TL;DR: Tekst pokazuje, jak przygotować klauzulę informacyjną z art. 13 RODO przy zbieraniu danych bezpośrednio, jakie elementy są obowiązkowe i jak stosować model warstwowy.
Klauzula informacyjna RODO (art. 13) – wzór i wyjaśnienie
Klauzula informacyjna (art. 13 RODO) to nie „prawniczy ozdobnik”, tylko moment, w którym osoba ma zrozumieć: kto przetwarza jej dane, po co, na jakiej podstawie, jak długo, komu je ujawniamy i jakie ma prawa. W praktyce najwięcej problemów bierze się z dwóch rzeczy: (1) klauzule są kopiowane „na oko” i nie pasują do realnego procesu (formularza, umowy, CRM), (2) język jest tak ciężki, że nikt tego nie czyta – a to uderza w wymóg przejrzystości. W tym Q&A pokazujemy art. 13 w wersji „dla praktyków”: co jest wymagane literalnie, co jest dobrą praktyką, jak robić warstwową informację (krótka warstwa + pełna treść), jak opisać uzasadniony interes, retencję, odbiorców i prawa tak, żeby to było czytelne dla człowieka i jednocześnie „trzymało się” RODO.
Materiał jest dla MŚP i zespołów operacyjnych (marketing, sprzedaż, HR, e-commerce, usługi). Bazujemy na art. 13 RODO oraz na podejściu do przejrzystości z Wytycznych EROD/Grupy Roboczej art. 29 (przejrzystość, warstwowość, język, dostępność). W źródłach pokazujemy też przykłady decyzji Prezesa UODO, gdzie brak poprawnej informacji był realnym naruszeniem – to dobry „test rzeczywistości”, jak organ patrzy na obowiązek informacyjny.
Wróć do Ochrona danych w firmie
W skrócie — najważniejsze fakty
Pytania i odpowiedzi: klauzula informacyjna (art. 13 RODO)
1. Czym jest klauzula informacyjna z art. 13 RODO i kiedy ją stosuję?
To informacja, którą administrator przekazuje osobie w chwili pozyskania danych bezpośrednio od niej (np. formularz kontaktowy, zapis do newslettera, umowa, rozmowa telefoniczna, rejestracja konta). Jej cel jest prosty: osoba ma wiedzieć, co dzieje się z jej danymi i jakie ma prawa. Jeżeli dane nie pochodzą bezpośrednio od osoby, wchodzą zasady z art. 14 RODO.
2. Co art. 13 wymaga „twardo” – lista elementów, które muszą się pojawić?
W praktyce klauzula art. 13 powinna zawierać co najmniej: (1) tożsamość administratora i dane kontaktowe, (2) cele przetwarzania oraz podstawy prawne, (3) prawnie uzasadnione interesy – jeśli podstawą jest art. 6 ust. 1 lit. f, (4) odbiorców danych lub kategorie odbiorców, (5) informację o zamiarze przekazania danych poza EOG i zabezpieczenia – jeśli dotyczy, (6) okres przechowywania danych albo kryteria ustalania tego okresu, (7) prawa osoby (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie – gdy ma zastosowanie, sprzeciw), (8) prawo do cofnięcia zgody – jeśli przetwarzanie opiera się na zgodzie, (9) prawo wniesienia skargi do Prezesa UODO, (10) czy podanie danych jest wymogiem ustawowym/umownym i konsekwencje niepodania, (11) informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu – jeśli występuje.
3. Czy wystarczy link „Polityka prywatności” w stopce?
Często nie. RODO wymaga, żeby informacja była podana w sposób łatwy do zauważenia i zrozumiały w momencie zbierania danych. W praktyce najlepszy schemat to: krótka warstwa przy formularzu (najważniejsze informacje) + link do pełnej klauzuli. Sam link w stopce bywa zbyt „odklejony” od konkretnej operacji (np. zapisu, zakupu, umowy).
4. Co oznacza „przejrzystość” i dlaczego EROD tak mocno na to naciska?
Przejrzystość to nie tylko komplet danych – to sposób podania informacji: jasny język, logiczna struktura, brak ukrywania ważnych rzeczy i dopasowanie do odbiorcy. Wytyczne Grupy Roboczej art. 29 podkreślają m.in. warstwowość (layered approach), czytelność, unikanie żargonu i ułatwienie dostępu do informacji bez „polowania” po stronie.
5. Jak opisać cele i podstawy prawne, żeby to nie była „lista artykułów”?
Najlepiej łączyć cel z podstawą w jednym zdaniu: „Przetwarzamy dane, aby odpowiedzieć na wiadomość (art. 6 ust. 1 lit. b lub f)”, „Przetwarzamy dane do realizacji zamówienia (lit. b)”, „Przetwarzamy dane do rozliczeń (lit. c)”. Sama lista artykułów bez opisania „po co” zwykle jest nieczytelna i nie buduje zaufania.
6. Uzasadniony interes (art. 6 ust. 1 lit. f) – co muszę napisać?
Jeśli opierasz przetwarzanie o lit. f, podaj konkretnie, na czym polega interes (np. zapewnienie bezpieczeństwa usług, dochodzenie roszczeń, marketing bezpośredni własnych usług, analityka podstawowa). Dobre praktyki: dopisz, że osoba ma prawo wnieść sprzeciw, oraz że uwzględniasz test równowagi interesów (balancing test). „Przetwarzamy na podstawie uzasadnionego interesu” bez wyjaśnienia interesu to częsty błąd.
7. Odbiorcy danych – kogo wymienić i jak to ugryźć praktycznie?
Wypisz realne kategorie odbiorców: hosting/IT, dostawcy narzędzi e-mail i CRM, biuro rachunkowe, banki/operatorzy płatności, kurierzy, podwykonawcy świadczący usługę, kancelaria prawna – jeśli korzystasz. Nie musisz zawsze podawać pełnej listy nazw firm w treści klauzuli, ale musisz dać informację o odbiorcach lub kategoriach odbiorców w sposób uczciwy i zrozumiały.
8. Okres przechowywania danych – co wpisać, żeby nie było „przechowujemy do czasu cofnięcia zgody” na wszystko?
Retencja powinna być powiązana z celem: np. „do czasu obsługi sprawy + okres przedawnienia roszczeń”, „do zakończenia umowy + rozliczenia + obowiązki podatkowe/księgowe”, „do czasu cofnięcia zgody lub osiągnięcia celu marketingowego – nie dłużej niż X”. Jeśli nie da się podać jednej liczby, opisz kryteria ustalania okresu (to też jest poprawne w art. 13).
9. Czy muszę pisać o profilowaniu i art. 22, jeśli nic takiego nie robię?
RODO wymaga informacji o zautomatyzowanym podejmowaniu decyzji (w tym profilowaniu) tylko wtedy, gdy to występuje w rozumieniu art. 22. Natomiast w praktyce wiele firm dodaje krótkie zdanie „nie podejmujemy decyzji w sposób wyłącznie zautomatyzowany” – to nie jest obowiązek w każdym przypadku, ale bywa pomocne i zmniejsza liczbę pytań.
10. Czy klauzula musi zawierać „prawo do przenoszenia danych”?
Prawo do przenoszenia (art. 20) dotyczy sytuacji, gdy podstawą jest zgoda (art. 6 ust. 1 lit. a) lub umowa (lit. b) i przetwarzanie odbywa się w sposób zautomatyzowany. W praktyce wiele klauzul wymienia katalog praw „szerzej”, ale dobre rozwiązanie to opisać prawa tak, by nie obiecywać czegoś, co nie ma zastosowania w danym procesie.
11. Co z obowiązkiem informacyjnym, gdy dane zbieram przez telefon lub w sklepie stacjonarnym?
Możesz stosować warstwowanie także offline: krótka informacja w rozmowie („kto i po co”), a pełna klauzula np. SMS-em, e-mailem, na stronie WWW pod prostym linkiem lub w dokumencie papierowym. Ważne, by osoba miała realny dostęp do pełnej informacji i by to było „tu i teraz”, a nie po fakcie.
