Obowiązek informacyjny w RODO to kompleksowy wymóg, aby administratorzy danych informowali osoby, których dane dotyczą, o sposobie przetwarzania ich danych osobowych. Obowiązek ten wynika z art. 13 i 14 RODO. Obejmuje on nie tylko przekazanie klauzuli informacyjnej, ale również wiele innych aspektów, takich jak forma przekazywania informacji, termin ich przekazania oraz sposób, w jaki są one prezentowane.
Zgodnie z art. 13 RODO elementami obligatoryjnymi klauzuli informacyjnej, w sytuacji, gdy dane są pobierane bezpośrednio od osoby, której dane dotyczą są:
- tożsamość i dane kontaktowe administratora danych osobowych, a jeżeli jest to możliwe, to również dane jego przedstawiciela (np. przedstawicielem gminy jest wójt/burmistrz/prezydent), a w przypadku wyznaczenia Inspektora Danych Osobowych – również dane kontaktowe Inspektora,
- cel przetwarzania danych oraz podstawę prawną przetwarzania, a gdy jest kilka celów, to również podstawę prawną dla każdego z nich,
- w przypadku przetwarzania danych na podstawie prawnie uzasadnionego interesu administratora, należy wskazać ten prawnie uzasadniony interes,
- informacje o odbiorcach danych osobowych lub kategorie odbiorców, jeżeli istnieją,
- informacje o planowanym przesłaniu danych poza granice Unii Europejskiej i Europejskiego Obszaru Gospodarczego, wraz z informacjami zawartymi w art. 13 ust. 1 lit. f RODO,
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- informacje o prawach przysługujących osobie, której dane są przetwarzane tj.: prawie dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu, przenoszenia danych oraz skargi do organu nadzorczego,
- informacje określające, czy podanie danych jest wymogiem ustawowym związanym z zawarciem umowy, czy jest obowiązkowe i jakie są ewentualne konsekwencje niepodania danych,
- w przypadku z zautomatyzowanego podejmowania decyzji lub profilowania: informacje o przypadkach podejmowania decyzji, informacje o zasadach ich podejmowania oraz o konsekwencjach dla osoby, której dane dotyczą.
W przypadku pozyskania danych zgodnie z art. 14 RODO (a więc ze źródeł innych niż osoba, której dane dotyczą), administrator, obok elementów wskazanych w art. 13 ma również obowiązek dołączyć informacje o kategoriach danych, które pozyskał, a także źródle pochodzenia danych, w tym źródłach publicznie dostępnych, jeśli z nich korzystał.
Obowiązek informacyjny z art. 13 RODO należy spełnić niezwłocznie, już podczas pobierania danych osobowych od osoby, której dane dotyczą, czyli zwykle przy pierwszej czynności/komunikacie kierowanym do tej osoby. W przypadku gdy ma zastosowanie art. 14 RODO, spełnienie obowiązku jest trudniejsze, ponieważ nie ma się naturalnego kontaktu z osobą, której dane dotyczą. Ta osoba może nawet nie mieć pojęcia, że do przetwarzania dochodzi. Z tego względu, art. 14 ust. 3 RODO nakazuje, aby wszystkie informacje należy przekazać w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca. Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji, a jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Przekazanie informacji, o których mowa w art. 13 i 14 RODO, może nastąpić w zasadzie w dowolnej formie – zarówno przy wykorzystaniu narzędzi elektronicznych, jak i tradycyjnych papierowych formularzy. Umożliwia to administratorom, w zależności od specyfiki ich działalności, wybór najlepszego w ich ocenie narzędzia czy, wraz z rozwojem technologii komunikacyjnych, sięganie z czasem po coraz to nowsze rozwiązania technologiczne.
Jednym z rozwiązań, jakie można zastosować celem ułatwienia wypełnienia obowiązku informacyjnego jest możliwość tzw. warstwowego przekazywania informacji. Nie jest to metoda wprost wymieniona w prawie, ale jest szeroko stosowana w praktyce oraz promowana przez organy nadzoru. Podejście warstwowe, zakłada, że można informować o prawach osób trzecich wielowarstwowo tj. przekazywać wymagane przez RODO informacje stopniowo, na kilku poziomach. Podejście warstwowe zakłada podział informacji na dwie warstwy.
Pierwsza warstwa komunikatu powinna obejmować kluczowe, najistotniejsze informacje, o których mowa w art. 13 i 14 RODO, w tym określać, gdzie i w jaki sposób podmiot danych może znaleźć pełną treść klauzuli informacyjnej. Warstwa ta powinna być wystarczająca do uświadomienia podmiotowi danych, jakie konsekwencje będzie miało dla niego przetwarzanie danych osobowych przez administratora tych danych.
W pierwszej warstwie komunikatu powinny się znaleźć co najmniej informacje na temat:
- celów przetwarzania,
- tożsamości administratora,
- praw osoby, której dane dotyczą
- i bezpośredni, dokładny odnośnik/informację, gdzie osoba, której dane dotyczą może zapoznać się z pełną klauzulą informacyjną.
Zaleca także ujęcie w tej warstwie informacji na temat przetwarzania, które ma największy wpływ na podmiot danych, oraz przetwarzania, które może być dla niego zaskakujące w konkretnej sprawie.
Istotne jest, aby na informacje zawarte w pierwszej warstwie komunikatu zwrócić uwagę osoby, której dane dotyczą, w momencie pozyskiwania od niej danych osobowych, np. poprzez ich wyświetlenie w momencie, kiedy osoba, której dane dotyczą, wypełnia formularz online.
W drugiej warstwie powinna znajdować się pełna, kompletna wersja klauzuli informacyjnej. Co ważne, przekazując odbiorcy skróconą wersję obowiązku informacyjnego należy wskazać miejsce, gdzie może on zapoznać się z jego pełną wersją. Nie wystarcza jednak np. podanie ogólnego linku do strony internetowej administratora. Odnośnik umieszczony w pierwszej warstwie musi prowadzić bezpośrednio do pełnej wersji klauzuli informacyjnej,
Warstwowa realizacja obowiązku informacyjnego może okazać się szczególnie przydatna w przypadku administratorów przetwarzających dane osobowe w związku ze stosowaniem monitoringu wizyjnego. Zakres informacji jest wówczas ograniczony np. z uwagi na rozmiar tablicy informującej lub miejsce jej umieszczenie. Ponadto im więcej danych umieścimy na takiej tablicy, tym większe ryzyko, że podmiot danych nie będzie zainteresowany zapoznaniem się z nimi.
Warstwowe klauzule informacje są pomocnym rozwiązaniem także w komunikacji cyfrowej. Zgodnie z wytycznymi Grupy Roboczej Art. 29 (obecnie: Europejska Rada Ochrony Danych – EROD), zamiast wyświetlać na ekranie pełną treść klauzuli informacyjnej w formie ciągłego tekstu, warto ograniczyć klauzulę jedynie do najistotniejszych informacji z linkiem do pełnej treści klauzuli. Powszechnie stosowane jest to w przypadku poczty elektronicznej, gdzie w stopce e-mail umieszcza się pierwszą warstwę klauzuli, wraz z odnośnikiem do strony internetowej administratora.
Warstwowe podejście do spełnienia obowiązku informacyjnego można także w komunikacji ustnej, np. w kontaktach osobistych lub w rozmowie telefonicznej, gdzie administratorzy danych mogą zastosować różne sposoby w celu ułatwienia podawania informacji. W kontakcie telefonicznym można ustawić nagranie o podstawowych informacjach, z komunikatem „aby zapoznać się z pełną informacją o przetwarzaniu danych osobowych wciśnij 1”. W osobistej rozmowie można przekazać pierwszą warstwę ustnie, a później odesłać do pełnej wersji papierowej lub elektronicznej.
Celem warstwowych klauzul informacyjnych jest zwiększenie przejrzystości podania informacji i ułatwienia komunikacji z osobą, której dane dotyczą. Zamiast otrzymywać przytłaczającą „ścianę tekstu” osoba ta otrzymuje łatwą do przyswojenia, minimalną informację, co zwiększa szansę, że informacja w ogóle zostanie przeczytana, a osoba, której dane dotyczą będzie znała swoje prawa.
Przepisy RODO nie narzucają zatem konkretnej formy realizacji obowiązku informacyjnego, wymagają natomiast aby obowiązek informacyjny został spełniony w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Powinno unikać się kompleksowych, specjalistycznych pojęć, Grupa Robocza Art. 29 podkreśla, iż „niezbędne jest, aby metoda lub metody wybrane do udzielania informacji były dostosowane do określonych okoliczności, tj. sposobu, w jaki administrator danych i osoba, której dane dotyczą, się komunikują, lub sposobu zbierania informacji od osoby, której dane dotyczą. Na przykład przekazanie informacji jedynie na piśmie w formie elektronicznej, np. w oświadczeniu/informacji o prywatności online, może nie być odpowiednie/wykonalne w przypadku, gdy urządzenie, które zbiera dane osobowe, nie posiada ekranu”[1].
Opracowano na podstawie:
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
Korzystano z:
- Grupa Robocza art. 29, Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679 (wp260rev.01), https://ec.europa.eu/newsroom/article29/items/622227 (dostęp: 18.06.2025 r.)
- Łuczak-Tarka, A. Szkurłat, Obowiązki informacyjne i sposób komunikacji w stosunku do podmiotu danych, LEX/el. 2023.
[1] Grupa Robocza art. 29, Wytyczne dotyczące przejrzystości na mocy rozporządzenia 2016/679 (wp260rev.01), pkt 30.