Ikonka home dla okruszków Strona główna DLA ADMINISTRATORA Kontrole UODO Kryteria klasyfikacji podmiotów, które przetwarzają dane osobowe, do określonej grupy ryzyka

Kryteria klasyfikacji podmiotów, które przetwarzają dane osobowe, do określonej grupy ryzyka

Zgodnie z obowiązkiem wynikającym z art. 47 ust. 1a ustawy z dnia 6 marca 2018 r.

Prawo przedsiębiorców (Dz. U. z 2025 r. poz. 1480), dotyczącym zamieszczenia w BIP informacji o zasadach przypisywania dla celów kontroli planowych przedsiębiorców do właściwej dla nich kategorii ryzyka, podmioty, które przetwarzają dane osobowe, są klasyfikowane do jednej z trzech grup ryzyka: wysokiego, średniego lub niskiego. Poniżej kryteria przypisania takiego podmiotu do określonej grupy:

Grupa I – WYSOKIE RYZYKO naruszenia przepisów

Podmiot zostaje zakwalifikowany do grupy wysokiego ryzyka (art. 47 ust. 1 ustawy z dnia 6 marca 2018 r.), jeżeli spełnia co najmniej 3 z poniższych warunków:

  •             Przetwarza dane osobowe wymienione w art. 9 ust. 1 lub art. 10 rozporządzenia 2016/679.
  •             Działa w branży o podwyższonym ryzyku dla ochrony danych osobowych (np. służba zdrowia, finanse, ubezpieczenia, telekomunikacja, ochrona osób i mienia).
  •              Przetwarza dane osobowe z użyciem nowych technologii.
  •              Przetwarza dane na dużą skalę.
  •              Przetwarza dane osobowe osób, których prawa i wolności są szczególnie narażone, tj. w szczególności dzieci, osób z niepełnosprawnościami lub osób w podeszłym wieku.
  •              Odnotowano u przedsiębiorcy naruszenia ochrony danych osobowych powodujące wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  •              Do UODO wpłynęły skargi na działania przedsiębiorcy, dotyczące przetwarzania danych osobowych.
  •              Na podstawie doniesień medialnych UODO powziął informacje o możliwych niezgodnych z prawem działaniach podmiotu lub incydentach związanych z ochroną danych osobowych.
  •              Brak wdrożonych mechanizmów zgodności (np. brak powołania IOD, brak przystąpienia do Kodeksów Postępowania).

Grupa II – ŚREDNIE RYZYKO naruszenia przepisów

Podmiot zostaje zakwalifikowany do grupy średniego ryzyka (art. 47 ust. 1 ustawy z dnia 6 marca 2018 r.), jeżeli:

  •              Przetwarza dane nienależące do danych osobowych, o których mowa w art. 9 ust. 1 lub art. 10 rozporządzenia 2016/679, ale na dużą skalę.
  •              Działa w branży o umiarkowanym ryzyku dla ochrony danych osobowych (np. handel, transport, usługi komunalne).
  •             Przetwarza dane osobowe, ale bez dominacji osób, których prawa lub wolności są szczególnie narażone.
  •              Odnotowano u przedsiębiorcy naruszenia ochrony danych osobowych niepowodujące wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
  •             Do UODO sporadycznie wpływały skargi na działania przedsiębiorcy, dotyczące przetwarzania danych osobowych.

Grupa III – NISKIE RYZYKO naruszenia przepisów

Podmiot zostaje zakwalifikowany do grupy niskiego ryzyka (art. 47 ust. 1 ustawy z dnia 6 marca 2018 r.), jeżeli:

  •              Przetwarza dane nienależące do danych osobowych, o których mowa w art. 9 ust. 1 lub
    art. 10 rozporządzenia 2016/679, w zakresie niestanowiącym dużej skali.
  •              Działa w branży o niskim ryzyku dla ochrony danych osobowych (np. produkcja, rolnictwo, działalność hobbystyczna).
  •              Nie przetwarza danych osobowych osób, których prawa lub wolności są szczególnie narażone.
  •             Nie wystąpiły u przedsiębiorcy naruszenia ochrony danych osobowych.
  •              Nie wpłynęły do UODO skargi na działania przedsiębiorcy, dotyczące przetwarzania danych osobowych.
  •              Wdrożył mechanizmy zgodności (powołanie IOD, przystąpienie do Kodeksu Postępowania).
Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-05-08
Wprowadził informację:
user
date 2026-05-08 11:45:35
Ostatnio modyfikował:
user
date 2026-05-11 07:26:28