1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Obowiązek informacyjny w RODO – sposób i termin jego realizacji
Wyszukiwanie...

Obowiązek informacyjny w RODO – sposób i termin jego realizacji

Spis treści

Realizacja obowiązku informacyjnego wobec osób, których dane są przetwarzane, jest jednym z fundamentów RODO. Administrator musi go wypełnić zawsze – niezależnie od źródła pozyskania danych. Różny jest jednak moment przekazania informacji, co zależy od tego, czy dane zostały zebrane bezpośrednio od osoby (pozyskiwanie pierwotne), czy pośrednio – od innych podmiotów lub ze źródeł publicznych (pozyskiwanie wtórne).

Termin spełnienia obowiązku informacyjnego

📌 Dane pozyskane bezpośrednio (art. 13 RODO)

W tym przypadku administrator musi przekazać wszystkie wymagane informacje w momencie zbierania danych.
➡️ Przykład: klient zakłada konto w sklepie internetowym – klauzula informacyjna musi być dostępna przy rejestracji.

📌 Dane pozyskane pośrednio (art. 14 RODO)

Zgodnie z art. 14 ust. 3 lit. a RODO, informacje trzeba przekazać w rozsądnym terminie po pozyskaniu danych, nie później niż w ciągu miesiąca.
Przy czym – liczy się moment faktycznego pozyskania, czyli utrwalenia danych.

Wyjątki (art. 14 ust. 3 lit. b i c RODO)

Administrator musi poinformować wcześniej niż w ciągu miesiąca, jeśli:

  1. dane są używane do komunikacji z osobą – wówczas informacje trzeba przekazać najpóźniej przy pierwszej komunikacji,
  2. dane mają być ujawnione innemu odbiorcy – wtedy informacje muszą być przekazane najpóźniej przy pierwszym ujawnieniu.

➡️ To oznacza, że w praktyce obowiązek informacyjny często trzeba spełnić dużo szybciej niż w ciągu miesiąca.

Obowiązek informacyjny a marketing bezpośredni

Moment pierwszego kontaktu z podmiotem danych jest szczególnie istotny przy marketingu bezpośrednim.
Zgodnie z art. 21 ust. 4 RODO, administrator musi już wtedy przekazać informację o prawie do sprzeciwu wobec przetwarzania danych w celach marketingowych, w tym profilowania.

⚠️ Ten komunikat musi być przedstawiony jasno i odrębnie od innych informacji (np. nie może być ukryty w długim regulaminie).

Ponowne informowanie przy zmianie celu przetwarzania

Administrator nie może ograniczyć się do jednorazowego spełnienia obowiązku informacyjnego. Jeżeli planowany jest nowy cel przetwarzania danych, inny niż pierwotny, osoba musi otrzymać odpowiednie informacje przed rozpoczęciem dalszego przetwarzania.

Zgodnie z art. 13 ust. 3 i art. 14 ust. 4 RODO, w takim przypadku administrator powinien poinformować o:

  1. nowym celu przetwarzania danych,
  2. okresie przechowywania danych (lub kryteriach jego ustalania),
  3. prawach osoby (dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie danych, skarga do UODO),
  4. prawie do cofnięcia zgody – jeżeli podstawą przetwarzania jest zgoda,
  5. zautomatyzowanym podejmowaniu decyzji i profilowaniu – w tym o zasadach i przewidywanych konsekwencjach,
  6. (w przypadku danych pozyskanych pośrednio) – dodatkowo o źródle danych i czy pochodzą ze źródeł publicznych.

➡️ Przykład: sklep internetowy, który zebrał dane klientów w celu obsługi zamówienia, planuje dodatkowo wykorzystać je do marketingu usług partnerskich. Przed rozpoczęciem takiego przetwarzania musi poinformować klientów o nowym celu i prawie do sprzeciwu.

Forma realizacji obowiązku informacyjnego

Administrator ma dużą swobodę co do formy przekazania informacji. Może to zrobić:

  • elektronicznie (np. e-mail, strona www, aplikacja mobilna),
  • w formie papierowej (np. formularz rejestracyjny, umowa, regulamin).

Ważne jest jednak, by forma była czytelna, zrozumiała i możliwa do udokumentowania.

⚖️ W orzecznictwie wskazuje się, że wysłanie informacji pocztą tradycyjną, na adres osoby prowadzącej jednoosobową działalność gospodarczą (także zawieszoną), lub przekazanie ich telefonicznie – nie jest czynnością niemożliwą ani niewspółmiernie trudną, jeśli administrator posiada dane kontaktowe.

Ikony i znaki graficzne

RODO (art. 12 ust. 7) dopuszcza stosowanie standardowych znaków graficznych (ikon), które ułatwiają zrozumienie przekazywanych informacji.

Takie ikony mogą wskazywać np. cel przetwarzania, czas przechowywania danych, prawa osoby. Powinny być:

  • widoczne,
  • zrozumiałe,
  • dostępne w formie elektronicznej w wersji czytelnej dla maszyn.

➡️ Przykład: organ nadzorczy z Badenii-Wirtembergii opracował zestaw ikon do oznaczania procesów przetwarzania (źródło: datenschutz-icons).

Konsekwencje naruszenia obowiązku informacyjnego

Naruszenie zasady przejrzystego informowania i komunikacji traktowane jest przez RODO bardzo poważnie.
Zgodnie z art. 83 ust. 5 lit. b RODO, za takie uchybienie organ nadzorczy może nałożyć administracyjną karę pieniężną:

  • do 20 mln euro, albo
  • do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego,
  • stosuje się kwotę wyższą.

⚠️ To najwyższy wymiar kary przewidziany w RODO.

Zasada rozliczalności

Spełnienie obowiązku informacyjnego nie oznacza jeszcze, że przetwarzanie danych jest zgodne z prawem. Administrator musi dodatkowo wykazać, że posiada jedną z przesłanek legalizujących z art. 6 (dla danych zwykłych) lub art. 9 RODO (dla danych szczególnych).

Dlatego tak istotne jest, aby administrator mógł udowodnić, że obowiązek informacyjny został należycie zrealizowany – np. przez:

  • zachowanie dowodu wysyłki wiadomości e-mail,
  • podpisane formularze papierowe,
  • logi systemowe potwierdzające wyświetlenie klauzuli informacyjnej.

Bezpłatność informacji

Zgodnie z art. 12 ust. 5 RODO:

  • przekazywanie informacji, o których mowa w art. 13 i 14, oraz komunikacja na mocy art. 15–22, jest co do zasady wolne od opłat.
  • Administrator nie może więc pobierać opłat np. za dostęp do danych czy przesłanie klauzuli informacyjnej.

Kiedy administrator może pobrać opłatę?

Wyjątek dotyczy sytuacji, gdy żądania osoby, której dane dotyczą, są:

  • ewidentnie nieuzasadnione, albo
  • nadmierne (np. powtarzające się w krótkich odstępach czasu).

Wówczas administrator może:

  • pobrać rozsądną opłatę pokrywającą koszty administracyjne, albo
  • odmówić podjęcia działań.

Obowiązek wykazania, że żądanie jest nieuzasadnione lub nadmierne, spoczywa na administratorze.

Praktyczne wskazówki dla przedsiębiorców

  • ✔ Informacje przekazuj jak najwcześniej – najlepiej już przy pozyskiwaniu danych.
  • ✔ Dokumentuj, że klauzula informacyjna została doręczona.
  • ✔ Przy zmianie celu przetwarzania – zawsze informuj ponownie.
  • ✔ Stosuj ikony i grafiki dla większej przejrzystości.
  • ✔ Pamiętaj, że obowiązek informacyjny nie zwalnia z konieczności posiadania podstawy prawnej przetwarzania.
  • ✔ Unikaj praktyk, które mogą zostać ocenione jako „ukrywanie informacji” (np. zbyt mała czcionka, linki w mało widocznych miejscach).

Podsumowanie

✔ Obowiązek informacyjny musi być realizowany zawsze – niezależnie od źródła danych.
✔ Termin jego wykonania różni się w zależności od tego, czy dane zebrano bezpośrednio, czy pośrednio.
✔ Administrator ma swobodę co do formy przekazania informacji, ale musi być ona czytelna i udokumentowana.
✔ Naruszenie obowiązku może skutkować karą do 20 mln euro lub 4% globalnego obrotu.
✔ Informacje muszą być co do zasady bezpłatne – wyjątkiem są żądania ewidentnie nieuzasadnione lub nadmierne.

Podstawa prawna

  • art. 12 ust. 5, art. 12 ust. 7, art. 13 ust. 3, art. 14 ust. 3–4, art. 21 ust. 4, art. 83 ust. 5 lit. b – RODO,
  • motyw 58 i motyw 60 RODO – zasady przejrzystości i obowiązku informacyjnego.

Tematy porad zawartych w poradniku

  • termin obowiązku informacyjnego RODO
  • art. 13 i 14 RODO praktyka
  • marketing a prawo do sprzeciwu
  • kary za naruszenie obowiązku informacyjnego

Przydatne linki urzędowe

Ostatnia aktualizacja: 17.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: