Artykuł 13 RODO

Artykuł 13 RODO

  • Strona główna
  • Artykuł 13 RODO – Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

Artykuł 13 RODO – Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

1.

Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2.

Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3.

Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

4.

Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

Komentarz prawnika

Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Artykuł 13 RODO ustanawia fundamentalny filar przejrzystości przetwarzania danych osobowych poprzez określenie obowiązków informacyjnych administratora wobec osób, których dane są zbierane bezpośrednio od nich. Przepis ten ma kluczowe znaczenie dla realizacji zasady transparentności oraz zapewnienia osobom fizycznym rzeczywistej kontroli nad ich danymi osobowymi. Prawidłowa realizacja obowiązku informacyjnego stanowi pierwszy i niezbędny krok w budowaniu zgodności z RODO.

Zakres podmiotowy i przedmiotowy obowiązku informacyjnego

Artykuł 13 RODO nakłada obowiązki informacyjne na administratorów, którzy zbierają dane bezpośrednio od osób, których te dane dotyczą. Analiza tego przepisu wskazuje, że:

  • Obowiązek informacyjny powstaje w momencie pozyskiwania danych – czyli zanim administrator faktycznie rozpocznie ich przetwarzanie.
  • Przepis dotyczy wyłącznie sytuacji, gdy dane są zbierane bezpośrednio od osoby, której dotyczą – w odróżnieniu od art. 14 RODO regulującego sytuacje pozyskiwania danych z innych źródeł.
  • Obowiązek informacyjny ma zastosowanie niezależnie od podstawy prawnej przetwarzania – dotyczy wszystkich przesłanek z art. 6 i art. 9 RODO.
  • Obowiązek ten obejmuje również dane uzyskiwane w sposób pasywny – jak pliki cookies czy inne technologie śledzące.

Tak zakreślony zakres podmiotowy i przedmiotowy sprawia, że przepis ten ma uniwersalne zastosowanie we wszystkich sektorach gospodarki.

Katalog informacji podstawowych

Artykuł 13 ust. 1 RODO określa minimalny, obligatoryjny zakres informacji, które administrator musi przekazać osobie, której dane dotyczą. W skład tego katalogu wchodzą:

  • Tożsamość i dane kontaktowe administratora oraz przedstawiciela (art. 13 ust. 1 lit. a) – umożliwiające jednoznaczną identyfikację podmiotu odpowiedzialnego za przetwarzanie
  • Dane kontaktowe inspektora ochrony danych (art. 13 ust. 1 lit. b) – jeżeli został wyznaczony, co ma szczególne znaczenie dla realizacji praw osób, których dane dotyczą
  • Cele i podstawy prawne przetwarzania (art. 13 ust. 1 lit. c) – stanowiące rdzeń obowiązku informacyjnego, gdyż definiują granice dopuszczalnego przetwarzania
  • Prawnie uzasadnione interesy realizowane przez administratora lub stronę trzecią (art. 13 ust. 1 lit. d) – wymagane tylko gdy przetwarzanie opiera się na art. 6 ust. 1 lit. f RODO
  • Informacje o odbiorcach danych (art. 13 ust. 1 lit. e) – umożliwiające osobie uzyskanie wiedzy o potencjalnym dalszym przepływie jej danych
  • Informacje o zamiarze przekazania danych do państwa trzeciego (art. 13 ust. 1 lit. f) – wraz ze wskazaniem odpowiednich zabezpieczeń i sposobu uzyskania ich kopii

Katalog ten stanowi absolutne minimum informacyjne, którego pominięcie stanowi naruszenie RODO.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Katalog informacji dodatkowych

Artykuł 13 ust. 2 RODO zawiera katalog informacji uzupełniających, które również muszą być przekazane, aby zapewnić rzetelność i przejrzystość przetwarzania:

  • Okres przechowywania danych (art. 13 ust. 2 lit. a) – lub kryteria jego ustalania, co wiąże się ściśle z zasadą ograniczenia przechowywania
  • Informacje o prawach osób, których dane dotyczą (art. 13 ust. 2 lit. b) – w tym dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu i przenoszenia
  • Informacja o prawie do cofnięcia zgody (art. 13 ust. 2 lit. c) – gdy przetwarzanie opiera się na zgodzie, wraz z wyjaśnieniem, że cofnięcie nie wpływa na zgodność z prawem wcześniejszego przetwarzania
  • Prawo wniesienia skargi do organu nadzorczego (art. 13 ust. 2 lit. d) – co stanowi istotny element systemu ochrony praw
  • Informacja czy podanie danych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy (art. 13 ust. 2 lit. e) – wraz z konsekwencjami niepodania danych
  • Informacje o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu (art. 13 ust. 2 lit. f) – wraz z istotnymi informacjami o zasadach, znaczeniu i konsekwencjach takiego przetwarzania

Choć przepis określa te informacje jako dodatkowe, w praktyce są one równie istotne i ich pominięcie również stanowi naruszenie RODO.

Sposób realizacji obowiązku informacyjnego

Kluczowe znaczenie dla skuteczności obowiązku informacyjnego ma sposób jego realizacji. Artykuł 13 ust. 3 RODO reguluje szczególny przypadek zmiany celu przetwarzania, natomiast ogólne zasady przekazywania informacji wynikają z art. 12 RODO:

  • Informacje powinny być przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie
  • Należy używać jasnego i prostego języka, unikając żargonu prawniczego i technicznego
  • W środowisku cyfrowym zalecane jest stosowanie warstwowego podejścia do informowania
  • Informacje powinny być dostosowane do kontekstu i sposobu zbierania danych
  • Przy uzasadnionych wątpliwościach co do tożsamości osoby, administrator może żądać dodatkowych informacji potwierdzających jej tożsamość

Praktyka pokazuje, że to właśnie sposób przekazania informacji, a nie sam fakt ich udostępnienia, determinuje rzeczywistą przejrzystość przetwarzania.

Wyjątki od obowiązku informacyjnego

Artykuł 13 ust. 4 RODO przewiduje istotne zwolnienie z obowiązku informacyjnego:

  • Zwolnienie dotyczy sytuacji, gdy osoba, której dane dotyczą, dysponuje już informacjami
  • Administrator musi być w stanie wykazać, że osoba faktycznie posiada wszystkie wymagane informacje
  • Samo przypuszczenie czy domniemanie, że osoba może posiadać informacje, nie jest wystarczające
  • Zwolnienie może dotyczyć całości lub części obowiązku informacyjnego

W praktyce administratorzy powinni ostrożnie korzystać z tego wyjątku i dokumentować okoliczności uzasadniające jego zastosowanie.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Praktyczne wyzwania związane ze stosowaniem art. 13 RODO

W mojej praktyce zawodowej zidentyfikowałem następujące najczęstsze problemy związane z realizacją obowiązku informacyjnego:

  • Nadmierna obszerność klauzul informacyjnych – prowadząca paradoksalnie do mniejszej przejrzystości i zniechęcająca do zapoznania się z treścią
  • Brak dostosowania formy do kontekstu zbierania danych – szczególnie widoczny w środowisku mobilnym i IoT
  • Nieprecyzyjne wskazywanie celów i podstaw prawnych przetwarzania – często poprzez mechaniczne wymienienie wszystkich teoretycznie możliwych wariantów
  • Nieadekwatne informowanie o okresie przechowywania danych – poprzez używanie ogólnikowych sformułowań zamiast konkretnych terminów lub kryteriów
  • Pomijanie informacji o profilowaniu lub przedstawianie ich w sposób niezrozumiały dla przeciętnego odbiorcy
  • Zbyt sformalizowany język prawniczy – utrudniający zrozumienie przekazywanych informacji

Każde z tych wyzwań wymaga przemyślanego podejścia i dostosowania komunikacji do specyfiki działalności administratora oraz charakterystyki osób, których dane są przetwarzane.

Konsekwencje naruszenia obowiązku informacyjnego

Nieprawidłowa realizacja obowiązku informacyjnego może pociągać za sobą poważne konsekwencje:

  • Administracyjne kary pieniężne – sięgające do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu
  • Nakazy i zakazy wydawane przez organ nadzorczy – w tym nakaz realizacji praw osób, których dane dotyczą
  • Odpowiedzialność cywilnoprawna – wobec osób, które poniosły szkodę majątkową lub niemajątkową
  • Utrata zaufania osób, których dane dotyczą – co może mieć długofalowe konsekwencje wizerunkowe i biznesowe

O doniosłości tego obowiązku świadczy praktyka decyzyjna organów nadzorczych, które regularnie nakładają kary za naruszenia w tym zakresie.

Podsumowanie

Artykuł 13 RODO stanowi fundamentalny element systemu ochrony danych osobowych, wprowadzając mechanizm zapewniający osobom fizycznym niezbędną wiedzę o przetwarzaniu ich danych. Prawidłowa realizacja obowiązku informacyjnego nie tylko zapewnia zgodność z przepisami, ale również buduje zaufanie i transparentność w relacji z osobami, których dane są przetwarzane.

Z perspektywy praktycznej, realizacja obowiązku informacyjnego wymaga od administratora:

  • Systematycznego przeglądu procesów przetwarzania i aktualizacji klauzul informacyjnych
  • Wykorzystania rozwiązań UX/UI wspierających przejrzystość informacji w środowisku cyfrowym
  • Dostosowania języka i formy do potrzeb i możliwości odbiorców
  • Wdrożenia mechanizmów weryfikujących skuteczność przekazywania informacji
  • Dokumentowania realizacji obowiązku informacyjnego na potrzeby wykazania rozliczalności

Przestrzeganie tych wymogów przyczynia się do budowania kultury ochrony danych osobowych w organizacji i minimalizuje ryzyko sankcji administracyjnych związanych z naruszeniem przepisów RODO.

« Artykuł 12 – Przejrzyste informowanie i komunikacja oraz tryb wykonywania praw osoby, której dane dotyczą
Artykuł 14 – Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą »