Przejdź do treści głównej
3 Grudnia 2025

Czy wiesz, kiedy można udostępnić dane osobowe?

Udostępnij:
Udostępnienie danych osobowych to jeden z etapów ich przetwarzania – oznacza przekazanie danych podmiotowi trzeciemu poza organizację administratora. Ze względu na przepisy krajowe i europejskie (od 25 maja 2018 r. obowiązuje RODO, tj. unijne Rozporządzenie o Ochronie Danych Osobowych) takie działanie musi każdorazowo mieć podstawę prawną. Brak odpowiedniej podstawy lub omyłkowe ujawnienie danych rodzi poważne konsekwencje dla administratora danych. Zatem kiedy można udostępnić dane osobowe zgodnie z prawem i RODO? Poniżej omawiamy definicję udostępniania danych, różnicę między udostępnieniem a powierzeniem, legalne przesłanki umożliwiające przekazanie danych, a także rolę poszczególnych podmiotów (administrator, osoba, której dane dotyczą, inspektor ochrony danych). Przedstawiamy również przykłady sytuacji z życia, w których dozwolone jest żądanie danych (np. przez sąd czy policję), co zrobić w razie omyłkowego ujawnienia informacji oraz jakie kary grożą za nieuprawnione udostępnienie danych.


ZWIĘKSZ BEZPIECZEŃSTWO SWOICH DANYCH
Sprawdź pakiety CHROŃ PESEL

Co to jest udostępnianie danych osobowych?

W przepisach RODO znajdziemy definicję przetwarzania danych obejmującą także udostępnianie. Art. 4 pkt 2 RODO [1] wskazuje, że udostępnienie danych osobowych to każda forma przekazania ich poza organizację podmiotu odpowiedzialnego za ich administrowanie i ochronę. Innymi słowy, każde przekazanie bazy zawierającej dane osobowe (lub jej części) do podmiotu niebędącego jej dotychczasowym administratorem stanowi udostępnienie danych osobowych. Co ważne, nie ma znaczenia, jak dużo danych przekazujemy – nawet udostępnienie pojedynczej informacji podlega przepisom o ochronie danych osobowych, w tym obowiązkowi zapewnienia bezpieczeństwa danych.

Uwaga! Podmiot przekazujący dane to administrator danych osobowych, czyli osoba fizyczna lub prawna, organ publiczny lub inna jednostka, która samodzielnie decyduje o celach i sposobach przetwarzania danych [1]. Z kolei osoba, której dane dotyczą, to każda zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której te dane odnoszą się [2]. RODO wprowadza także rolę Inspektora Ochrony Danych (IOD) – jest to osoba fizyczna wspierająca administratora w realizacji obowiązków w zakresie ochrony danych osobowych. IOD (zwany też Data Protection Officer) ma za zadanie m.in. monitorować przestrzeganie przepisów, doradzać administratorowi i pełnić funkcję punktu kontaktowego dla organu nadzorczego.

Polska Konstytucja RP (art. 51 ust. 1) stanowi, że udostępnianie danych osobowych osobom trzecim może następować tylko na podstawie ustawy. Oznacza to, że żaden obywatel ani instytucja nie może być zobowiązany do ujawnienia informacji o sobie inaczej niż w przypadkach przewidzianych w ustawie. RODO doprecyzowuje tę zasadę, wymagając, aby każde udostępnienie danych miało jedną z dopuszczalnych podstaw prawnych (tzw. przesłanek legalizujących przetwarzanie danych) określonych w art. 6 ust. 1 RODO. Brak takiej podstawy czyni udostępnienie bezprawnym.

Udostępnianie danych osobowych a powierzenie – czym się różnią?

W języku potocznym udostępnienie danych bywa mylone z ich powierzeniem do przetwarzania. Różnica jest kluczowa w świetle RODO.
  • Udostępnianie danych osobowych oznacza przekazanie całości lub części zbioru danych poza organizację administratora danych, przy czym administrator przekazuje te dane do celów realizowanych przez odbiorcę danych (podmiot, który je otrzymuje). Odbiorca, który otrzymał dane na własne cele, staje się ich nowym administratorem (ma „własną” podstawę i cel przetwarzania). Innymi słowy – udostępniamy dane innej firmie lub instytucji, która będzie je wykorzystywać we własnym imieniu (np. przekazanie listy klientów zaprzyjaźnionej firmie marketingowej – ta firma staje się administratorem danych tych klientów).
  • Powierzenie danych osobowych zachodzi natomiast, gdy administrator przekazuje dane innemu podmiotowi, ale wyłącznie w określonym przez siebie celu, czyli zleca temu podmiotowi przetwarzanie danych w swoim imieniu. Podmiot przyjmujący dane działa wtedy jako podmiot przetwarzający (tzw. procesor) na zlecenie i pod kontrolą pierwotnego administratora. Ważne jest, że przy powierzeniu nie powstaje nowy administrator – podmiot przetwarzający nie może używać powierzonych danych do własnych celów, a jedynie realizuje cel ściśle wyznaczony umową powierzenia przez administratora. Przykładem powierzenia jest przekazanie danych klientów firmie księgowej lub dostawcy usług IT – te podmioty przetwarzają dane tylko w zakresie i celu określonym przez administratora (np. prowadzenie rozliczeń), nie stają się „właścicielami” tych danych.
Podsumowując: udostępnienie to przekazanie danych innemu podmiotowi, który wykorzysta je dla własnych celów (stając się administratorem), a powierzenie to przekazanie danych w celu wykonania usługi na rzecz administratora (bez zmiany administratora, na podstawie umowy powierzenia). Naruszenie tej granicy skutkuje niezgodnym z prawem przetwarzaniem, np. jeśli podmiot, któremu powierzono dane, zacznie ich używać do innych celów, faktycznie dochodzi do niedozwolonego udostępnienia danych osobowych.

Kiedy można udostępnić dane osobowe zgodnie z RODO?

Przepisy o ochronie danych osobowych precyzyjnie określają warunki legalnego udostępniania danych osobowych. Jak wspomniano, Konstytucja wymaga do tego podstawy ustawowej. W praktyce oznacza to, że możesz udostępnić czyjeś dane osobowe osobom trzecim wyłącznie wtedy, gdy istnieje przepis prawa, który na to zezwala albo inna przesłanka z RODO uprawniająca do takiego działania. RODO (art. 6 ust. 1) wymienia sześć sytuacji, w których przetwarzanie (w tym udostępnienie) danych osobowych jest zgodne z prawem. Nazywamy je podstawami (przesłankami) prawnymi przetwarzania. Poniżej lista tych podstaw wraz z krótkim objaśnieniem.
  1. Zgoda osoby, której dane dotyczą – osoba, której dane chcemy udostępnić, wyraziła na to dobrowolną, konkretną, świadomą i jednoznaczną zgodę. Przykład: publikacja zdjęcia znajomego na portalu społecznościowym za jego zgodą. Zgoda może być w dowolnym momencie wycofana, co cofa uprawnienie do dalszego udostępniania danych.
  2. Umowa (konieczność wykonania umowy) – udostępnienie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań przed zawarciem umowy na jej żądanie. Przykład: przekazanie danych kurierowi w celu doręczenia towaru zakupionego przez klienta (realizacja umowy sprzedaży).
  3. Obowiązek prawny – udostępnienie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Innymi słowy, przepis prawa nakazuje lub uprawnia administratora do przekazania danych określonemu podmiotowi. Przykład: przekazanie organom skarbowym danych płatników w związku z obowiązkiem podatkowym.
  4. Ochrona żywotnych interesów – udostępnienie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Ta podstawa ma zastosowanie w sytuacjach zagrożenia życia lub zdrowia. Przykład: udostępnienie szpitalowi informacji o uczuleniu pacjenta przez inną placówkę medyczną w stanie nagłym, gdy pacjent nie jest w stanie sam wyrazić zgody.
  5. Interes publiczny lub władza publiczna – udostępnienie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Dotyczy to głównie organów publicznych i sytuacji, gdy przekazanie danych wynika z ich zadań ustawowych. Przykład: ujawnienie danych kandydatów w wyborach (interes publiczny w transparentności procesu wyborczego).
  6. Prawnie uzasadniony interes administratora lub strony trzeciej – udostępnienie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora danych lub przez stronę, która dane otrzymuje, pod warunkiem że nie narusza to praw i wolności osoby, której dane dotyczą. Ta podstawa ma najszerszy charakter, ale wymaga tzw. ważenia interesów – administrator musi ocenić, czy jego interes (lub interes odbiorcy danych) w przekazaniu informacji przeważa nad ewentualnymi prawami lub interesami prywatności osoby, której dane dotyczą. Przykład: udostępnienie danych dłużnika firmie windykacyjnej może być uzasadnione prawnie usprawiedliwionym interesem dochodzenia należności, o ile nie narusza to nadmiernie praw dłużnika.
RODO wymaga, aby zawsze istniała co najmniej jedna z powyższych podstaw prawnych udostępnienia danych. W wielu przypadkach jednocześnie znajdzie zastosowanie przepis szczególny rangi ustawy, który taką podstawę konkretyzuje (np. obowiązek przekazania danych wynika z określonego artykułu ustawy – wtedy podstawą jest „obowiązek prawny”). Warto dodać, że jeżeli przekazywane dane należą do tzw. szczególnych kategorii danych osobowych (wrażliwych), np. dotyczą zdrowia, przekonań religijnych, pochodzenia rasowego/etnicznego czy orientacji seksualnej, to oprócz podstaw z art. 6 RODO [1] musi być spełniona dodatkowa szczególna przesłanka z art. 9 RODO [1] pozwalająca na przetwarzanie takich danych (np. wyraźna zgoda osoby, wymogi prawa pracy, ochrona żywotnych interesów w sytuacji zagrożenia życia, ważny interes publiczny itp.).

Podsumowując. Możesz udostępnić dane osobowe innemu podmiotowi tylko wtedy, gdy masz ku temu wyraźną podstawę prawną. Najczęściej będzie to obowiązek wynikający z ustawy (np. żądanie organu władzy) albo zgoda osoby, której dane dotyczą. W innych sytuacjach należy dokładnie przeanalizować przesłanki z art. 6 RODO – w razie wątpliwości bezpieczniej odmówić udostępnienia do czasu ustalenia podstawy prawnej. Brak podstawy prawnej oznacza, że przekazanie danych byłoby niezgodne z RODO i naraża administratora na konsekwencje.

Sprawdź też: Narodowy Spis Powszechny – jak bezpiecznie przekazać swoje dane?

Wniosek o udostępnienie danych osobowych – jak uzyskać czyjeś dane legalnie?

Jeśli to Ty potrzebujesz uzyskać cudze dane osobowe, np. informacje z urzędu, musisz najpierw upewnić się, że masz prawo do ich otrzymania. Innymi słowy – musisz wskazać podstawę prawną uprawniającą Cię do dostępu do tych danych. We wniosku o udostępnienie należy od razu powołać się na konkretny przepis prawa albo okoliczność (przesłankę z art. 6 RODO), która daje takie uprawnienie. Administrator danych (podmiot, do którego wniosek kierujemy) oceni zasadność prośby właśnie pod kątem wykazanej podstawy prawnej. Jeżeli podstawa nie jest oczywista, ma prawo zażądać doprecyzowania, a w razie braku podstawy odmówić wydania danych.

Następnie warto ustalić, kto jest administratorem danych osobowych, których szukasz. W zależności od podmiotu, który te dane ma, procedura może wyglądać inaczej. Np. jeżeli dane są w rejestrze publicznym, administratorem może być określony urząd i często istnieje tryb udostępnienia danych z takiego rejestru (czasem odpłatny). Ustalenie właściwego administratora pozwoli skierować wniosek do odpowiedniej instytucji.

Pamiętaj, że udostępnienie danych może być odpłatne lub bezpłatne w zależności od przepisów szczególnych. Niektóre organy pobierają opłaty skarbowe lub administracyjne za udostępnienie informacji (np. za wydobycie danych z archiwum). Administrator danych powinien poinformować Cię o ewentualnej opłacie i udostępnić odpowiedni formularz wniosku. Po wykazaniu podstawy prawnej wypełnieniu wniosku i ewentualnym uiszczeniu opłaty – administrator przekaże Ci żądane dane osobowe.

Kto może żądać udostępnienia danych osobowych?

Dane osobowe są przetwarzane w wielu instytucjach publicznych i prywatnych, ale tylko niektóre podmioty mają prawo żądać ich udostępnienia – zazwyczaj organy władzy i instytucje państwowe, a także inne podmioty wykonujące zadania publiczne lub legitymujące się szczególnym interesem prawnym. Przepisy prawa wskazują konkretnie, kto i w jakim trybie może żądać danych.
  • Sądy – w toku postępowań sądowych mogą żądać udostępnienia danych osób trzecich, jeśli jest to potrzebne do przeprowadzenia dowodu lub rozstrzygnięcia sprawy. Np. art. 248 §1 Kodeksu postępowania cywilnego [3] stanowi podstawę prawną żądania przez sąd danych osobowych od podmiotów trzecich w celu wykorzystania ich jako dowodu. Sąd wysyłając takie żądanie, powołuje się na ten przepis i odbiorca ma obowiązek udostępnić dane (np. adres świadka, dokumenty zawierające dane stron).
  • Prokuratura i Policja – organy ścigania są uprawnione do żądania udostępnienia danych osobowych w trybie pilnym, jeśli jest to konieczne dla prowadzonego postępowania przygotowawczego lub śledztwa. Wynika to m.in. z art. 15 ust. 2 i 3 Kodeksu postępowania karnego [4]. Przykładowo, policja może zażądać od operatora telekomunikacyjnego danych abonenta (adresu, billingów) na potrzeby śledztwa – operator ma obowiązek je udostępnić na podstawie odpowiednich przepisów prawa telekomunikacyjnego i k.p.k.
  • Organy podatkowe (Urząd Skarbowy) – na podstawie Ordynacji podatkowej (art. 155 §1) [5] urząd skarbowy może wnioskować o udostępnienie danych osobowych, jeśli jest to potrzebne do ustalenia stanu faktycznego lub rozstrzygnięcia sprawy podatkowej. Np. urząd może żądać od banku danych o rachunkach podatnika w toku postępowania podatkowego.
  • Organy administracji publicznej i inne uprawnione podmioty – wiele ustaw branżowych zawiera przepisy obligujące różne instytucje do przekazywania danych osobowych. Przykładowo, ustawa Prawo o ruchu drogowym [6] zobowiązuje właścicieli pojazdów do ujawnienia danych kierującego na żądanie policji (mandaty z fotoradarów), ustawa Prawo telekomunikacyjne [7] zobowiązuje operatorów do udostępniania służbom danych abonentów itd. Jeśli dany organ ma ustawowe uprawnienie, należy takie żądanie zrealizować. Z kolei ustawa o ochronie zdrowia [8] może przewidywać przekazanie dokumentacji medycznej sądowi lub prokuratorowi w określonych przypadkach – szpital musi wtedy udostępnić dane pacjenta.
  • Inne podmioty z interesem prawnym – czasem również podmioty prywatne mogą żądać danych, jeśli wykażą podstawę prawną. Przykładem jest sytuacja, gdy wierzyciel na podstawie tytułu wykonawczego żąda od komornika ustalenia danych dłużnika (adresu, miejsca pracy) – komornik jako funkcjonariusz publiczny może wystąpić do różnych rejestrów o te dane. Innym przykładem jest rzeczoznawca majątkowy sporządzający operat szacunkowy – zgodnie z art. 155 ustawy o gospodarce nieruchomościami [9], pewne instytucje są obowiązane udostępnić rzeczoznawcom niezbędne informacje (np. spółdzielnie mieszkaniowe muszą udostępnić dokumenty zbycia lokali, sądy – dokumenty ksiąg wieczystych, urzędy skarbowe – dane z rejestrów cen). Zatem uprawniony rzeczoznawca, legitymując się przepisem ustawy, otrzyma dane potrzebne do wyceny nieruchomości.
Wszystkie powyższe sytuacje łączy jedno – żądający musi wskazać podstawę prawną. Każdy, nawet organ publiczny, wysyłając wniosek o dane, powinien powołać konkretny przepis ustawy lub inną podstawę (np. zgodę osoby, której dane dotyczą). Adresat żądania (administrator danych) ma prawo wymagać wskazania podstawy i jeśli jej brak – odmówić wydania danych. Taka kultura legalizmu chroni nas wszystkich przed arbitralnym udostępnianiem naszych informacji byle komu.

Udostępnienie danych na podstawie ustaw branżowych – przykłady

Poza ogólnym RODO jest szereg przepisów szczegółowych regulujących udostępnianie danych w poszczególnych dziedzinach. Warto znać kilka przykładów, gdyż dotyczą one sytuacji życiowych.
  • Rynek nieruchomości. Wspomniany art. 155 ustawy o gospodarce nieruchomościami nakłada na m.in. spółdzielnie mieszkaniowe, sądy i urzędy skarbowe obowiązek udostępniania określonych danych rzeczoznawcom majątkowym dokonującym wyceny. Oznacza to np., że spółdzielnia mieszkaniowa musi pokazać rzeczoznawcy akta notarialne dotyczące sprzedaży praw do lokali (zawierające dane osobowe stron transakcji), bo tak stanowi ustawa. Oczywiście rzeczoznawca może wykorzystać te dane tylko do celu sporządzenia operatu i ma obowiązek zachowania ich w poufności poza tym celem.
  • System ubezpieczeń społecznych (ZUS). Zakład Ubezpieczeń Społecznych przetwarza ogromne zbiory danych Polaków w związku z emeryturami, rentami, składkami itd. Ustawa z 13 października 1998 r. o systemie ubezpieczeń społecznych stanowi podstawę prawną tego przetwarzania [10]. ZUS może pozyskiwać dane od pracodawców, urzędów czy banków, jeśli jest to konieczne do realizacji jego ustawowych zadań (np. sprawdzenie uprawnień do świadczeń). Udostępnianie danych z ZUS na zewnątrz podlega jednak rygorom tajemnicy prawnie chronionej – dane o ubezpieczonych są objęte tajemnicą, a ZUS może je ujawnić innym podmiotom tylko na podstawie wyraźnych przepisów (np. organom ścigania przy podejrzeniu przestępstwa, sądom, prokuraturze, komornikom prowadzącym egzekucję alimentów itp.). Co do zasady ZUS odmawia udostępniania informacji osobom prywatnym, jeśli nie wykażą one uprawnienia. Przykładowo, ZUS nie udostępni osobie postronnej danych archiwalnych o czyimś zatrudnieniu czy wysokości emerytury – w głośnej sprawie opisywanej przez Rzecznika Praw Obywatelskich ZUS odmówił nawet krewnemu byłego pracownika dostępu do archiwalnych akt personalnych, powołując się na brak przepisu pozwalającego ujawnić takie informacje oraz na fakt, że dotyczą one świadczeń (danych szczególnie chronionych). ZUS podkreślił, że co do zasady nie wydaje zezwoleń na udostępnienie dokumentów źródłowych objętych tajemnicą, chyba że ustawodawca przewidział wyraźny wyjątek.
  • Dostęp do informacji publicznej. W Polsce obowiązuje ustawa o dostępie do informacji publicznej [11]. Zgodnie z nią każdy ma prawo do informacji o sprawach publicznych, a organy władzy muszą udostępniać takie informacje (akty prawne, decyzje, dane o organach, ich działalności, finansach itp.) albo publikując je w BIP, albo na wniosek obywatela. Jednak gdy w zakres wnioskowanej informacji wchodzą dane osobowe, powstaje napięcie między prawem do informacji a ochroną prywatności. Przyjęło się, że informacje o osobach pełniących funkcje publiczne (np. imiona i nazwiska urzędników na kierowniczych stanowiskach, wysokość ich wynagrodzeń finansowanych ze środków publicznych, imiona i nazwiska osób, które otrzymały publiczne dotacje itp.) są jawne – gdyż dotyczą działalności publicznej lub gospodarowania majątkiem publicznymbip.brpo.gov.pl. Natomiast dane zwykłych obywateli (niepełniących funkcji publicznych) podlegają ochronie. Przykład: dziennikarz może w trybie dostępu do informacji publicznej zażądać listy umów cywilnoprawnych zawartych przez urząd w danym roku – urząd powinien takiej informacji udzielić, ale zanonimizuje dane osobowe wykonawców umów, jeśli nie są to osoby publiczne. Innymi słowy, udostępni np. kwoty i zakres umów, lecz bez nazwisk, chyba że chodzi o np. radcę prawnego zatrudnionego przez urząd (wtedy nazwisko może być ujawnione jako informacja o wykonawcy zadania publicznego). Prawo do informacji publicznej nie uprawnia więc do dowolnego pozyskiwania cudzych danych osobowych – zawsze bada się, czy żądane informacje mieszczą się w definicji „informacji o sprawach publicznych” i czy nie naruszają prywatności chronionej przez RODO.

Omyłkowe udostępnienie danych osobowych – co możesz zrobić?

Coraz częściej zdarzają się sytuacje, że dane osobowe zostają udostępnione nieuprawnionym osobom lub podmiotom wskutek pomyłki lub oszustwa, co jest niezgodne z prawem. Przyczyną może być np. utrata dowodu osobistego, gdy znajdzie go ktoś nieuczciwy, zyskuje dostęp do Twoich danych (imię, nazwisko, PESEL, adres) i może próbować ich użyć. Innym powodem jest być działanie cyberprzestępcy, np. w wyniku ataku phishingowego pracownik firmy omyłkowo udostępni dane klientów osobie podszywającej się pod uprawniony podmiot. Niestety błąd ludzki również bywa przyczyną – wystarczy wysłać e-mail z załącznikiem do niewłaściwego adresata albo pomylić numery faxu, by wrażliwe informacje trafiły do niepowołanych osób.

W dobie technologii takie ryzyko jest spore – chociaż komputery usprawniają przetwarzanie danych, to zarazem zwiększają ryzyko wycieku. Oszuści stosują np. metodę spoofingu, czyli podszywania się pod zaufane instytucje (bank, operator telefonii komórkowej itp.), aby wyłudzić od nas dane. Przykład: dzwoni do nas ktoś, kto udaje infolinię banku, prosi o potwierdzenie danych logowania w związku z zagrożeniem bezpieczeństwa konta – będąc w stresie i przekonaniu, że rozmawiamy z prawdziwym bankiem, możemy omyłkowo udostępnić oszustowi swoje dane osobowe czy hasła. Takie przypadki niestety się zdarzają.

Co robić, jeśli Twoje dane zostały udostępnione omyłkowo lub bezprawnie? Przede wszystkim dowiedz się, jakie dane wyciekły i w jakim zakresie.
  • Jeśli np. zgubiłeś dowód osobisty, niezwłocznie zgłoś to w urzędzie lub przez internet (profil zaufany) – utracony dokument zostanie unieważniony, co utrudni złodziejowi użycie Twoich danych.
  • Gdy padłeś ofiarą phishingu lub innego oszustwa, skontaktuj się z bankiem (jeśli dane dotyczyły konta) i zgłoś sprawę policji. Warto także poinformować Prezesa UODO (Urząd Ochrony Danych Osobowych), zwłaszcza jeśli administrator danych zaniedbał obowiązków – możesz złożyć skargę, a organ nadzorczy podejmie działania. Przykładowo, jeśli firma przez pomyłkę wysłała Twoje dane innemu klientowi i stało się to bezprawnie, masz prawo to zgłosić i domagać się reakcji.
Z punktu widzenia administratora danych, który dopuścił do omyłkowego udostępnienia (np. firma, urząd): RODO wymaga, aby każdy incydent naruszenia ochrony danych został oceniony i  jeśli może powodować ryzyko naruszenia praw i wolności osób – zgłoszony do UODO w ciągu 72 godzin. Administrator powinien także powiadomić osoby, których dane wyciekły (jeśli naruszenie może powodować dla nich poważne konsekwencje). Wdrożenie procedur reakcji na incydenty jest elementem zasady rozliczalności – administrator musi umieć wykazać, że przestrzega przepisów i reaguje na naruszenia.

Jakie są konsekwencje bezprawnego udostępnienia danych osobowych?

RODO wprowadziło istotne zmiany co do wysokości kar finansowych oraz trybu ich nakładania za naruszenia przepisów o ochronie danych. Przede wszystkim, Prezes UODO (organ nadzorczy w Polsce) może nałożyć na administratora administracyjną karę pieniężną bez konieczności uprzedniego kierowania sprawy do sądu – decyzję wydaje sam organ po przeprowadzeniu postępowania. Maksymalne możliwe kary są bardzo wysokie: do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu firmy (w zależności, która kwota jest wyższa). Oczywiście w praktyce nakładane kary zależą od okoliczności sprawy – organ bierze pod uwagę m.in. charakter i wagę naruszenia, liczbę poszkodowanych osób, działania podjęte przez administratora w celu minimalizacji szkód, jego wcześniejszą historię przestrzegania przepisów czy współpracę z UODO w trakcie wyjaśniania incydentu.

Podstawowe zasady RODO, np/ legalność przetwarzania, zasada minimalizacji danych czy zapewnienie bezpieczeństwa, są chronione pod groźbą najwyższych kar. Dla przykładu RODO rozróżnia dwie „kategorie” naruszeń i odpowiadających im maksymalnych pułapów kar.
  1. Pierwsza kategoria (do 10 mln euro lub 2% obrotu) obejmuje m.in. naruszenia obowiązków administracyjnych, takich jak brak wyznaczenia inspektora ochrony danych (IOD) mimo wymogu, niewłaściwe zabezpieczenia danych, niezawiadomienie organu o naruszeniu, niespełnienie obowiązku informacyjnego wobec osób, etc.
  2. Druga kategoria (do 20 mln euro lub 4% obrotu) dotyczy najpoważniejszych naruszeń merytorycznych, np. nieprzestrzeganie podstawowych zasad przetwarzania danych (jak legalność, celowość, minimalizacja danych), przetwarzanie danych wrażliwych bez podstawy (np. danych o zdrowiu, poglądach), udostępnienie danych osobom nieuprawnionym w sposób celowy, ignorowanie żądań osób dotyczących ich praw (np. brak reakcji na żądanie usunięcia danych), czy też uniemożliwienie wycofania zgody przez osobę, której dane dotyczą.
Przykładowe sytuacje skutkujące karami

Firma sprzedająca dane klientów innym podmiotom marketingowym bez zgody klientów i bez innej podstawy prawnej – to naruszenie zasad legalności. Taka sprawa miała miejsce np. w Holandii, gdzie krajowy związek tenisowy (KNLTB) odpłatnie udostępnił dane swoich członków sponsorom (firmom komercyjnym) w celach marketingowych, nie mając na to ani zgody tych osób, ani innej wyraźnej podstawy. Holenderski organ nałożył za to karę ~525 tys. euro, a sprawa trafiła przed Trybunał Sprawiedliwości UE. W wyroku TSUE stwierdzono, że co prawda nie można z góry wykluczyć uznania czysto komercyjnego interesu administratora (chęć zysku z udostępnienia danych sponsorom) za prawnie uzasadniony interes w rozumieniu art. 6 ust.1 lit. f RODO, ale wymagałoby to bardzo starannego zrównoważenia i spełnienia szeregu warunków – w tym wypadku zdaniem organu te warunki nie były spełnione, więc udostępnienie naruszyło prawo. To pokazuje, że sprzedaż lub przekazanie danych dla korzyści finansowej jest działaniem ryzykownym prawnie, o ile nie towarzyszy temu zgoda osób lub inna wyraźna podstawa (np. przepis prawa).

Poza karami finansowymi, bezprawne udostępnienie danych rodzi również inne konsekwencje: osoby, których prywatność naruszono, mogą dochodzić odszkodowania na drodze cywilnej (RODO przewiduje prawo do zadośćuczynienia za szkody materialne i niematerialne spowodowane naruszeniem przepisów). W niektórych sytuacjach bezprawne ujawnienie danych wypełnia znamiona przestępstwa, np. jeśli urzędnik ujawni tajemnicę służbową zawierającą dane osobowe, może odpowiadać karnie z kodeksu karnego.

Warto zaznaczyć, że nawet publiczne podmioty nie są całkowicie zwolnione z odpowiedzialności. Co prawda RODO przewiduje dla instytucji publicznych w Polsce inne maksymalne sankcje (Prezes UODO może nałożyć na nie do 100 tys. zł kary administracyjnej), ale reputacyjne szkody i odpowiedzialność polityczna również działają dyscyplinująco.

Podsumowując, ochrona danych osobowych ma dziś mocne „zęby” w postaci dotkliwych kar i sankcji. Mimo to nasze dane wciąż bywają narażone na bezprawne przetwarzanie – dlatego warto świadomie nimi zarządzać. Usługi takie jak Chroń PESEL pomagają w namierzaniu potencjalnych wycieków danych osobowych, dzięki czemu możesz niemal od razu zareagować na próby ich nadużycia. W ten sposób zyskujesz realną szansę na ograniczenie szkód, np. zastrzegając dokumenty czy blokując podejrzane transakcje, i spokojniejsze poczucie, że Twoje dane nie krążą bez kontroli po niepowołanych rękach.

FAQ – Najczęstsze pytania dotyczące udostępniania danych osobowych

Czy do udostępnienia danych osobowych zawsze potrzebna jest zgoda osoby, której dane dotyczą?

Nie. Zgoda jest tylko jedną z podstaw prawnych pozwalających legalnie udostępnić dane, ale nie jedyną. Jak opisano wyżej, istnieje sześć równorzędnych przesłanek legalizujących przetwarzanie danych (art. 6 RODO). Dane można więc udostępnić bez zgody, jeśli zachodzi inna podstawa, np. obowiązek prawny (żądanie organu władzy na mocy ustawy), konieczność realizacji umowy, żywotny interes osoby (zagrożenie życia/zdrowia) czy prawnie uzasadniony interes. Oczywiście nawet w tych przypadkach należy pamiętać o ograniczeniu udostępnienia do niezbędnego minimum (zasada minimalizacji). Zgoda jest wymagana wtedy, gdy żadna inna podstawa nie znajduje zastosowania, np. firma marketingowa chcąca otrzymać nasze dane od innej firmy zwykle potrzebuje naszej zgody, bo nie ma innego uprawnienia do takiego udostępnienia.

Kto może żądać ode mnie udostępnienia danych osobowych?

Żądania takie mogą kierować głównie organy uprawnione z mocy prawa, np. sąd, prokurator, policja, urząd skarbowy, ZUS i inne instytucje publiczne, o ile przepisy im na to pozwalają (szczegóły takich uprawnień omawialiśmy wyżej). Podmioty prywatne (osoby fizyczne, firmy) co do zasady nie mogą wymusić na nas udostępnienia danych innych osób, chyba że wykażą szczególną podstawę prawną. Przykładowo, pracodawca może żądać od kandydata danych określonych w Kodeksie pracy (ale już nie kopii jego świadectw zdrowia, bo to wykracza poza dozwolony zakres). Są sytuacje, w których prywatne podmioty uzyskują prawo do cudzych danych, np. adwokat może żądać w sądzie ujawnienia adresu świadka, bank może domagać się danych spadkobierców zmarłego klienta itp. – lecz zawsze jest do tego konkretna podstawa prawna. Jeśli ktoś prywatny żąda od Ciebie czyichś danych osobowych bez wyraźnej podstawy (np. sąsiad prosi o kontakt do innego sąsiada), masz prawo odmówić, powołując się na ochronę prywatności.

Czy mogę udostępnić dane osobowe członka rodziny lub znajomego innej osobie?

To zależy od okoliczności i zgody tej osoby. Jeżeli bliski poprosił Cię, abyś podał jego numer telefonu czy adres komuś konkretnemu – to jest równoznaczne ze zgodą i możesz to zrobić. Ale jeśli osoba, której dane dotyczą, nie wyraziła zgody, a sytuacja nie podpada pod inny wyjątek (np. nagła potrzeba ratowania życia – udostępnienie lekarzom informacji o uczuleniach krewnego jest uzasadnione), to przekazanie takich danych np. obcej osobie byłoby naruszeniem prywatności. W życiu codziennym często nie zdajemy sobie sprawy, że udostępniając dane bliskich osobom postronnym bez ich wiedzy, łamiemy zasady ochrony danych. Nawet jeśli intencje są dobre (np. kolega z pracy prosi o numer do naszego wspólnego znajomego), warto najpierw zapytać tamtego znajomego o zgodę. Wyjątek stanowi sytuacja, gdy pytający wykaże inny istotny interes prawny, np. poszukuje krewnego w szpitalach, bo ten zaginął, to wtedy udostępnienie danych kontaktowych rodziny policji czy służbom ratunkowym jest uzasadnione vital interests (ochrona żywotnych interesów) i przepisami prawa.

Jakie prawa przysługują osobie, której dane są udostępniane?

Osoba, której dane dotyczą (czyli ta, o której informacje krążą między administratorami) ma w RODO zagwarantowany szereg praw. Najważniejsze z nich to: prawo dostępu do danych oraz prawo do kopii danych. Prawo dostępu oznacza, że możesz zwrócić się do administratora o informację, czy przetwarza Twoje dane, a jeśli tak, o udostępnienie Ci wszelkich informacji na ten temat (cele, zakres danych, komu je ujawniono, jak długo będą przechowywane itp.). W ramach tego uprawnienia możesz też otrzymać kopię swoich danych osobowych posiadanych przez administratora, np. kopie dokumentów, w których te dane występują. Masz również prawo do sprostowania danych (gdy są nieprawidłowe), usunięcia (bycia zapomnianym – jeśli uważasz, że dalsze przetwarzanie nie ma podstawy prawnej), ograniczenia przetwarzania (np. zablokowania udostępniania do czasu wyjaśnienia sporu co do prawidłowości danych) oraz prawo do sprzeciwu wobec przetwarzania w określonych sytuacjach (zwłaszcza gdy odbywa się na podstawie prawnie uzasadnionego interesu lub w ramach zadań publicznych, art. 21 RODO). W kontekście udostępniania danych bardzo ważne jest też prawo do informacji – jeśli Twoje dane zostały pozyskane od innego podmiotu, administrator zasadniczo ma obowiązek Cię o tym poinformować (chyba że już to wiesz lub wiązałoby się to z niewspółmiernym wysiłkiem). Ponadto, gdy dane są udostępniane innym, Ty masz prawo wiedzieć, komu zostały ujawnione (administrator powinien prowadzić rejestr odbiorców). Wreszcie, jak wspomniano, przysługuje Ci prawo do wniesienia skargi do organu nadzorczego (Prezesa UODO), jeśli uznasz, że udostępnienie Twoich danych nastąpiło niezgodnie z prawem lub narusza Twoje prawa. Krótko mówiąc – masz kontrolę nad swoimi danymi i warto z tych praw korzystać, by tę kontrolę utrzymać.

Czy administrator może odmówić udostępnienia moich danych na czyjś wniosek? 

Tak, i często nawet powinien odmówić, jeśli nie ma pewności co do podstawy prawnej żądania. Domyślnie Twoje dane są chronione i każdy, kto je przetwarza (administrator), nie powinien ich nikomu ujawniać, chyba że istnieje ku temu uprawnienie. Dlatego np. bank nie poda przez telefon Twoich danych osobowych osobie podającej się za krewnego – odmówi, powołując się na tajemnicę bankową i ochronę danych. Administrator ma obowiązek dochować należytej staranności, aby dane trafiały tylko do uprawnionych odbiorców. Jeśli więc otrzyma wniosek bez podstawy lub od podmiotu, którego uprawnień nie jest pewien, powinien poprosić o doprecyzowanie podstawy prawnej (co zalecają nawet profesjonalne poradniki), a w razie wątpliwości odmówić. Twoim sprzymierzeńcem jest tu RODO oraz krajowe przepisy (np. przywoływany art. 51 Konstytucji), które stoją na straży zasady, że informacji o Tobie nie można udostępniać byle komu. Oczywiście, jeśli pojawi się prawomocne żądanie z podstawą prawną (np. postanowienie sądu), administrator musi je wykonać, ale tylko w zakresie w nim wskazanym. W praktyce oznacza to np., że pracodawca otrzyma z policji pismo o wydanie adresu zameldowania pracownika X – pracodawca powinien sprawdzić, czy pismo ma podstawę (np. art. 15 k.p.k.), a następnie przekazać tylko adres tego pracownika, bez dodatkowych danych (numeru PESEL czy danych innych osób, chyba że też są objęte żądaniem). Administrator rozlicza się z każdej decyzji o ujawnieniu danych przed UODO – musi wykazać legalność takiego udostępnienia (to element zasady rozliczalności). Dlatego instytucje często odmawiają na zapas, jeśli sytuacja jest niejasna – paradoksalnie robią to dla dobra osób, których dane dotyczą. Jeżeli Tobie zależy, by administrator udostępnił Twoje dane np. komuś z rodziny (w zwykłej sprawie), najlepiej po prostu udziel sam takiej osobie zgody na piśmie lub powiadom administratora, że zgadzasz się na przekazanie informacji. Wtedy sprawa jest jasna i zgodna z RODO.

Czym różni się udostępnienie danych od publikacji danych w Internecie?

