dokonano już w związku z przyjęciem tej podstawy prawnej; 
 • jeżeli operacje przetwarzania zostały umieszczone w utworzonym przez organ nadzorczy wykazie operacji, które nie podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. W takich przypadkach, o ile wykaz ten nie ulegnie zmianie, przeprowadzenie oceny skutków dla ochrony danych nie jest wymagane, ale tylko wtedy, gdy przetwarzanie jest ściśle zgodne z wykazem i z wymogami RODO.

A co z już prowadzonymi operacjami przetwarzania danych?

Ocena skutków dla ochrony danych niezbędna będzie dopiero dla operacji rozpoczętych po 25 maja 2018 r. lub dotychczasowych operacji znacząco zmienionych po tej dacie - na przykład ponieważ została wprowadzona do użytku nowa technologia lub ponieważ dane osobowe są wykorzystywane w innym celu.

W pewnych okolicznościach wymagane jest zatem przeprowadzenie ocen skutków dla ochrony danych dla już istniejących operacji przetwarzania. 

Wymóg przeprowadzenia oceny skutków dla ochrony danych dotyczy istniejących operacji przetwarzania, które ze względu na użycie nowych technologii, zakres i kategorie przetwarzania mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania. 

Dotyczy to więc tych operacji, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Dotyczy także sytuacji, gdy nastąpiła zmiana rodzaju ryzyka.

Przeprowadzenie oceny skutków dla ochrony danych może być więc wymagane po zmianie rodzaju ryzyka operacji przetwarzania, np. z powodu wykorzystania nowej technologii lub dlatego, że dane osobowe wykorzystywane są w innym celu. Operacje przetwarzania danych mogą się szybko zmieniać i mogą pojawić się nowe zagrożenia.

Przeprowadzenie oceny skutków dla ochrony danych może być też konieczne ze względu na zmianę kontekstu organizacyjnego lub społecznego czynności przetwarzania, np. ponieważ skutki niektórych automatycznie podejmowanych decyzji stały się bardziej znaczące lub ponieważ nowe kategorie osób fizycznych są narażone na dyskryminację. Każdy z tych przykładów może być elementem prowadzącym do zmiany ryzyka danej czynności przetwarzania.

Z drugiej strony, niektóre zmiany mogą również zmniejszyć ryzyko. Np. operacja przetwarzania może ewoluować w taki sposób, że decyzje nie będą już podejmowane automatycznie, lub działania monitorujące przestaną być realizowane systematycznie. W tym przypadku przegląd przeprowadzonej analizy ryzyka może wykazać, że nie ma już potrzeby przeprowadzenia oceny skutków dla ochrony danych.

GIODO zdecydowanie zaleca jednak dokonanie oceny skutków dla wszystkich trwających już operacji przetwarzania danych spełniających kryteria wskazane w art. 35 rozporządzenia.

Warto więc wcześniej zanalizować okoliczności, w których prowadzone przez administratora operacje będą wymagały dokonania takiej oceny. Powinien on zastanowić się, kto w jego organizacji jej dokona oraz kto powinien być w ten proces zaangażowany (zasięganie opinii niezależnych ekspertów).

Dobrą praktyką powinno zatem być stałe przeprowadzanie przeglądu oceny skutków dla ochrony danych i regularne przeprowadzanie ponownej oceny. W związku z tym, nawet jeśli w dniu 25 maja 2018 r. nie wymaga się przeprowadzenia oceny skutków dla ochrony danych, administrator będzie musiał w odpowiednim momencie przeprowadzić taką ocenę w ramach swoich ogólnych obowiązków w zakresie rozliczalności, jeżeli spełnione zostaną przesłanki wskazane w art. 35 RODO.

Rozporządzenie identyfikuje także problem oceny skutków dla ochrony danych dla operacji prowadzonych przez podmioty sektora publicznego w sytuacji, gdy podstawą przetwarzania danych osobowych jest przepis prawa lub interes publiczny. W tej sytuacji ocena skutków powinna zostać przeprowadzona w ramach oceny skutków regulacji (OSR) dla aktu prawnego stanowiącego podstawę dla takiego przetwarzania.

W jakim momencie należy przeprowadzić ocenę skutków dla ochrony danych?

Należy ją przeprowadzić przed rozpoczęciem przetwarzania. Jest to zgodne z zasadami dotyczącymi uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych.

Ocenę skutków dla ochrony danych należy traktować jako narzędzie wspomagające podejmowanie decyzji w sprawie przetwarzania danych. Ocena skutków dla ochrony danych powinna rozpocząć się jak najwcześniej w fazie projektowania operacji przetwarzania, nawet jeśli niektóre operacje przetwarzania jeszcze są nieznane.

W miarę rozwoju procesu konieczne może być również powtórzenie poszczególnych etapów oceny, ponieważ wybór niektórych środków technicznych lub organizacyjnych może wpłynąć na prawdopodobieństwo wystąpienia zagrożenia lub jego wagę.

Fakt, że aktualizacja oceny skutków dla ochrony danych może okazać się konieczna już po rozpoczęciu przetwarzania, nie uzasadnia odroczenia bądź nieprzeprowadzenia oceny skutków dla ochrony danych.

Ocena skutków dla ochrony danych jest procesem ciągłym, szczególnie gdy operacja przetwarzania podlega zmianom. Prowadzenie oceny skutków dla ochrony danych powinno być procesem ciągłym, a nie jednorazowym.

Kto jest zobowiązany do przeprowadzenia oceny skutków dla ochrony danych?

Do przeprowadzenia oceny zobowiązany jest administrator, wspólnie z IOD-em i ewentualnie firmą przetwarzającą. Za zapewnienie przeprowadzenia oceny skutków dla ochrony danych jest odpowiedzialny administrator. Ocenę skutków dla ochrony danych można powierzyć firmie zewnętrznej, jednak ostateczna odpowiedzialność za wykonanie zadania spoczywa na administratorze. W niektórych przypadkach administrator musi zasięgnąć opinii osób, których dane dotyczą, lub ich przedstawicieli (np. związków zawodowych).

Co powinna zawierać ocena skutków dla ochrony danych?

Ocena skutków dla ochrony danych osobowych może być przeprowadzana według różnych metod i na różne sposoby. RODO określa tylko minimalne elementy oceny skutków dla ochrony danych:

 • opis planowanych operacji przetwarzania i celów przetwarzania (np. prawnie uzasadnionych interesów realizowanych przez administratora), 
 • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne do celów, 
 • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; 
 • środki planowane w celu: zaradzenia ryzyku oraz wykazania przestrzegania rozporządzenia (m.in. zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia, z uwzględnieniem prawi prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy).

Powtarzalny proces przeprowadzania oceny skutków dla ochrony danych powinien obejmować następujące etapy:

 1. opis planowanych operacji przetwarzania;
 2. ocena konieczności i proporcjonalności przetwarzania danych;
 3. środki planowane w celu wykazania zgodności z wymogami RODO;
 4. ocena ryzyka naruszenia praw i wolności;
 5. środki planowane w celu wyeliminowania ryzyka;
 6. dokumentacja przeprowadzonej oceny;
 7. monitorowanie i przegląd.

Z perspektywy zarządzania ryzykiem ocena skutków dla ochrony danych ma na celu zarządzanie czynnikami ryzyka naruszenia praw i wolności osób fizycznych, poprzez:

 • określanie kontekstu: uwzględnienie charakteru, zakresu i celów przetwarzania oraz źródeł ryzyka; 
 • przeprowadzanie oceny ryzyka: ocena konkretnego prawdopodobieństwa i powagi tego wysokiego ryzyka; 
 • traktowanie ryzyka: minimalizowanie tego ryzyka i zapewnienie ochrony danych osobowych, a także wykazanie przestrzegania niniejszego rozporządzenia.

Metody przeprowadzania oceny skutków dla ochrony danych

Można zastosować różne metodyki ochrony danych i oceny skutków, aby wspomóc wdrażanie podstawowych wymogów określonych w RODO. Poniżej znajdują się wspólne kryteria, które mają umożliwić stosowanie różnych metod, a jednocześnie pozwolić administratorom na zachowanie zgodności z RODO. Kryteria te uściślają podstawowe wymogi zawarte w rozporządzeniu, lecz dają także wystarczającą swobodę, żeby umożliwić różne formy wdrażania. Kryteria można wykorzystać do wykazania, że konkretna metodyka oceny skutków dla ochrony danych spełnia standardy przewidziane w RODO. Decyzję o wyborze metodyki podejmuje administrator danych, lecz powinna ona być zgodna z poniższymi kryteriami.

Niezależnie od formy, ocena skutków dla ochrony danych musi stanowić rzeczywistą ocenę ryzyka, która pozwala administratorom podjąć działania na rzecz wyeliminowania ryzyka.

Kryteria dopuszczalnej oceny skutków dla ochrony danych - tj. kryteria, z których administratorzy danych mogą korzystać, aby ocenić, czy ocena skutków dla ochrony danych lub metodyka służąca do dokonania oceny skutków dla ochrony danych są wystarczająco kompleksowe do zachowania zgodności z RODO, to:

 • zapewniono systematyczny opis operacji przetwarzania: 
  • uwzględniono charakter, zakres, kontekst i cele przetwarzania; 
  • w rejestrze zamieszczono dane osobowe, informacje o odbiorcach i okresie przechowywania danych osobowych; 
  • przedstawiono funkcjonalny opis operacji przetwarzania; 
  • zidentyfikowano zasoby, z którymi styczność mają dane osobowe (sprzęt komputerowy, oprogramowanie, sieci, osoby, opracowania lub kanały transmisji opracowań); 
  • uwzględniono przestrzeganie zatwierdzonych kodeksów postępowania; 
 • oceniono niezbędność oraz proporcjonalność, tj. wskazano środki, których podjęcie jest planowane w celu zapewnienia przestrzegania rozporządzenia, uwzględniając: 
  • środki przyczyniające się do proporcjonalności i niezbędności przetwarzania, z uwzględnieniem następujących aspektów: konkretne, wyraźne i prawnie uzasadnione cele; zgodność przetwarzania z prawem; dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane; ograniczony czas przechowywania; 
  • środki przyczyniające się do zachowania praw osób, których dane dotyczą: poinformowanie osoby, której dane dotyczą; prawo dostępu i prawo do przenoszenia danych; prawo do sprostowania i do usunięcia danych; prawo do sprzeciwu i prawo do ograniczenia przetwarzania; relacje z podmiotem przetwarzającym; zabezpieczenia przy międzynarodowym przekazywaniu danych; uprzednie konsultacje; 
 • przeprowadzono działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą: 
  • uwzględniono źródło, charakter, specyfikę i powagę ryzyka, czy konkretniej, w przypadku każdego rodzaju ryzyka (bezprawnego dostępu, niepożądanej zmiany i zniknięcia danych), z punktu widzenia osób, których dane dotyczą: uwzględniono źródła ryzyka; zidentyfikowano możliwe skutki dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych; zidentyfikowano zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych; oszacowano prawdopodobieństwo i powagę; 
  • określono środki, których podjęcie jest planowane w celu zaradzenia ryzyku; 
  •  zaangażowano zainteresowane strony: skonsultowano się z inspektorem ochrony danych w celu uzyskania zalecenia; w stosownych przypadkach zasięgnięto opinii osób, których dane dotyczą, lub ich przedstawicieli.

Zaleca się sporządzanie oceny w taki sposób, żeby w razie konieczności można było przedstawić ją organowi nadzorczemu.

 

Pamiętaj, że:

 • przy przeprowadzaniu oceny skutków dla ochrony danych przyjmujemy perspektywę osób fizycznych, ponieważ ocena dotyczy ryzyka naruszenia praw tych osób;
 • niezależnie od formy, ocena skutków dla ochrony danych musi stanowić rzeczywistą ocenę ryzyka, która pozwala administratorom podjąć działania na rzecz wyeliminowania ryzyka;
 • oceny skutków dla ochrony danych to narzędzia istotne dla celów rozliczalności, gdyż pomagają administratorom nie tylko w przestrzeganiu wymogów RODO, ale też w wykazaniu, iż podjęto odpowiednie środki w celu zapewnienia zgodności z rozporządzeniem; a więc ocena skutków dla ochrony danych to proces służący do zapewnienia i wykazania zgodności przetwarzania danych z RODO.

