Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Art 13 RODO — poradnik praktyczny 2026

Mimo że RODO obowiązuje od maja 2018 roku, statystyki Urzędu Ochrony Danych Osobowych za pierwsze półrocze 2026 roku pokazują niepokojący trend: obowiązek infor

12 min czytania·Zaktualizowano dzisiaj

Art. 13 RODO to jeden z najczęściej przywoływanych przepisów unijnego rozporządzenia o ochronie danych osobowych — i jednocześnie jeden z najczęściej naruszanych. Każda organizacja, która zbiera dane osobowe bezpośrednio od osoby, której te dane dotyczą, musi spełnić obowiązek informacyjny opisany właśnie w tym artykule. W 2026 roku, po ponad ośmiu latach stosowania RODO, organy nadzorcze w Polsce i Europie niezmiennie traktują naruszenia art. 13 jako pole do dotkliwych kar administracyjnych. Ten poradnik wyjaśnia krok po kroku, co dokładnie nakazuje art. 13 RODO, jak skonstruować zgodną klauzulę informacyjną, jakie zmiany interpretacyjne przyniósł rok 2026 i jak uniknąć błędów, które kosztują przedsiębiorców realne pieniądze.

Dlaczego art. 13 RODO wciąż generuje kary w 2026 roku

Mimo że RODO obowiązuje od maja 2018 roku, statystyki Urzędu Ochrony Danych Osobowych za pierwsze półrocze 2026 roku pokazują niepokojący trend: obowiązek informacyjny pozostaje w czołówce najczęściej stwierdzanych naruszeń. W samym tylko I kwartale 2026 roku Prezes UODO nałożył kilkanaście kar administracyjnych, w których stwierdzono naruszenie art. 13 — od upomnień po kary finansowe sięgające kilkuset tysięcy złotych.

Dlaczego tak się dzieje? Po pierwsze, świadomość społeczna rośnie — obywatele wiedzą coraz lepiej, jakie prawa im przysługują, i chętniej składają skargi. Po drugie, Europejska Rada Ochrony Danych wydała w lutym 2026 roku zaktualizowane wytyczne dotyczące obowiązku informacyjnego, które zaostrzają wymogi w zakresie przejrzystości i języka komunikacji. Po trzecie, wiele firm wdrożyło klauzule informacyjne w 2018 roku i od tamtej pory ich nie aktualizowało — a rzeczywistość przetwarzania danych zmieniła się diametralnie.

Kiedy stosuje się art. 13 RODO — zakres podmiotowy i przedmiotowy

Art. 13 RODO stosuje się wyłącznie w sytuacji, gdy dane osobowe są pozyskiwane bezpośrednio od osoby, której dane dotyczą. Oznacza to, że każdorazowo, gdy użytkownik wypełnia formularz kontaktowy na stronie internetowej, zakłada konto w serwisie, zapisuje się do newslettera, podaje dane w aplikacji mobilnej, bierze udział w konkursie czy ankiecie — administrator ma obowiązek przekazać mu komplet informacji wymienionych w art. 13 ust. 1 i 2.

Warto odróżnić tę sytuację od art. 14 RODO, który reguluje obowiązek informacyjny przy pozyskiwaniu danych z innych źródeł niż osoba, której dane dotyczą — na przykład z rejestrów publicznych, baz danych czy od podmiotów trzecich. Art. 13 i 14 nie są zamienne, a pomyłka w tym zakresie może skutkować zarzutem niewykonania obowiązku informacyjnego.

Zakres podmiotowy art. 13 obejmuje każdego administratora danych — od jednoosobowej działalności gospodarczej po międzynarodowe korporacje. Nie ma znaczenia wielkość organizacji ani skala przetwarzania: obowiązek informacyjny jest bezwzględny i nie podlega zwolnieniom ze względu na rozmiar podmiotu.

Co dokładnie trzeba podać — pełny katalog informacji z art. 13

Art. 13 RODO wymienia łącznie kilkanaście kategorii informacji, które administrator musi przekazać osobie, której dane dotyczą. Katalog ten jest zamknięty i obligatoryjny — nie można pominąć żadnego z jego elementów. Oto pełna lista informacji wymaganych w 2026 roku:

Ust. 1 — informacje podstawowe:

  1. Tożsamość i dane kontaktowe administratora — pełna nazwa firmy, adres siedziby, adres e-mail, numer telefonu.
  2. Dane kontaktowe inspektora ochrony danych — jeśli został wyznaczony; w 2026 roku coraz więcej firm decyduje się na powołanie IOD, nawet gdy nie jest to obowiązkowe, właśnie ze względu na art. 13.
  3. Cele przetwarzania danych osobowych — opisane konkretnie, nie ogólnikowo; sformułowanie „w celach marketingowych” jest niewystarczające, trzeba wskazać, czy chodzi o marketing własny, cudzy, profilowanie, reklamę behawioralną.
  4. Podstawa prawna przetwarzania — wskazanie konkretnego punktu z art. 6 ust. 1 RODO lub innej podstawy prawnej.
  5. W przypadku przetwarzania na podstawie prawnie uzasadnionego interesu — wyjaśnienie, na czym ten interes polega; od 2026 roku wytyczne EROD wymagają również wskazania, jak administrator wyważył ten interes z prawami osoby.
  6. Odbiorcy danych lub kategorie odbiorców — z podziałem na podmioty przetwarzające, współadministratorów i odbiorców w rozumieniu RODO.
  7. Informacja o zamiarze przekazania danych do państwa trzeciego — wraz ze wskazaniem podstawy prawnej transferu i informacją, czy Komisja Europejska stwierdziła odpowiedni stopień ochrony.

Ust. 2 — informacje dodatkowe:

  1. Okres przechowywania danych — lub kryteria jego ustalania; nie można wpisywać „do czasu przedawnienia roszczeń” bez wskazania konkretnych terminów.
  2. Prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu.
  3. Prawo do cofnięcia zgody w dowolnym momencie — gdy przetwarzanie opiera się na zgodzie.
  4. Prawo wniesienia skargi do Prezesa UODO.
  5. Informacja, czy podanie danych jest wymogiem ustawowym lub umownym, oraz konsekwencje ich niepodania.
  6. Informacja o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu — wraz z istotnymi informacjami o zasadach jego podejmowania, znaczeniu i przewidywanych konsekwencjach.

Dodatkowo art. 13 ust. 3 przewiduje obowiązek poinformowania o każdej zmianie celu przetwarzania przed jej dokonaniem.

Jak pisać klauzulę informacyjną zgodną z art. 13 w praktyce

Teoria to jedno, praktyka to drugie. Najczęstsze błędy pisarskie, które widzą audytorzy w 2026 roku, to: klauzule kopiowane z internetu bez dostosowania do konkretnego kontekstu przetwarzania, język prawniczy niezrozumiały dla przeciętnego odbiorcy, brak rozbicia klauzuli na warstwy oraz ukrywanie kluczowych informacji w gąszczu tekstu.

Prawidłowo skonstruowana klauzula informacyjna powinna być:

  • Warstwowa — pierwsza warstwa to krótki, esencjonalny komunikat (tzw. notice), druga to rozszerzone informacje dostępne po kliknięciu, trzecia to pełna polityka prywatności.
  • Zrozumiała — napisana prostym językiem, z użyciem przykładów, bez żargonu prawniczego. EROD w 2026 roku rekomenduje badanie zrozumiałości klauzul na grupach docelowych.
  • Dostosowana do konkretnego procesu — inna klauzula dla formularza kontaktowego, inna dla newslettera, inna dla procesu rekrutacyjnego.
  • Kompletna — musi zawierać wszystkie elementy z art. 13 ust. 1 i 2; pominięcie choćby jednego to naruszenie.
  • Łatwo dostępna — klauzula nie może być schowana; powinna być widoczna w tym samym miejscu i czasie, w którym dane są zbierane.

Przykład: formularz kontaktowy na stronie www powinien zawierać przed przyciskiem „Wyślij” co najmniej pierwszą warstwę klauzuli (tożsamość administratora, cel, podstawa prawna, okres przechowywania, prawa) z aktywnym linkiem do pełnej polityki prywatności. Samo umieszczenie linku bez podania podstawowych informacji jest niewystarczające — Prezes UODO konsekwentnie kwestionuje taką praktykę.

Art. 13 a cookie, tracking i zgody marketingowe w 2026

Rok 2026 przyniósł istotne zmiany na styku art. 13 RODO i regulacji dotyczących plików cookie oraz e-prywatności. Od stycznia 2026 roku obowiązuje znowelizowana ustawa o świadczeniu usług drogą elektroniczną, która wprowadziła dodatkowe obowiązki informacyjne przy stosowaniu technologii śledzących.

Co to oznacza w praktyce? Banner cookie musi zawierać elementy obowiązku informacyjnego z art. 13 — nie można już stosować prostego komunikatu „ta strona używa plików cookie” z przyciskiem „OK”. Użytkownik musi otrzymać informację: kto jest administratorem, w jakich celach przetwarzane są dane zbierane przez pliki cookie, jaka jest podstawa prawna (zgoda lub prawnie uzasadniony interes) oraz jakie ma prawa. Dotyczy to również pikseli konwersji, skryptów analitycznych i innych mechanizmów śledzących.

Ponadto w przypadku wyrażania zgody marketingowej — na przykład przy zapisie do newslettera — art. 13 wymaga poinformowania nie tylko o prawie do cofnięcia zgody, ale także o tym, że cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania przed jej cofnięciem. Wiele firm o tym zapomina, a Prezes UODO traktuje ten brak jako naruszenie.

Portal kluczesoft.pl oferuje narzędzia, które automatyzują zgodność z art. 13 RODO — od generatora klauzul informacyjnych po system zarządzania zgodami użytkowników, pomagając przedsiębiorcom uniknąć kosztownych błędów przy wdrażaniu obowiązku informacyjnego.

Różnice między art. 13 a art. 14 — pułapki praktyczne

Choć oba artykuły dotyczą obowiązku informacyjnego, różnice między nimi są fundamentalne i nierzadko stanowią pułapkę dla administratorów. Oto najważniejsze odmienności w 2026 roku:

KryteriumArt. 13Art. 14
Źródło danychBezpośrednio od osobyInne źródła
Termin przekazaniaW momencie zbieraniaW rozsądnym terminie (max 30 dni, przy pierwszej komunikacji, przy ujawnieniu)
Dodatkowe informacjeKonsekwencje niepodania danychZ jakiego źródła pochodzą dane
WyjątkiBrakSzereg wyjątków, m.in. niewspółmierny wysiłek, obowiązek prawny

Typowy błąd: firma kupuje bazę leadów i wysyła do nich ofertę, stosując klauzulę z art. 13 zamiast z art. 14. To poważne naruszenie, ponieważ art. 14 wymaga między innymi wskazania źródła pochodzenia danych — informacji, której art. 13 nie przewiduje. Kary za takie pomyłki w 2026 roku sięgały już 50 000 zł w przypadku pojedynczego zdarzenia.

Art. 13 RODO w kontekście sztucznej inteligencji — nowe wyzwania 2026

Rok 2026 to moment, w którym sztuczna inteligencja stała się powszechnym narzędziem biznesowym — a wraz z tym pojawiły się nowe wyzwania dla obowiązku informacyjnego. Gdy organizacja wykorzystuje systemy AI do przetwarzania danych osobowych (na przykład do scoringu klientów, analizy CV, personalizacji ofert), art. 13 wymaga poinformowania o tym osoby, której dane dotyczą.

Wytyczne EROD z lutego 2026 roku precyzują ten wymóg: administrator musi wyjaśnić nie tylko fakt stosowania AI, ale również logikę stojącą za zautomatyzowanym przetwarzaniem, kryteria brane pod uwagę przez algorytm, sposób ważenia poszczególnych czynników oraz możliwe konsekwencje decyzji podejmowanych automatycznie. Nie jest wymagane ujawnianie kodu źródłowego ani tajemnic handlowych, ale poziom szczegółowości musi być na tyle wysoki, aby osoba mogła zrozumieć, jak działa mechanizm i zakwestionować wynik.

To ogromne wyzwanie praktyczne — napisanie zrozumiałej klauzuli informacyjnej o działaniu modelu machine learningowego wymaga współpracy prawników, data scientistów i UX designerów. Firmy, które wdrażają AI, powinny przeprowadzić audyt swoich klauzul informacyjnych pod kątem tego nowego wymogu.

Najczęstsze błędy i jak ich uniknąć — lista kontrolna 2026

Praktyka organu nadzorczego i sądów administracyjnych w 2026 roku pozwala zidentyfikować powtarzające się błędy:

  1. Ogólnikowe cele przetwarzania — „marketing” zamiast „marketing bezpośredni własnych produktów w oparciu o prawnie uzasadniony interes, polegający na wysyłce newslettera na adres e-mail”.
  2. Brak wskazania konkretnego prawnie uzasadnionego interesu — samo przywołanie art. 6 ust. 1 lit. f RODO nie wystarczy.
  3. Pominięcie informacji o profilowaniu — dotyczy nawet prostego profilowania marketingowego.
  4. Nieaktualne dane kontaktowe — zmiana siedziby, adresu e-mail czy IOD bez aktualizacji we wszystkich klauzulach.
  5. Klauzula niedostępna dla użytkownika — na przykład ukryta w nieaktywnym linku lub wymagająca przewinięcia wieloekranowego tekstu.
  6. Język prawniczy — kopiowanie treści ustawy bez przełożenia na zrozumiały komunikat.
  7. Brak warstwowości — wszystkie informacje wrzucone w jeden blok tekstu bez struktury i nagłówków.
  8. Pominięcie informacji o odbiorcach spoza EOG — nawet jeśli transfer odbywa się na podstawie standardowych klauzul umownych.
  9. Niewskazanie konsekwencji niepodania danych — szczególnie istotne przy umowach.
  10. Zapomnienie o aktualizacji klauzuli przy zmianie celu przetwarzania — art. 13 ust. 3 nakazuje poinformować przed zmianą.

Częste pytania

Czy art. 13 RODO dotyczy każdego rodzaju danych osobowych?

Tak. Art. 13 nie różnicuje danych zwykłych i szczególnych kategorii danych (wrażliwych) — obowiązek informacyjny dotyczy wszystkich danych osobowych. Jedyna różnica polega na tym, że przy danych wrażliwych podstawa prawna będzie wynikać z art. 9 RODO, co również należy wskazać w klauzuli.

Czy wystarczy link do polityki prywatności zamiast klauzuli?

Nie. Polityka prywatności to dokument ogólny, który nie zastępuje konkretnej klauzuli informacyjnej przy danym procesie zbierania danych. Użytkownik musi otrzymać informacje w momencie zbierania danych, a nie być odsyłany do osobnego dokumentu bez żadnego kontekstu.

Jaki jest termin na przekazanie informacji z art. 13?

Informacje należy przekazać w momencie pozyskiwania danych osobowych. Nie ma możliwości późniejszego dopełnienia obowiązku. W przypadku formularzy online klauzula musi być dostępna przed kliknięciem przycisku wysyłającego dane.

Czy art. 13 stosuje się do danych zbieranych przez monitoring wizyjny?

Tak, ale w specyficzny sposób. Przy monitoringu wizyjnym administrator stosuje dwuwarstwową informację: tabliczkę z podstawowymi danymi (tożsamość administratora, cel, podstawa prawna, dane kontaktowe) oraz pełną klauzulę dostępną na przykład w recepcji, na stronie internetowej lub pod kodem QR.

Co grozi za naruszenie art. 13 RODO w 2026 roku?

Naruszenie art. 13 podlega karze administracyjnej do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu — w zależności od tego, która wartość jest wyższa. W 2026 roku Prezes UODO nakładał kary od kilkudziesięciu do kilkuset tysięcy złotych za naruszenia obowiązku informacyjnego.

Czy muszę tłumaczyć klauzulę na języki obce?

Jeśli oferujesz usługi lub produkty skierowane do osób z innych krajów UE, klauzula powinna być dostępna w języku zrozumiałym dla odbiorcy. W praktyce oznacza to co najmniej wersję polską i angielską, a przy większym zasięgu — również inne języki urzędowe UE.

Kto odpowiada za zgodność z art. 13 — administrator czy podmiot przetwarzający?

Obowiązek informacyjny spoczywa wyłącznie na administratorze danych. Podmiot przetwarzający nie ma samodzielnego obowiązku informacyjnego wobec osób, których dane dotyczą, chyba że umowa powierzenia stanowi inaczej — ale odpowiedzialność administracyjna zawsze ciąży na administratorze.

Czy mogę użyć tej samej klauzuli do wszystkich procesów?

Nie jest to zalecane. Każdy proces przetwarzania może mieć inny cel, podstawę prawną, okres przechowywania i odbiorców. Stosowanie jednej uniwersalnej klauzuli prowadzi do nieścisłości i może być uznane za naruszenie.