Udostępnienie danych konkretnej osobie lub instytucji (np. przekazanie pliku z danymi kontrahentów firmie audytorskiej) to inna sytuacja niż upublicznienie danych w sieci. Publikując dane w Internecie (na stronie WWW, w mediach społecznościowych, na forum), sprawiamy, że stają się dostępne potencjalnie dla nieograniczonej liczby odbiorców – to również jest forma przetwarzania, która wymaga podstawy prawnej, ale wiąże się z większym ryzykiem. Z reguły nie wolno publikować cudzych danych osobowych bez ich zgody, chyba że zachodzi ważny interes publiczny albo dane dotyczą funkcji publicznych danej osoby (np. publikacja listy zawodników wraz z ich danymi przez związek sportowy jest dopuszczalna, bo wynika z przepisów związkowych i de facto zgody tych osób, a ponadto służy to jawności rywalizacji). W praktyce publikacja np. czyjegoś adresu czy numeru telefonu bez pozwolenia może zostać uznana za naruszenie RODO i dóbr osobistych. W skrajnych przypadkach, jeśli publikacja narazi kogoś na niebezpieczeństwo lub szykany, może podpadać pod stalkingu lub nękania, ścigane karnie. Dlatego, zanim wrzucisz do internetu cudze dane (np. skan czyjegoś dowodu znalezionego na ulicy – lepiej oddać go na policję niż publikować!), zastanów się nad konsekwencjami. Anonimizacja to podstawa – jeśli chcesz omówić jakąś sytuację w sieci, usuń lub zamaskuj dane osobowe osób postronnych.

Źródła

  1.  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Urząd Ochrony Danych, dostęp: 28.11.2025.
  2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (CELEX: 32016L0680), dostęp: 28.11.2025.
  3. Ustawa z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego, Dz.U. 1964 nr 43 poz. 296, dostęp: 28.11.2025.
  4. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 7 grudnia 2023 r. w sprawie ogłoszenia jednolitego tekstu ustawy - Kodeks postępowania karnego; Dz.U. 1964 nr 43 poz. 296, dostęp: 28.11.2025.
  5. Ustawa z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa, Dz.U. 1997 nr 137 poz. 926, dostęp: 28.11.2025.
  6. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 21 czerwca 2024 r. w sprawie ogłoszenia jednolitego tekstu ustawy - Prawo o ruchu drogowym, Dz.U. 2024 poz. 1251, dostęp: 28.11.2025.
  7. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 23 czerwca 2022 r. w sprawie ogłoszenia jednolitego tekstu ustawy - Prawo telekomunikacyjne, Dz.U. 2022 poz. 1648, dostęp: 28.11.2025.
  8. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 6 marca 2025 r. w sprawie ogłoszenia jednolitego tekstu ustawy o systemie informacji w ochronie zdrowia, Dziennik Ustaw 2025 r. poz. 302, dostęp: 28.11.2025.
  9. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 28 czerwca 2024 r. w sprawie ogłoszenia jednolitego tekstu ustawy o gospodarce nieruchomościami, Dz.U. 2024 poz. 1145, dostęp: 28.11.2025.
  10. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 14 lutego 2025 r. w sprawie ogłoszenia jednolitego tekstu ustawy o systemie ubezpieczeń społecznych, Dz.U. 2025 poz. 350, dostęp: 28.11.2025.
  11. Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz.U. 2001 nr 112 poz. 1198, dostęp: 28.11.2025.

Niniejszy materiał ma charakter wyłącznie marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).
Wróć
Dostępne metody płatności:
CHRONPESEL.PL
konsument@chronpesel.pl
ul. Danuty Siedzikówny 12
51-214 Wrocław
Informacja o produkcie i obsługa klienta:
71 773 78 00*
(infolinia czynna pon.-pt. 7:30–18:00)

Numer alarmowy:
71 785 03 95*
(czynny 24 h/dobę)
*Koszt połączenia wg taryfy operatora
Kontakt dla mediów:
media@chronpesel.pl
71 773 65 41*
O nasRegulaminy i OWUPolityka prywatnościObowiązek informacyjny
Partnerzy CHP i nasze marki:Serwis oferowany przez:Jesteśmy uczestnikiem programu:
Partnerzy CHP i nasze marki:
Logo Krajwoy Rejestr Długów
KRD BIG S.A. certyfikowane ISO 270001
Logo Rzetelna Firma
Logo TU Europa
Serwis oferowany przez:
Logo Kaczmarski Group
Jesteśmy uczestnikiem programu:Uczestnik programu Rzetelna Firma

W ramach usługi ChronPESEL.pl jej użytkownik otrzymuje powiadomienie, gdy ktoś zapyta o niego w bazie KRD BIG S.A. – np. na skutek złożenia wniosku o zakupy ratalne, udzielenie pożyczki lub podpisanie abonamentu telefonicznego. Usługa ChronPESEL.pl nie zapewnia całkowitej ochrony przed wyłudzeniem usługi lub pożyczki, lecz, dzięki wykorzystaniu danych pochodzących z bazy KRD BIG S.A., może znacząco zmniejszyć ryzyko wystąpienia takiej sytuacji. Usługa jest aktywna po założeniu konta zgodnie z instrukcją.

Ochrony ubezpieczeniowej udziela Towarzystwo Ubezpieczeń Europa S.A. Ochrona udzielana jest na podstawie Umowy Grupowego Ubezpieczenia. Warunki Grupowego ubezpieczenia dostępne są na stronie chronpesel.pl/Uslugi. KACZMARSKI GROUP SP. J. ul. Danuty Siedzikówny 12, 51-214 Wrocław, spółka zarejestrowana w Sądzie Rejonowym dla Wrocławia-Fabrycznej, VI Wydział Gospodarczy; KRS: 0000880153; NIP: 8952053350; wkłady wspólników 50 000 000 zł.

Zwiększ bezpieczeństwo swoich danychSprawdź pakiety CHROŃ PESEL