1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Obowiązki informacyjne administratora w RODO – typy i zakresy
Wyszukiwanie...

Obowiązki informacyjne administratora w RODO – typy i zakresy

Spis treści

Jednym z kluczowych elementów realizacji zasady przejrzystej komunikacji w RODO jest obowiązek informacyjnyadministratora danych. Polega on na tym, że każda osoba, której dane są gromadzone, musi otrzymać od administratora określone informacje o przetwarzaniu.

Co istotne, katalog informacji, jakie trzeba przekazać, zależy od źródła pozyskania danych. Inaczej wygląda to, gdy dane zbierane są bezpośrednio od osoby fizycznej (tzw. sposób pierwotny), a inaczej, gdy pochodzą z innych źródeł(sposób wtórny).

Pierwotny i wtórny sposób pozyskiwania danych

📌 Pozyskiwanie pierwotne

Administrator zbiera dane bezpośrednio od osoby, której dane dotyczą.
➡️ Przykład: klient sklepu internetowego podaje swoje imię, adres i e-mail przy składaniu zamówienia.

Do tego typu sytuacji zalicza się także przypadek, gdy dane przekazuje przedstawiciel ustawowy (np. rodzic w imieniu dziecka).

📌 Pozyskiwanie wtórne

Administrator uzyskuje dane pośrednio, np. od:

  • innego podmiotu,
  • osoby trzeciej,
  • z ogólnodostępnych rejestrów i baz danych.

➡️ Przykład: firma windykacyjna otrzymuje dane dłużnika od banku albo pobiera informacje z KRS.

Dlaczego źródło danych ma znaczenie?

RODO różnicuje obowiązki administratora w zależności od tego, skąd pochodzą dane.

  • Jeśli osoba sama je podała – otrzymuje pełny zestaw informacji od razu (art. 13 RODO).
  • Jeśli dane pozyskano z innych źródeł – administrator musi dodatkowo wskazać kategorię danych oraz źródło ich pochodzenia (art. 14 RODO).

➡️ To oznacza, że zakres klauzuli informacyjnej jest inny w zależności od tego, czy dane zostały zebrane pierwotnie czy wtórnie.

Zakres obowiązków informacyjnych – co musi zawierać klauzula?

Choć zakres obowiązku informacyjnego zależy od źródła pozyskania danych, to większość informacji musi być przekazana w obu przypadkach – zarówno przy pozyskiwaniu pierwotnym, jak i wtórnym.

Poniżej zestawienie:

Informacje obowiązkowe w obu przypadkach (pierwotny + wtórny sposób)

Administrator musi zawsze przekazać:

  • dane identyfikujące administratora (nazwa, adres, dane kontaktowe),
  • dane przedstawiciela administratora (jeśli został powołany),
  • dane kontaktowe inspektora ochrony danych (jeżeli został wyznaczony),
  • cel i podstawę prawną przetwarzania danych,
  • informację o prawnie uzasadnionych interesach (gdy podstawą przetwarzania jest art. 6 ust. 1 lit. f RODO),
  • okres przechowywania danych (lub kryteria jego określania),
  • informacje o prawach osoby, w tym:
    • prawo cofnięcia zgody (jeśli jest podstawą),
    • prawo dostępu, sprostowania, usunięcia danych,
    • prawo ograniczenia przetwarzania,
    • prawo sprzeciwu,
    • prawo do przenoszenia danych,
    • prawo wniesienia skargi do organu nadzorczego,
  • informacje o odbiorcach danych lub kategoriach odbiorców,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – wraz z zasadami i konsekwencjami,
  • informacje o przekazywaniu danych do państw trzecich lub organizacji międzynarodowych, a także o stosowanych zabezpieczeniach,
  • informację, czy podanie danych jest obowiązkowe (ustawowe/umowne) i jakie są konsekwencje ich niepodania.

Informacje dodatkowe przy pozyskiwaniu wtórnym

Jeśli administrator zbiera dane pośrednio, np. od innych podmiotów lub z publicznych rejestrów, musi dodatkowo poinformować:

  • kategoriach danych osobowych, które posiada,
  • źródle ich pochodzenia, a jeśli dane pochodzą z ogólnodostępnych źródeł – trzeba to wskazać wprost.

➡️ Przykład:
Firma windykacyjna informuje dłużnika: „Twoje dane otrzymaliśmy od banku XYZ w związku z umową kredytu. Przetwarzamy je w zakresie: imię, nazwisko, adres zamieszkania, PESEL, wysokość zadłużenia”.

Podsumowanie różnic

  • Pozyskiwanie pierwotne (art. 13 RODO): klauzula informacyjna bez informacji o źródle i kategoriach danych (bo te podaje sam zainteresowany).
  • Pozyskiwanie wtórne (art. 14 RODO): klauzula musi zawierać dodatkowo źródło danych i kategorię danych.

Praktyczne przykłady stosowania obowiązków informacyjnych

📌 Przykład 1 – pozyskiwanie danych pierwotne (art. 13 RODO)

Sklep internetowy z Katowic zbiera dane klientów przy składaniu zamówienia (imię, nazwisko, adres e-mail, adres dostawy).
Administrator powinien poinformować klienta m.in. o:

  • swojej tożsamości i danych kontaktowych,
  • celu przetwarzania (obsługa zamówienia, kontakt w sprawie dostawy),
  • podstawie prawnej (art. 6 ust. 1 lit. b RODO – wykonanie umowy),
  • okresie przechowywania danych (np. 5 lat ze względu na przepisy podatkowe),
  • prawach klienta (dostęp, sprostowanie, usunięcie, sprzeciw),
  • odbiorcach danych (firma kurierska, biuro rachunkowe),
  • ewentualnym przekazywaniu danych poza EOG.

➡️ Klient sam podał dane, więc sklep nie musi informować o źródle ani kategorii danych.

📌 Przykład 2 – pozyskiwanie danych wtórne (art. 14 RODO)

Firma windykacyjna z Poznania uzyskuje dane dłużnika od banku. Zakres obejmuje: imię, nazwisko, adres, PESEL, wysokość zadłużenia.
Administrator musi przekazać dłużnikowi te same informacje, co w przykładzie 1, ale dodatkowo:

  • źródło danych – bank XYZ,
  • kategorię danych – dane identyfikacyjne i finansowe.

➡️ Dzięki temu dłużnik wie nie tylko, kto i w jakim celu przetwarza jego dane, ale także skąd je pozyskano.

📌 Przykład 3 – dane dziecka

Rodzic zapisuje dziecko do prywatnej szkoły muzycznej we Wrocławiu i podaje jego dane. Choć formalnie dane zostały pozyskane pierwotnie, obowiązek informacyjny administratora obejmuje także dziecko – a informacje muszą być sformułowane w taki sposób, by były dla niego zrozumiałe (np. uproszczony język w polityce prywatności).

Podsumowanie

✔ Obowiązek informacyjny administratora zależy od źródła danych – pierwotny czy wtórny sposób pozyskania.
✔ W obu przypadkach osoba, której dane dotyczą, musi otrzymać zestaw podstawowych informacji (administrator, cele, podstawa prawna, prawa, odbiorcy, okres przechowywania itd.).
✔ W przypadku danych pozyskanych pośrednio, dodatkowo trzeba wskazać źródło i kategorie danych.
✔ Realizacja obowiązku informacyjnego to jeden z filarów zasady przejrzystej komunikacji – jego brak grozi skargami do UODO i karami finansowymi.

Podstawa prawna

  • art. 13 – RODO (obowiązek informacyjny przy pozyskiwaniu danych bezpośrednio od osoby),
  • art. 14 – RODO (obowiązek informacyjny przy pozyskiwaniu danych pośrednio),
  • art. 12 – RODO (wymóg przejrzystej komunikacji),
  • motywy 60–62 RODO (uzupełniające wskazówki interpretacyjne).

Tematy porad zawartych w poradniku

  • obowiązek informacyjny RODO 2025
  • art. 13 i 14 RODO różnice
  • klauzula informacyjna przykład
  • źródło danych osobowych a RODO

Przydatne linki urzędowe

Ostatnia aktualizacja: 17.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: