|
25 września 2025 | Ostatnio zmodyfikowano 24 października, 2025 o 15:26 | Czas na przeczytanie: 7 minut
Pozostałe Artykuły
Czym jest obowiązek informacyjny i kogo dotyczy?
Obowiązek informacyjny to jedno z podstawowych narzędzi ochrony praw osób fizycznych w systemie RODO. Ma on zapewnić transparentność działania administratora danych, czyli każdej firmy, urzędu czy organizacji, która decyduje o tym, w jakim celu i w jaki sposób dane osobowe są przetwarzane. Informację należy przekazać każdej osobie, której dane są przetwarzane, niezależnie od tego, czy robi się to w ramach umowy, działań marketingowych, rekrutacji czy po prostu monitoringu w miejscu pracy lub sklepie.
Nie ma przy tym znaczenia, czy dana osoba jest klientem, użytkownikiem serwisu, kandydatem do pracy, czy może jedynie osobą nagraną przez kamery – jeśli dane ją identyfikują, należy przekazać jej pełną informację o przetwarzaniu.
Kiedy trzeba poinformować osobę o przetwarzaniu jej danych?
Moment przekazania informacji zależy od tego, skąd administrator pozyskał dane osobowe. Można tutaj wyróżnić dwie opcje.
Bezpośrednie zbieranie danych
Jeśli administrator samodzielnie zbiera dane, np. przez formularz online, rejestrację konta, zapis do newslettera czy podpisanie umowy – obowiązek informacyjny musi być zrealizowany najpóźniej w momencie ich pozyskania. Oznacza to, że użytkownik czy klient powinien być poinformowany jeszcze zanim zaczniemy wykorzystywać jego dane.
Pozyskanie danych z innych źródeł
W sytuacji, gdy administrator otrzyma dane od innego podmiotu (np. kupi bazę danych, uzyska dane z systemu CEIDG, REGON, KRS czy od partnera handlowego), obowiązek informacyjny należy spełnić najpóźniej w ciągu 30 dni od pozyskania danych, chyba że wcześniej nawiążemy kontakt z osobą – wtedy informacja musi być przekazana przy pierwszej komunikacji.
Masz pytania lub potrzebujesz pomocy?
Zadzwoń do nas:
+48 61 307 09 91
lub napisz na adres:
kancelaria@rpms.pl.
Jak powinna wyglądać klauzula informacyjna?
Administrator danych musi przekazać osobie fizycznej jasną i zrozumiałą informację, która obejmuje m.in. jego dane identyfikacyjne, cele przetwarzania, podstawy prawne, okres przechowywania danych, a także prawa przysługujące osobie oraz możliwość złożenia skargi do Prezesa UODO.
Kluczowe elementy obowiązku informacyjnego:
-
dane administratora i kontakt z inspektorem ochrony danych (jeśli jest powołany);
-
cele i podstawy prawne przetwarzania danych;
-
odbiorcy danych (np. firmy zewnętrzne przetwarzające dane w imieniu administratora);
-
okres przechowywania danych lub kryteria jego ustalenia;
-
informacje o prawach osoby, m.in. dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu;
-
informacja o prawie wniesienia skargi do UODO;
-
w przypadku danych pozyskanych pośrednio – także źródło pochodzenia danych.
Przykład w praktyce
W rozmowach telefonicznych spełnienie obowiązku informacyjnego może być skrócone, ale pod warunkiem, że pełna informacja zostanie udostępniona innym kanałem (np. w mailu, SMS lub na stronie WWW).
Przykład treści obowiązku przy rozmowie telemarketingowej:
„Dzień dobry, nazywam się Anna Nowak i dzwonię z firmy Moja Nowa Firma Sp. z o.o. Chciałam poinformować, że przetwarzamy Pani/Pana dane w celu przedstawienia oferty naszej firmy, na podstawie naszego prawnie uzasadnionego interesu. Administratorem danych jest XYZ Sp. z o.o. Szczegółowe informacje może Pan/Pani znaleźć w naszej polityce prywatności na stronie www.mojanowafirma.pl/rodo.
Administrator powinien w takiej sytuacji zadbać o to, aby pełna informacja była łatwo dostępna – np. w stopce e-maila, linku SMS czy banerze na stronie internetowej.
Co grozi za brak obowiązku informacyjnego?
Zaniechanie obowiązku informacyjnego nie jest tylko naruszeniem formalnym. Może prowadzić do poważnych konsekwencji prawnych i finansowych. Użytkownik, którego dane są przetwarzane bez wiedzy, może:
-
wystąpić z roszczeniem cywilnym (np. o zadośćuczynienie za naruszenie prywatności);
-
żądać natychmiastowego zaprzestania przetwarzania danych.
Przykłady decyzji i wyroków:
Przykład 1: Obowiązek informacyjny przy wykorzystaniu danych z rejestrów publicznych (Bisnode/Dun & Bradstreet)
Spółka pozyskała dane osób prowadzących działalność gospodarczą z publicznych rejestrów (CEIDG, KRS, REGON) i wykorzystywała je do celów komercyjnych, nie informując jednak wszystkich osób o przetwarzaniu ich danych — powiadomiła tylko tych z adresem e-mail w CEIDG. Prezes UODO nałożył na nią karę 943 470 zł za naruszenie obowiązku informacyjnego wynikającego z art. 14 RODO. WSA częściowo uchylił karę, ale potwierdził istnienie obowiązku informowania przedsiębiorców. NSA ostatecznie oddalił skargę kasacyjną i podkreślił, że dane z rejestrów publicznych wymagają informowania osób, a wyjątki od tego są stosowane bardzo restrykcyjnie. Wniosek jest jasny — nawet przy danych z rejestrów publicznych podmioty muszą realizować obowiązek informacyjny.
Przykład 2: Kara UODO za ujawnienie danych osobowych przez Dolnośląski Związek Piłki Nożnej
25 kwietnia 2019 roku Prezes UODO nałożył na Dolnośląski Związek Piłki Nożnej karę 55 750,50 zł za nieuprawnione ujawnienie na stronie internetowej danych osobowych sędziów z 2015 roku, w tym imion, nazwisk, PESEL i adresów zamieszkania. Dane były publicznie dostępne przez prawie trzy lata. Naruszenie polegało na braku odpowiednich zabezpieczeń, co stanowiło naruszenie art. 32 RODO.
W wymiarze kary uwzględniono łagodzące okoliczności: współpracę Związku z UODO, brak korzyści finansowych z naruszenia, szybkie usunięcie danych oraz fakt prowadzenia działalności niezarobkowej i brak szkód dla osób, których dane ujawniono.
Dlaczego warto dbać o obowiązek informacyjny? Korzyści i ryzyka
Spełnienie obowiązku informacyjnego to nie tylko wymóg prawny, ale też budowanie zaufania klientów i partnerów biznesowych. Transparentność w przetwarzaniu danych pokazuje, że szanujemy prywatność i działamy zgodnie z prawem. Z kolei zignorowanie tego obowiązku grozi skargami do UODO, karami finansowymi, a także roszczeniami od osób, których dane dotyczą. Dlatego dobrze wdrożony obowiązek informacyjny to inwestycja w bezpieczeństwo i reputację firmy.
Przejrzystość jako obowiązek, a nie opcja
W praktyce obowiązek informacyjny to nie formalność, ale fundament zgodności z RODO. Jego niespełnienie może kosztować nie tylko reputację, ale także realne pieniądze. Kluczowe jest, aby:
-
informacja była przekazywana w odpowiednim momencie,
-
była kompletna i łatwa do zrozumienia,
-
a dokumentacja (np. wersja wysłanych e-maili, formularzy, nagrań) była dostępna na wypadek kontroli.
Jeśli prowadzisz działalność, w której przetwarzasz dane osobowe – nawet tylko kontaktowe – upewnij się, że Twoje procedury informacyjne są zgodne z przepisami. W razie kontroli lub sporu z klientem, to właśnie dobrze udokumentowany obowiązek informacyjny może Cię uratować.
Pytania i odpowiedzi
Obowiązek informacyjny dot. plików cookies obejmuje wszystkie dane osobowe, również te zbierane automatycznie, np. przez pliki cookies, systemy analityczne czy mechanizmy śledzenia na stronach internetowych. Administrator musi poinformować użytkownika o celu i zakresie takiego przetwarzania oraz o możliwości zarządzania zgodami.
RODO nie przewiduje możliwości rezygnacji z otrzymywania informacji o przetwarzaniu danych osobowych. Informacja ta jest prawem osoby, której dane dotyczą, i obowiązkiem administratora, więc musi być przekazana bez względu na preferencje odbiorcy.
Prawo nie wskazuje dokładnego czasu przechowywania dokumentacji, ale zaleca się zachowanie wszystkich dowodów przekazania informacji tak długo, jak długo przetwarzane są dane osobowe, a także przez okres przedawnienia ewentualnych roszczeń związanych z tym przetwarzaniem.
Zaufali nam
