Praktyczny poradnik

Art. 13 RODO - co musi zawierać obowiązek informacyjny

Art. 13 RODO dotyczy sytuacji, w której administrator zbiera dane osobowe bezpośrednio od osoby, której dane dotyczą. W praktyce chodzi o to, aby już przy pozyskaniu danych przekazać pełną i zrozumiałą informację o administratorze, celu, podstawie przetwarzania, odbiorcach, okresie przechowywania oraz prawach tej osoby.

Temat: art 13 rodoForma: poradnikCzas czytania: 10 minAutor: Damian BolerkaSprawdził: Zespół merytoryczny LegalUp

Art. 13 RODO w skrócie

Art. 13 RODO nakłada na administratora obowiązek informacyjny wtedy, gdy dane osobowe są zbierane bezpośrednio od osoby, której dane dotyczą. Informacja powinna zostać przekazana w momencie pozyskania danych, a jej zakres zależy od tego, czy w danej sprawie występują m.in. odbiorcy danych, zamiar przekazania danych poza EOG, obowiązek ustawowy podania danych albo zautomatyzowane podejmowanie decyzji.

Minimalny rdzeń klauzuli obejmuje dane administratora, dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony, cele i podstawę przetwarzania, prawnie uzasadniony interes, gdy ma zastosowanie, odbiorców danych, okres przechowywania albo kryteria jego ustalania oraz informacje o prawach osoby. Jeżeli klauzula pomija którykolwiek element istotny dla konkretnej sytuacji, najczęstszy problem nie polega na samym braku formularza, ale na tym, że osoba nie dostała informacji adekwatnej do rzeczywistego sposobu przetwarzania.

Kontrola praktyczna dla tematu „art 13 rodo” obejmuje co najmniej 3 obszary: administrator danych, PUODO, RODO, wniosek, zgoda i dokumentacja; jeżeli pismo wskazuje termin 7, 14 albo 30 dni, licz go od doręczenia i zachowaj potwierdzenie wysyłki.

Przed decyzją sprawdź aktualną ustawę albo kodeks, właściwy formularz, załączniki i termin wynikający z dokumentu.

Najważniejsze informacje

Art. 13 RODO stosuje się, gdy dane są zbierane bezpośrednio od osoby, której dane dotyczą.
Obowiązek informacyjny trzeba spełnić najpóźniej przy pozyskaniu danych.
Klauzula musi odpowiadać realnemu procesowi: celowi, podstawie, odbiorcom, okresowi przechowywania i prawom osoby.
Sama krótka wzmianka lub tablica informacyjna często nie wystarcza, jeżeli nie daje łatwego dostępu do pełnej treści informacji.
Najwięcej błędów wynika z kopiowania ogólnej klauzuli do różnych procesów bez sprawdzenia wyjątków i pól obowiązkowych.

Autor

Damian Bolerka

Student V roku prawa na Uniwersytecie Gdańskim. Interesuje się praktycznym prawem cywilnym, rodzinnym, pracy i administracyjnym. W LegalUp przygotowuje opracowania redakcyjne, których celem jest proste wyjaśnianie procedur, dokumentów, terminów i typowych problemów prawnych.

Weryfikacja merytoryczna

Zespół merytoryczny LegalUp

Weryfikacja obejmuje spójność procedury, obecność źródeł, ostrożny język prawny i brak obietnic wyniku sprawy.

Ważne zastrzeżenie

Materiał ma charakter informacyjny i nie zastępuje indywidualnej porady prawnej. Przed wysłaniem pisma, podjęciem decyzji albo obliczeniem kwoty sprawdź aktualne przepisy, źródła podane pod artykułem oraz własne dokumenty.

Art. 13 RODO: najważniejsze zasady i decyzje na start

Art. 13 RODO reguluje informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą. Jeżeli administrator otrzymuje dane bezpośrednio od tej osoby, musi od razu wyjaśnić, kto przetwarza dane, po co to robi, na jakiej podstawie, jak długo będzie je przechowywał i jakie prawa przysługują osobie.

Kluczowa decyzja na początku brzmi: czy dane są zbierane bezpośrednio od osoby. Jeśli tak, punktem wyjścia jest art. 13. Jeżeli dane pochodzą z innego źródła, zwykle trzeba ocenić art. 14 RODO.

Druga decyzja dotyczy sposobu realizacji obowiązku. Treść musi być zrozumiała, łatwo dostępna i dopasowana do kanału zbierania danych. Inaczej wygląda przy formularzu online, inaczej przy rekrutacji e-mailowej, a jeszcze inaczej przy monitoringu lub obsłudze zamówienia publicznego.

Przed decyzją sprawdź aktualną ustawę albo kodeks, właściwy formularz, załączniki i termin wynikający z dokumentu.

Sprawdź źródło danych: bezpośrednio od osoby albo z innego źródła.
Ustal moment przekazania informacji: co do zasady przy zbieraniu danych.
Dopasuj treść klauzuli do konkretnego procesu, a nie do całej organizacji jednym szablonem.

Pytanie kontrolne	Jeżeli odpowiedź brzmi tak	Jeżeli odpowiedź brzmi nie	Ryzyko błędu
Czy dane pochodzą od osoby, której dane dotyczą?	Punktem wyjścia jest art. 13 RODO.	Trzeba ocenić art. 14 RODO.	Zastosowanie niewłaściwej podstawy informacyjnej.
Czy dane są zbierane przez formularz, e-mail, rozmowę lub dokument papierowy?	Informację przekaż przy samym pozyskaniu danych.	Jeżeli danych jeszcze nie zbierasz, przygotuj klauzulę przed startem procesu.	Przekazanie informacji dopiero po wysłaniu formularza albo po podpisaniu umowy.
Czy w procesie są odbiorcy danych lub przekazanie poza EOG?	Trzeba wskazać ten element w klauzuli.	Nie dopisuj informacji o transferze lub odbiorcach, jeżeli nie występują.	Klauzula oderwana od rzeczywistego przetwarzania.
Czy występuje zautomatyzowane podejmowanie decyzji lub profilowanie?	Opisz zasady, znaczenie i przewidywane konsekwencje.	Nie wpisuj tego pola rutynowo, jeśli proces go nie obejmuje.	Brak informacji o decyzjach automatycznych albo wpisanie fikcyjnego procesu.

Najbezpieczniejsza praktyka to budowanie klauzuli od konkretnego procesu, nie od gotowego ogólnego wzoru.

Jakie informacje musi zawierać klauzula z art. 13 RODO

Zakres obowiązku informacyjnego składa się z dwóch warstw. Pierwsza obejmuje elementy identyfikujące administratora i sam proces przetwarzania. Druga obejmuje prawa osoby, konsekwencje podania danych oraz informacje dodatkowe potrzebne do uczciwego i przejrzystego przetwarzania.

W praktyce warto czytać ten przepis jako listę pól obowiązkowych do odhaczenia. Jeżeli w danej sprawie jakiś element nie występuje, nie trzeba go sztucznie opisywać, ale trzeba to wcześniej zweryfikować.

Szczególnie często pomijane są: kryteria ustalania okresu przechowywania, informacja o dobrowolności albo obowiązku podania danych oraz dane odbiorców, gdy przetwarzanie angażuje podmioty zewnętrzne.

Podaj nazwę i dane kontaktowe administratora.
Podaj dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony.
Wskaż cele przetwarzania i odpowiednią podstawę prawną.
Jeżeli podstawą jest prawnie uzasadniony interes, nazwij ten interes.
Wskaż odbiorców danych lub ich kategorie, jeśli występują.
Wskaż okres przechowywania albo kryteria jego ustalenia.
Opisz prawa osoby: dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie danych i skarga do organu nadzorczego.
Jeżeli podanie danych jest wymogiem ustawowym lub umownym, wyjaśnij to oraz skutki niepodania danych.
Jeżeli występuje profilowanie lub decyzja automatyczna, opisz jej zasady i konsekwencje.

Element klauzuli	Kiedy jest obowiązkowy	Co trzeba podać	Typowe potknięcie
Administrator	Zawsze	Nazwa i dane kontaktowe administratora.	Brak pełnej identyfikacji podmiotu.
Inspektor ochrony danych	Gdy został wyznaczony	Dane kontaktowe IOD.	Podanie ogólnego adresu firmy zamiast kontaktu do IOD.
Cele i podstawa	Zawsze	Konkretny cel oraz podstawa dla każdego celu.	Łączenie kilku celów pod jedną ogólną podstawą.
Prawnie uzasadniony interes	Gdy podstawą jest uzasadniony interes	Opis interesu administratora lub strony trzeciej.	Powtórzenie samej nazwy podstawy bez treści interesu.
Odbiorcy danych	Gdy występują	Odbiorcy albo kategorie odbiorców.	Pomijanie podmiotów obsługujących systemy lub archiwizację.
Transfer poza EOG	Gdy występuje	Informacja o zamiarze przekazania danych i zabezpieczeniach.	Wpisanie transferu do każdej klauzuli bez weryfikacji.
Okres przechowywania	Zawsze	Konkretny okres albo kryteria ustalania okresu.	Zwrot 'do czasu realizacji celu' bez doprecyzowania.
Prawa osoby	Zawsze	Zakres praw oraz prawo skargi do organu nadzorczego.	Skrócenie listy praw w sposób mylący.
Obowiązek podania danych	Gdy dotyczy	Czy podanie danych jest obowiązkowe lub dobrowolne i jakie są skutki niepodania.	Brak wyjaśnienia skutku odmowy.
Profilowanie lub decyzja automatyczna	Gdy dotyczy	Zasady, znaczenie i przewidywane konsekwencje.	Pomijanie tego pola mimo realnego stosowania automatyzacji.

Jeżeli klauzula ma jeden ogólny akapit o podstawach i prawach, ale nie pokazuje celu, okresu i odbiorców dla konkretnego procesu, zwykle wymaga poprawy.

Kiedy i jak spełnić obowiązek informacyjny

Najważniejsza reguła praktyczna brzmi: informację z art. 13 RODO przekazuje się w momencie pozyskiwania danych. Oznacza to, że osoba powinna mieć możliwość zapoznania się z treścią klauzuli zanim wyśle formularz, przekaże dokument, zgłosi udział w postępowaniu albo poda dane w rozmowie.

Sposób przekazania zależy od kanału. Przy formularzu online sprawdza się warstwa skrócona z linkiem do pełnej treści, o ile pełna informacja jest łatwo dostępna od razu. Przy e-mailu lub papierze bezpieczniej dołączyć pełną klauzulę albo wyraźnie wskazać miejsce, gdzie osoba może się z nią zapoznać bez dodatkowych przeszkód.

W procesach takich jak monitoring, recepcja czy wydarzenia stacjonarne potrzebna jest ocena, czy krótka tablica informacyjna rzeczywiście prowadzi do pełnej informacji. Sama tablica bywa niewystarczająca, jeżeli nie pozwala szybko dotrzeć do pełnego zakresu danych wymaganych przez art. 13.

Formularz online: informacja przed wysłaniem formularza lub w jego obrębie.
E-mail i dokument papierowy: pełna klauzula w treści, załączniku albo na wskazanej stronie dostępnej bez zwłoki.
Rozmowa telefoniczna lub bezpośrednia: co najmniej warstwa podstawowa od razu i łatwy dostęp do pełnej treści.
Monitoring i przestrzeń fizyczna: skrót może działać tylko wtedy, gdy pełna informacja jest realnie dostępna.

Kanał zbierania danych	Minimalny bezpieczny sposób	Moment przekazania	Ryzyko praktyczne
Formularz internetowy	Klauzula pod formularzem lub link do pełnej treści obok pól.	Przed wysłaniem formularza.	Ukrycie klauzuli w stopce lub po wysłaniu formularza.
E-mail rekrutacyjny lub kontaktowy	Pełna klauzula w odpowiedzi, stopce procesu albo link wyraźnie wskazany.	Przy pierwszym pozyskaniu danych od osoby.	Automatyczna odpowiedź bez właściwej treści klauzuli.
Dokument papierowy	Klauzula na formularzu, odwrocie lub jako osobny załącznik.	Przed podpisem lub równocześnie z podaniem danych.	Brak fizycznego egzemplarza informacji.
Rozmowa telefoniczna	Skrót ustny i natychmiastowe odesłanie do pełnej treści SMS-em, e-mailem lub na stronie.	W trakcie zbierania danych.	Podanie danych bez możliwości późniejszego odtworzenia informacji.
Monitoring lub wejście do budynku	Krótka informacja na miejscu i pełna klauzula dostępna pod wskazanym adresem lub kodem.	Najpóźniej przy wejściu w strefę zbierania danych.	Tablica bez wskazania pełnej treści lub bez danych administratora.

Im krótsza forma podstawowa, tym ważniejsze jest, aby pełna treść była dostępna natychmiast i bez szukania po całej stronie.

Procedura wdrożenia art. 13 RODO krok po kroku

Najpraktyczniejszy sposób wdrożenia to potraktowanie art. 13 RODO jak procedury kontrolnej dla każdego procesu zbierania danych. Zamiast pisać jedną uniwersalną klauzulę dla całej organizacji, lepiej zebrać dane o konkretnym procesie i dopiero z nich złożyć treść informacji.

Taka procedura ogranicza dwa rodzaje ryzyka: po pierwsze brak obowiązkowego elementu, a po drugie wpisanie informacji, które w danym procesie w ogóle nie występują. Oba błędy podważają przejrzystość i utrudniają obronę przy kontroli lub skardze.

Dodatkową korzyścią jest łatwiejsza aktualizacja. Gdy zmienia się odbiorca danych, system informatyczny albo okres retencji, poprawiasz jeden proces, a nie wszystkie klauzule w organizacji naraz.

Zidentyfikuj każdy punkt zbierania danych osobowych.
Opisz cel, podstawę, odbiorców, retencję i prawa osoby dla tego punktu.
Dobierz formę przekazania informacji do kanału zbierania danych.
Przetestuj, czy osoba naprawdę widzi informację we właściwym momencie.
Ustal właściciela aktualizacji klauzuli po zmianie procesu.

Krok	Co sprawdzić	Dokument lub materiał	Miejsce złożenia lub sprawdzenia	Termin	Ryzyko błędu	Jednostka
1. Identyfikacja procesu	Skąd pochodzą dane i kto je zbiera.	Mapa procesu lub opis czynności.	Dział biznesowy, HR, sprzedaż, formularz www.	Przed uruchomieniem procesu.	Pominięcie jednego kanału zbierania danych.	wartość
2. Ustalenie podstawowych pól	Administrator, IOD, cele, podstawy, odbiorcy, retencja.	Rejestr czynności lub karta procesu.	Wewnętrzna dokumentacja RODO.	Przed publikacją klauzuli.	Rozbieżność między klauzulą a dokumentacją.	wartość
3. Ocena pól warunkowych	Transfer poza EOG, obowiązek podania danych, profilowanie.	Opis systemów, umów i logiki procesu.	IT, compliance, właściciel procesu.	Przed finalnym zatwierdzeniem.	Brak pola warunkowego, które faktycznie występuje.	wartość
4. Wybór formy przekazania	Czy osoba zobaczy informację przy zbieraniu danych.	Makieta formularza, treść e-maila, tablica, skrypt rozmowy.	Miejsce rzeczywistego kontaktu z osobą.	Przed startem procesu.	Klauzula dostępna dopiero po podaniu danych.	wartość
5. Test i akceptacja	Czy wszystkie linki, załączniki i miejsca publikacji działają.	Checklist testowy lub zapis akceptacji.	Strona www, formularz, recepcja, skrzynka e-mail.	Bezpośrednio przed wdrożeniem.	Techniczny brak dostępu do pełnej treści informacji.	wartość
6. Aktualizacja	Czy zmienił się cel, odbiorca, narzędzie lub retencja.	Wersja klauzuli i historia zmian.	Repozytorium dokumentów lub system DMS.	Po każdej zmianie procesu.	Stara klauzula utrzymywana mimo zmian operacyjnych.	wartość

Jeżeli nie da się wskazać właściciela konkretnej klauzuli, po kilku miesiącach zwykle przestaje ona odpowiadać rzeczywistemu przetwarzaniu.

Art. 13 a art. 14 RODO oraz podobne przypadki

Najczęstsza pomyłka polega na utożsamieniu obu przepisów. Art. 13 RODO dotyczy danych zebranych od osoby, której dane dotyczą, a art. 14 RODO co do zasady dotyczy danych pozyskanych z innych źródeł. To rozróżnienie decyduje o trybie przekazania informacji i o dalszej analizie wyjątków.

Druga granica przebiega między samym obowiązkiem informacyjnym a zgodą. Klauzula z art. 13 nie zastępuje podstawy przetwarzania. Nawet poprawnie napisana informacja nie legalizuje procesu, jeśli administrator nie ma właściwej podstawy prawnej.

W praktyce warto odróżnić też krótką informację warstwową od pełnej treści klauzuli. Warstwa skrócona może pomóc, ale nie zastąpi wszystkich elementów wymaganych przez przepis.

Art. 13: dane bezpośrednio od osoby.
Art. 14: dane z innego źródła.
Klauzula informacyjna nie jest zgodą i nie zastępuje podstawy prawnej.
Warstwa skrócona jest dopuszczalna tylko razem z łatwo dostępną pełną informacją.

Sytuacja	Właściwy punkt wyjścia	Kiedy wybrać ten wariant	Na co uważać
Osoba sama wypełnia formularz kontaktowy	Art. 13 RODO	Dane trafiają bezpośrednio od tej osoby do administratora.	Klauzula musi być widoczna przed wysłaniem formularza.
CV przesłane przez kandydata e-mailem	Art. 13 RODO	Kandydat sam przekazuje swoje dane.	Klauzula powinna obejmować także ewentualną przyszłą rekrutację tylko wtedy, gdy rzeczywiście jest planowana.
Dane kontrahenta z publicznego rejestru	Co do zasady art. 14 RODO	Dane nie zostały otrzymane bezpośrednio od tej osoby.	Nie wolno mechanicznie stosować klauzuli z art. 13.
Monitoring wizyjny przy wejściu	Art. 13 RODO z warstwowym przekazaniem informacji	Osoba wchodzi w obszar zbierania danych bezpośrednio przez administratora.	Sama tablica może nie wystarczyć bez pełnej informacji dostępnej od razu.
Postępowanie o udzielenie zamówienia publicznego	Zwykle art. 13 RODO dla danych podawanych bezpośrednio w dokumentach	Wykonawca lub osoba reprezentująca przekazuje dane w toku postępowania.	Trzeba sprawdzić, czy wszystkie osoby, których dane pojawiają się w dokumentach, przekazują je bezpośrednio.

Najpierw ustal źródło danych, dopiero później dobieraj treść i termin obowiązku informacyjnego.

Najczęstsze błędy i jak ich uniknąć

Pierwszy częsty błąd to kopiowanie jednej klauzuli do wielu procesów. W efekcie dokument zawiera zbyt szerokie cele, nieprawdziwe informacje o odbiorcach albo niepotrzebne wzmianki o transferze danych. Taka klauzula wygląda formalnie poprawnie, ale przestaje być przejrzysta.

Drugi błąd to nieprawidłowy moment przekazania informacji. Jeżeli osoba widzi klauzulę dopiero po wysłaniu formularza, po zakończeniu rozmowy albo po przekazaniu dokumentu, administrator traci główną korzyść z art. 13: możliwość poinformowania osoby przy samym zbieraniu danych.

Trzeci błąd dotyczy retencji i skutków niepodania danych. To pola często pomijane albo opisane zbyt ogólnie. Tymczasem właśnie one pomagają osobie ocenić zakres ingerencji i praktyczne konsekwencje przekazania danych.

Nie używaj jednej klauzuli dla wszystkich procesów bez weryfikacji pól warunkowych.
Nie chowaj pełnej informacji za kilkoma kliknięciami lub po zakończeniu czynności.
Nie wpisuj retencji w sposób ogólnikowy, jeśli można wskazać kryteria jej ustalenia.
Nie mieszaj obowiązku informacyjnego z treścią zgody lub regulaminu.
Po zmianie systemu, dostawcy lub celu przetwarzania zaktualizuj klauzulę.

Błąd	Skutek	Jak poprawić	Sygnał ostrzegawczy
Jedna klauzula dla wielu procesów	Treść nie pasuje do faktycznego przetwarzania.	Przygotuj oddzielne wersje dla głównych procesów.	W klauzuli występują cele, których proces nie realizuje.
Przekazanie informacji po fakcie	Osoba nie została poinformowana przy zbieraniu danych.	Przenieś klauzulę przed moment pozyskania danych.	Formularz wysyła się bez widocznej informacji.
Brak retencji lub kryteriów	Informacja jest niepełna.	Wskaż okres albo sposób jego ustalenia.	Pojawia się tylko zwrot 'przez czas niezbędny'.
Brak skutków niepodania danych	Osoba nie wie, czy dane są obowiązkowe.	Dodaj informację o obowiązku lub dobrowolności i skutku odmowy.	W formularzu są pola obowiązkowe bez wyjaśnienia konsekwencji.

Jeżeli po przeczytaniu klauzuli nie da się odpowiedzieć na pytanie 'co się stanie z moimi danymi w tym konkretnym procesie', dokument wymaga dopracowania.

Przykłady praktyczne i sytuacje graniczne

Przy formularzu kontaktowym na stronie internetowej najprościej połączyć klauzulę z miejscem wpisywania danych. Osoba podaje imię, e-mail i treść wiadomości, więc powinna od razu wiedzieć, kto jest administratorem, w jakim celu dane będą użyte i jak długo mogą być przechowywane.

W rekrutacji e-mailowej art. 13 RODO zwykle stosuje się bezpośrednio, bo kandydat sam przesyła CV. Problem pojawia się wtedy, gdy dokument zawiera dane innych osób, na przykład referencje lub dane opiekunów. W takim układzie sama analiza art. 13 może nie wystarczyć dla wszystkich danych zawartych w dokumentach.

W monitoringu sama tablica przy wejściu pomaga tylko częściowo. Działa jako warstwa skrócona, ale pełna informacja musi być dostępna w sposób prosty i natychmiastowy. W przeciwnym razie osoba zna co najwyżej fakt monitoringu, ale nie zna całego zakresu swoich praw ani danych administratora.

W zamówieniach publicznych trzeba uważać na mieszane źródła danych. Dane osoby podpisującej ofertę mogą pochodzić bezpośrednio od niej, ale dane wskazanych specjalistów lub pełnomocników nie zawsze. To wymaga oddzielnego sprawdzenia, czy cały pakiet informacji mieści się jeszcze wyłącznie w art. 13.

Formularz online: klauzula obok pól danych i przed wysłaniem.
Rekrutacja: sprawdź, czy CV nie zawiera danych innych osób niż kandydat.
Monitoring: warstwa skrócona plus pełna treść dostępna bez przeszkód.
Zamówienia publiczne: zweryfikuj źródło danych każdej kategorii osób.

Scenariusz	Co działa	Co wymaga dodatkowej ostrożności	Praktyczna decyzja
Formularz kontaktowy	Pełna klauzula lub czytelny link przy formularzu.	Ukrycie informacji poza formularzem.	Umieść klauzulę bezpośrednio przy polach danych.
Rekrutacja e-mailowa	Klauzula w pierwszej odpowiedzi lub na stronie kariery łatwo dostępnej z ogłoszenia.	Dodatkowe dane innych osób w załącznikach.	Sprawdź, czy cały zestaw danych jest zbierany bezpośrednio od kandydata.
Monitoring	Warstwa skrócona na wejściu i pełna informacja pod wskazanym adresem.	Brak danych administratora lub praw osoby.	Połącz tablicę z pełną klauzulą dostępną natychmiast.
Zamówienie publiczne	Klauzula przypisana do dokumentów składanych bezpośrednio przez wykonawcę.	Mieszane źródła danych różnych osób.	Przeanalizuj osobno każdą kategorię danych.

Sytuacje graniczne zwykle nie wynikają z samego brzmienia klauzuli, lecz z tego, że w jednym procesie pojawiają się dane kilku różnych osób z różnych źródeł.

Lista kontrolna przed publikacją klauzuli

Przed uruchomieniem formularza, procedury rekrutacyjnej albo nowego procesu warto przejść krótką kontrolę jakości. Taka lista nie zastępuje analizy prawnej, ale szybko wychwytuje najczęstsze braki: zły moment publikacji, brak retencji, niedopasowanie do odbiorców albo brak pola o skutkach niepodania danych.

Dobrze działają dwa testy praktyczne. Pierwszy: czy osoba widzi podstawowe informacje zanim poda dane. Drugi: czy właściciel procesu potrafi uzasadnić każdy akapit klauzuli konkretnym elementem procesu lub dokumentacji.

Jeżeli odpowiedź na któreś z pytań jest niepewna, bezpieczniej poprawić treść przed startem procesu niż po zgłoszeniu uwagi przez osobę, której dane dotyczą.

Czy dane są zbierane bezpośrednio od osoby, której dane dotyczą?
Czy klauzula jest dostępna przy samym pozyskaniu danych?
Czy cele i podstawy są przypisane do konkretnego procesu?
Czy wskazano odbiorców albo kategorie odbiorców, jeśli występują?
Czy retencja jest opisana okresem albo kryteriami?
Czy opisano skutki niepodania danych, jeśli to potrzebne?
Czy w razie profilowania lub automatycznej decyzji podano zasady i konsekwencje?

Punkt kontroli	Tak	Nie	Co zrobić
Klauzula widoczna przed podaniem danych	Można przejść dalej.	Ryzyko naruszenia momentu informacyjnego.	Przenieś informację bliżej miejsca zbierania danych.
Każdy cel ma własną podstawę	Treść jest czytelniejsza.	Pojawia się niejasność co do legalności celu.	Rozdziel cele i podstawy w treści klauzuli.
Retencja jest konkretna lub oparta na kryteriach	Osoba rozumie czas przetwarzania.	Informacja pozostaje ogólnikowa.	Dopisz okres albo kryteria ustalania okresu.
Pola warunkowe zweryfikowane	Klauzula odpowiada rzeczywistemu procesowi.	Możliwe pominięcie transferu, odbiorców lub profilowania.	Sprawdź dokumentację procesu i dostawców.

Najlepsza klauzula to nie ta najdłuższa, tylko ta, którą da się obronić procesem, dokumentacją i rzeczywistym sposobem zbierania danych.

Najczęściej zadawane pytania

Pytania czytelników

Krótkie odpowiedzi na konkretne sytuacje, które zwykle pojawiają się przed złożeniem wniosku, wysłaniem dokumentu albo podjęciem decyzji.

O czym mówi art. 13 RODO?

Art. 13 RODO określa, jakie informacje administrator musi przekazać osobie wtedy, gdy zbiera od niej dane osobowe bezpośrednio. Chodzi o dane administratora, cele, podstawy, odbiorców, retencję, prawa osoby i elementy warunkowe, takie jak profilowanie lub transfer danych.

Kiedy stosuje się art. 13, a kiedy art. 14 RODO?

Art. 13 stosuje się, gdy dane pochodzą bezpośrednio od osoby, której dane dotyczą. Art. 14 co do zasady analizuje się wtedy, gdy dane zostały pozyskane z innego źródła, na przykład z rejestru, od kontrahenta albo od innego podmiotu.

Czy art. 13 RODO wymaga przekazania informacji od razu?

Co do zasady tak. Najbezpieczniej przekazać informację w momencie pozyskiwania danych, czyli zanim osoba wyśle formularz, przekaże dokument albo poda dane w rozmowie.

Co powinna zawierać klauzula informacyjna z art. 13 RODO?

Powinna zawierać co najmniej dane administratora, kontakt do IOD, cele i podstawy przetwarzania, odbiorców, okres przechowywania albo kryteria jego ustalania, prawa osoby, informację o skardze do organu nadzorczego oraz pola warunkowe, jeżeli dotyczą danego procesu.

Czy sama tablica informacyjna wystarczy do spełnienia art. 13 RODO?

Nie zawsze. Krótka tablica może działać jako warstwa podstawowa, ale pełna informacja musi być łatwo dostępna od razu. Jeżeli tablica nie prowadzi do pełnej klauzuli lub nie zawiera kluczowych danych, ryzyko niepełnego wykonania obowiązku rośnie.

Czy klauzula z art. 13 RODO jest tym samym co zgoda na przetwarzanie?

Nie. Klauzula informacyjna realizuje obowiązek przejrzystości, a zgoda jest jedną z możliwych podstaw przetwarzania. Można poprawnie spełnić obowiązek informacyjny i jednocześnie mieć źle dobraną podstawę przetwarzania.

Czy trzeba wskazać konkretny okres przechowywania danych?

Jeżeli można wskazać konkretny okres, warto to zrobić. Jeżeli nie, trzeba podać przynajmniej kryteria ustalania tego okresu. Sam ogólny zwrot o czasie niezbędnym do celu bywa zbyt mało precyzyjny.

Czy w zamówieniach publicznych zawsze wystarczy art. 13 RODO?

Nie w każdej sytuacji. Jeżeli wszystkie dane są przekazywane bezpośrednio przez osobę, art. 13 bywa właściwym punktem wyjścia. Gdy w dokumentach pojawiają się dane innych osób z innych źródeł, trzeba dodatkowo ocenić, czy nie wchodzi w grę art. 14.