Dlaczego art. 14 RODO wciąż sprawia tyle problemów
Wyobraź sobie, że odbierasz telefon od nieznajomego, który nie chce się przedstawić, ale żąda od Ciebie pieniędzy. Tak właśnie czuje się osoba, której dane pozyskałeś pośrednio — i tak właśnie patrzy na Twoją firmę, gdy nie dopełniasz obowiązku informacyjnego z art. 14 RODO.
Art. 14 to jeden z najczęściej pomijanych, a zarazem najczęściej karanych przepisów ogólnego rozporządzenia o ochronie danych. Powód jest prosty — przedsiębiorcy intuicyjnie rozumieją, że muszą informować klientów, którzy sami podają dane (art. 13). Gorzej, gdy dane osobowe pozyskują z rejestrów publicznych, baz marketingowych, mediów społecznościowych czy od kontrahentów. Wtedy obowiązek informacyjny ląduje na samym końcu listy priorytetów — aż do momentu kontroli.
W 2026 roku organy nadzorcze w Polsce i Unii Europejskiej dysponują coraz skuteczniejszymi narzędziami automatycznej analizy stron internetowych. Oznacza to, że Prezes Urzędu Ochrony Danych Osobowych może stwierdzić naruszenie art. 14 bez żadnej skargi — wyłącznie na podstawie audytu Twojej witryny. Dlatego ten poradnik pokazuje nie tylko teorię, ale przede wszystkim praktyczne rozwiązania, które możesz wdrożyć jeszcze dziś.
Co dokładnie reguluje art. 14 RODO — zakres obowiązku informacyjnego
Zacznijmy od fundamentu. Art. 14 RODO nakłada na administratora obowiązek przekazania osobie fizycznej określonych informacji, gdy dane osobowe nie zostały pozyskane bezpośrednio od niej. Mówiąc prościej: jeżeli zdobywasz dane z zewnętrznego źródła, musisz poinformować o tym osobę, której te dane dotyczą.
Katalog informacji, które trzeba przekazać, jest niemal identyczny jak przy art. 13. Obejmuje on między innymi: dane identyfikacyjne administratora i inspektora ochrony danych, cele i podstawę prawną przetwarzania, kategorie odnośnych danych osobowych, informację o odbiorcach danych, zamiarze przekazania danych do państwa trzeciego, okresie przechowywania, a także o prawach osoby, której dane dotyczą — w tym prawie dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia i sprzeciwu.
Dodatkowo art. 14 ust. 2 wymaga podania źródła pochodzenia danych, a gdy ma to zastosowanie — informacji, czy dane pochodzą z ogólnie dostępnych źródeł. To właśnie ten element odróżnia obowiązek z art. 14 od art. 13 i często bywa pomijany w klauzulach informacyjnych.
Warto zapamiętać, że w 2026 roku europejskie wytyczne EDPB kładą szczególny nacisk na przejrzystość i zrozumiałość przekazywanych informacji. Nie wystarczy wkleić suchego tekstu prawnego na podstronę — informacja musi być napisana językiem zrozumiałym dla przeciętnego odbiorcy.
Terminy: ile masz czasu na realizację obowiązku
Tu pojawia się jeden z największych mitów — że na poinformowanie masz zawsze 30 dni. Rzeczywistość jest bardziej złożona i zależy od tego, co planujesz zrobić z danymi.
Art. 14 ust. 3 przewiduje trzy scenariusze czasowe. Pierwszy: rozsądny termin, nie później niż miesiąc od pozyskania danych — to domyślna zasada, która stosuje się do większości sytuacji biznesowych. Drugi: jeżeli dane osobowe mają być wykorzystywane do komunikacji z osobą, której dotyczą — najpóźniej przy pierwszej takiej komunikacji. Trzeci: jeżeli planujesz ujawnić dane innemu odbiorcy — najpóźniej przy pierwszym ujawnieniu.
Co to oznacza w praktyce? Załóżmy, że kupujesz bazę leadów od legalnego dostawcy i już następnego dnia dzwonisz do osób z tej bazy z ofertą. W momencie pierwszej rozmowy telefonicznej musisz poinformować rozmówcę o wszystkim, co wymaga art. 14 — łącznie ze źródłem pochodzenia danych. Jeżeli tego nie zrobisz, naruszasz RODO już przy pierwszym kontakcie.
Dla marketerów B2B szczególnie istotny jest drugi scenariusz. Wysyłając cold mail do potencjalnego klienta, którego dane pozyskałeś z LinkedIn lub wizytówki przekazanej przez kontrahenta, klauzula informacyjna z art. 14 musi znaleźć się w treści tej właśnie wiadomości — nie na stronie internetowej, do której link ginie w stopce. W 2026 roku UODO wielokrotnie podkreślał, że hiperłącze nie spełnia wymogu "przy pierwszej komunikacji", jeśli odbiorca nie ma realnej szansy go zauważyć.
Wyjątki: kiedy nie musisz informować
Nie zawsze musisz realizować obowiązek informacyjny z art. 14. RODO przewiduje kilka wyjątków, które warto znać — ale trzeba z nich korzystać rozważnie i zawsze z udokumentowanym uzasadnieniem.
Pierwszy wyjątek: osoba, której dane dotyczą, już dysponuje tymi informacjami. To częsta sytuacja przy relacjach B2B, gdy pozyskujesz dane kontrahenta od innego podmiotu z grupy kapitałowej — ale uwaga, ciężar dowodu spoczywa na Tobie. Musisz być w stanie wykazać, że dana osoba faktycznie znała już wszystkie wymagane informacje, a nie tylko część z nich.
Drugi wyjątek: udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. To klauzula generalna, która w praktyce sprawdza się przy dużych zbiorach danych archiwalnych lub przy danych pozyskanych wiele lat temu. W takim przypadku administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, w tym opublikować informacje publicznie — na przykład na stronie internetowej. W 2026 roku organy nadzorcze wymagają, aby ocena "niewspółmiernego wysiłku" była udokumentowana w formie pisemnej analizy, najlepiej w rejestrze czynności przetwarzania.
Trzeci wyjątek: pozyskanie lub ujawnienie danych jest wyraźnie uregulowane prawem Unii lub prawem krajowym. Przykładem jest pozyskiwanie danych z KRS czy CEIDG do celów zgodnych z przeznaczeniem tych rejestrów — choć i tu zalecana jest ostrożność i konsultacja z prawnikiem.
Czwarty wyjątek: dane osobowe muszą pozostać poufne z uwagi na tajemnicę zawodową. Dotyczy to głównie adwokatów, radców prawnych, lekarzy i doradców podatkowych.
Nie ma natomiast wyjątku dla "danych firmowych" — dane osobowe przedsiębiorców (imię, nazwisko, telefon służbowy) podlegają takiej samej ochronie jak dane konsumentów. Ten punkt wciąż budzi zdziwienie wśród właścicieli firm w 2026 roku.
Jak prawidłowo zredagować klauzulę z art. 14
Sama znajomość przepisów to dopiero początek — prawdziwym wyzwaniem jest stworzenie klauzuli informacyjnej, która jednocześnie spełnia wymogi prawne i nie odstrasza potencjalnego klienta suchym, korporacyjnym językiem.
Zacznij od struktury. Każda klauzula musi zawierać pełny katalog informacji z art. 14 ust. 1 i 2, ale nie musi podawać ich w porządku ustawowym. W praktyce sprawdza się układ warstwowy: pierwszy akapit z najważniejszymi informacjami (kto, po co, skąd dane), drugi z prawami i okresem przechowywania, a trzeci z danymi kontaktowymi i możliwością wniesienia skargi do UODO.
Kluczowy element, który odróżnia klauzulę z art. 14 od art. 13, to wskazanie źródła danych. Tu pułapka: nie wystarczy napisać "z ogólnodostępnych źródeł". Musisz wskazać konkretne kategorie źródeł — na przykład "publiczne rejestry przedsiębiorców (CEIDG, KRS)", "serwisy społecznościowe (LinkedIn)", "bazy marketingowe podmiotów trzecich". Im bardziej precyzyjnie, tym lepiej — również dla Ciebie, bo w razie kontroli precyzyjna klauzula działa jak tarcza ochronna.
Drugi newralgiczny punkt: podstawa prawna przetwarzania. Przy danych pozyskanych pośrednio najczęściej będzie to prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). W takim przypadku klauzula musi wskazywać na czym ten interes polega — na przykład "marketing bezpośredni produktów i usług własnych administratora". Od 2026 roku, po nowelizacji wytycznych EDPB, rekomenduje się również wzmiankę o przeprowadzonym teście równowagi.
Język ma znaczenie. Unikaj konstrukcji "niniejszym informuje się", "podmiot danych", "przetwarzający". Zamiast tego pisz "informujemy Cię", "Twoje dane", "firma, która obsługuje nasz system IT". Klauzula, która brzmi jak wyrok sądowy, nie spełnia wymogu przejrzystości z art. 12 RODO — a to osobna podstawa do kary.
Art. 14 w praktyce biznesowej — scenariusze i ryzyka
Teoria to jedno, codzienna praktyka to drugie. Poniżej analizujemy trzy najczęstsze scenariusze biznesowe, w których art. 14 odgrywa kluczową rolę.
Scenariusz 1: Marketing B2B z wykorzystaniem danych z LinkedIn. Znalazłeś potencjalnego klienta, zapisałeś jego imię, nazwisko, stanowisko i adres e-mail. Przed wysłaniem pierwszej wiadomości cold-mailowej musisz przekazać mu klauzulę informacyjną z art. 14. W 2026 roku rekomendowaną praktyką jest umieszczenie jej bezpośrednio w treści maila — nie jako załącznika PDF i nie jako linku na samym dole długiej stopki. Jednocześnie pamiętaj, że sam e-mail marketingowy może wymagać zgody na podstawie ustawy o świadczeniu usług drogą elektroniczną lub Prawa telekomunikacyjnego — to dwa odrębne reżimy prawne.
Scenariusz 2: Zakup bazy danych od zewnętrznego dostawcy. Tu ryzyko jest największe. Przed zakupem musisz zweryfikować, czy dostawca udokumentował realizację obowiązku informacyjnego wobec osób, których dane sprzedaje — w przeciwnym razie to Ty, jako nowy administrator, bierzesz na siebie ten obowiązek. W praktyce zaleca się zawarcie w umowie z dostawcą klauzuli gwarancyjnej i kar umownych za brak zgodności z RODO. Mimo to, nawet najlepsza umowa nie zwalnia Cię z odpowiedzialności administracyjnej wobec UODO.
Scenariusz 3: Monitoring wizyjny zewnętrznego parkingu. Twoja firma korzysta z parkingu należącego do operatora zewnętrznego, ale otrzymuje nagrania, na których widoczne są twarze i tablice rejestracyjne. Jesteś administratorem tych danych, pozyskałeś je pośrednio (od operatora parkingu), a zatem art. 14 ma zastosowanie. W przypadku monitoringu RODO dopuszcza wyjątek — obowiązek informacyjny można spełnić przez tablice informacyjne, ale muszą one zawierać przynajmniej dane administratora i cel monitoringu.
W 2026 roku statystyki UODO pokazują wyraźny trend: kary za naruszenie art. 14 stanowią około 12% wszystkich nakładanych sankcji, a średnia wysokość kary w Polsce wzrosła do 78 000 zł. Najczęstszą przyczyną jest całkowity brak klauzuli informacyjnej przy pozyskaniu danych pośrednich — a nie jej wadliwa treść.
Jak zautomatyzować zgodność, by nie tracić czasu
Ręczne wysyłanie klauzul informacyjnych do każdej osoby, której dane pozyskałeś pośrednio, może być koszmarem operacyjnym — szczególnie przy tysiącach kontaktów. W 2026 roku rynek oferuje już dojrzałe narzędzia do automatyzacji tych procesów.
Pierwszym krokiem jest centralna ewidencja źródeł danych. Każdy dział w firmie — sprzedaż, marketing, HR, administracja — powinien raportować, z jakich źródeł pozyskuje dane osobowe i w jakim celu. Bez tej wiedzy nie da się nawet stwierdzić, czy art. 14 ma zastosowanie. Narzędzia typu CRM z modułem RODO pozwalają na automatyczne tagowanie kontaktów według źródła i wyzwalanie odpowiednich procesów informacyjnych.
Drugi krok to automatyczne wyzwalanie klauzul. Gdy nowy kontakt trafia do bazy z oznaczeniem "pozyskany pośrednio", system powinien w ciągu odpowiedniego terminu (typowo do 30 dni, ale pamiętaj o scenariuszach komunikacyjnych) wygenerować i wysłać wiadomość e-mail z klauzulą z art. 14. W 2026 roku polskie sądy administracyjne potwierdziły już, że taka automatyzacja jest zgodna z RODO, o ile system rejestruje fakt i datę wysłania.
Trzeci element: audytowalny ślad. Każde wysłanie klauzuli musi być odnotowane z datą, treścią i adresatem. W razie kontroli UODO to właśnie ten rejestr będzie Twoim głównym dowodem dochowania należytej staranności. Aplikacje do zarządzania zgodnością oferują gotowe moduły audytowe z możliwością eksportu raportów na potrzeby kontroli i rocznych przeglądów.
Czwarty, często pomijany element: aktualizacja klauzul. Gdy zmienia się cel przetwarzania, podstawa prawna lub katalog odbiorców danych — klauzula informacyjna musi zostać zaktualizowana, a osoby już poinformowane muszą otrzymać uzupełnienie. Automatyczne narzędzia potrafią wykryć zmianę w rejestrze czynności przetwarzania i zainicjować proces ponownego poinformowania.
Art. 14 a inne przepisy — mapa zależności
Art. 14 nie istnieje w próżni. Jego prawidłowe stosowanie wymaga uwzględnienia całej sieci powiązanych przepisów i orzeczeń.
Pierwsza kluczowa relacja: art. 14 a art. 15 RODO (prawo dostępu). Jeżeli prawidłowo zrealizowałeś obowiązek informacyjny, osoba ma pełną wiedzę o tym, jakie dane przetwarzasz i skąd je masz. Gdy tego nie zrobiłeś — pierwsze żądanie dostępu do danych prawdopodobnie ujawni Twoje zaniedbanie i otworzy drogę do skargi do UODO.
Druga zależność: art. 14 a art. 30 RODO (rejestr czynności przetwarzania). W rejestrze musisz wskazać m.in. kategorie osób, których dane dotyczą, i kategorie danych. Jeżeli w rejestrze figuruje czynność "pozyskiwanie danych z LinkedIn", to automatycznie masz obowiązek z art. 14. Spójność między rejestrem a realizowanymi obowiązkami informacyjnymi to pierwszy punkt, który sprawdza audytor.
Trzecia relacja: art. 14 a przepisy sektorowe. Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości wyłącza stosowanie art. 14 w określonych przypadkach. Podobnie niektóre ustawy branżowe (prawo bankowe, ustawa o działalności ubezpieczeniowej) modyfikują zakres obowiązku informacyjnego. W 2026 roku warto skonsultować się z prawnikiem specjalizującym się w danej branży.
Czwarta zależność: art. 14 a ePrivacy. Nadchodzące rozporządzenie ePrivacy (którego wejście w życie przesunięto na 2027 rok) może wprowadzić dodatkowe obowiązki informacyjne dotyczące metadanych komunikacji elektronicznej. Już teraz warto projektować systemy z myślą o przyszłych wymaganiach.
Częste pytania
Czy muszę informować kontrahenta jednoosobowej działalności gospodarczej na podstawie art. 14?
Tak. Dane osobowe przedsiębiorcy — imię, nazwisko, adres e-mail, numer telefonu — podlegają pełnej ochronie RODO, nawet jeśli są publicznie dostępne w CEIDG. Wyjątek dotyczy wyłącznie sytuacji, gdy pozyskujesz dane bezpośrednio od tego przedsiębiorcy — wtedy stosuje się art. 13, nie art. 14.
Co grozi za brak realizacji obowiązku z art. 14?
Administracyjna kara pieniężna do 20 000 000 euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa. W Polsce w 2025 i 2026 roku kary za naruszenia art. 14 najczęściej oscylowały w przedziale od 30 000 do 250 000 zł.
Czy mogę wysłać klauzulę informacyjną SMS-em lub komunikatorem?
Tak, jeżeli jest to uzasadnione kontekstem przetwarzania i osoba może realnie zapoznać się z informacjami. SMS nie pomieści pełnej klauzuli, ale może zawierać skrót z linkiem do pełnej treści — pod warunkiem, że link nie wymaga od odbiorcy nadmiernego wysiłku (np. logowania).
Czy art. 14 dotyczy danych z wizytówek otrzymanych na targach?
Tak, jeżeli wizytówkę przekazał Ci kontrahent, a nie osoba, której dane dotyczą. Jeżeli natomiast osoba sama wręczyła Ci wizytówkę — stosujesz art. 13, bo dane pozyskałeś bezpośrednio. Rozróżnienie jest kluczowe i często pomijane.
Czy publikacja klauzuli na stronie internetowej wystarczy?
Tylko wtedy, gdy udowodnisz, że indywidualne poinformowanie wymagałoby niewspółmiernie dużego wysiłku. W pozostałych przypadkach musisz poinformować każdą osobę indywidualnie. Wrzucenie PDF-u na podstronę "Polityka prywatności" nie spełnia wymogów art. 14.
