Biometria w RCP a RODO - co jest legalne w 2026 roku?

Najważniejsze w skrócie (TL;DR)
Stanowisko UODO jest jednoznaczne: danych biometrycznych (odcisk palca, skan twarzy) co do zasady NIE wolno używać do zwykłej rejestracji czasu pracy. Jest to nieproporcjonalne i narusza zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO).
Sama zgoda pracownika zwykle nie wystarcza - ze względu na nierównowagę stron (pracownik nie ma realnej swobody odmowy wobec pracodawcy).
Biometria w zatrudnieniu jest dopuszczalna w wąskim wyjątku z art. 22¹ᵇ § 2 Kodeksu pracy - kontrola dostępu do szczególnie ważnych informacji lub pomieszczeń wymagających szczególnej ochrony.
Za nielegalne przetwarzanie biometrii grożą kary RODO do 20 mln EUR lub 4% obrotu. W Europie zapadły już kary za biometryczne RCP (Holandia – 725 000 EUR, Belgia – 45 000 EUR, Włochy – 4 000 EUR).
Bezpieczna alternatywa: karty/breloki RFID, kody PIN, kody QR i aplikacje mobilne z logowaniem - wystarczają do rzetelnej ewidencji bez ryzyka prawnego.
Biometria kusi prostotą: przyłóż palec, spójrz w kamerę i gotowe - nie da się „odbić za kolegę", nie zgubisz karty. Nic dziwnego, że wielu pracodawców chce wykorzystać czytniki linii papilarnych albo rozpoznawanie twarzy do rejestracji czasu pracy (RCP). Problem w tym, że dane biometryczne to w świetle RODO dane szczególnej kategorii - „wrażliwe" - a ich użycie do zwykłego liczenia obecności jest jednym z najczęściej kwestionowanych rozwiązań przez Urząd Ochrony Danych Osobowych.
Z tego artykułu dowiesz się dokładnie, co o biometrii w RCP mówią przepisy w 2026 roku, dlaczego zgoda pracownika to za mało, kiedy biometria jest naprawdę dopuszczalna, jakie kary realnie zapadły w Europie i jak legalnie rozwiązać problem rejestracji czasu pracy bez narażania firmy na ryzyko. To jeden z artykułów rozszerzających nasz kompletny przewodnik po systemach RCP - i naturalne uzupełnienie tekstu o tym, co o RCP musi wiedzieć pracodawca w świetle przepisów.
Czym są dane biometryczne i dlaczego RODO traktuje je wyjątkowo?
Zacznijmy od definicji, bo to ona przesądza o całej reszcie. Zgodnie z art. 4 pkt 14 RODO dane biometryczne to dane osobowe „wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby". W praktyce chodzi o odcisk palca, geometrię twarzy, układ naczyń krwionośnych dłoni, wzór tęczówki czy sposób chodu.
Kluczowy jest tu jeden warunek: biometria staje się daną wrażliwą tylko wtedy, gdy służy jednoznacznej identyfikacji osoby. Zwykłe zdjęcie pracownika w aktach nie jest jeszcze daną biometryczną. Ale ten sam wizerunek przepuszczony przez algorytm rozpoznawania twarzy, który porównuje go ze wzorcem w bazie, żeby potwierdzić „to jest Jan Kowalski" - już tak.
Dlaczego RODO stawia te dane na specjalnym piedestale? Art. 9 ust. 1 RODO co do zasady zakazuje przetwarzania danych biometrycznych w celu jednoznacznego zidentyfikowania osoby. Powód jest praktyczny i nieodwracalny zarazem:
Biometrii nie da się zresetować. Skradzione hasło zmienisz w minutę. Skradzionego wzorca odcisku palca - nigdy.
Ujawnia więcej, niż się wydaje. Cechy fizjologiczne mogą pośrednio nieść informacje o zdrowiu czy pochodzeniu.
Nie jest niezawodna. Na dokładność czytnika wpływają wiek, blizny, choroby skóry, oświetlenie. Błędna identyfikacja w systemie płacowym to realny problem.