Więcej praktycznych informacji na ten temat jest w przygotowanych przez GIODO i Grupę Roboczą Art. 29 Wytycznych WP 248 dotyczących oceny skutków dla ochrony danych (DPIA). 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

  

Podstawa prawna:

 • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - art. 35.


Porady prawne

Potrzebujesz porady prawnej?

Kiedy konieczne są uprzednie konsultacje z PUODO?

Kiedy konieczne są uprzednie konsultacje z PUODO?

Kto i w jakich sytuacjach zobowiązany jest do złożenia wniosku o uprzednie konsultacje? Z przepisów RODO wynika, że z wnioskiem o uprzednie konsultacje może wystąpić administrator danych (art. 36 ust. 1 RODO). Ustawa o ochronie danych osobowych do podmiotów, które mogą wystąpić o konsultacje, zaliczyła również podmiot przetwarzający (...)

Zmieniony wykaz operacji przetwarzania wymagających oceny skutków dla ochrony danych

Zmieniony wykaz operacji przetwarzania wymagających oceny skutków dla ochrony danych

Czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, wymagają przeprowadzenia oceny skutków dla ochrony danych. Wymóg taki istnieje także, gdy administratorzy danych  monitorują zachowania osób w kilku państwach członkowskich. Wykaz rodzajów operacji przetwarzania danych osobowych wymagających (...)

Uprzednie konsultacje administratora danych z organem nadzorczym

Uprzednie konsultacje administratora danych z organem nadzorczym

Kiedy należy skonsultować się z organem nadzorczym? Obowiązek ten został przewidziany w nowych przepisach dotyczących ochrony danych osobowych - RODO.  Ocena skutków dla ochrony danych musi być realną oceną ryzyk, umożliwiającą administratorom podejmowanie działań mających na celu ich rozwiązanie. Jeśli ocena skutków dla ochrony danych wykaże, (...)

Jak powołać inspektora ochrony danych?

Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: przetwarzania dokonują organ lub podmiot publiczny, (...)

Obowiązki związane z naruszeniami ochrony danych osobowych

Obowiązki związane z naruszeniami ochrony danych osobowych

Co to jest naruszenie danych osobowych? Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (...)

Dokumentacja przetwarzania danych osobowych według RODO

Dokumentacja przetwarzania danych osobowych według RODO

Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych. Zmienione regulacje obowiązują wszystkich uczestników obrotu gospodarczego oraz (...)

Prawa osób w zakresie ochrony danych osobowych

Prawa osób w zakresie ochrony danych osobowych

  Prawa osoby, której dane dotyczą, zostały uregulowane w rozdziale 4 ustawy o ochronie danych osobowych. Artykuł 32 reguluje kompleksowo podstawowe prawa osób, których dane dotyczą. Uzupełnienie zaś stanowią przepisy art. 33 i 35 dotyczące obowiązków administratora wobec osoby, która zwróciła się z wnioskiem o informację, uzupełnienie, (...)

O czym pamiętać, gdy administrator zawiadamia o naruszeniu ochrony danych osobowych?

O czym pamiętać, gdy administrator zawiadamia o naruszeniu ochrony danych osobowych?

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony danych osobowych, musi odnosić się do konkretnej sytuacji i być zgodne z zasadą przejrzystości. Zgłoszenia do Urzędu Ochrony Danych Osobowych Analiza wpływających do Urzędu Ochrony Danych Osobowych zgłoszeń naruszenia ochrony danych osobowych dowodzi, że jedynie część administratorów (...)

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców dokumentów rekrutacyjnych już po zakończeniu procesu rekrutacji w stosunku do osób, (...)

Co reguluje RODO?

Co reguluje RODO?

Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione zostały przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (...)

Kiedy można przetwarzać dane osobowe?

Kiedy można przetwarzać dane osobowe?

25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych (...)

Przetwarzanie danych przy rekrutacji pracowników a RODO

Przetwarzanie danych przy rekrutacji pracowników a RODO

Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie (...)

RODO w pracy - przetwarzanie danych w miejscu pracy.

RODO w pracy - przetwarzanie danych w miejscu pracy.

Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych.   Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie (...)

Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach

Dane biometryczne mogą być wykorzystywane tylko w wyjątkowych sytuacjach

Przetwarzanie danych biometrycznych mocno ingeruje w prywatność osób, powoduje liczne zagrożenia, jak np. możliwość ujawnienia danych szczególnych kategorii czy doprowadzenie do dyskryminacji. Dlatego budowa każdego systemu przetwarzania danych biometrycznych powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych, a ostateczna decyzja o jego (...)

Jakie elementy powinna zawierać dokumentacja transakcji pomiędzy podmiotami powiązanymi?

Jakie elementy powinna zawierać dokumentacja transakcji pomiędzy podmiotami powiązanymi?

  Elementy dokumentacji  W przepisach brak jest regulacji co do sposobu i formy sporządzania dokumentacji z podmiotami powiązanymi. Ustawodawca określił jedynie minimalne wymagania dotyczące treści, w zakresie pozostałych elementów pozostawił prawo wyboru podatnikowi.  Prawidłowo sporządzona dokumentacja powinna składać się obligatoryjnie z następujących elementów (...)

Kondycja dużych firm w Polsce w czasach kryzysu

Kondycja dużych firm w Polsce w czasach kryzysu

W Polsce działa 3400 dużych przedsiębiorstw. Zatrudniają one 40,6% pracujących w całym sektorze przedsiębiorstw i wytwarzają 32,3% jego wkładu do PKB. Skala działania dużych firm oraz posiadane zasoby na ogół skutecznie pozwalają im się chronić przed skutkami kryzysu. Jednak w czasach niepewności te atuty mogą się okazać niewystarczające i wtedy skutki ewentualnych zagrożeń dotkną (...)

Źywność a koronawirus

Źywność a koronawirus

Dowiedz się nt. bezpieczeństwa produktów spożywczych w dobie epidemii. Czy wirus może przenosić się za pomocą żywności? Europejski Urząd ds. Bezpieczeństwa Żywności (EFSA) opublikował w dniu 9.03.2020 r. stanowisko, że zgodnie z aktualną wiedzą nie ma dowodów na to, że żywność może być źródłem lub pośrednim ogniwem transmisji wirusa SARS COV-2. ##baner## Informacja (...)

DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości

DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości

Rada Ministrów przyjęła projekt ustawy wdrażającej unijną dyrektywę policyjną Rada Ministrów przyjęła projekt ustawy, która wprowadzi przepisy tzw. unijnej dyrektywy policyjnej (DODO). Regulacje te dotyczą przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Publikacja danych osobowych w Internecie

Publikacja danych osobowych w Internecie

Firma pragnie zamieszczać na stronie subiektywne, ale wyłącznie pozytywne opinie oraz ocenę internautów na temat osób, np. fryzjerów, czy też stomatologów wymienionych z nazwiska oraz miejsca (...)

Wniosek o zaprzestanie przetwarzania danych

Wniosek o zaprzestanie przetwarzania danych

W naszej firmie na mocy polecenia Prezesa Zarządu została przeprowadzona ocena pracownicza, przebiegająca w następujący sposób. Każdy z pracowników ocenia osoby, z którymi kontaktuje się zawodowo (...)

Znieważenie w miejscu publicznym

Znieważenie w miejscu publicznym

Czy sąsiad może mnie bezkarnie ośmieszać i wypowiadać wobec mnie oszczerstwa w miejscach publicznych jak np. sklep (jestem osobą publiczną) - to wpływa na moją wiarygodność i opinię. Przychodzi (...)

Co mogę zrobić w przypadku kiedy mój partner, bez mojej zgody wziął na mnie kredyt?

Co mogę zrobić w przypadku kiedy mój partner, bez mojej zgody wziął na mnie kredyt?

Mój partner wykorzystując moje dane do logowania do mojego internetowego konta bankowego, wziął na na mnie kredyt w wysokości 4.000 zł. Powiedźcie mi proszę co w takiej sytuacji mogę zrobić? (...)

Niepochlebne opinie w internecie na temat innej osoby a odpowiedzialność karna

Niepochlebne opinie w internecie na temat innej osoby a odpowiedzialność karna

Czy grozi mi odpowiedzialność karna za umieszczenie danych osobowych pewniej osoby, jeśli napiszę przy nich rzeczy o niej niepochlebne?      Materię odpowiedzialności karnej za (...)

Rejestracja bazy danych w GIODO

Rejestracja bazy danych w GIODO

Co powinienem wiedzieć o rejestracji bazy danych w GIODO? W pierwszej kolejności podajemy podstawowe informacje, z którymi zapoznanie jest konieczne dla prawidłowego wykonania obowiązków (...)

Baza forum dyskusyjnego a GIODO

Baza forum dyskusyjnego a GIODO

Jedna z osób, pisząca na administrowanym przeze mnie Forum sugeruje mi rejestrację bazy obsługującej Forum u GIODO. Nadmieniam, że rejestracja jest dobrowolna, korespondencja e-mail obsługiwana (...)

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie (...)

Dostęp administratora do skrzynek pocztowych

Dostęp administratora do skrzynek pocztowych

W naszym osiedlu mamy skrzynki pocztowe starego typu. Listonosz otwiera wszystkie boksy i od tyłu wrzuca korespondencję. Od jakiegoś czasu wielu osobom giną różne listy, w tym i listy z banku ze (...)

Dostęp do akt osobowych pracownika

Dostęp do akt osobowych pracownika

Mała firma chce zatrudnić pracownika na umowę o dzieło w celu uporządkowania i utworzenia teczek osobowych dla zatrudnionych pracowników (aktualnie i już niepracujących). Pracownicy mają (...)

Zgoda na przetwarzanie danych osób

Zgoda na przetwarzanie danych osób

Stowarzyszenie Talent organizuje Olimpiadę Informatyczną dla Gimnazjalistów i Licealistów, Muszą oni wypełnić odpowiedni formularz związany z przetwarzaniem danych osobowych. Kto i w jakiej formie (...)

Przesłanka przetwarzania danych wrażliwych

Przesłanka przetwarzania danych wrażliwych

Jaka przesłanka legalizuje przetwarzanie danych wrażliwych w amatorskich klubach, towarzystwach sportowych, klubach dyskusyjnych, klubach zainteresowań? Za tzw. dane wrażliwe uważa się dane ujawniające (...)

Wniosek o udzielenie informacji publicznej

Wniosek o udzielenie informacji publicznej

Złożyłem pisemny wniosek o udzielenie informacji publicznej, czy firma X działająca w gminie uzyskała w latach od 2005r. do 2010r. jakiekolwiek umorzenie należności podatkowych lub odsetkowych. (...)

Podpisanie CV oraz klauzuli o przetwarzaniu danych osobowych

Podpisanie CV oraz klauzuli o przetwarzaniu danych osobowych

Czy CV należy podpisywać oraz czy trzeba podpisywać klauzulę na temat przetwarzania danych osobowych? Zgodnie z ustawą o ochronie danych osobowych danymi osobowymi są wszelkie informacje dotyczące (...)

Zgoda kandydata do pracy na przetwarzanie danych

Zgoda kandydata do pracy na przetwarzanie danych

Jestem pracodawcą zatrudniam pracownika. Pracownik wypełnia kwestionariusz osobowy dla osoby ubiegającej się o zatrudnienie oraz kwestionariusz dla pracownika Czy w myśl kodeksu pracy (art. 22 § (...)

Reprodukcja i imitacja znaku towarowego

Reprodukcja i imitacja znaku towarowego

W jakich sytuacjach możemy mówić o reprodukcji czy imitacji znaku towarowego? Reprodukcja i imitacja naruszają funkcję oznaczenia pochodzenia, mogąc doprowadzić do wzbudzenia w kupującym błędnego (...)

Imitacja znaku towarowego a jego ochrona

Imitacja znaku towarowego a jego ochrona

Czy imitacja znaku towarowego narusza jego ochronę? Reprodukcja i imitacja naruszają funkcję oznaczenia pochodzenia, mogąc doprowadzić do wzbudzenia w kupującym błędnego przekonania, że kupuje (...)

Ustanowienie obrońcy w sprawie o wykroczenia

Ustanowienie obrońcy w sprawie o wykroczenia

Proszę o wyczerpującą odpowiedź dotyczącą znaczenia terminu "dobro wymiaru sprawiedliwości" w znaczeniu ogólnym i szczególnym w aspekcie art. 22 Kodeksu postępowania w sprawach o wykroczenia. (...)

Transport gotówki do banku

Transport gotówki do banku

Czy są jakieś przepisy regulujące obowiązek korzystania z usług ochrony mienia podczas transportu gotówki z firmy do banku przez kasjerkę. Czy są może jakieś ograniczenia kwotowe? Regulacje wprowadzające (...)

Kradzież telefonu komórkowego

Kradzież telefonu komórkowego

Skradziono mi telefon komórkowy dwa dni temu. Czy istnieje możliwość ubiegania się o nowy aparat od operatora po cenie promocyjnej (posiadam zaświadczenie z policji o kradzieży)? Zawierając z (...)

Wokanda a ochrona danych osobowych

Wokanda a ochrona danych osobowych

Wokandy są wywieszane na drzwiach sal i/lub w tablicach poszczególnych wydziałów sądów. Pewnego dnia spisując informację z wokandy zostałem "okrzyczany" przez Panią z sekretariatu, że nie wolno. (...)

Ochrona danych osobowych pracownika

Ochrona danych osobowych pracownika

Czy umowa o pracę, jako integralna część akt osobowych, podlega również ustawie o ochronie danych osobowych? Czy oprócz pracodawcy, pracownika (a więc stron umowy) oraz organów kontrolnych (np. (...)

Ochrona danych osobowych

Ochrona danych osobowych

Chodząc na spotkania biznesowe w prawie każdym biurowcu ochrona żąda okazania dowodu osobistego lub innego dowodu ze zdjęciem i spisuje nr dowodu. Czy jest to zgodne z prawem? Po pierwsze gromadzą (...)

Ujawnienie danych osobowych dłużników

Ujawnienie danych osobowych dłużników

Zarząd spółdzielni mieszkaniowej w materiałach na Zebranie Przedstawicieli podał do wiadomości imiona, nazwiska, adresy, kwoty zadłużeń (także spłaconych) oraz sygnatury spraw sądowych i stan (...)

FORUM PRAWNE

Wczesna diagnostyka raka tarczycy i raków skóry leki przeciwpasozytnicze przeciwgrzybicze disulfiram cymetydyna sprzedam

Wczesna diagnostyka raka tarczycy i raków skóry leki przeciwpasozytnicze przeciwgrzybicze disulfiram cymetydyna sprzedam "Wczesna diagnostyka raka tarczycy i niebarwnikowych raków skóry pozwala na (...)

Rak nerki rozwija się bezobjawowo leki przeciwpasozytnicze przeciwgrzybicze disulfiram cymetydyna

Rak nerki rozwija się bezobjawowo leki przeciwpasozytnicze przeciwgrzybicze disulfiram cymetydyna "Rak nerki latami rozwija się bezobjawowo. Tymczasem zdiagnozować go może proste badanie USG jamy brzusznej" (...)

Sprzedam leki pasozyty prazykwantel iwermektyna zentel vermox yomesan

Sprzedam leki pasozyty prazykwantel iwermektyna zentel vermox yomesan Sprzedam leki pasozyty prazykwantel iwermektyna zentel vermox yomesan metronidazol tinidazol Oferuje leki przeciw pasozytom: Iwermektyna (...)

Sprzedam leki pasozyty prazykwantel iwermektyna zentel vermox yomesan

Sprzedam leki pasozyty prazykwantel iwermektyna zentel vermox yomesan Sprzedam leki pasozyty prazykwantel iwermektyna zentel vermox yomesan metronidazol tinidazol Oferuje leki przeciw pasozytom: Iwermektyna (...)

Pobieraczek - wezwanie do zapłaty i niekompletne dane. Pomocy!!!

Pobieraczek - wezwanie do zapłaty i niekompletne dane. Pomocy!!! Witam! Potrzebuję pilnej porady Myślę, że sprawa jest niektórym z państwa znana, bo była kiedyś nagłaśniana przez media. Chodzi (...)

Administrator

Administrator Proszę o pomoc do kogo mamy się zwrócić mieszkamy w budynkach których zarządcą jest Spółka Restrukturyzacji Kopalń.Od chwili przejęcia tych budynków przez tą spółkę pozbawiono (...)

Uwaga Administrator Violetta Blimel Lisowska Łódź NIE POLECAM !!!

Uwaga Administrator Violetta Blimel Lisowska Łódź NIE POLECAM !!! Witam serdecznie Jestem członkiem Wspólnoty mieszkaniowej administrowanej przez panią Violette Blimel Lisowską z ulicy zachodniej (...)

czy administrator razem z pracodawca może nie przedłużyć umowy zlecenie na ochrone obiektu przez

czy administrator razem z pracodawca może nie przedłużyć umowy zlecenie na ochrone obiektu przez czy administrator razem z pracodawca może nie przedłużyć umowy zlecenie na ochrone obiektu przez (...)

Czynsz za mieszkanie

Czynsz za mieszkanie Bardzo proszę o informację, czy wysokość opłat za eksploatowanie windy w bloku można uzależniać od powierzchni mieszkania - na logikę: mieszkania nie przewozi się windą? (...)

Odstąpienie od umowy

Odstąpienie od umowy Witam, zostałem w moim mniemaniu naciągnięty na trefny kurs elektroniczny który posiadał taką klauzule: Zgłoszenia reklamacyjne będą na bieżąco rozpatrywane przez Administratora (...)

RODO w firmie

RODO w firmie W firmie mieliśmy szkolenie dot. RODO. Pracuję na umowę o pracę. Pani ( radca prawny ) która prowadziła szkolenie przekazała m.in. takie informacje : 1. "... Państwa dane jako (...)

RODO

RODO Pracuję na pół etatu jako kadrowa w jednym z przedszkoli. W związku z wejściem w maju rozporządzenia o ochronie danych osobowych, dyrektor chce poszerzyć mój zakres obowiązków o funkcję (...)

RODO

RODO Dostarczyłem kiedyś pracodawcy zaświadczenie od lekarza ograniczające dźwiganie ciężarów do 5 kg. Czy pracodawca ma prawo do przekazania takiej informacji lekarzowi medycyny pracy?

RODO podpis pracownia biurowego na produkcji

RODO podpis pracownia biurowego na produkcji Dzień dobry, mierzymy się w firmie z dwoma skrajnie różnymi podejściami. Pracownicy produkcyjni nie mogą być wymieniani z imienia i nazwiska na dokumentach (...)

RODO a analiza zachowań użytkowników w obiekcie handlowym

RODO a analiza zachowań użytkowników w obiekcie handlowym Witam, Jestem młodym przedsiębiorcą, który stawia pierwsze kroki w biznesie, natomiast moja wiedza jest typowo techniczna. Potrzebuję (...)

zadłużenie PLUS windykacja "Raport"

zadłużenie PLUS windykacja "Raport" Mam kłopot, dwa i pół roku temu rozwiązałam umowę z plus gsm. Parę dni temu dostałam od nich pismo, że zalegam im pieniądze, dzień później zadzwoniła (...)

Co z płatnością z 2002 r?

Co z płatnością z 2002 r? Otrzymałam pismo z firmy windykacyjnej jakobym miała nie zapłacone za zakup w Readers Digest . Dotyczy owa zaległość 10.2002 r. Rzeczywiście robiłam zakupy w tejże (...)

Cofnięcie zgody na przetwarzanie danych osobowych w BIK

Cofnięcie zgody na przetwarzanie danych osobowych w BIK Witam. 1 lipca złożyłem wniosek w banku o cofnięcie zgody na przetwarzanie danych osobowych w BIK. Z tego co wiem bank ma 14 dni roboczych na (...)

Ratunku Kruk ściga PILNE

Ratunku Kruk ściga PILNE Mam pytanie co robić w 1999 mąż zawarł umowe z cyfra + , w umowie zaznaczył iż opłaty abonamentowej bedzie dokonywał miesiecznie książeczką opłat. Cyfra została podłączona (...)

Przedłużenie umowy tmobile oraz pobieranie danych z telefonu bez zgody

Przedłużenie umowy tmobile oraz pobieranie danych z telefonu bez zgody Witam, Jestem w trakcie dość nieprzyjemnej przygody z siecią Tmobile. Sytuację opisałem w już wysłanej w zeszlym tygodniu (...)

Porady prawne