Warto wiedzieć

Blog

Wiemy, że specjalistyczne wiadomości nie są łatwo dostępne. Chcemy aby ludzie z branży IT byli świadomi tego, w jakim otoczeniu prawnym się poruszają. Dlatego dzielimy się wiedzą.

Obowiązek informacyjny z RODO

Obowiązek informacyjny z RODO

13 września 2025

W RODO uregulowano coś takiego jak zasada przejrzystości. Zakłada ona, że proces przetwarzania danych ma być transparentny dla osoby, której te dane dotyczą.

Kluczowym sposobem zapewniania tej przejrzystości jest informowanie osób o tym, że dochodzi do przetwarzania ich danych osobowych. Innymi słowy, każda osoba, której dane są przetwarzane, powinna być poinformowana o tym co się z jej danymi dzieje, kto je przetwarza i w jakim celu.

Obowiązek przekazywania informacji o przetwarzaniu danych jest nałożony na administratora danych. Nie jest natomiast czymś czym musi się martwić podmiot przetwarzający.

Z czego wynika konieczność przekazywania obowiązku informacyjnego?

Wymóg dotyczący informowania o przetwarzaniu danych wynika bezpośrednio z art. 13 oraz 14 RODO. Z przepisów tych wynika, że informację o przetwarzaniu danych musimy przekazać zarówno:

  • osobie, która sama podaje nam swoje dane osobowe,
  • osobie, której dane pozyskujemy z jakichś innych źródeł – w takim przypadku powinniśmy to zrobić w momencie pierwszego kontaktu z taką osobą albo w terminie miesiąca od dnia zebrania jej danych osobowych.

Dodatkowo, w RODO znajdziemy też przepisy dotyczące tego, że informacja o przetwarzaniu danych powinna być skonstruowana w sposób jasny, zrozumiały i łatwo dostępny.

Innymi słowy, nie chodzi tylko o to aby przekazać osobie napisaną prawniczym bełkotem kartkę mówiącą o tym, że jej dane są przetwarzane. Ważne jest też to aby informacja o przetwarzaniu była klarowna i zrozumiała dla osoby, która ją otrzymuje. Dlatego sugeruję aby unikać w tego typu dokumencie nadmiernie sformalizowanego języka rodem z przepisów prawa.

Informacja o tym kto jest administratorem danych

Pierwszym elementem, o którym musisz poinformować osoby, których dane przetwarzasz, jest tożsamość i dane kontaktowe administratora danych.

W treści informacji o przetwarzaniu danych musisz więc podać:

  • pełną nazwę lub imię i nazwisko administratora (np. spółki, instytucji państwowej albo osoby prowadzącej działalność gospodarczą),
  • adres Twojego biura/adres pod którym jest zarejestrowana Twoja organizacja (ważne jest to abyś odbierał albo odbierała korespondencję pod tym adresem),
  • dane kontaktowe (np. adres e-mail, numer telefonu),
  • a w razie wyznaczenia inspektora ochrony danych – także jego dane kontaktowe.

Przypomnę w tym miejscu, że administrator to ten podmiot, który podjął decyzję o tym w jakim celu i w jaki sposób będą przetwarzane dane osobowe. Innymi słowy, administratorem danych jest ten, kto zadecydował, że dane osobowe będą zbierane w jakimś konkretnym celu (np. przeprowadzenia rekrutacji albo wysyłki newslettera) i ustalił, chociaż ogólnie, w jaki sposób te dane mają być przetwarzane.

Cele i sposoby przetwarzania danych

RODO wymaga, aby osoba, której dane są zbierane, wiedziała dlaczego (cel) i na jakiej podstawie prawnej (przepis z RODO) jej dane będą przetwarzane.

Pamiętaj o tym, że samo podanie podstawy prawnej przetwarzania danych to za mało – musisz też, chociaż ogólnie, wskazać po co (w jakim celu) są one zbierane lub przetwarzane.

Przykładowo, w przypadku sklepu internetowego:

  • celem przetwarzania będzie umożliwienie klientowi złożenia zamówienia, dokonania płatnoci oraz wysyłka mu produktu realizacja umowy z klientem,
  • podstawą prawną jest w takim przypadku art. 6 ust. 1 lit b) RODO, który wskazuje, że przetwarzanie jest dopuszczalne gdy (…) jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Jeśli przetwarzasz dane osobowe na podstawie prawnie uzasadnionego interesu, musisz opisać ten interes w treści informacji. Sama wzmianka o tym, że dane są przetwarzane na podstawie prawnie uzasadnionego interesu i podanie odpowiedniego przepisu z RODO nie będzie wystarczające.

Odbiorcy danych – kto zobaczy nasze dane?

W informacji o przetwarzaniu danych musisz wskazać, czy jakaś zewnętrzna organizacja może mieć dostęp do danych osobowych. Nie zawsze trzeba podawać nazwy konkretnych podmiotów – RODO dopuszcza wskazanie kategorii odbiorców.

Odbiorcami danych będą przede wszystkim podmioty przetwarzające, takie jak usługodawcy przetwarzający dane w związku ze świadczeniem usług na rzecz administratora. Mogą być to np. dostawcy usług chmurowych, hostingu, wsparcia IT albo podmioty świadczące usługi księgowe.

Dodatkowo, odbiorcami niekiedy mogą być też inni administratorzy – np. kurierzy, ubezpieczyciele albo doradcy prawni.

Pamiętaj, że odbiorcą danych są zewnętrzne podmioty, nie członkowie Twojego zespołu, którzy mają dostęp do danych osobowych w związku z realizowanymi przez siebie obowiązkami.

Dodatkowo nie musisz wskazywać, że odbiorcą danych są instytucje państwowe takie jak ZUS czy Administracja Skarbowa.

Prawa osób, których dane dotyczą

Jako administrator musisz poinformować osoby m.in. o tym jakie prawa ma osoba, której dane dotyczą. Chodzi tu np. o takie prawa jak:

  • dostępu do danych,
  • sprostowania danych,
  • usunięcia danych („prawo do bycia zapomnianym”),
  • ograniczenia przetwarzania,
  • przenoszenia danych,
  • wniesienia sprzeciwu wobec przetwarzania – w przypadku gdy dane osobowe są przetwarzane na podstawie prawnie uzasadnionego interesu,
  • cofnięcia zgody na przetwarzanie danych – oczywiście dotyczy to sytuacji gdy dane są przetwarzane na podstawie zgody,
  • wniesienia skargi do organu nadzorczego (Prezesa UODO).

Pamiętaj o tym, że musisz poinformować osobę o tych jakie prawa przysługują konkretnie jej, nie o wszystkich prawach, które wynikają z przepisów RODO. Przykładowo, jeśli nie przetwarzasz danych na podstawie zgody, to nie powinieneś/powinnaś informować osoby o tym, że może taką zgodę wycofać.

Okres przechowywania danych

Administrator musi określić, jak długo dane będą przetwarzane. Może to być:

  • wskazanie konkretnego terminu (np. 1 rok od dnia realizacji zamówienia),
  • wskazanie kryteriów ustalania okresu (np. „przez okres trwania umowy pomiędzy stronami”).

Co jeszcze powinno znaleźć się w informacji?

W niektórych sytuacjach musisz podać także dodatkowe informacje, np.:

  • czy przekazanie danych jest wymogiem prawnym lub umownym,
  • czy podanie danych jest dobrowolne, a jeśli nie – jakie są konsekwencje ich niepodania,
  • czy dane będą przekazywane do państw trzecich lub organizacji międzynarodowych,
  • czy będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.

W jaki sposób przekazywać informacje?

To w jaki sposób będziesz przekazywał informacje o przetwarzaniu danych zależało będzie od tego jaką organizacją jesteś, czym się zajmujesz i czyje dane przetwarzasz. Przykładowo, informację o przetwarzaniu danych możesz przekazać w jeden z następujących sposobów:

  • kandydatom do pracy – w treści ogłoszenia o pracę lub w ramach formularza rekrutacyjnego online,
  • pracownikom – za pomocą odpowiedniego dokumentu z klauzulami przekazywanego podczas procesu rekrutacji lub podczas zawierania umowy o pracę (wraz z innymi dokumentami, ktore otrzymuje nowy pracownik),
  • klientom – poprzez przesłanie informacji o przetwarzaniu danych mailem lub przekazanie jej jako załącznik do umowy, w odrębnej klauzuli informacyjnej,
  • użytkownikom strony internetowej – w polityce prywatności opublikowanej online, w klauzulach przy formularzach kontaktowych czy zapisach na newsletter.

Podsumowanie

Obowiązek informacyjny to nie tylko formalność, ale przede wszystkim narzędzie budowania transparentności i zaufania wobec pracowników, klientów i użytkowników. Dobrze przygotowana informacja o przetwarzaniu danych chroni nie tylko osoby, których dane dotyczą, ale także samego administratora – przed zarzutami naruszenia prawa i przed sankcjami.