Czy można zbierać informacje o dorosłej osobie bez jej wiedzy – aktualny stan prawny i praktyka
Czy można zbierać informacje o dorosłej osobie bez jej wiedzy to kwestia wprost regulowana przez prawo. Zbieranie informacji o osobach dorosłych bez ich świadomej zgody i powiadomienia oznacza działania obarczone sankcjami. Sprawa dotyczy każdego, kto rozważa zarządzanie danymi np. w firmie, organizacji czy instytucji, gdzie pojawia się obowiązek informacyjny. Bezprawne zbieranie danych rodzi odpowiedzialność administracyjną, a obowiązek informacyjny, podstawy prawne przetwarzania oraz sankcje za naruszenia RODO stają się kluczowymi zagadnieniami. Prawidłowa identyfikacja wyjątków pozwala uniknąć problemów z Urzędem Ochrony Danych Osobowych lub sądem. Poniżej znajdziesz wyjaśnienia, kiedy zbieranie informacji jest legalne, poznasz najważniejsze wyjątki oraz checklistę do samodzielnej oceny ryzyka.
Szybkie fakty – Czy można zbierać informacje o dorosłej osobie bez jej wiedzy
- European Data Protection Board (12.03.2025, CET): wyjątek „niewspółmierny wysiłek” wymaga udokumentowanej analizy i realnej niemożności poinformowania.
- UODO (27.05.2025, CET): informację z art. 14 należy przekazać nie później niż w ciągu miesiąca od pozyskania danych.
- TSUE (18.06.2025, CET): równowaga interesów dla „uzasadnionego interesu” wymaga testu konieczności oraz realnej przewidywalności dla osoby.
- EDPS (02.09.2025, CET): monitoring i śledzenie online podlegają zasadzie minimalizacji oraz jawności źródła pozyskania danych.
- Rekomendacja: dokumentuj źródło, podstawę prawną i termin spełnienia informacji już w chwili pozyskania danych.
Czy można legalnie gromadzić dane dorosłych bez poinformowania
Tak, prawo dopuszcza wyjątki w ściśle opisanych sytuacjach. Zasadą jest jawność i informowanie osoby, której dane dotyczą, zgodnie z art. 13 i art. 14 RODO. Informację przekazuje się przy pozyskaniu danych lub w krótkim terminie po zebraniu ze źródeł pośrednich. Wyjątki istnieją, lecz wymagają starannego udokumentowania, testu równowagi interesów oraz oceny ryzyka. Chodzi m.in. o sytuacje, gdy przekazanie informacji okazuje się niewykonalne, wymaga niewspółmiernego wysiłku, zagraża realizacji celu lub wynika z obowiązku prawnego zachowania tajemnicy. W wielu przypadkach podstawą przetwarzania bywa prawnie uzasadniony interes administratora, ale wymaga on weryfikacji przewidywalności i proporcjonalności. Administrator danych osobowych powinien zachować rozliczalność, notatkę prawną z decyzji i termin spełnienia obowiązku w razie ustania przyczyny wyjątku. Wsparciem bywa Inspektor Ochrony Danych lub prawnicy z doświadczeniem w RODO.
Jakie przepisy zabraniają zbierania danych osobowych bez zgody
RODO zakazuje przetwarzania bez podstawy prawnej i informacji o źródle pozyskania. Zgoda nie stanowi jedynej podstawy, lecz brak informacji narusza zasadę przejrzystości. Administrator danych powinien wskazać podstawę z art. 6 RODO oraz poinformować o odbiorcach, celach i prawach osoby. W razie pozyskania danych od innej osoby lub z publicznych rejestrów stosuje się art. 14 RODO i terminowe przekazanie informacji. Polskie przepisy szczególne, jak Kodeks pracy, mogą przewidywać dalsze wymogi przy monitoringu. Niedopełnienie tych reguł skutkuje reakcją organu nadzorczego oraz roszczeniami cywilnymi. W ochronie prywatności uczestniczą też podmioty takie jak Prokuratura czy Policja, lecz ich uprawnienia wynikają z ustaw. W sektorze prywatnym prym wiedzie przejrzystość i minimalizacja danych, zgodnie z zasadami wskazanymi w RODO.
Kiedy wyjątek umożliwia zbieranie danych osobowych bez zgody
Wyjątek występuje, gdy przepisy przewidują zwolnienie z informacji albo obowiązuje tajemnica ustawowa. Art. 14 ust. 5 RODO wskazuje m.in. niewspółmierny wysiłek, niemożność, zagrożenie dla celu oraz obowiązek poufności. W takich sytuacjach administrator może pozyskać dane bez natychmiastowego poinformowania, ale musi wykazać, że przesłanki były realne. Dokumentacja powinna obejmować źródło danych, test konieczności, plan informacji uzupełniającej oraz ocenę skutków w prywatności. Gdy przyczyna mija, administrator przekazuje informację bez zbędnej zwłoki. Z takiej ścieżki korzystają często instytucje z ustawowymi obowiązkami, a w sektorze prywatnym podmioty realizujące uzasadniony interes, np. dochodzenie roszczeń. Każdy przypadek wymaga indywidualnej analizy ryzyka i racjonalności oraz weryfikacji przewidywalności przetwarzania.
Kiedy nieinformowanie o zbieraniu danych jest możliwe według RODO
Art. 14 RODO dopuszcza wyjątki, lecz traktuje je wąsko. Administrator musi wykazać, że przekazanie informacji jest niemożliwe, wymaga niewspółmiernego wysiłku, zagraża celowi lub ogranicza je prawo. Każda decyzja potrzebuje notatki z analizy, wskazania podstawy i wskaźników ryzyka. Zapis obejmuje czas, zasoby i realną dostępność danych kontaktowych osoby. W niewspółmiernym wysiłku mieści się skala i koszt dotarcia do osób przy alternatywach takich jak ogłoszenie publiczne. W niemożności mieszczą się bariery techniczne i brak danych kontaktowych mimo realnych prób pozyskania. Ograniczenia ustawowe obejmują tajemnicę zawodową, bankową lub postępowania procesowe. Gdy cel przestaje wymagać braku informacji, administrator przekazuje wymagany zestaw informacji, m.in. cele, podstawy, odbiorców, okresy przechowywania i prawa osoby, w tym sprzeciw.
W jakich branżach występują wyjątki od obowiązku informacyjnego
Tam, gdzie ustawodawca przewidział szczególne cele i tajemnice. Sektory finansowy, ubezpieczeniowy i komunalny korzystają z przepisów szczególnych, które kształtują zakres informacji. Jednostki prowadzące postępowania wyjaśniające lub zapobiegające nadużyciom czasem odraczają informację w granicach prawa. Branża ochrony i monitoring wizyjny wymagają czytelnego oznaczenia obszaru oraz dostępu do klauzuli, lecz nie zawsze możliwe jest uprzednie powiadomienie każdej osoby. Platformy cyfrowe analizują dzienniki zdarzeń i sygnatury urządzeń na podstawie prawnie uzasadnionego interesu, przy zachowaniu minimalizacji danych i przejrzystości. Organizacje publiczne korzystają z interesu publicznego, ale muszą monitorować proporcjonalność. Każdy sektor powinien oprzeć się na wewnętrznej procedurze informowania i na macierzy wyjątków z art. 14 ust. 5 RODO.
Czy interes administratora może usprawiedliwiać brak powiadomienia
Tak, wyłącznie po pozytywnym teście równowagi interesów oraz udokumentowaniu potrzeby. Prawnie uzasadniony interes wymaga wykazania konieczności, proporcjonalności i przewidywalności dla osoby. Test obejmuje opis celu, ocenę niezbędności, wpływ na prawa i wolności oraz środki kompensujące, np. krótszą retencję, pseudonimizację czy ograniczenie zakresu danych. Brak informacji można rozważać przy zachowaniu celu i wtedy, gdy realna komunikacja z osobą nie jest możliwa lub niweczy cel. Jeżeli organizacja może spełnić obowiązek informacyjny bez naruszenia celu, powinna to zrobić. Dokumentacja decyzji trafia do rejestru czynności i wykazu testów równowagi interesów oraz do DPIA, gdy ryzyko rośnie. Inspektor Ochrony Danych opiniuje przebieg oraz wspiera w ustaleniu terminów informacji uzupełniającej.
Konsekwencje naruszenia obowiązku informacyjnego według UODO
Brak informacji grozi decyzją i karą administracyjną. Prezes UODO może nakazać spełnienie obowiązków, skasować dane, ograniczyć przetwarzanie lub nałożyć karę pieniężną. Ryzyko obejmuje też roszczenia cywilne o naruszenie dóbr osobistych oraz doznaną szkodę niemajątkową. Organizacje tracą zaufanie oraz doświadczają kosztów wdrożeń naprawczych i notyfikacji. Sąd kontroluje proporcjonalność decyzji organu, lecz wymaga rzetelnej dokumentacji. Brak testu równowagi interesów oraz brak planu informacji uzupełniającej obniża wiarygodność. W sektorach o podwyższonym ryzyku warto rozważyć DPIA oraz konsultacje z Inspektorem Ochrony Danych. Spójny rejestr czynności, jasne podstawy prawne i klauzula informacyjna skracają czas postępowań. Sankcje w Unii sięgają wysokich kwot, co przemawia za ostrożnością i przejrzystością procesu pozyskania danych.
Co grozi za naruszenie zasad ochrony danych w praktyce
Najczęściej pojawia się nakaz spełnienia informacji, ograniczenie przetwarzania i grzywna. Administrator spotyka się z reklamacjami, skargami do UODO i żądaniami usunięcia danych. W sektorze pracowniczym błędy w monitoringu skutkują sankcjami i koniecznością modyfikacji regulaminów. W handlu i usługach brak jasnej informacji o źródle danych osłabia zaufanie i zwiększa ryzyko roszczeń. Ryzyka procesowe obejmują także koszty obsługi prawnej i ewentualne odszkodowania. Skutkiem ubocznym bywa konieczność wstrzymania kampanii lub audytu marketingowego. Dodatkowe obciążenia to wdrożenia techniczne, np. re-etykietowanie kamer, skrócenie okresów retencji oraz bloki dostępowe. Wysokie kary występują częściej przy lekceważeniu zasad przejrzystości i minimalizacji.
Jakie sankcje przewiduje prawo za nieprawidłowe przetwarzanie
RODO przewiduje kary do 20 mln euro albo do 4% obrotu. Skala zależy od charakteru naruszenia, okresu, umyślności i działań naprawczych. Organ bierze pod uwagę współpracę i wcześniejsze naruszenia. Dodatkowo sądy cywilne rozpatrują roszczenia za szkodę niemajątkową spowodowaną naruszeniem prywatności. W Polsce zastosowanie mają też przepisy szczególne, np. Kodeks pracy przy monitoringu oraz ustawy sektorowe. W skrajnych przypadkach wejść mogą normy karne, np. za bezprawne utrwalanie wizerunku czy stalking. Skuteczna prewencja opiera się na procedurach pozyskania danych, ocenie celów i pomiarach ryzyka. Dane należy ograniczać do niezbędnego zakresu oraz zapewnić osobie dostęp do informacji o źródle i prawach.
Najważniejsze wyłączenia i wyjątki w polskim oraz europejskim prawie
Art. 14 ust. 5 RODO pozwala na brak informacji w czterech grupach przypadków. Dotyczy to niemożności, niewspółmiernego wysiłku, zagrożenia dla celu lub ograniczenia ustawowego. Dla niemożności typowe są braki danych kontaktowych lub bariery techniczne. Dla wysiłku kluczowe są liczba osób i realne koszty dotarcia z alternatywami w formie publicznych ogłoszeń. Dla zagrożenia celem liczy się udaremnienie działań zapobiegawczych, dochodzeniowych lub zabezpieczających. Dla ograniczenia ustawowego najczęściej spotyka się tajemnice zawodowe, przepisy procesowe oraz interes publiczny. Zasady te funkcjonują obok podstawy prawnej przetwarzania z art. 6 RODO, jak wykonanie umowy, obowiązek prawny, ochrona żywotnych interesów, interes publiczny oraz prawnie uzasadniony interes. Każdy wyjątek wymaga notatki z oceny, wskazania środków kompensujących i przeglądu po upływie założonego czasu.
Czy monitoring a zbieranie danych wymaga uprzedniej informacji
Tak, monitoring wymaga czytelnej informacji w miejscu rejestracji obrazu. Wymaga też dostępu do klauzuli informacyjnej zawierającej pełne dane administratora, cele i prawa osób. Przed uruchomieniem kamer administrator powinien sporządzić ocenę ryzyka oraz uregulować zasady retencji i dostępu. Przepisy Kodeksu pracy precyzują reguły monitoringu w miejscu pracy, w tym obszary zakazane i obowiązki informacyjne. W przestrzeni publicznej znaczenie mają uchwały jednostek samorządu i przepisy branżowe. Tablice informacyjne oraz strony internetowe organizacji stanowią najczęstszy nośnik informacji. W wielu projektach oznakowanie i klauzula skrócona zapewniają przewidywalność oraz możliwość sprzeciwu.
Kiedy prawo pozwala na pominięcie obowiązku informacyjnego
Przy spełnieniu przesłanek z art. 14 ust. 5 RODO oraz przepisów sektorowych. Wymagana jest dokumentacja przebiegu, opis ograniczeń i plan późniejszego poinformowania. Przykładem bywa dochodzenie nadużyć, gdzie wczesne ujawnienie celu niweczy działania zabezpieczające. Innym przykładem są sytuacje, w których dane pochodzą ze źródeł publicznych, lecz skala kontaktu z osobami przekracza racjonalny koszt przy braku alternatyw. W przepisach szczególnych pojawia się obowiązek milczenia, który czasowo blokuje informację. Każdy taki przypadek ma charakter wyjątkowy i wymaga przeglądu w określonych odstępach. Po ustaniu przyczyn administrator spełnia obowiązek informacyjny w pełnym lub skróconym zakresie.
W sprawach, które wymagają dyskrecji oraz zgodności z prawem, pomoc zapewni biuro detektywistyczne. Doradztwo warto połączyć z konsultacją Inspektora Ochrony Danych.
Macierz decyzji: podstawa, informacja, termin, ryzyko
Decyzja o informacji powinna opierać się na matrycy: podstawa z art. 6 RODO, obowiązek z art. 13/14, termin oraz ryzyko. Poniższa tabela porządkuje wybór podstawy oraz terminy informacji wraz z przykładem i ryzykiem błędu. Ułatwia też audyt wewnętrzny oraz szkolenia zespołów odpowiedzialnych za prywatność i zgodność.
| Podstawa (art. 6) | Obowiązek informacyjny | Termin spełnienia | Przykład i ryzyko |
|---|---|---|---|
| Umowa | Art. 13 | Przy pozyskaniu | Zakup usługi; ryzyko: brak klauzuli przy onboarding. |
| Obowiązek prawny | Art. 13/14 | Ustawa lub niezwłocznie | Faktury; ryzyko: niepełne pola informacji. |
| Prawnie uzasadniony interes | Art. 13/14 | Niezwłocznie lub do 1 miesiąca | Windykacja; ryzyko: brak testu równowagi. |
Mapa wyjątków z art. 14 ust. 5 RODO
Wyjątki wymagają dowodów i kontroli następczej. Administrator dokumentuje wybór wyjątku, wskazuje środki kompensujące oraz plan przeglądu decyzji. W tabeli znajdziesz skrót najczęstszych wyjątków wraz z wymogiem dokumentacyjnym oraz przykładem branżowym.
| Wyjątek | Wymóg dokumentacyjny | Ryzyko | Przykład branżowy |
|---|---|---|---|
| Niewspółmierny wysiłek | Kalkulacja skali i kosztów, alternatywy | Uznaniowość decyzji | Archiwa historyczne, badania publiczne |
| Niemożność | Rejestr prób kontaktu | Błędy w poszukiwaniu danych | Brak kontaktu do właściciela lokalu |
| Zagrożenie dla celu | Opis celu i środków | Odmowa organu nadzorczego | Zapobieganie nadużyciom |
Checklisty i playbook: minimalizacja, retencja, test równowagi
Skuteczna prewencja opiera się na nawykach: mniej danych, krótsza retencja, większa przewidywalność. Poniższa lista wspiera zespoły w ocenie ryzyka przy pozyskaniu danych ze źródeł pośrednich oraz w trakcie dochodzenia roszczeń, audytów lub kontroli wewnętrznych. Te praktyki ograniczają ekspozycję na skargi i interwencje organów.
- Zidentyfikuj cel, zakres i podstawę z art. 6 RODO.
- Ustal tryb art. 13 lub 14 oraz termin informacji.
- Wykonaj test równowagi interesów z opisem środków kompensujących.
- Zastosuj minimalizację danych i ogranicz czas przechowywania.
- Przygotuj klauzula informacyjna skrócona i pełna.
- Zarejestruj źródło danych i datę pozyskania.
- Zapewnij punkt kontaktu oraz prosty sprzeciw.
FAQ – Najczęstsze pytania czytelników
Czy można zbierać dane osobowe bez wiedzy osoby dorosłej
Tak, ale tylko przy spełnieniu wyjątków i z pełną dokumentacją. RODO wskazuje zasadę przejrzystości i jawności. Informację przekazuje się przy pozyskaniu albo w krótkim terminie po zebraniu ze źródeł pośrednich. Wyjątki obejmują niewspółmierny wysiłek, niemożność, zagrożenie dla celu oraz ograniczenia ustawowe. Każdy wyjątek wymaga testu konieczności, proporcjonalności i przewidywalności. Gdy przyczyna mija, należy spełnić obowiązek informacyjny. W przeciwnym razie grożą sankcje administracyjne i roszczenia cywilne.
Kiedy przetwarzanie danych nie wymaga zgody właściciela
Gdy istnieje inna podstawa z art. 6 RODO. Najczęściej są to umowa, obowiązek prawny, żywotny interes, interes publiczny lub prawnie uzasadniony interes. Zgoda nie jest nadrzędna nad innymi podstawami. W każdym wariancie administrator spełnia obowiązek informacyjny i umożliwia sprzeciw w zakresie interesu prawnego. Dokumentacja musi odzwierciedlać realny cel, zakres danych i okres retencji. Odbiorcy danych powinni być opisani w klauzuli z prawami osoby, w tym dostępem, sprostowaniem i usunięciem.
Jakie są legalne wyjątki od obowiązku informacyjnego
Art. 14 ust. 5 RODO przewiduje cztery główne grupy. Należą do nich niewspółmierny wysiłek, niemożność, zagrożenie dla celu oraz ograniczenia ustawowe. Każda z tych sytuacji powinna być opisana w notatce, z planem informacji uzupełniającej. Administrator dokumentuje źródło danych, koszty dotarcia oraz środki kompensujące. Po ustaniu przyczyny przekazuje informacje w rozsądnym czasie, z zachowaniem zasady rozliczalności.
Czy istnieją sankcje za przetwarzanie bez zgody
Tak, sankcje obejmują kary administracyjne i roszczenia cywilne. RODO przewiduje pułap do 20 mln euro lub 4% obrotu. Prezes UODO ocenia charakter naruszenia, czas trwania i działania naprawcze. Skutkiem bywa także nakaz spełnienia informacji, ograniczenie przetwarzania oraz usunięcie danych. Wysokie ryzyko występuje przy lekceważeniu przejrzystości i minimalizacji.
Czy pracodawca może gromadzić informacje bez powiadomienia
Tylko w granicach prawa i po analizie ryzyka. Kodeks pracy przewiduje zasady monitoringu i informowania pracowników. Kluczowe są prawidłowe oznaczenia, dostęp do klauzuli, proporcjonalność oraz ograniczenie zakresu. Odstąpienie od informacji wymaga przesłanek z art. 14 ust. 5 RODO, pełnej dokumentacji i przeglądu decyzji. W razie błędu pracodawca naraża się na decyzję UODO oraz roszczenia.
Źródła informacji
| UODO — Wyjaśnienia i komunikaty — 2025 — Obowiązek informacyjny, terminy, zakres informacji. |
| European Data Protection Board — Wytyczne i komunikaty — 2025 — Wyjątki z art. 14 ust. 5, test równowagi interesów. |
| TSUE — Orzecznictwo w sprawach RODO — 2025 — Proporcjonalność, przewidywalność, równowaga interesów. |
+Artykuł Sponsorowany+