Jak długo przechowywać dowody realizacji obowiązku informacyjnego?
Nie ma ustawowego terminu, ale rekomenduje się okres przedawnienia roszczeń cywilnych (6 lat) plus co najmniej rok. W praktyce większość firm przechowuje te dowody bezterminowo w systemie do zarządzania zgodnością.
Czy art. 14 obowiązuje przy przetwarzaniu danych osobowych pracowników?
Tak, jeżeli dane pracownika pozyskałeś z zewnętrznego źródła — na przykład z poprzedniego miejsca pracy, z rejestru dłużników lub z agencji pracy tymczasowej. Przy rekrutacji pośredniej (agencje, headhunting) art. 14 ma pełne zastosowanie.
Czy można łączyć klauzulę z art. 13 i art. 14?
Można, i jest to zalecane, gdy przetwarzasz dane pozyskane zarówno bezpośrednio, jak i pośrednio. Wspólna klauzula musi jednak wyraźnie rozróżniać, które informacje dotyczą którego źródła — nie może wprowadzać w błąd co do pochodzenia danych.
Jak wygląda odpowiedzialność współadministratorów za art. 14?
Współadministratorzy mogą uzgodnić między sobą, który z nich wykona obowiązek informacyjny — ale wobec osoby, której dane dotyczą, ponoszą odpowiedzialność solidarną. Uzgodnienia wewnętrzne muszą być udostępniane na żądanie, a ich brak nie zwalnia żadnej ze stron.
Czy mały sklep internetowy też musi stosować art. 14?
Tak, jeżeli pozyskuje dane pośrednio — na przykład kupuje bazę adresową do wysyłki katalogów albo korzysta z usługi remarketingowej, która dostarcza dane osobowe od zewnętrznych partnerów. Wielkość firmy nie ma znaczenia dla obowiązku.
Praktyczna lista kontrolna zgodności z art. 14 w 2026 roku
Zamiast kończyć suchą konkluzją, przekazujemy konkretną listę działań do wykonania. Każdy punkt możesz potraktować jako zadanie na najbliższy tydzień.
Krok 1. Inwentaryzacja. Przejrzyj wszystkie procesy w firmie i zidentyfikuj te, w których dane osobowe pozyskujesz z zewnętrznych źródeł — od baz marketingowych, przez rejestry publiczne, social media, monitoring, po dane od kontrahentów.
Krok 2. Mapa terminów. Dla każdego procesu ustal właściwy termin realizacji obowiązku informacyjnego: rozsądny termin do miesiąca, pierwsza komunikacja, czy pierwsze ujawnienie innemu odbiorcy.
Krok 3. Wzory klauzul. Przygotuj odrębne wzory klauzul dla różnych procesów — inne dla marketingu B2B, inne dla monitoringu, inne dla rekrutacji. Każdy wzór musi zawierać konkretne źródło danych i cel przetwarzania.
Krok 4. Automatyzacja. Wdróż system, który przy wprowadzeniu nowego kontaktu z flagą "pozyskany pośrednio" automatycznie wyzwala wysyłkę odpowiedniej klauzuli w wymaganym terminie i zapisuje ten fakt w nieusuwalnym rejestrze.
Krok 5. Przegląd i aktualizacja. Raz na kwartał — lub zawsze przy zmianie procesów — weryfikuj aktualność klauzul. Szczególnie ważne przy zmianie dostawców usług IT, którzy mogą stać się nowymi odbiorcami danych.
Krok 6. Szkolenie zespołu. Każda osoba, która wprowadza dane do systemu — od handlowca po pracownika administracji — musi rozumieć różnicę między art. 13 a art. 14 i wiedzieć, kiedy uruchomić procedurę informacyjną.
Krok 7. Audyt zewnętrzny. Przynajmniej raz na dwa lata zleć zewnętrznemu audytorowi przegląd zgodności z art. 14. Koszt takiego audytu jest wielokrotnie niższy niż potencjalna kara UODO.
Konsekwentne stosowanie art. 14 RODO to nie tylko unikanie kar — to również budowanie zaufania klientów i partnerów biznesowych. Firma, która transparentnie informuje, skąd ma dane i jak je wykorzystuje, wyróżnia się na tle konkurencji w 2026 roku. Sprawdź, jak KluczeSoft może pomóc Twojej organizacji w automatyzacji obowiązków informacyjnych i kompleksowym zarządzaniu zgodnością z RODO.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.