Aby legalnie przetwarzać dane biometryczne, trzeba spełnić jednocześnie dwa warunki: mieć podstawę z art. 6 ust. 1 RODO oraz dodatkowo jeden z wyjątków z art. 9 ust. 2 RODO (np. wyraźną zgodę). W stosunku pracy to ogólne ramy doprecyzowuje polski Kodeks pracy.
Art. 22¹ᵇ Kodeksu pracy - co naprawdę mówi prawo o biometrii pracowników
To najważniejszy przepis w całej dyskusji. Artykuł 22¹ᵇ Kodeksu pracy reguluje, kiedy pracodawca może sięgnąć po dane biometryczne pracownika. Warto przeczytać go uważnie, bo bywa nadinterpretowany.
§ 1 stanowi, że zgoda pracownika lub kandydata może być podstawą przetwarzania danych wrażliwych (w tym biometrycznych) wyłącznie wtedy, gdy przekazanie tych danych następuje z inicjatywy pracownika. To istotne: przepis opisuje sytuację, w której to pracownik sam z siebie przekazuje pracodawcy dane wrażliwe - a nie taką, w której pracodawca instaluje czytnik linii papilarnych i „zbiera zgody" od całej załogi. Dodatkowo brak zgody lub jej wycofanie nie może powodować niekorzystnego traktowania pracownika.
§ 2 to właściwy wyjątek dla biometrii. Pozwala ją przetwarzać, „gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony". Mówiąc wprost: chodzi o serwerownie, skarbce, laboratoria, strefy z danymi niejawnymi - a nie o drzwi wejściowe do biura, przez które rano wchodzi 200 osób.
§ 3 dodaje wymóg organizacyjny: do przetwarzania danych biometrycznych można dopuścić wyłącznie osoby z pisemnym upoważnieniem od pracodawcy, zobowiązane do zachowania tajemnicy.
Wniosek dla RCP jest dość bezlitosny: typowa biometryczna rejestracja czasu pracy nie mieści się ani w § 1 (bo to inicjatywa pracodawcy, nie pracownika), ani w § 2 (bo liczenie obecności to nie ochrona „szczególnie ważnych informacji"). To właśnie dlatego UODO konsekwentnie ją kwestionuje.
Stanowisko UODO: „Biometria do RCP nie jest zgodna z RODO"
Urząd Ochrony Danych Osobowych wielokrotnie zajmował jednoznaczne stanowisko: rejestracja czasu pracy za pomocą danych biometrycznych nie jest zgodna z RODO. Argumentacja opiera się na trzech filarach:
Zasada minimalizacji (art. 5 ust. 1 lit. c RODO). Cel, jakim jest potwierdzenie obecności, można osiągnąć metodami znacznie mniej ingerującymi w prywatność - kartą, PIN-em, aplikacją. Skoro tak, sięganie po dane wrażliwe jest nadmiarowe.
Proporcjonalność. Biometria do RCP jest nieproporcjonalna do celu. Pracodawca nie potrafi wykazać, dlaczego musi przetwarzać akurat odcisk palca, by sprawdzić, o której pracownik zaczął pracę.
Wątpliwa dobrowolność zgody. W relacji pracodawca–pracownik występuje strukturalna nierównowaga. Pracownik, który „nie zgadza się" na biometrię, czuje presję - a to podważa swobodę zgody wymaganą przez RODO.
UODO dopuszcza biometrię w zatrudnieniu wyłącznie w wąskim wyjątku z art. 22¹ᵇ § 2 KP, czyli przy kontroli dostępu do stref szczególnie chronionych. Zwykła kontrola obecności się do tego nie kwalifikuje.
Uwaga praktyczna. Stanowisko UODO nie jest „tylko opinią". To urząd, który prowadzi postępowania, wydaje decyzje i nakłada kary administracyjne. Działanie wbrew jego utrwalonej linii to świadome wejście w obszar wysokiego ryzyka.
Sprawa, która komplikuje obraz: wyrok NSA z 2024 roku
Uczciwość wymaga pokazania, że temat nie jest czarno-biały. Najgłośniejsza polska sprawa biometryczna nie dotyczyła wprawdzie pracowników, ale rzuca cień na całą dyskusję.
Chodzi o szkołę podstawową w Gdańsku, która używała odcisków palców uczniów do obsługi stołówki. W lutym 2020 r. UODO nałożył na placówkę karę 20 000 zł (decyzja sygn. ZSZZS.440.768.2018), uznając m.in. naruszenie zasady minimalizacji i brak realnej dobrowolności - dzieci bez biometrii musiały czekać w kolejce dłużej, co czyniło zgodę pozorną.
I tu zaczyna się komplikacja. WSA w Warszawie (wyrok z 7 sierpnia 2020 r., II SA/Wa 809/20) uchylił decyzję UODO, a w październiku 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną urzędu (sprawa funkcjonuje pod powiązanymi sygnaturami III OSK 4804/21 i III OSK 4984/21 z tej samej rozprawy). NSA uznał, że prawidłowo wyrażona, dobrowolna zgoda może być wystarczającą podstawą przetwarzania nawet danych wrażliwych - pod warunkiem zapewnienia realnej alternatywy i zachowania minimalizacji - a organ nadzorczy nie może podważać adekwatności przetwarzania własną oceną, gdy strony zgodnie ustaliły, jakie dane są niezbędne do celu.
Co to oznacza dla pracodawcy? Mniej, niż mogłoby się wydawać, i oto dlaczego:
Wyrok dotyczy relacji szkoła–rodzic, a nie pracodawca–pracownik. W zatrudnieniu nierównowaga stron jest wyraźniejsza, więc argument o pozornej dobrowolności zgody jest mocniejszy.
Orzeczenie nie zmienia stanowiska UODO ani treści art. 22¹ᵇ KP.
Powstał realny rozdźwięk: regulator (UODO) mówi „nie", sądy administracyjne dopuszczają więcej - ale na gruncie sprawy szkolnej, nie pracowniczej.
Praktyczny wniosek: orzeczenie NSA nie jest „zielonym światłem" dla biometrycznego RCP. Jest argumentem, że przy idealnie skonstruowanej, dobrowolnej zgodzie z realną alternatywą teoretycznie da się bronić takiego rozwiązania - ale wciąż pod górę, wbrew urzędowi i z ryzykiem postępowania. Dla większości firm gra nie jest warta świeczki.
Ile kosztuje błąd? Kary za biometrię w rejestracji czasu pracy
RODO przewiduje dwa pułapy kar administracyjnych (art. 83). Naruszenie podstawowych zasad przetwarzania i warunków zgody - a więc dokładnie ten przypadek, który dotyczy biometrii - zagrożone jest wyższą stawką: do 20 mln EUR lub 4% rocznego światowego obrotu (zależnie, która kwota jest wyższa). Pozostałe naruszenia obowiązków administratora to „tylko" do 10 mln EUR lub 2% obrotu.
W Polsce nie zapadła jeszcze spektakularna, wysoka kara za biometryczne RCP wobec dużego pracodawcy. Najbliższy przykład to kara 18 941 zł nałożona na początku 2025 r. na przedsiębiorcę z branży hotelarsko-gastronomicznej, który zbierał odciski palców personelu - ale jej bezpośrednią podstawą było przede wszystkim rażące lekceważenie obowiązku współpracy z UODO (firma latami nie odpowiadała na wezwania), a nie sama biometria.
Znacznie dobitniejsze są przykłady europejskie - i to one pokazują skalę ryzyka:
Kraj | Organ | Kara | Czego dotyczyła |
Holandia | AP (Dutch DPA) | 725 000 EUR | Biometryczna ewidencja obecności i czasu pracy pracowników |
Belgia | APD/GBA | 45 000 EUR | Odciski palców do rejestracji czasu pracy |
Włochy | Garante | 4 000 EUR (2025) | Odciski palców personelu do rejestracji obecności w liceum |
Litwa | VDAI | kara dla klubu sportowego | Odciski palców pracowników i klientów |
Włoski Garante w decyzji z 2025 r. powtórzył dokładnie tę samą myśl co UODO: zgoda pracownika nie jest ważną podstawą biometrycznego RCP ze względu na asymetrię relacji pracownik–pracodawca - i to zarówno w sektorze prywatnym, jak i publicznym. To pokazuje, że polskie podejście jest częścią szerszego, europejskiego konsensusu.
Kiedy biometria w pracy JEST dopuszczalna?
Żeby nie było wątpliwości - biometria nie jest zakazana w pracy całkowicie. Jest dopuszczalna, ale w wąsko zakreślonym wyjątku z art. 22¹ᵇ § 2 KP, gdy podanie danych biometrycznych jest niezbędne ze względu na:
kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (np. dane niejawne, tajemnice przedsiębiorstwa o kluczowym znaczeniu), lub
dostęp do pomieszczeń wymagających szczególnej ochrony (serwerownie, skarbce, laboratoria, magazyny substancji niebezpiecznych, strefy o podwyższonym rygorze bezpieczeństwa).
Granica jest więc czytelna. Biometria, która broni serwerowni banku - uzasadniona. Biometria, która liczy, o której pracownik biura przyszedł do pracy - nie. Jeżeli firma wdraża czytnik biometryczny przy strefie chronionej, i tak musi przejść przez wszystkie obowiązki RODO opisane niżej.
Obowiązki RODO przy biometrii: DPIA, minimalizacja, retencja
Nawet gdy biometria jest dopuszczalna, pracodawca staje się administratorem danych szczególnej kategorii i musi spełnić rygorystyczne wymogi.
Ocena skutków (DPIA, art. 35 RODO). Biometryczne przetwarzanie na większą skalę figuruje na liście UODO obejmującej rodzaje operacji wysokiego ryzyka, dla których ocena skutków jest co do zasady obowiązkowa. DPIA musi opisać operację i jej cel, ocenić niezbędność i proporcjonalność, zidentyfikować ryzyka dla praw i wolności osób oraz wskazać środki ich ograniczenia. Bez udokumentowanej DPIA wdrożenie biometrii jest formalnie wadliwe.
Minimalizacja (art. 5 ust. 1 lit. c). Zbieraj tylko dane absolutnie niezbędne. Jeśli cel da się osiągnąć inaczej - biometria jest nadmiarowa.
Ograniczenie przechowywania (art. 5 ust. 1 lit. e). Dane usuwaj po ustaniu celu. Dobra praktyka, potwierdzona w sprawie gdańskiej: nie przechowuj obrazu odcisku palca, a jedynie nieodwracalny szablon (template) - matematyczny kod, z którego nie da się odtworzyć linii papilarnych. To radykalnie ogranicza skutki ewentualnego wycieku.
Podstawa prawna i dokumentacja. Potrzebujesz podstawy z art. 6 i art. 9 RODO łącznie, doprecyzowanej przez art. 22¹ᵇ KP, klauzul informacyjnych, wpisu w rejestrze czynności przetwarzania, polityki ochrony danych i - zgodnie z § 3 - pisemnych upoważnień dla osób mających dostęp do danych.
Legalne alternatywy dla biometrii w RCP
Dobra wiadomość: do rzetelnej ewidencji czasu pracy biometria jest po prostu niepotrzebna. UODO wprost wskazuje mniej inwazyjne metody, które w pełni wystarczają i nie generują ryzyka prawnego.
Metoda | Jak działa | Ryzyko RODO | Uwagi |
Karty / breloki RFID | Przyłożenie karty do czytnika | Niskie | Najpopularniejsza metoda; ryzyko „odbicia za kolegę" (buddy punching) ogranicza foto-rejestracja |
Kod PIN | Pracownik wpisuje indywidualny kod | Niskie | Zerowy koszt nośnika; PIN można jednak przekazać |
Kod QR | Skan kodu w aplikacji/terminalu | Niskie | Szybkie wdrożenie, dobre do biur |
Aplikacja mobilna + logowanie | Rejestracja przez konto pracownika, opcjonalnie z lokalizacją | Niskie/średnie | Idealna dla pracy zdalnej i mobilnej; lokalizację przetwarzaj tylko w godzinach pracy |
To właśnie te metody buduje wokół siebie nowoczesny system RCP. Jeżeli zależy Ci na pewności identyfikacji bez sięgania po dane wrażliwe, połączenie karty RFID z foto-rejestracją (zdjęcie przy odbiciu) daje skuteczną ochronę przed nadużyciami - bez przekraczania granicy RODO. Więcej o doborze technologii znajdziesz w naszym przewodniku jak wybrać system RCP i porównać technologie.
Częsta pułapka: foto-rejestracja a rozpoznawanie twarzy
Wielu pracodawców myli dwa rozwiązania, które wyglądają podobnie, a prawnie dzieli je przepaść. Foto-rejestracja to zrobienie zdjęcia w momencie odbicia karty - zdjęcie służy człowiekowi (np. kadrowej) do ewentualnej weryfikacji, czy kartą odbił się jej właściciel. Dopóki system nie przetwarza tego wizerunku automatycznie w celu identyfikacji, nie jest to przetwarzanie danych biometrycznych w rozumieniu art. 9 RODO - to zwykły wizerunek, dopuszczalny przy zachowaniu zasad RODO.
Inaczej jest z rozpoznawaniem twarzy: gdy algorytm porównuje obraz ze wzorcem w bazie, żeby automatycznie potwierdzić tożsamość, mamy do czynienia z danymi biometrycznymi i wszystkimi opisanymi wyżej ograniczeniami. Granica przebiega więc nie przy „czy jest zdjęcie", lecz przy „czy maszyna identyfikuje osobę po cechach twarzy". To rozróżnienie pozwala bezpiecznie korzystać z foto-rejestracji jako skutecznej ochrony przed nadużyciami, bez wchodzenia w obszar biometrii.
Praktyczna checklista dla pracodawcy
Zanim ktokolwiek w firmie powie „wdróżmy czytnik linii papilarnych do RCP", przejdź przez te punkty:
Domyślnie nie używaj biometrii do rejestracji czasu pracy. Stanowisko UODO i przeważające orzecznictwo europejskie są przeciwne, a ryzyko kary i nakazu usunięcia danych - realne.
Zarezerwuj biometrię dla wyjątku z art. 22¹ᵇ § 2 KP - wyłącznie kontrola dostępu do stref/informacji szczególnie chronionych, po wykazaniu niezbędności.
Przeprowadź i udokumentuj DPIA przed jakimkolwiek wdrożeniem biometrii.
Jeśli mimo wszystko opierasz się na zgodzie - zapewnij realną, równoważną alternatywę (karta, PIN), brak negatywnych konsekwencji za odmowę i możliwość wycofania zgody w każdej chwili.
Minimalizuj i zabezpieczaj - przechowuj szablon, nie obraz; ustal krótką retencję; wydaj pisemne upoważnienia (§ 3); przygotuj klauzule informacyjne i wpis do rejestru czynności.
Do zwykłego RCP wybierz kartę RFID, PIN, QR lub aplikację mobilną - to wystarcza i jest bezpieczne.
Reaguj na wezwania UODO - sam brak współpracy z urzędem jest karalny.
Podsumowanie
Biometria w rejestracji czasu pracy to klasyczny przypadek technologii, która może więcej, niż wolno jej w świetle prawa. Stanowisko UODO jest jasne: do zwykłego liczenia obecności danych biometrycznych używać nie należy, bo narusza to zasadę minimalizacji i proporcjonalności, a zgoda pracownika jest obarczona wadą nierównowagi stron. Wyrok NSA z 2024 r. nieco komplikuje obraz, ale dotyczy relacji szkolnej i nie zmienia rekomendacji dla pracodawców. Skala europejskich kar - od 4 000 do 725 000 EUR - pokazuje, że to nie jest problem teoretyczny.
Najrozsądniejsza droga jest też najprostsza: rzetelną, zgodną z prawem ewidencję czasu pracy zbudujesz na kartach RFID, PIN-ach, kodach QR i aplikacji mobilnej - bez danych wrażliwych i bez ryzyka. Biometrię zostaw tam, gdzie naprawdę jest potrzebna: przed drzwiami serwerowni, nie przed drzwiami biura.
Szukasz systemu RCP, który jest zgodny z RODO i polskim prawem pracy bez sięgania po dane biometryczne? Sprawdź moduł RCP Tangramo i umów bezpłatną konsultację.
FAQ – najczęstsze pytania o biometrię w RCP a RODO
Czy pracodawca może legalnie używać odcisków palców do rejestracji czasu pracy?
Co do zasady nie. Stanowisko UODO jest takie, że biometryczna rejestracja czasu pracy narusza zasadę minimalizacji i proporcjonalności danych, bo cel można osiągnąć mniej inwazyjnymi metodami (karta, PIN, aplikacja). Odciski palców w pracy są dopuszczalne wyłącznie w wyjątku z art. 22¹ᵇ § 2 Kodeksu pracy, czyli przy kontroli dostępu do stref szczególnie chronionych.
Czy zgoda pracownika wystarczy, żeby wdrożyć biometrię w RCP?
Zwykle nie. W relacji pracodawca–pracownik występuje nierównowaga stron, przez którą zgoda na biometrię nie spełnia warunku pełnej dobrowolności wymaganego przez RODO. UODO oraz organy w innych krajach UE (np. włoski Garante) konsekwentnie uznają zgodę pracownika za niewystarczającą podstawę biometrycznego RCP.
Co mówi art. 22¹ᵇ Kodeksu pracy o danych biometrycznych?
Pozwala przetwarzać dane biometryczne pracownika, gdy jest to niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji lub do pomieszczeń wymagających szczególnej ochrony (§ 2). Zgoda jako podstawa działa tylko, gdy to pracownik z własnej inicjatywy przekazuje dane (§ 1). Dostęp do danych mogą mieć wyłącznie osoby z pisemnym upoważnieniem (§ 3).
Czy skan twarzy do logowania to dane biometryczne w rozumieniu RODO?
Tak, jeśli służy jednoznacznej identyfikacji osoby. Samo zdjęcie nie jest jeszcze daną biometryczną, ale wizerunek przetwarzany technicznie w celu potwierdzenia tożsamości (rozpoznawanie twarzy) staje się daną szczególnej kategorii z art. 9 RODO.
Jaka kara grozi za nielegalne przetwarzanie danych biometrycznych pracowników?
Naruszenie zasad przetwarzania i warunków zgody zagrożone jest karą do 20 mln EUR lub 4% rocznego światowego obrotu (art. 83 RODO). W Europie zapadły kary za biometryczne RCP m.in. w Holandii (725 000 EUR), Belgii (45 000 EUR) i we Włoszech (4 000 EUR).
Czy trzeba zrobić DPIA przy wdrożeniu biometrii w firmie?
Tak, co do zasady. Biometryczne przetwarzanie na większą skalę należy do operacji wysokiego ryzyka, dla których ocena skutków dla ochrony danych (DPIA, art. 35 RODO) jest obowiązkowa. Trzeba w niej ocenić niezbędność, proporcjonalność i ryzyka dla praw pracowników.
Co orzekł NSA w sprawie odcisków palców w szkolnej stołówce i czy dotyczy pracowników?
W październiku 2024 r. NSA podtrzymał korzystne dla szkoły rozstrzygnięcie, uznając, że prawidłowo wyrażona, dobrowolna zgoda może być podstawą przetwarzania danych wrażliwych przy zapewnieniu realnej alternatywy. Wyrok dotyczy jednak relacji szkoła–rodzic, a nie stosunku pracy, gdzie nierównowaga stron jest większa - dlatego nie zmienia rekomendacji dla pracodawców.
Jakie są legalne alternatywy dla biometrii w RCP?
Karty i breloki zbliżeniowe RFID, kody PIN, kody QR oraz aplikacje mobilne z logowaniem przez konto pracownika. Wszystkie te metody wystarczają do rzetelnej ewidencji czasu pracy, a UODO wprost wskazuje je jako mniej inwazyjne rozwiązania zastępujące biometrię.
Powiązane artykuły:
System RCP – kompletny przewodnik: rodzaje, koszty, przepisy (2026)
Czy RCP może ułatwić kontrolę PIP?
Jak wybrać system RCP? Porównanie technologii
Nota redakcyjna i prawna: Artykuł ma charakter informacyjny i przedstawia stan prawny aktualny na czerwiec 2026 r. Nie stanowi porady prawnej. W sprawach dotyczących wdrożenia biometrii, RODO i ochrony danych pracowników zalecamy konsultację z radcą prawnym lub inspektorem ochrony danych (IOD).