We process passports, employment contracts, salary information, and other documents that — together — describe a person’s professional life and immigration status. Under Article 35 of the GDPR, that level of personal data triggers a Data Protection Impact Assessment. This page is the public summary; the full internal DPIA is available to UODO on request and to you, in summary form, by emailing the DPO.
PL · Przetwarzamy paszporty, umowy o pracę, dane wynagrodzenia i inne dokumenty, które razem opisują życie zawodowe i status imigracyjny człowieka. Zgodnie z art. 35 RODO ta skala danych wymaga Oceny Skutków dla Ochrony Danych. Niniejsza strona jest jej publicznym streszczeniem; pełna wewnętrzna OSdOD jest dostępna na żądanie UODO oraz, w formie streszczenia, dla użytkownika po wysłaniu zapytania do IOD.
What a DPIA is
A DPIA (Data Protection Impact Assessment) is a structured analysis under Article 35 GDPR. It maps the personal data you process, evaluates the risks to data subjects, documents the technical and organizational measures you take to mitigate them, and is reviewed by a Data Protection Officer.
UODO (the Polish supervisory authority) lists “processing that includes large amounts of identity documents” among the categories that always require a DPIA. We agreed and ran one before launch.
OSdOD (Ocena Skutków dla Ochrony Danych) to ustrukturyzowana analiza zgodna z art. 35 RODO. Mapuje przetwarzane dane osobowe, ocenia ryzyka dla osób, dokumentuje zastosowane środki techniczne i organizacyjne oraz jest weryfikowana przez Inspektora Ochrony Danych (IOD).
UODO wymienia “przetwarzanie obejmujące dużą ilość dokumentów tożsamości” wśród kategorii wymagających OSdOD. Zgodziliśmy się i wykonaliśmy ją przed startem.
Why we did one
Triggering criteria from GDPR Article 35(3) and the UODO 2018 list:
- Identity documents at scale — passports, residence cards, employer letters.
- AI-assisted processing — automated extraction of fields and confidence scoring (UODO Annex II item 9).
- Vulnerable data subjects — foreign workers, often in a power-imbalanced relationship with their employer (UODO Annex II item 4).
- Cross-border transfers — to a US AI provider (Anthropic) under Standard Contractual Clauses.
- Special-category data, occasionally — medical certificates in family-reunification cases.
Any one of these would justify a DPIA. All five together made it mandatory.
Kryteria z art. 35 ust. 3 RODO i listy UODO z 2018 r.:
- Dokumenty tożsamości na skalę — paszporty, karty pobytu, listy pracodawcy.
- Przetwarzanie wspomagane AI — automatyczna ekstrakcja pól i ocena pewności (Załącznik II UODO, poz. 9).
- Osoby w sytuacji zagrożonej — cudzoziemcy, często w relacji o nierównej władzy z pracodawcą (Załącznik II UODO, poz. 4).
- Transfery transgraniczne — do dostawcy AI w USA (Anthropic) na podstawie Standardowych Klauzul Umownych.
- Dane szczególnej kategorii — okazjonalnie zaświadczenia medyczne przy łączeniu rodzin.
Każde z tych kryteriów uzasadniałoby OSdOD. Wszystkie pięć razem czyniły ją obowiązkową.
What data we process
We process eight categories of personal data, listed and explained in Privacy §2. For DPIA purposes we group them by sensitivity:
- High sensitivity: passport scans, residence-card scans, salary papers, family relationships, medical certificates (when applicable).
- Medium sensitivity: employment contracts, employer letters, prior immigration history, billing/invoice data.
- Low sensitivity: name, email, language preference, account-usage data.
Volumes (April 2026 baseline): approximately 4 200 active client accounts; 18 000 documents stored; 47 employer-vault organisations; ~120 staff messages exchanged per business day.
Risks we identified
Risk register & mitigations
Each risk below shows what could go wrong, our pre-mitigation rating, what we built to address it, and the residual rating after the mitigation.
Residual risk
Risk R-03 (AI vendor) cannot be reduced to “low” without removing AI-assisted document review, which would degrade service quality (slower turnarounds, more human error). The DPO and Management Board accepted the residual medium rating in March 2026, conditional on:
- Quarterly review of the no-train assurance and Anthropic’s published security posture.
- Continued exploration of EU-resident alternative AI providers; we will switch when one is comparably capable.
- Continued minimisation: send only what’s needed for the specific quality check, never bulk uploads.
No prior consultation with UODO was required (the residual risk is not “high” within the meaning of Art. 36 GDPR), but we informed UODO of this DPIA at registration and the assessment is available on request.
Ryzyko R-03 (dostawca AI) nie da się obniżyć do “niskiego” bez rezygnacji z weryfikacji dokumentów wspomaganej AI, co obniżyłoby jakość usługi. IOD i Zarząd zaakceptowali rezydualne “średnie” w marcu 2026 r. pod warunkiem:
- Kwartalnego przeglądu gwarancji nieuczenia oraz publikowanego stanu bezpieczeństwa Anthropic.
- Dalszego badania alternatyw AI z siedzibą w UE; przełączymy się, gdy znajdziemy porównywalną.
- Dalszej minimalizacji: wysyłamy tylko to, czego wymaga konkretna kontrola jakości; nigdy zbiorczo.
Wstępna konsultacja z UODO nie była wymagana (ryzyko rezydualne nie jest “wysokie” w rozumieniu art. 36 RODO), niemniej zgłosiliśmy OSdOD przy rejestracji i ocena jest dostępna na żądanie.
Sub-processors
Each sub-processor was assessed for: jurisdiction (EU-residency preferred), security posture (SOC 2, ISO 27001, or equivalent), DPA in place, ability to support data-subject rights requests within our 30-day window, and exit costs (how hard it would be to switch). The full list, roles, and jurisdictions are on Privacy → Sub-processors; updates are notified 30 days in advance per Privacy §12.
Anthropic PBC (Claude API)
We use Anthropic’s Claude API to generate plain-English explanations for the validation findings shown on a case (e.g. “your contract looks fixed-term — indefinite is recommended”). The model receives only the rule-engine output, the document type, and the application path — never the raw document text, applicant name, email, or any other identifying field. This is decision-assist only; the platform does not use Anthropic for any automated decision-making within the meaning of GDPR Art. 22.
DPO & supervisory authority
The DPO is Marta Krawczyk, registered with UODO. She is independent of the management board, has direct reporting lines to the Board, and her contract cannot be terminated for performance of DPO duties (per Article 38(3) GDPR). She owns the full DPIA, runs the quarterly review, and is the contact point for both data subjects and the supervisory authority.
Polish supervisory authority: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl, +48 22 531 03 00.
Changes to this DPIA
The DPIA is reviewed every six months and on any of the following triggers: a new sub-processor handling sensitive data, a change in the AI provider, a notifiable data breach, a change in the categories of data we collect, or material new guidance from UODO or the EDPB. Each review is signed off by the DPO and the management board; the public summary on this page is updated to match.