+48 692 004 515

  kancelaria@maniszewska.pl

Menu
klauzula informacyjna rodo

Klauzula informacyjna RODO — jak napisać prawidłowy obowiązek informacyjny (art. 13–14 GDPR)

Obowiązek informacyjny to jeden z filarów RODO i jednocześnie jeden z najczęściej nieprawidłowo realizowanych. Każda firma, instytucja i organizacja, która przetwarza dane osobowe, musi poinformować o tym osoby, których dane dotyczą — a informacja ta musi spełniać ściśle określone wymagania. Dokument, w którym te informacje są przekazywane, nazywany jest potocznie klauzulą informacyjną.

W praktyce klauzule informacyjne bywają zbyt ogólne, niekompletne, napisane niezrozumiałym językiem prawniczym lub po prostu skopiowane z internetu bez dostosowania do rzeczywistych procesów przetwarzania. Każdy z tych błędów może skutkować naruszeniem RODO i karą ze strony UODO.

W tym artykule wyjaśniam krok po kroku, jak prawidłowo przygotować klauzulę informacyjną — z odniesieniami do art. 13 i 14 GDPR, wytycznych EDPB oraz praktyki UODO.

Czym jest obowiązek informacyjny RODO?

Obowiązek informacyjny to wynikający z RODO wymóg przekazania osobie, której dane dotyczą, określonych informacji o przetwarzaniu jej danych osobowych. RODO reguluje go w dwóch artykułach:

Art. 13 GDPR — stosuje się, gdy dane osobowe są zbierane bezpośrednio od osoby, której dotyczą. Przykłady: formularz kontaktowy na stronie www, formularz rejestracyjny, umowa z klientem, kwestionariusz rekrutacyjny.

Art. 14 GDPR — stosuje się, gdy dane osobowe nie zostały pozyskane bezpośrednio od osoby, lecz z innego źródła. Przykłady: dane otrzymane od kontrahenta, dane z publicznie dostępnych rejestrów (KRS, CEIDG), dane pozyskane od agencji marketingowej.

Różnica między art. 13 a art. 14 jest istotna — zakres wymaganych informacji częściowo się pokrywa, ale art. 14 wymaga dodatkowo wskazania źródła danych i kategorii danych, a termin na przekazanie informacji jest inny.

Co musi zawierać klauzula informacyjna — pełna checklist

Poniżej przedstawiam kompletną listę elementów, które musi zawierać klauzula informacyjna. Elementy oznaczone gwiazdką (*) dotyczą wyłącznie art. 14 (dane z innego źródła).

1. Tożsamość i dane kontaktowe administratora — pełna nazwa firmy lub instytucji, adres siedziby, dane kontaktowe (e-mail, telefon). Jeśli jest współadministrator — dane obu podmiotów i informacja o uzgodnieniach.

2. Dane kontaktowe IOD — jeśli administrator powołał Inspektora Ochrony Danych, należy podać jego dane kontaktowe (e-mail i/lub telefon). Nie trzeba podawać imienia i nazwiska. Więcej o roli IOD przeczytasz w naszym przewodniku.

3. Cele przetwarzania i podstawa prawna — dla każdego celu przetwarzania należy wskazać odpowiednią podstawę prawną z art. 6 ust. 1 GDPR (a w przypadku danych szczególnych — z art. 9 ust. 2). Nie wystarczy napisać „przetwarzamy dane zgodnie z RODO” — trzeba podać konkretny cel i konkretną podstawę. Więcej o podstawach prawnych przetwarzania przeczytasz w naszym przewodniku po RODO.

4. Uzasadniony interes administratora — jeśli podstawą prawną jest art. 6 ust. 1 lit. f (uzasadniony interes), należy wskazać, na czym ten interes polega. Przykład: „prawnie uzasadnionym interesem administratora jest marketing bezpośredni własnych produktów”.

5. Odbiorcy danych lub kategorie odbiorców — należy wskazać, komu dane są lub mogą być przekazywane. Mogą to być konkretne podmioty (np. nazwa biura rachunkowego) lub kategorie (np. „dostawcy usług IT”, „organy państwowe na podstawie przepisów prawa”).

6. Informacja o transferze do państw trzecich — jeśli dane są przekazywane poza EOG, należy o tym poinformować, wskazując mechanizm zabezpieczenia (np. SCC, decyzja o adekwatności).

7. Okres przechowywania danych — konkretny okres (np. „5 lat od zakończenia umowy”) lub kryteria jego ustalenia (np. „do czasu wycofania zgody”, „przez okres wymagany przepisami prawa podatkowego”). Sformułowanie „przez czas niezbędny” bez doprecyzowania jest niewystarczające.

8. Prawa osoby — należy poinformować o przysługujących prawach: prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu. Jeśli podstawą jest zgoda — prawo do jej wycofania w dowolnym momencie (z informacją, że wycofanie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania).

9. Prawo do skargi — informacja o prawie wniesienia skargi do organu nadzorczego (UODO), z podaniem nazwy i danych kontaktowych.

10. Informacja o dobrowolności lub obowiązku podania danych — czy podanie danych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy, a także jakie są konsekwencje niepodania danych.

11. Informacja o zautomatyzowanym podejmowaniu decyzji — jeśli administrator stosuje zautomatyzowane podejmowanie decyzji, w tym profilowanie (art. 22 GDPR), musi podać istotne informacje o zasadach takiego podejmowania decyzji, jego znaczeniu i przewidywanych konsekwencjach.

12. Źródło danych* (tylko art. 14) — z jakiego źródła pochodzą dane (np. od kontrahenta, z publicznego rejestru, ze źródeł publicznie dostępnych).

13. Kategorie danych* (tylko art. 14) — jakie kategorie danych osobowych są przetwarzane (np. dane identyfikacyjne, dane kontaktowe, dane zawodowe).

Kiedy i jak przekazać klauzulę informacyjną?

Art. 13 (dane od osoby): Informację należy przekazać w momencie pozyskiwania danych — np. przy wypełnianiu formularza, podpisywaniu umowy, rozpoczęciu rekrutacji.

Art. 14 (dane z innego źródła): Informację należy przekazać w rozsądnym terminie, nie później niż w ciągu miesiąca od pozyskania danych — lub przy pierwszym kontakcie z osobą, jeśli dane mają być wykorzystane do komunikacji, lub przy pierwszym ujawnieniu danych innemu odbiorcy.

Forma przekazania — RODO nie narzuca jednej formy. Klauzulę można przekazać na piśmie (papierowo), elektronicznie (e-mail, strona www), ustnie (na żądanie osoby, jeśli tożsamość jest potwierdzona innymi sposobami) lub w formie warstwowej (layered notice) — krótka wersja z najważniejszymi informacjami + link do pełnej wersji.

Forma warstwowa — rekomendowane podejście

EDPB i Grupa Robocza art. 29 (w wytycznych WP 260) rekomendują stosowanie formy warstwowej (layered approach), szczególnie w środowisku cyfrowym. Polega to na przedstawieniu informacji na dwóch lub więcej poziomach:

Pierwsza warstwa (skrócona): Najważniejsze informacje: kto jest administratorem, w jakim celu przetwarza dane, jakie prawa przysługują osobie, link do pełnej klauzuli. Powinna być krótka, czytelna i widoczna w momencie zbierania danych (np. pod formularzem kontaktowym).

Druga warstwa (pełna): Kompletna klauzula informacyjna z wszystkimi elementami wymaganymi przez art. 13 lub 14 — dostępna po kliknięciu linku lub na osobnej podstronie.

Taki model pozwala pogodzić wymóg przejrzystości (osoba szybko rozumie najważniejsze kwestie) z wymogiem kompletności (pełna informacja jest dostępna).

Język i forma klauzuli — wymagania RODO

Art. 12 ust. 1 GDPR wymaga, aby informacje były podawane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem — w szczególności w przypadku informacji kierowanych do dzieci.

W praktyce oznacza to:

Unikaj żargonu prawniczego — zamiast „Administrator przetwarza dane osobowe na podstawie art. 6 ust. 1 lit. f RODO” napisz „Przetwarzamy Twoje dane na podstawie naszego uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), którym jest…”.

Używaj aktywnej strony — „przetwarzamy Twoje dane” zamiast „dane są przetwarzane”.

Grupuj informacje logicznie — nie twórz jednego długiego bloku tekstu, lecz podziel klauzulę na czytelne sekcje z nagłówkami.

Dostosuj poziom języka do odbiorcy — klauzula dla użytkowników aplikacji mobilnej powinna wyglądać inaczej niż klauzula dla kontrahentów biznesowych.

Nie kopiuj klauzul z internetu — każda klauzula powinna odzwierciedlać rzeczywiste procesy przetwarzania w Twojej organizacji.

Klauzula informacyjna a zgoda na przetwarzanie danych — to nie to samo

Bardzo częstym błędem jest mylenie klauzuli informacyjnej ze zgodą na przetwarzanie danych. To dwa odrębne elementy:

Klauzula informacyjna to jednostronne przekazanie informacji osobie — administrator informuje, osoba nie musi nic podpisywać ani potwierdzać. Obowiązek informacyjny istnieje niezależnie od podstawy prawnej przetwarzania.

Zgoda to oświadczenie woli osoby wyrażające akceptację przetwarzania danych w określonym celu — musi być dobrowolna, konkretna, świadoma i jednoznaczna (art. 7 GDPR). Zgoda jest jedną z sześciu podstaw prawnych z art. 6 GDPR.

W praktyce: klauzula informacyjna jest zawsze wymagana, niezależnie od tego, czy przetwarzasz dane na podstawie zgody, umowy, obowiązku prawnego czy uzasadnionego interesu. Zgoda jest natomiast wymagana tylko wtedy, gdy jest podstawą prawną przetwarzania.

Najczęstsze błędy w klauzulach informacyjnych

Na podstawie kontroli UODO, decyzji europejskich organów nadzorczych i praktyki audytowej, najczęstsze błędy to:

Brak klauzuli informacyjnej — organizacja w ogóle nie informuje osób o przetwarzaniu ich danych. Dotyczy to szczególnie przetwarzania danych pracowników, monitoringu wizyjnego i formularzy na stronach www.

Niekompletna klauzula — brakuje jednego lub więcej wymaganych elementów, najczęściej: okresu przechowywania danych, informacji o prawach osoby, danych kontaktowych IOD.

Ogólnikowe sformułowania — „dane będą przechowywane przez czas niezbędny” (bez doprecyzowania), „dane mogą być przekazywane podmiotom współpracującym” (bez wskazania kategorii odbiorców).

Zbyt skomplikowany język — wielostronicowy dokument pisany żargonem prawniczym, niezrozumiały dla przeciętnego odbiorcy.

Jeden wzór dla wszystkich — ta sama klauzula stosowana do klientów, pracowników, kontrahentów i użytkowników strony www, mimo że cele i podstawy prawne są różne.

Brak aktualizacji — klauzula przygotowana w 2018 r. i od tego czasu niezmieniana, mimo zmiany procesów, celów przetwarzania lub struktury organizacyjnej.

Ukrywanie klauzuli — klauzula dostępna tylko w trudno dostępnym miejscu (np. głęboko w regulaminie), co narusza wymóg łatwej dostępności.

Dla kogo przygotować klauzulę informacyjną — checklist grup osób

Większość organizacji powinna mieć osobne klauzule informacyjne dla następujących grup:

  1. Klienci (osoby fizyczne) — zawieranie i realizacja umów, obsługa reklamacji
  2. Użytkownicy strony internetowej — cookies, formularze kontaktowe, newsletter
  3. Pracownicy — rekrutacja, zatrudnienie, akta osobowe, monitoring
  4. Kandydaci do pracy — proces rekrutacyjny
  5. Kontrahenci (osoby kontaktowe) — współpraca biznesowa, realizacja umów B2B
  6. Osoby objęte monitoringiem wizyjnym — jeśli organizacja prowadzi monitoring
  7. Osoby korzystające z usług — np. pacjenci, uczniowie, uczestnicy szkoleń
  8. Osoby, których dane pozyskano z innego źródła — wymaga klauzuli z art. 14

Praktyczna checklist — jak przygotować klauzulę krok po kroku

  1. Zidentyfikuj grupy osób, których dane przetwarzasz.
  2. Dla każdej grupy określ cele przetwarzania i podstawy prawne.
  3. Zmapuj odbiorców danych (wewnętrzni i zewnętrzni).
  4. Ustal okresy przechowywania danych dla każdego celu.
  5. Sprawdź, czy dane są transferowane poza EOG.
  6. Sprawdź, czy stosujesz zautomatyzowane podejmowanie decyzji.
  7. Napisz klauzulę w przystępnym języku, z podziałem na sekcje.
  8. Zastosuj formę warstwową (krótka wersja + pełna wersja).
  9. Udostępnij klauzulę w odpowiednim momencie i formie.
  10. Zaplanuj regularny przegląd i aktualizację klauzul.

Potrzebujesz pomocy z klauzulami informacyjnymi?

Prawidłowe klauzule informacyjne to podstawa zgodności z RODO — i jednocześnie element, który UODO sprawdza w pierwszej kolejności podczas kontroli. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont przygotowujemy klauzule informacyjne dostosowane do rzeczywistych procesów przetwarzania w Twojej organizacji — kompletne, zgodne z wytycznymi EDPB i napisane zrozumiałym językiem.

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — przygotujemy lub zweryfikujemy Twoje klauzule informacyjne.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts