Choć obowiązek informacyjny jest jedną z podstawowych zasad RODO, nie ma on charakteru absolutnego. Rozporządzenie przewiduje sytuacje, w których administrator nie musi przekazywać informacji osobie, której dane dotyczą, albo może przekazać je w ograniczonym zakresie.
Takie wyjątki mają zastosowanie w praktyce m.in. przy zbieraniu danych pośrednio, w ramach obowiązków ustawowych albo w sytuacjach, gdy zachodzi konieczność ochrony tajemnicy zawodowej.
Wyłączenia przy art. 13 RODO – dane pozyskiwane bezpośrednio
W przypadku, gdy dane osobowe są pozyskiwane bezpośrednio od osoby, obowiązek informacyjny nie musi być realizowany, jeżeli:
- osoba dysponuje już wymaganymi informacjami.
➡️ Przykład: klient wypełnia formularz w banku, a wszystkie informacje o administratorze, celach i czasie przetwarzania zostały już zawarte w umowie – wówczas nie ma obowiązku ponownego informowania go w klauzuli informacyjnej.
Wyłączenia przy art. 14 RODO – dane pozyskiwane pośrednio
Przy danych uzyskiwanych z innych źródeł katalog wyjątków jest szerszy. Administrator nie ma obowiązku informowania osoby, jeśli zachodzi jedna z poniższych sytuacji:
- Osoba ma już te informacje – podobnie jak w art. 13.
- Udzielenie informacji jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
- W takim przypadku administrator musi zastosować inne środki ochrony praw osoby, np. opublikować informacje w widocznym miejscu na swojej stronie internetowej.
- ⚠️ To wyłączenie jest ryzykowne – administrator musi udowodnić, że spełnia przesłanki. Błędna ocena może skutkować karą do 20 mln euro lub 4% obrotu (art. 83 ust. 5 lit. b RODO).
➡️ Przykład: duża firma energetyczna pozyskuje dane z publicznych rejestrów. Wysyłanie indywidualnych klauzul do setek tysięcy osób mogłoby być uznane za niewspółmiernie uciążliwe – ale administrator musi wykazać, że faktycznie tak jest, np. dokumentując skalę trudności.
Kolejne wyłączenia obowiązku informacyjnego przy danych pozyskiwanych pośrednio (art. 14 RODO)
3. Pozyskiwanie lub ujawnianie danych uregulowane przepisami prawa
Jeżeli sposób pozyskania albo ujawnienia danych jest wprost określony w prawie Unii Europejskiej lub prawie krajowym, a przepisy przewidują odpowiednie środki ochrony interesów osoby, której dane dotyczą – administrator nie musi dodatkowo realizować obowiązku informacyjnego.
➡️ Przykład: bank ma obowiązek przekazywania informacji do Biura Informacji Kredytowej (BIK). Ten proces jest uregulowany w prawie bankowym. Administrator nie musi więc dodatkowo powiadamiać każdego klienta o przekazaniu danych do BIK – wystarczy, że informacja wynika z regulacji prawnych.
4. Tajemnica zawodowa
Administrator jest zwolniony z obowiązku informacyjnego, gdy dane muszą pozostać poufne zgodnie z:
- prawem Unii Europejskiej,
- prawem państwa członkowskiego,
- lub ustawowym obowiązkiem zachowania tajemnicy (np. tajemnica adwokacka, lekarska, notarialna, bankowa).
➡️ Przykład: adwokat pozyskuje dane świadka od swojego klienta w ramach prowadzenia sprawy. Obowiązek zachowania tajemnicy zawodowej powoduje, że adwokat nie musi dodatkowo powiadamiać świadka o przetwarzaniu jego danych.
Obowiązek dowodowy po stronie administratora
W każdym przypadku zastosowania wyłączenia to administrator musi udowodnić, że przesłanki faktycznie zachodziły.
- Jeśli powoła się na niemożność poinformowania z uwagi na „niewspółmiernie duży wysiłek”, musi wykazać, że rzeczywiście nie miał realnej możliwości skutecznego poinformowania osób.
- Jeśli powoła się na przepisy prawa, musi wskazać podstawę prawną, która zwalnia go z obowiązku.
⚠️ Brak takiego wykazania oznacza ryzyko stwierdzenia naruszenia RODO i groźbę kary finansowej (art. 83 ust. 5 lit. b RODO).
Podsumowanie wyłączeń
- Art. 13 RODO (dane zbierane bezpośrednio): brak obowiązku informacyjnego, gdy osoba ma już wszystkie wymagane informacje.
- Art. 14 RODO (dane zbierane pośrednio): brak obowiązku, gdy:
✔ osoba ma już te informacje,
✔ udzielenie informacji jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku (wówczas należy zastosować inne środki, np. publikacja na stronie www),
✔ pozyskiwanie/ujawnianie danych wynika wprost z prawa UE lub krajowego,
✔ dane objęte są tajemnicą zawodową (np. adwokacką, lekarską, bankową).
📌 To kończy część 2 i cały poradnik o wyłączeniach obowiązku informacyjnego.
Podstawa prawna
- art. 13 ust. 4 – RODO (zwolnienie przy danych pozyskiwanych bezpośrednio),
- art. 14 ust. 5 – RODO (wyłączenia przy danych pozyskiwanych pośrednio),
- art. 83 ust. 5 lit. b – RODO (kary za naruszenie obowiązku informacyjnego).
Tematy porad zawartych w poradniku
- wyłączenia obowiązku informacyjnego RODO
- art. 13 i 14 RODO wyjątki
- tajemnica zawodowa a RODO
- obowiązek informacyjny administratora 2025