12. Jakie są konsekwencje źle zrobionej informacji? (praktyka UODO)
To nie jest „teoria”. Prezes UODO wielokrotnie oceniał brak lub niepełność obowiązku informacyjnego jako naruszenie i nakazywał jego wykonanie. W decyzjach dotyczących art. 14 (gdy dane nie pochodzą od osoby) widać podejście organu: informacja ma trafić do wszystkich objętych przetwarzaniem i zawierać konkretne elementy (cele, okres, źródło danych, odbiorcy). To dobry sygnał, że przy art. 13 również liczy się kompletność i realne dotarcie do osoby.
13. Czy mogę mieć jedną klauzulę „na wszystko” dla całej firmy?
Możesz mieć dokument bazowy, ale w praktyce lepiej przygotować wersje dopasowane do procesów (np. formularz kontaktowy, umowa, newsletter, rekrutacja, monitoring). Kluczowe elementy art. 13 (cele, podstawy, odbiorcy, retencja) różnią się między procesami. „Jedna klauzula na wszystko” często kończy się ogólnikami i ryzykiem błędu.
14. Jak połączyć art. 13 z prawem dostępu (art. 15) w praktyce?
Klauzula informacyjna i prawo dostępu powinny być spójne. Jeśli w klauzuli mówisz o odbiorcach, retencji i celach, to przy wniosku z art. 15 musisz umieć to potwierdzić praktycznie (jakie dane, skąd, komu udostępniono). Wytyczne 01/2022 o prawie dostępu pokazują, że „transparentność” ma działać także wtedy, gdy osoba realnie pyta o szczegóły.
Kluczowe elementy art. 13: prawa, informacja i kontrola nad danymi
Tożsamość administratora i kontakt
Wskaż pełną nazwę, adres i kontakt. Jeśli masz IOD/DPO – podaj dane kontaktowe. Jeśli masz współadministratora – opisz to prosto.
Cele i podstawy prawne
Podaj cele „po ludzku” + podstawy (b/c/f/a). Przy lit. f opisz interes. Przy zgodzie dodaj: prawo cofnięcia zgody.
Retencja i odbiorcy
Napisz, jak długo trzymasz dane (albo kryteria). Wymień odbiorców lub kategorie odbiorców – zgodnie z realnym łańcuchem usług.
Prawa osoby i skarga do UODO
Wymień prawa, które faktycznie mają zastosowanie, i zawsze wskaż możliwość skargi do Prezesa UODO.
Wzory do skopiowania
Wzór „warstwy 1” (krótka informacja przy formularzu / na starcie kontaktu)
Administrator: [NAZWA FIRMY], [ADRES], kontakt: [E-MAIL].
Przetwarzamy Twoje dane, aby [CEL – np. odpowiedzieć na zapytanie / przygotować ofertę / wykonać umowę], na podstawie [PODSTAWA – art. 6 ust. 1 lit. b lub f RODO].
Odbiorcy: [np. dostawcy IT/hostingu, podwykonawcy usług].
Okres przechowywania: [np. do obsługi sprawy + okres przedawnienia roszczeń].
Masz prawa: dostępu do danych, sprostowania, usunięcia, ograniczenia, sprzeciwu; skarga do Prezesa UODO.
Pełna informacja (art. 13 RODO): [LINK DO PEŁNEJ KLAUZULI / ROZWINIĘCIE].
Pełna klauzula informacyjna RODO (art. 13) – wzór do skopiowania
1. Administrator danych
Administratorem Twoich danych osobowych jest [NAZWA FIRMY] z siedzibą w [ADRES], NIP: [], REGON: []. Kontakt: [E-MAIL], [TEL.], [FORMULARZ].
2. Inspektor Ochrony Danych (jeśli wyznaczono)
Jeżeli wyznaczyliśmy Inspektora Ochrony Danych, możesz kontaktować się z nim w sprawach ochrony danych: [E-MAIL IOD]. (Jeżeli nie wyznaczono – usuń ten punkt.)
3. Cele i podstawy prawne przetwarzania
Twoje dane przetwarzamy w następujących celach:
a) Kontakt i obsługa sprawy / zapytania – podstawą jest [art. 6 ust. 1 lit. b RODO, jeśli działania przed zawarciem umowy] lub [art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes polegający na komunikacji i obsłudze spraw].
b) Zawarcie i wykonanie umowy / świadczenie usługi – art. 6 ust. 1 lit. b RODO.
c) Wypełnienie obowiązków prawnych (np. podatkowych, rachunkowych) – art. 6 ust. 1 lit. c RODO.
d) Ustalenie, dochodzenie lub obrona roszczeń – art. 6 ust. 1 lit. f RODO (naszym uzasadnionym interesem jest ochrona praw i możliwość dochodzenia roszczeń).
e) Marketing bezpośredni własnych usług [jeśli dotyczy] – art. 6 ust. 1 lit. f RODO (naszym uzasadnionym interesem jest informowanie o ofercie).
Jeżeli prowadzimy marketing wymagający zgody (np. określone kanały kontaktu), podstawą jest art. 6 ust. 1 lit. a RODO – zgoda, którą można wycofać w każdym czasie.
4. Odbiorcy danych
Twoje dane mogą być ujawniane:
— dostawcom usług IT i hostingu, narzędziom komunikacji oraz systemom CRM,
— podmiotom realizującym płatności / bankom / operatorom płatności [jeśli dotyczy],
— firmom księgowym i doradczym [jeśli dotyczy],
— podwykonawcom, którzy pomagają nam w realizacji usługi,
— organom publicznym, jeśli wymagają tego przepisy prawa.
Dane nie są sprzedawane. Udostępniamy je wyłącznie w zakresie niezbędnym.
5. Przekazywanie danych poza EOG (jeśli dotyczy)
Jeżeli korzystamy z dostawców spoza Europejskiego Obszaru Gospodarczego, dane mogą być przekazywane poza EOG wyłącznie na podstawie odpowiednich zabezpieczeń przewidzianych w RODO (np. standardowych klauzul umownych). [Wpisz, jeśli dotyczy, albo usuń.]
6. Okres przechowywania danych
Dane przechowujemy:
— przez czas obsługi sprawy / realizacji umowy,
— następnie przez okres wymagany przepisami (np. podatkowymi/rachunkowymi) – jeśli dotyczy,
— oraz przez okres przedawnienia roszczeń (dla celów dochodzenia/obrony).
Jeżeli przetwarzanie odbywa się na podstawie zgody – do czasu jej wycofania lub osiągnięcia celu, dla którego zgoda została udzielona.
7. Twoje prawa
Przysługuje Ci prawo: dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych (gdy ma zastosowanie), a także prawo wniesienia sprzeciwu wobec przetwarzania opartego na art. 6 ust. 1 lit. f RODO.
Jeżeli przetwarzanie odbywa się na podstawie zgody – masz prawo cofnąć zgodę w dowolnym momencie (cofnięcie nie wpływa na zgodność z prawem przetwarzania sprzed cofnięcia).
Masz też prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
8. Informacja o wymogu podania danych
Podanie danych jest [dobrowolne / wymagane do zawarcia umowy / wymagane przepisami] w zakresie: [opisz].
Niepodanie danych może skutkować brakiem możliwości [np. odpowiedzi / przygotowania oferty / zawarcia umowy / realizacji usługi].
9. Zautomatyzowane podejmowanie decyzji / profilowanie
Twoje dane [nie podlegają / podlegają] zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu, o którym mowa w art. 22 RODO.
Jeżeli podlegają – opisz logikę, znaczenie i przewidywane konsekwencje. Jeżeli nie – pozostaw krótkie zdanie potwierdzające.
Moduły opcjonalne (dopasuj do procesu)
A) Cofnięcie zgody – kanał i sposób
Zgodę można wycofać w dowolnym momencie poprzez: [link / e-mail / ustawienia]. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania przed jej wycofaniem.
B) Sprzeciw wobec marketingu bezpośredniego
Jeżeli przetwarzamy dane do marketingu bezpośredniego na podstawie art. 6 ust. 1 lit. f RODO, możesz w każdej chwili wnieść sprzeciw – wtedy zaprzestaniemy takiego przetwarzania.
C) Transfer poza EOG (narzędzia chmurowe)
Dane mogą być przekazywane poza EOG wyłącznie przy zastosowaniu zabezpieczeń przewidzianych w RODO (np. SCC). Na żądanie udostępnimy informacje o zastosowanych zabezpieczeniach.
D) Monitoring wizyjny (jeśli dotyczy)
Cel: bezpieczeństwo osób i mienia (art. 6 ust. 1 lit. f). Okres przechowywania: [np. 30 dni], chyba że nagranie jest dowodem w sprawie – wtedy do czasu prawomocnego zakończenia.
Jak przygotować klauzulę informacyjną RODO z art. 13 – krok po kroku
Krok 1. Zidentyfikuj proces pozyskania danych
Zacznij od konkretu: skąd masz dane (formularz, umowa, telefon, e-mail, sklep), kto je zbiera i gdzie trafiają (CRM, skrzynka, system). Klauzula ma opisywać realny proces, nie „firmę w próżni”.
Krok 2. Wypisz cele i dobierz podstawy prawne
Każdy cel opisz prostym zdaniem i dopiero potem dopasuj podstawę: umowa (lit. b), obowiązek prawny (lit. c), uzasadniony interes (lit. f), zgoda (lit. a). Unikaj wrzucania wszystkiego do jednej podstawy.
Krok 3. Ustal odbiorców i narzędzia
Sprawdź, komu realnie ujawniasz dane: hosting, e-mail marketing, CRM, księgowość, kurier, podwykonawcy. W klauzuli podaj odbiorców lub kategorie odbiorców.
Krok 4. Ustal retencję (konkret lub kryteria)
Powiąż okres przechowywania z celami: realizacja + rozliczenia + przedawnienie roszczeń. Jeśli nie da się podać liczby – podaj kryteria ustalania okresu.
Krok 5. Opisz prawa osoby tak, by były użyteczne
Wymień prawa i podaj, jak z nich skorzystać (kontakt). Przy zgodzie dodaj cofnięcie. Przy lit. f podkreśl sprzeciw. Zawsze wskaż skargę do UODO.
Krok 6. Zastosuj warstwowanie (krótka + pełna klauzula)
Daj krótką warstwę przy formularzu/na start i pełną treść pod linkiem/rozwinięciem. To zgodne z podejściem do przejrzystości i zwiększa czytelność.
Krok 7. Zrób test „czy rozumie to człowiek?”
Przeczytaj klauzulę jak klient. Czy wiesz „kto, po co, na jakiej podstawie, jak długo i komu”? Jeśli nie – uprość, skróć zdania, usuń żargon i doprecyzuj cele.
Najczęstsze błędy w klauzulach art. 13 (i jak ich uniknąć)
Najczęstszy błąd to „klauzula-wszystkomająca” lub jedna skierowana do wszystkich (np. ta sama dla klientów i pracowników), która nie pasuje do procesu: cele są ogólne, podstawy prawne wrzucone hurtowo, retencja brzmi jak „zawsze”, a odbiorcy nie istnieją na papierze. Drugi błąd to forma: informacja jest schowana, napisana żargonem, bez warstwowania. Jeśli chcesz ograniczyć ryzyko – dopasuj klauzulę do konkretnego miejsca pozyskania danych, opisz cele prostym językiem i pokaż osobie realną kontrolę (prawa + kontakt).
Podstawa prawna i źródła
Najważniejsze odpowiedzi (dla wyszukiwarek)
Kiedy stosować klauzulę informacyjną z art. 13 RODO?
Gdy zbierasz dane bezpośrednio od osoby (formularz, umowa, newsletter), informację przekazujesz najpóźniej w momencie pozyskania danych. To obowiązek z art. 13 ust. 1–2 RODO.
Jakie elementy są obowiązkowe w klauzuli z art. 13?
Administrator, dane kontaktowe, cel i podstawa prawna, odbiorcy, okres przechowywania, prawa osoby (dostęp, sprostowanie, sprzeciw, usunięcie, ograniczenie), profilowanie oraz prawo skargi do UODO.
Czy można użyć klauzuli warstwowej?
Tak, skrót w formularzu plus pełna treść pod linkiem jest akceptowalny, jeśli pierwsza warstwa zawiera kluczowe informacje (administrator, cel, podstawa, prawa) i prowadzi do pełnej klauzuli.