Biuro Porad Prawnych

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

+48 600 784 526

Obowiązek informacyjny RODO. Bezpłatny wzór klauzuli RODO

Strona główna / Blog / Obowiązek informacyjny RODO. Bezpłatny wzór klauzuli RODO
obowiązek informacyjny RODO

Obowiązek informacyjny RODO należy do najbardziej podstawowych obowiązków administratora danych, a jednocześnie do tych obszarów, w których w praktyce najłatwiej o uproszczenia, automatyzmy i błędy. W wielu organizacjach nadal sprowadza się go do krótkiej formułki dopisanej do formularza, stopki w dokumencie albo gotowej klauzuli skopiowanej z innego procesu. Tymczasem obowiązek informacyjny nie polega na samym „dodaniu klauzuli”. Jego celem jest zapewnienie osobie, której dane dotyczą, realnej wiedzy o tym, kto przetwarza jej dane, po co to robi, na jakiej podstawie, jak długo będzie je przechowywał i jakie prawa przysługują tej osobie. Art. 12 RODO wymaga przy tym, aby informacje te były przekazane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Zapraszamy do współpracy

Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.

BPPZ – Biuro Porad Prawnych Zacharski

Potrzebujesz pomocy z RODO?

Zadzwoń Napisz wiadomość

Właśnie dlatego dobrze przygotowany obowiązek informacyjny RODO nie jest dodatkiem redakcyjnym ani formalnością do „odhaczenia”. To element konstrukcyjny zgodności. Jeżeli zostanie źle zbudowany, problem zwykle nie kończy się na samej klauzuli. Błąd dotyczy najczęściej całego procesu: źle dobranej podstawy prawnej, nieprecyzyjnie określonych celów, niejasnych zasad retencji albo nieprawidłowego rozróżnienia między sytuacją z art. 13 i art. 14 RODO. UODO wielokrotnie wydawał decyzje nakazujące administratorom uzupełnienie lub skorygowanie obowiązku informacyjnego, co dobrze pokazuje, że nie jest to detal o wyłącznie technicznym znaczeniu.

Obowiązek informacyjny RODO nie zaczyna się od klauzuli, tylko od procesu

Najczęstszy błąd polega na tym, że organizacja zaczyna od pytania: „jaką klauzulę mamy wkleić?”, zamiast najpierw ustalić, jaki jest rzeczywisty model przetwarzania. Tymczasem to właśnie proces powinien determinować treść informacji przekazywanych osobie, której dane dotyczą. Klauzula nie może być uniwersalnym szablonem wrzuconym do każdego dokumentu. Musi odpowiadać na konkretne pytania: kto jest administratorem, jakie dane są zbierane, w jakich celach, na jakiej podstawie, komu mogą być ujawniane, jak długo będą przechowywane i jakie prawa przysługują osobie. Art. 13 i 14 RODO opisują te elementy wprost, a art. 12 dodatkowo nakłada wymóg przejrzystości i prostego języka.

To ma znaczenie praktyczne. Jeżeli administrator nie potrafi jasno opisać celu przetwarzania albo podstawy prawnej, problemem nie jest wtedy brak ładnego dokumentu, ale brak prawidłowo uporządkowanego procesu. W dobrze zarządzanej organizacji klauzula informacyjna jest konsekwencją wcześniejszej analizy, a nie substytutem tej analizy.

Obowiązek informacyjny RODO. Kiedy stosuje się art. 13, a kiedy art. 14?

To najważniejsze rozróżnienie w całym temacie. Jeżeli dane osobowe są zbierane bezpośrednio od osoby, której dotyczą, zastosowanie ma art. 13 RODO. Przepis ten wymaga, aby administrator przekazał wymagane informacje podczas pozyskiwania danych. Innymi słowy, jeżeli pracownik sam podaje swoje dane pracodawcy, to właśnie art. 13 wyznacza zakres i moment realizacji obowiązku informacyjnego.

Jeżeli natomiast danych nie pozyskano od osoby, której dotyczą, zastosowanie ma art. 14 RODO. W takim modelu administrator musi przekazać osobie wymagane informacje w rozsądnym terminie po pozyskaniu danych, najpóźniej w ciągu miesiąca, a jeżeli dane mają być użyte do komunikacji z tą osobą, to najpóźniej przy pierwszej takiej komunikacji; jeżeli dane mają zostać ujawnione innemu odbiorcy, to najpóźniej przy pierwszym ujawnieniu. Art. 14 wymaga także wskazania kategorii danych oraz źródła ich pochodzenia, czego art. 13 nie przewiduje.

To rozróżnienie nie jest czysto akademickie. W praktyce wpływa na treść klauzuli, moment jej przekazania i zakres informacji, które trzeba ujawnić. Właśnie dlatego obowiązek informacyjny RODO powinien być analizowany zawsze w powiązaniu z tym, skąd pochodzą dane.

Co musi zawierać obowiązek informacyjny RODO

Zakres informacji nie może być budowany dowolnie. Przy danych zbieranych bezpośrednio od osoby art. 13 RODO wymaga co najmniej podania tożsamości i danych kontaktowych administratora, a gdy ma to zastosowanie także danych kontaktowych inspektora ochrony danych, celów i podstaw prawnych przetwarzania, informacji o prawnie uzasadnionych interesach, odbiorcach lub kategoriach odbiorców, a w razie transferu do państwa trzeciego także odpowiednich informacji o tym transferze. Dodatkowo administrator powinien wskazać okres przechowywania danych albo kryteria jego ustalania, prawa osoby, informację o prawie cofnięcia zgody, jeżeli zgoda jest podstawą, informację o prawie wniesienia skargi do organu nadzorczego, ewentualny obowiązek podania danych i konsekwencje ich niepodania oraz informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, jeżeli występuje.

Przy art. 14 katalog jest zbliżony, ale dochodzą elementy specyficzne dla sytuacji, w której dane pozyskano z innego źródła. Administrator musi wtedy wskazać również kategorie danych oraz źródło ich pochodzenia, a gdy ma to zastosowanie także informację, czy pochodzą ze źródeł publicznie dostępnych. Właśnie te różnice najczęściej pokazują, czy klauzula została rzeczywiście napisana pod konkretny proces, czy tylko mechanicznie skopiowana z innego dokumentu.

Przejrzystość jest obowiązkiem, nie kwestią stylu

Art. 12 RODO nie ogranicza się do stwierdzenia, że informacja ma zostać przekazana. Nakazuje również, aby była ona zwięzła, przejrzysta, zrozumiała i łatwo dostępna, napisana jasnym i prostym językiem. To bardzo istotne, bo w praktyce wiele klauzul informacyjnych zawiera wprawdzie większość wymaganych elementów, ale zostały one opisane w sposób tak ciężki, wielopiętrowy i formalistyczny, że z perspektywy przeciętnej osoby nie spełniają swojego rzeczywistego celu.

Właśnie dlatego obowiązek informacyjny RODO nie powinien być realizowany językiem, który jest poprawny wyłącznie dla autora dokumentu. Informacja ma być użyteczna dla odbiorcy. Jeżeli pracownik, kandydat, klient albo kontrahent nie rozumie z klauzuli, po co i na jakiej podstawie przetwarza się jego dane, to sam fakt, że dokument istnieje, nie rozwiązuje problemu.

Kiedy obowiązek informacyjny RODO nie musi być realizowany

RODO przewiduje wyjątki, ale nie należy ich interpretować rozszerzająco. Zarówno art. 13, jak i art. 14 stanowią, że obowiązek nie ma zastosowania w zakresie, w jakim osoba dysponuje już tymi informacjami. W art. 14 katalog wyjątków jest szerszy i obejmuje także sytuacje, gdy udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, gdy pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem przewidującym odpowiednie środki ochrony, albo gdy dane muszą pozostać poufne z uwagi na tajemnicę zawodową. Jednocześnie sam przepis wyraźnie wymaga, aby w niektórych z tych przypadków administrator podejmował odpowiednie środki chroniące prawa i wolności osoby, w tym udostępniał informacje publicznie.

W praktyce oznacza to, że nie można rutynowo zakładać, iż obowiązek informacyjny „odpada”, bo osoba zapewne coś już wie albo bo organizacja ma dużo rekordów w bazie. Wyjątek trzeba umieć rzeczywiście uzasadnić.

Obowiązek informacyjny RODO wobec pracowników

W relacji pracodawca–pracownik temat ten ma szczególne znaczenie, ponieważ dane są przetwarzane szeroko, wieloetapowo i często przez długi czas. Gdy pracownik sam przekazuje swoje dane pracodawcy, podstawowym punktem odniesienia będzie art. 13 RODO. Zakres danych, których pracodawca może żądać, wyznacza natomiast przede wszystkim art. 22¹ Kodeksu pracy. Od pracownika można żądać między innymi adresu zamieszkania, numeru PESEL albo — przy jego braku — rodzaju i numeru dokumentu potwierdzającego tożsamość, innych danych pracownika oraz danych dzieci i innych członków najbliższej rodziny, jeżeli jest to konieczne do korzystania ze szczególnych uprawnień przewidzianych w prawie pracy, a także numeru rachunku płatniczego, chyba że pracownik złoży wniosek o wypłatę wynagrodzenia do rąk własnych.

To ma bezpośredni wpływ na treść klauzuli dla pracowników. Dobra klauzula nie powinna opisywać abstrakcyjnie „wszystkich możliwych danych”, tylko odzwierciedlać realny zakres przetwarzania w zatrudnieniu: cele kadrowe, płacowe, organizacyjne, bezpieczeństwo, realizację obowiązków pracodawcy, ewentualne dochodzenie roszczeń czy wykonanie obowiązków publicznoprawnych. Właśnie tu najłatwiej o błąd polegający na skopiowaniu jednej, szerokiej klauzuli do całego HR bez rozróżnienia na rekrutację, zatrudnienie, monitoring, ZFŚS, szkolenia, medycynę pracy czy działania związane z bezpieczeństwem IT.

Zmiana celu oznacza nowy obowiązek informacyjny

RODO wyraźnie stanowi, że jeżeli administrator planuje dalej przetwarzać dane w celu innym niż ten, w którym zostały zebrane, to przed takim dalszym przetwarzaniem musi poinformować osobę o nowym celu oraz przekazać jej stosowne dodatkowe informacje. Dotyczy to zarówno art. 13, jak i art. 14. To bardzo istotna zasada, bo pokazuje, że obowiązek informacyjny RODO nie jest zdarzeniem jednorazowym oderwanym od dalszego życia danych. Jeżeli zmienia się cel przetwarzania, sama „stara” klauzula może przestać być wystarczająca.

Podsumowanie

Obowiązek informacyjny RODO nie polega na mechanicznym wklejeniu kilku akapitów do formularza. To obowiązek przekazania osobie realnej, użytecznej i kompletnej informacji o przetwarzaniu jej danych. Gdy dane są zbierane bezpośrednio od tej osoby, stosuje się art. 13 RODO. Gdy pochodzą z innego źródła, zastosowanie ma art. 14, który wprowadza dodatkowe elementy, takie jak źródło pochodzenia danych i kategorie danych, a także odmienny moment realizacji obowiązku. Sama informacja musi być zwięzła, przejrzysta, zrozumiała i łatwo dostępna.

Największy błąd praktyczny polega zwykle nie na tym, że organizacja nie ma żadnej klauzuli, lecz na tym, że ma klauzulę źle dopasowaną do procesu. W efekcie dokument istnieje, ale nie odzwierciedla prawidłowo celu, podstawy prawnej, zakresu danych albo momentu ich pozyskania. To właśnie dlatego obowiązek informacyjny trzeba budować od procesu, a nie od gotowego szablonu.

Klauzula informacyjna RODO (WZÓR)

Poniżej przykładowa, uniwersalna klauzula informacyjna RODO dla pracowników. To wzór bazowy, który w praktyce powinien zostać dostosowany do konkretnego pracodawcy, rzeczywistych celów przetwarzania, systemów używanych w organizacji oraz zasad retencji.

Klauzula informacyjna dla pracownika

Administratorem Pani/Pana danych osobowych jest [pełna nazwa pracodawcy] z siedzibą w [adres].

We wszystkich sprawach związanych z przetwarzaniem Pani/Pana danych osobowych można kontaktować się z administratorem pod adresem: [adres e-mail]. Jeżeli administrator wyznaczył inspektora ochrony danych, kontakt z IOD jest możliwy pod adresem: [adres e-mail IOD].

Pani/Pana dane osobowe będą przetwarzane w następujących celach:

  1. zawarcia i wykonywania umowy o pracę,
  2. realizacji obowiązków pracodawcy wynikających z przepisów prawa pracy, ubezpieczeń społecznych, prawa podatkowego i innych właściwych przepisów,
  3. prowadzenia dokumentacji pracowniczej,
  4. organizacji pracy, zapewnienia bezpieczeństwa osób i mienia oraz bezpieczeństwa systemów informatycznych,
  5. realizacji uprawnień pracowniczych, w tym świadczeń związanych z zatrudnieniem,
  6. ustalenia, dochodzenia lub obrony roszczeń, jeżeli okaże się to niezbędne.

Podstawą przetwarzania Pani/Pana danych osobowych jest:

  1. art. 6 ust. 1 lit. b RODO, w zakresie niezbędnym do zawarcia i wykonywania umowy o pracę,
  2. art. 6 ust. 1 lit. c RODO, w zakresie niezbędnym do wypełnienia obowiązków prawnych ciążących na administratorze,
  3. art. 6 ust. 1 lit. f RODO, w zakresie prawnie uzasadnionych interesów administratora, obejmujących organizację pracy, zapewnienie bezpieczeństwa, ochronę mienia, bezpieczeństwo IT oraz ustalenie, dochodzenie lub obronę roszczeń,
  4. art. 9 ust. 2 lit. b RODO, jeżeli przetwarzanie szczególnych kategorii danych jest niezbędne do wykonywania obowiązków i szczególnych praw administratora lub pracownika w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej,
  5. art. 6 ust. 1 lit. a RODO albo art. 9 ust. 2 lit. a RODO, jeżeli w konkretnym przypadku przetwarzanie odbywa się na podstawie zgody.

Odbiorcami Pani/Pana danych osobowych mogą być podmioty świadczące na rzecz administratora usługi związane z obsługą kadrową, płacową, księgową, prawną, IT, archiwizacją dokumentów, medycyną pracy, BHP, ochroną mienia, banki, operatorzy pocztowi i kurierscy, dostawcy systemów informatycznych, a także organy publiczne i inne podmioty uprawnione do otrzymania danych na podstawie przepisów prawa.

Pani/Pana dane osobowe będą przechowywane przez okres zatrudnienia, a po jego zakończeniu przez okres wynikający z przepisów prawa, w szczególności dotyczących dokumentacji pracowniczej, ubezpieczeń społecznych, podatków oraz przedawnienia roszczeń. Jeżeli dane są przetwarzane na podstawie zgody, będą przetwarzane do czasu jej wycofania, chyba że istnieje inna podstawa prawna ich dalszego przetwarzania.

Przysługuje Pani/Panu prawo dostępu do danych, ich sprostowania, usunięcia w przypadkach przewidzianych prawem, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO, przenoszenia danych w przypadkach przewidzianych prawem oraz prawo cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Przysługuje Pani/Panu również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Podanie danych osobowych jest obowiązkowe w zakresie, w jakim wynika z przepisów prawa pracy i innych przepisów regulujących zatrudnienie. Niepodanie danych wymaganych przez prawo może uniemożliwić zawarcie lub wykonywanie stosunku pracy. W zakresie danych podawanych dobrowolnie podanie danych jest dobrowolne.

Pani/Pana dane osobowe nie będą wykorzystywane do zautomatyzowanego podejmowania decyzji, w tym profilowania, chyba że administrator poinformuje o tym odrębnie zgodnie z obowiązującymi przepisami.

| Redakcja BPPZ.pl

Dyrektywa NIS2 w Polsce. Nowy kompletny poradnik dla firm

Dyrektywa NIS2 w Polsce. Nowy kompletny poradnik dla firm

Jak długo można przechowywać dane byłych pracowników?

Jak długo można przechowywać dane byłych pracowników?

Klauzula RODO do CV. Czy jest potrzebna?

Klauzula RODO do CV. Czy jest potrzebna?

zobacz więcej

Najważniejsze informacje

  • Obowiązek informacyjny wynika z art. 12–14 RODO i wymaga poinformowania osób o tożsamości administratora, celach, podstawach prawnych i przysługujących prawach.
  • Art. 13 RODO stosuje się, gdy dane zbierane są bezpośrednio od osoby; art. 14 – gdy dane pochodzą z innego źródła (informacja w ciągu miesiąca od pozyskania).
  • Klauzula informacyjna musi być zwięzła, przejrzysta, zrozumiała i łatwo dostępna – napisana prostym językiem, nie prawniczym żargonem.
  • Przy zmianie celu przetwarzania administrator musi poinformować osobę i podać niezbędne dodatkowe informacje przed tym przetwarzaniem.
  • Błędem jest stosowanie jednej, ogólnej klauzuli do wszystkich procesów – klauzula powinna odpowiadać na konkretne pytania o dany proces.
  • Prawidłowa realizacja obowiązku informacyjnego to fundament przejrzystości i zaufania w relacji z klientem lub pracownikiem.

Zobacz również

Gemini vs ChatGPT. Czy Google zaczyna wygrywać wyścig AI?

Gemini vs ChatGPT. Czy Google zaczyna wygrywać wyścig AI?

Jak powinna wyglądać Polityka Prywatności w 2026 roku?

Jak powinna wyglądać Polityka Prywatności w 2026 roku?

Jakie są najczęstsze błędy popełniane podczas szkoleń RODO?

Jakie są najczęstsze błędy popełniane podczas szkoleń RODO?

Sklep zarządzany przez AI. Sztuczna inteligencja prowadzi butik w USA.

Sklep zarządzany przez AI. Sztuczna inteligencja prowadzi butik w USA.

Obowiązek informacyjny RODO. Bezpłatny wzór klauzuli RODO

Obowiązek informacyjny RODO. Bezpłatny wzór klauzuli RODO

Skontaktuj się

Masz pytania dotyczące ochrony danych osobowych lub wdrożenia RODO? Skontaktuj się z nami już dziś!

Nasi specjaliści z zakresu ochrony danych osobowych są gotowi, aby pomóc Ci w rozwiązaniu wszelkich problemów związanych z RODO. Niezależnie od tego, czy potrzebujesz porady prawnej, audytu RODO, czy pełnej obsługi wdrożeniowej, jesteśmy tutaj, aby wspierać Twoją firmę na każdym etapie.

Zalety współpracy z nami:

  • Profesjonalna pomoc prawna dostosowana do indywidualnych potrzeb Twojej firmy.
  • Kompleksowe wsparcie w zakresie ochrony danych osobowych i RODO.
  • Indywidualne podejście i szybka reakcja na Twoje zapytania.
  • Pełne bezpieczeństwo danych.
Formularz kontaktowy
Administratorem Twoich danych osobowych jest Oskar Zacharski działający pod firmą Biuro Porad Prawnych Oskar Zacharski, z siedzibą w Radomiu przy ul. Żwirki i Wigury 33/43, (26-600 Radom). Twoje dane osobowe tj. imię i nazwisko, adres email oraz dane osobowe podane w formularzu kontaktowym przetwarzane są w celu udzielenia odpowiedzi na Twoje zapytania. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Ci prawach, możesz znaleźć w Polityce Prywatności BPPZ