Co z art. 13 przy zbieraniu danych głosowych — na przykład przez asystentów głosowych?

Dane głosowe podlegają tym samym rygorom co inne dane osobowe. Przy zbieraniu głosu należy spełnić obowiązek informacyjny przed rozpoczęciem nagrywania, w formie dostosowanej do kanału komunikacji — na przykład komunikatu dźwiękowego. Jest to nowy obszar, który EROD uregulowała w swoich wytycznych z 2026 roku.

Czy art. 13 wymaga zgody na przetwarzanie danych?

Nie. Art. 13 dotyczy obowiązku informacyjnego, a nie obowiązku uzyskania zgody. To dwa odrębne obowiązki. Możesz przetwarzać dane na podstawie prawnie uzasadnionego interesu lub innej podstawy, a i tak musisz spełnić obowiązek informacyjny. Zgoda to zupełnie odrębna instytucja prawna uregulowana w art. 7 RODO.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak. Art. 13 nie różnicuje danych zwykłych i szczególnych kategorii danych (wrażliwych) — obowiązek informacyjny dotyczy wszystkich danych osobowych. Jedyna różnica polega na tym, że przy danych wrażliwych podstawa prawna będzie wynikać z art. 9 RODO, co również należy wskazać w klauzuli.
Nie. Polityka prywatności to dokument ogólny, który nie zastępuje konkretnej klauzuli informacyjnej przy danym procesie zbierania danych. Użytkownik musi otrzymać informacje w momencie zbierania danych, a nie być odsyłany do osobnego dokumentu bez żadnego kontekstu.
Informacje należy przekazać **w momencie pozyskiwania danych osobowych**. Nie ma możliwości późniejszego dopełnienia obowiązku. W przypadku formularzy online klauzula musi być dostępna przed kliknięciem przycisku wysyłającego dane.
Tak, ale w specyficzny sposób. Przy monitoringu wizyjnym administrator stosuje dwuwarstwową informację: tabliczkę z podstawowymi danymi (tożsamość administratora, cel, podstawa prawna, dane kontaktowe) oraz pełną klauzulę dostępną na przykład w recepcji, na stronie internetowej lub pod kodem QR.
Naruszenie art. 13 podlega karze administracyjnej do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu — w zależności od tego, która wartość jest wyższa. W 2026 roku Prezes UODO nakładał kary od kilkudziesięciu do kilkuset tysięcy złotych za naruszenia obowiązku informacyjnego.
Jeśli oferujesz usługi lub produkty skierowane do osób z innych krajów UE, klauzula powinna być dostępna w języku zrozumiałym dla odbiorcy. W praktyce oznacza to co najmniej wersję polską i angielską, a przy większym zasięgu — również inne języki urzędowe UE.
Obowiązek informacyjny spoczywa wyłącznie na administratorze danych. Podmiot przetwarzający nie ma samodzielnego obowiązku informacyjnego wobec osób, których dane dotyczą, chyba że umowa powierzenia stanowi inaczej — ale odpowiedzialność administracyjna zawsze ciąży na administratorze.
Nie jest to zalecane. Każdy proces przetwarzania może mieć inny cel, podstawę prawną, okres przechowywania i odbiorców. Stosowanie jednej uniwersalnej klauzuli prowadzi do nieścisłości i może być uznane za naruszenie.
Dane głosowe podlegają tym samym rygorom co inne dane osobowe. Przy zbieraniu głosu należy spełnić obowiązek informacyjny przed rozpoczęciem nagrywania, w formie dostosowanej do kanału komunikacji — na przykład komunikatu dźwiękowego. Jest to nowy obszar, który EROD uregulowała w swoich wytycznych z 2026 roku.
Nie. Art. 13 dotyczy obowiązku informacyjnego, a nie obowiązku uzyskania zgody. To dwa odrębne obowiązki. Możesz przetwarzać dane na podstawie prawnie uzasadnionego interesu lub innej podstawy, a i tak musisz spełnić obowiązek informacyjny. Zgoda to zupełnie odrębna instytucja prawna uregulowana w art. 7 RODO.

Czy ten artykuł był pomocny?

Art 13 RODO — poradnik praktyczny 2026 | KluczeSoft | Centrum Pomocy KluczeSoft