Ikonka home dla okruszków Strona główna DLA IOD Dotyczące obowiązków administratora lub podmiotu przetwarzającego

Obowiązek informacyjny w związku z Rejestrem Danych Kontaktowych

Czy urząd, pozyskując dane osobowe z Rejestru Danych Kontaktowych, powinien spełnić obowiązek informacyjny z art. 14 RODO w stosunku do osób, które wyrażą zgodę na przetwarzanie ich danych w tym rejestrze czy też można skorzystać ze zwolnienia
z obowiązku informacyjnego, o którym mowa w art. 14 ust. 5 RODO?

Obowiązek informacyjny, tj. obowiązek przekazania przez administratora osobie, której dane dotyczą, określonych informacji, uregulowany został w art. 13 i art. 14 RODO. Obowiązek ten jest ściśle związany z jednym z uprawnień składających się na prawo do ochrony danych osobowych – uprawnieniem osoby, której dane dotyczą, do „bycia poinformowanym” o fakcie i okolicznościach przetwarzania danych. Zauważyć jednak należy, że obowiązek informacyjny nie ma charakteru bezwzględnego i podlega ograniczeniu.

Artykuł 14 RODO nakłada na administratora obowiązek poinformowania osoby, której dane dotyczą, w przypadku, gdy jej dane są pozyskiwane z innych źródeł niż bezpośrednio od tej osoby. Zgodnie z art. 14 ust. 5 lit. c RODO, administrator jest zwolniony z tego obowiązku informacyjnego w sytuacji, gdy pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem (przepisami prawa UE lub prawa państwa członkowskiego, któremu podlega administrator), przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Wskazane zwolnienie obejmuje przypadki, w których przepisy zawierają wyraźne regulacje dotyczące przetwarzania (pozyskiwania lub ujawniania) danych. Ma ono szczególne znaczenie dla podmiotów publicznych (zwłaszcza administracji publicznej), które – zgodnie z zasadą legalizmu – opierają swoje działania na przepisach prawa. Należy jednak zwrócić uwagę, że obejmuje ono jedynie gromadzenie danych z innych źródeł, natomiast nie przewidziano go w odniesieniu do gromadzenia przez administrację publiczną danych od osób, których one dotyczą. Warunkiem zastosowania tego zwolnienia jest również spełnienie wymogu, aby przepisy regulujące przetwarzanie danych przewidywały odpowiednie środki chroniące prawa osób, których dane poddawane są przetwarzaniu.

Wątpliwości dotyczą tego, czy urząd powinien spełnić obowiązek informacyjny z art. 14 RODO, w stosunku do osób, które wyrażą zgodę na przetwarzanie ich danych w Rejestrze Danych Kontaktowych (RDK). W sytuacji podmiotu wykonującego zadania publiczne analiza ewentualnego zwolnienia z obowiązku informacyjnego powinna być w pierwszej kolejności poprzedzona oceną, czy zastosowanie znajdzie art. 14 ust. 5 RODO, a dopiero w dalszej kolejności należy wziąć pod uwagę treść art. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, mając na uwadze spełnienie określonych w tym przepisie warunków.

Wskazać należy, że zgodnie z art. 14 ust. 5 lit. c RODO, organ publiczny, pozyskując dane osobowe nie od osoby, której one dotyczą, nie jest obowiązany spełniać obowiązku informacyjnego określonego w art. 14 ust. 12 RODO, gdy podstawą przetwarzania danych osobowych jest obowiązek ciążący na administratorze wynikający z przepisów prawa.

Z ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne wynika, że dostęp do danych z RDK, przysługuje wskazanym w ustawie uprawnionym podmiotom i ma na celu ułatwienie kontaktu z osobami fizycznymi, w związku z usługami i zadaniami publicznymi realizowanymi na rzecz tych osób. Jak wynika z uzasadnienia ustawy, RDK „stanowić ma elektroniczny odpowiednik popularnych niegdyś często używanych książek telefonicznych, ale z uwagi na fakt prowadzenia go w formie elektronicznej o wiele bezpieczniejszy i chroniony z punktu widzenia ochrony danych osobowych” (https://www.sejm.gov.pl/Sejm8.nsf/druk.xsp?nr=3789). Udostępnienie danych, odmowa udostępnienia danych oraz cofnięcie dostępu do danych zgromadzonych w RDK następuje w drodze decyzji administracyjnej ministra właściwego do spraw informatyzacji, po uprzednim złożeniu przez uprawniony podmiot jednorazowego uproszczonego wniosku i spełnieniu łącznie określonych w ustawie warunków (art. 20m ustawy o informatyzacji). Organowi gminy zapewniono dostęp do danych zgromadzonych w RDK bez konieczności składania uproszczonego wniosku.

Tak jak to zostało podkreślone wyżej, możliwość skorzystania przez podmiot publiczny z wyłączenia określonego w art. 14 ust. 5 lit. c RODO może nastąpić w sytuacji, gdy podstawą przetwarzania danych osobowych jest obowiązek ciążący na administratorze wynikający z przepisów prawa, czyli wówczas, gdy konkretny przepis prawa obliguje podmiot do pozyskania lub ujawniania określonych danych osobowych nie od osoby, której dane dotyczą.

Należy wskazać, że z przepisów ustawy o informatyzacji wynika, że RDK ma na celu ułatwienie kontaktu z osobami fizycznymi podmiotom realizującym określone usługi i zadania na ich rzecz. Zatem ustawa ta przewiduje jedynie uprawnienie określonych podmiotów do pozyskania danych zgromadzonych w RDK, w związku z realizacją podejmowanych przez nich zadań czy usług w interesie osób fizycznych, nie kreuje jednak takiego obowiązku po stronie tych podmiotów.

Jeżeli chodzi o przesłankę wyłączenia określonego w art. 14 ust. 5 lit. a RODO, należy mieć na uwadze, że osoba, której dane dotyczą, musi dysponować już określonymi informacjami. Ustawa o informatyzacji wskazuje określony krąg podmiotów uprawnionych do pozyskania danych w określonym celu, w tym wprowadziła możliwość udostępnienia danych z RDK innym nieokreślonym w ustawie podmiotom, na podstawie porozumienia zawartego z ministrem właściwym do spraw informatyzacji (art. 20m ust. 1 pkt 2 ustawy o informatyzacji). Jednak to decyzja administracyjna ministra właściwego do spraw informatyzacji będzie kreować „listę” uprawnionych podmiotów mających dostęp do RDK. Należy też wskazać, że minister właściwy do spraw informatyzacji może wydać też decyzję w przedmiocie cofnięcia dostępu do danych w RDK na skutek okoliczności zwartych w ustawie. Informacje skierowane do osób fizycznych, które udostępniają swoje dane osobowe w RDK w klauzuli informacyjnej (dostępna na stronie internetowej Ministerstwa: https://www.gov.pl/web/gov/skorzystaj-z-rejestru-danych-kontaktowych-rdk pod linkiem http://www.gov.pl/attachment/0b110d24-37a6-4cd0-b6e6-6e27d234b558), są powieleniem przepisów ustawy i nie dają odpowiedzi co do rzeczywistej listy podmiotów posiadających dostęp do RDK.

Wobec tego, jeżeli nie zaistnieją okoliczności uzasadniające skorzystanie z wyłączeń, o których mowa w art. 14 ust. 5 RODO lub art. 4 ustawy o ochronie danych osobowych, administrator pozyskujący dane osobowe nie od osoby, której one dotyczą, musi taki obowiązek wypełnić. Należy bowiem podkreślić, że każdy administrator w zakresie przetwarzania danych powinien kierować się zasadami wynikającymi z art. 5 RODO. Zgodnie z zasadą przejrzystości, o której mowa w art. 5 ust. 1 lit. a RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Zasada przejrzystości wymaga, aby wszelkie informacje i komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Ma ona również istotne znaczenie w aspekcie zapewnienia osobom, których dane dotyczą, możliwości korzystania ze wszystkich praw wynikających z RODO.

Przekazanie informacji dotyczących administratora będzie miało istotne znaczenie także z punktu widzenia uprawnień podmiotu danych wynikających z art. 20k ust. 2 pkt 2 ustawy o informatyzacji. W przepisie tym wskazano bowiem, że dane do RDK mogą być także przekazywane, aktualizowane lub usuwane za pośrednictwem uprawnionego podmiotu, posiadającego dostęp do RDK, na wniosek złożony osobiście w siedzibie tego podmiotu przez osobę, której dane dotyczą.

Wiele wskazówek oraz przykładów dotyczących sposobów spełniania obowiązku informacyjnego znaleźć można w szczególności w Wytycznych w sprawie przejrzystości na podstawie rozporządzenia 2016/679, WP260 rev.01 dostępnych pod linkiem: https://uodo.gov.pl/pl/3/1343, a także w prezentacjach ze szkoleń oraz webinariach dot. obowiązku informacyjnego dostępnych na stronie internetowej UODO (np.: https://uodo.gov.pl/pl/189/727, https://uodo.gov.pl/pl/213/930).


Obowiązek informacyjny” - szkolenie dla IOD , 28 lutego 2019 r.

RODO znacząco rozszerzyło zakres obowiązku informacyjnego ciążącego na administratorach. Temu, jak go poprawnie realizować, poświęcone było 16. szkolenie dla inspektorów ochrony danych, które odbyło się 28 lutego 2019 r. w Warszawie.

Informacja jest kluczowa dla przetwarzania

Obecnie administrator musi podać osobom, których dane przetwarza, więcej informacji. Za sprawą RODO, czyli ogólnego rozporządzenia o ochronie danych, musi wskazać okres, przez jaki będzie przechowywał dane czy podać dane kontaktowe do inspektora ochrony danych (IOD), jeśli go wyznaczył. Ma też obowiązek poinformować osoby, o ile będzie ich to dotyczyło, o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu. Istotne jest informowanie o prawie do cofnięcia zgody w dowolnym momencie czy o prawie wniesienia skargi do Prezesa UODO. Nie może zapomnieć też, że gdy zbiera czyjeś dane od osób trzecich lub ze źródeł powszechnie dostępnych albo je kupuje, staje się ich administratorem i również musi dopełnić obowiązku informacyjnego. Nawet gdy jest to tylko numer telefonu lub adres e-mail.

– Wynikający z RODO obowiązek informacyjny ma być komunikacją człowieka do człowieka. Ma przejść z papieru do umysłów, z odhaczania na liście przykrego zadania na realne, aktualne i stałe wywiązywanie się z obowiązku, dla dobra osób, których te dane dotyczą – stwierdził Mirosław Sanek, zastępca Prezesa Urzędu Ochrony Danych Osobowych, otwierając szkolenie.

Zasada przejrzystości

Podczas szkolenia prelegenci zwrócili uwagę, jak ważna przy realizacji obowiązku informacyjnego jest zasada przejrzystości.

– Jeśli od administratora wymaga się, że ma zachowywać się uczciwie wobec osoby, której dane dotyczą, to w dużym stopniu musi zapewnić, aby była ona poinformowana i rozumiała, co dzieje się z jej danymi osobowymi – stwierdził Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO, omawiając podczas szkolenia dla IOD, zasadę przejrzystości w świetle RODO.

Zasady zgodnego z prawem, rzetelnego i przejrzystego przetwarzania nie bez powodu zajmują pierwszą pozycję w katalogu zasad dotyczących przetwarzania danych osobowych i są ze sobą powiązane. W praktyce oznaczają one, że osoba, której dane dotyczą, powinna zostać poinformowana o podjęciu operacji przetwarzania i jej celach, a także o ryzyku, zasadach, zabezpieczeniach i prawach związanych z przetwarzaniem danych osobowych.

Szczególnie istotny przy spełnieniu przez administratora obowiązku informacyjnego jest odpowiedni stopień przejrzystości i rzetelności skierowanego komunikatu.Jakość, dostępność i zrozumiałość informacji jest tak samo ważna, jak sama treść informacji, która musi zostać udzielona osobom, których dane dotyczą.

Zasada przejrzystości wymaga, by wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne, zrozumiałe oraz sformułowane jasnym i prostym językiem.

Prelegenci wielokrotnie odwoływali się do techniki prostej polszczyzny. Ta spopularyzowana przez językoznawców z Uniwersytetu Wrocławskiego metoda w tym kontekście jest godnym polecenia narzędziem ułatwiającym tworzenie zrozumiałych komunikatów. Ponadto przy projektowaniu przekazu szczególną uwagę należy zwrócić na treści adresowane do dzieci. Innym sposobem, który może ułatwić administratorom wywiązywanie się z obowiązku informacyjnego jest warstwowe informowanie, jednak musi być ono dopasowane do rodzaju komunikacji. Może się ono sprawdzić, np. przy aplikacjach elektronicznych.

Obowiązek informacyjny sprzyja budowaniu zaufania

Osobne wykłady poświęcone były przejrzystemu informowaniu w kontekście powiadamiania osób o naruszeniu ochrony ich danych osobowych oraz realizacji obowiązku informacyjnego przy monitoringu wizyjnym.

Monika Młotkiewicz, dyrektor Zespołu Współpracy z Administratorami Danych w UODO, podkreślała, że zasada przejrzystości sprzyja m.in. odpowiedzialnemu i uczciwemu podejściu do wykorzystywania danych osobowych. Wskazywała, że jest to odpowiedź na oczekiwania osób fizycznych, które chcą zrozumiałych zasad postępowania z ich danymi oraz poczucia kontroli nad nimi. Wspomniana zasada służy budowaniu trwałych, bo opartych na wzajemnym zaufaniu, relacji między administratorami a osobami, których dane dotyczą, ale także pozyskiwaniu lojalności i otwartości tych osób.

Monika Młotkiewicz, omawiając zastosowanie zasady przejrzystości w kontekście powiadamiania osób o naruszeniu ochrony danych osobowych, wskazała, że administrator powinien:

  • użyć jasnego i prostego języka,
  • wyjaśnić cel takiego powiadomienia, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć,
  • zastosować język, jakiego zwykle używa w komunikacji z osobą, której dane dotyczą. Czasami może być bowiem konieczne np. skorzystanie z komunikacji głosowej (w przypadku osób niewidomych) czy w języku ojczystym, jeśli jest to cudzoziemiec, tak aby osoba, której dane dotyczą, mogła zrozumieć przekazywane informacje.

Uczulała także, aby administrator działał tak, by z komunikatem o naruszeniu bezpieczeństwa danych osobowych dotrzeć do wszystkich osób fizycznych, na które dane naruszenie wywiera wpływ. Może to w praktyce oznaczać, że użyje wielu kanałów przekazywania informacji.

O różnorodności metod informowania wspomniał także Krzysztof Król z Zespołu Analiz i Strategii w UODO, gdy omawiał zasady informowania osób obserwowanych na skutek zastosowania monitoringu wizyjnego. Ponadto zwrócił uwagę, że przydatnym dla administratorów rozwiązaniem może być dokonana przez nich ocena , czy zastosowana metoda komunikacji spełnia potrzeby komunikacyjne odbiorców oraz czy zastosowane rozwiązania komunikacyjne docierają do odbiorcy bez zakłóceń. Dzięki temu administrator łatwiej zbada skuteczność zastosowanego systemu komunikacji.

Realizacja obowiązku informacyjnego przy monitoringu wizyjnym wiąże się z właściwym oznaczeniem miejsc, gdzie będzie on prowadzony. W tym kontekście Krzysztof Król zachęcał, aby stosować formy komunikacji dostępne dla różnych grup odbiorców, w tym szczególnie zadbać o potrzeby komunikacyjne osób z niepełnosprawnościami.

Film: obowiązak informacyjny szkolenie cz. I 
Film: obowiązek informacyjny szkolenie cz. II


"Obowiązek informacyjny" – zapis webinarium UODO dla szkół

Zapraszamy Państwa do obejrzenia zapisu webinarium poświęconego realizacji obowiązku informacyjnego w szkole. Ekspertka Urzędu Ochrony Danych Osobowych zaprezentowała to zagadnienie uczestnikom IX edycji programu edukacyjnego „Twoje dane – Twoja sprawa”.
W webinarium, które odbyło się 22 marca 2019 r., wzięli udział: przedstawicielka Zespołu ds. Sektora Zdrowia, Zatrudnienia i Szkolnictwa w UODO – Natalia Skowrońska oraz kadra kierownicza szkół i ośrodków doskonalenia zawodowego nauczycieli, pracownicy zajmujący się ochroną danych osobowych w tych placówkach, a także nauczyciele i uczniowie klas ponadpodstawowych oraz szkolni koordynatorzy programu "Twoje dane - Twoja sprawa. Skuteczna ochrona danych osobowych. Inicjatywa edukacyjna skierowana do uczniów i nauczycieli”.

Zapis z webianrium w ramach programu "Twoje dane - Twoja sprawa" -  Obowiązek informacyjny. 



Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23
Wprowadził informację:
user Edyta Madziar
date 2026-03-30 10:28:56
Ostatnio modyfikował:
user
date 2026-04-23 13:06:56

Materiały do pobrania

Pobierz plik Program szkolenia IOD 28.02.2019 [PDF; 348 KB]
Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23 12:54:52
Wprowadził informację:
user
date 2026-04-23 12:54:52
Pobierz plik Metadane pliku Zasada przejrzystości a zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych - prezentacja [PDF; 1,45 MB]
Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23 12:56:25
Wprowadził informację:
user
date 2026-04-23 12:56:25
Pobierz plik Monitoring Wizyjny Obowiązek informacyjny - prezentacja [PDF; 1,87 MB]
Podmiot udostępniający:
Wytworzył informację:
user
date 2026-04-23 12:58:05
Wprowadził informację:
user
date 2026-04-23 12:58:05
Pobierz plik Obowiązek informacyjny - Szkolenie dla IOD - prezentacja [ pdf; 2.07 MB]
Podmiot udostępniający: Departament Prawa i Nowych Technologii
Wytworzył informację:
user Monika Młotkiewicz
date 2026-04-23 12:59:32
Wprowadził informację:
user
date 2026-04-23 12:59:32