Zgoda na przetwarzanie danych osobowych — wniosek PDF 2026

Zgoda na przetwarzanie danych osobowych to jeden z tych dokumentów, które wyglądają prosto, ale łatwo je zepsuć. Wystarczy jedno ogólne sformułowanie, domyślnie zaznaczony checkbox albo brak pouczenia o możliwości cofnięcia — i cały formularz traci ważność. Ten artykuł wyjaśnia, jak napisać Zgoda na przetwarzanie danych osobowych zgodną z RODO, która naprawdę chroni obie strony.

Czym jest zgoda na przetwarzanie danych osobowych?

Zgoda na przetwarzanie danych osobowych to dobrowolne, świadome i jednoznaczne oświadczenie, w którym osoba fizyczna zezwala administratorowi danych na przetwarzanie jej danych w konkretnie określonym celu. Podstawą prawną jest art. 6 ust. 1 lit. a RODO w związku z art. 7 RODO — to właśnie te przepisy określają, kiedy zgoda jest skuteczna i co administrator musi potrafić udowodnić.

Zgoda jest tylko jedną z sześciu podstaw prawnych przetwarzania danych. Jeśli firma może oprzeć przetwarzanie na przepisach prawa lub wykonaniu umowy, nie potrzebuje zgody. Problem w tym, że wielu administratorów — z przyzwyczajenia lub ostrożności — prosi o zgodę nawet wtedy, gdy nie jest wymagana. To rodzi paradoks: udzielona zgoda, której nie potrzebowali, może w pewnych okolicznościach osłabić ich pozycję prawną, bo osoba może ją cofnąć.

Informacja

Zgoda jest wymagana wyłącznie wtedy, gdy nie istnieje żadna inna podstawa prawna do przetwarzania danych. Jeśli przetwarzasz dane na podstawie umowy lub przepisów prawa — nie musisz prosić o zgodę, a jeśli to zrobisz, jej cofnięcie może być dla Ciebie problemem.

Kiedy zgoda na przetwarzanie danych osobowych jest wymagana?

Formularz zgody jest potrzebny w sytuacjach, w których przetwarzanie danych nie wynika wprost z przepisu prawa ani z treści zawartej umowy. Typowe przypadki:

Marketing i newsletter — wysyłka ofert handlowych, informacji o promocjach czy biuletynów wymaga odrębnej zgody na każdy kanał komunikacji (e-mail, SMS, telefon)
Wizerunek pracownika — publikacja zdjęć lub nagrań na stronie firmy, w mediach społecznościowych lub materiałach reklamowych wymaga pisemnej zgody pracownika
Dane biometryczne i szczególne kategorie danych — rejestracja odcisku palca do wejścia do biura, dane o stanie zdrowia przekazywane dobrowolnie — bez wyraźnej zgody z art. 9 ust. 2 lit. a RODO przetwarzanie jest zakazane
Rekrutacja na przyszłość — jeśli chcesz zachować CV kandydata do przyszłych rekrutacji, musisz uzyskać na to jego zgodę
Dane uczniów i rodziców — szkoły i placówki oświatowe zbierające dane do celów wykraczających poza obowiązek prawny (np. zdjęcia na stronę, lista do wycieczki)

Uwaga

Uwaga dla pracodawców: W relacji pracodawca–pracownik zgoda jest wyjątkowo trudna do obrony, bo UODO i sądy z góry kwestionują jej dobrowolność. Jeśli pracownik może ponieść negatywne konsekwencje za odmowę udzielenia zgody — zgoda jest nieważna. Szukaj innej podstawy prawnej lub po prostu nie przetwarzaj tych danych.

Jakie elementy musi zawierać prawidłowa zgoda RODO?

RODO nie narzuca jednego wzoru formularza — ale precyzyjnie określa, co musi w nim być. Brak choćby jednego z wymaganych elementów sprawia, że zgoda jest prawnie wadliwa, a administrator nie może skutecznie powołać się na nią jako podstawę przetwarzania.

Element zgody	Co wpisać
Dane osoby wyrażającej zgodę	Imię, nazwisko, adres e-mail lub adres zamieszkania — do jednoznacznej identyfikacji
Dane administratora danych	Pełna nazwa prawna i adres siedziby firmy lub instytucji
Cel przetwarzania	Konkretny i jednoznaczny, np. „wysyłka newslettera z ofertami produktowymi firmy X" — nie ogólne „cele marketingowe"
Zakres przetwarzanych danych	Jakie kategorie danych będą przetwarzane (imię i nazwisko, e-mail, wizerunek, itp.)
Pouczenie o prawach	Prawo do cofnięcia zgody, dostępu, sprostowania, usunięcia danych, wniesienia skargi do UODO
Podpis i data	Własnoręczny podpis lub podpis elektroniczny; data udzielenia zgody

Do formularza warto dodać też dane kontaktowe Inspektora Ochrony Danych (jeśli administrator go powołał) oraz informację o ewentualnym przekazywaniu danych innym podmiotom. Nie jest to element konieczny samej zgody, ale wynika z obowiązku informacyjnego z art. 13 RODO i powinno znaleźć się gdzieś w procesie zbierania zgody.

Jak napisać prawidłowy cel przetwarzania danych?

To jest miejsce, gdzie administratorzy najczęściej popełniają błędy. Cel musi być konkretny, jednoznaczny i ograniczony — sformułowanie „w celach marketingowych" albo „do obsługi klienta" jest zbyt ogólne i może zostać zakwestionowane przez UODO.

Porada

Przykłady prawidłowych celów:

„Wysyłka newslettera z informacjami o nowych produktach i promocjach firmy ABC Sp. z o.o."
„Kontakt telefoniczny w celu przedstawienia oferty ubezpieczeń majątkowych"
„Przechowywanie CV i danych kandydata na potrzeby przyszłych rekrutacji prowadzonych przez XYZ S.A. przez okres 12 miesięcy"
„Publikacja wizerunku pracownika (imię i nazwisko + zdjęcie) na stronie internetowej firmy w zakładce Nasz zespół"

Każdy cel to osobna zgoda — nie łącz kilku celów w jednym formularzu.

Jak poprawnie wypełnić formularz zgody na dane osobowe — krok po kroku

Zidentyfikuj podstawę prawną i cel

zanim sięgniesz po formularz, upewnij się, że zgoda jest w ogóle potrzebna. Jeśli przetwarzasz dane na podstawie umowy lub przepisu prawa — nie potrzebujesz zgody. Jeśli zgoda jest konieczna — zdefiniuj cel wąsko i precyzyjnie.

Wpisz dane administratora

pełną nazwę prawną firmy lub instytucji wraz z adresem siedziby. Jeśli działasz jako jednoosobowa firma — wpisz imię, nazwisko, adres działalności. Dane możesz sprawdzić w CEIDG lub KRS.

Wpisz cel i zakres przetwarzanych danych

konkretny cel (np. newsletter, rekrutacja) i kategorie danych (imię i nazwisko, e-mail, wizerunek). Zaznacz wyłącznie to, co faktycznie potrzebujesz — zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO).

Dodaj pouczenie o prawach

osoba wyrażająca zgodę musi wiedzieć, że może ją cofnąć w dowolnym momencie, a cofnięcie nie wpływa na zgodność z prawem przetwarzania sprzed cofnięcia. Podaj też sposób kontaktu w celu cofnięcia (e-mail, adres).

Zadbaj o podpis i datę

bez daty trudno udowodnić, kiedy zgoda została udzielona. Podpis musi być własnoręczny lub elektroniczny — sam wydruk bez podpisu nic nie znaczy.

Zachowaj dowód udzielenia zgody

to obowiązek administratora (art. 7 ust. 1 RODO). Formularz w papierowej formie trzymaj w aktach przez cały okres przetwarzania i przynajmniej do przedawnienia ewentualnych roszczeń. W wersji elektronicznej — log systemu z datą i godziną.

Daj egzemplarz osobie wyrażającej zgodę

choć RODO wprost tego nie nakazuje, jest to dobra praktyka. Kopia formularza pozwala osobie zweryfikować, na co się zgodziła, i ułatwia ewentualne cofnięcie zgody.

Jakie są cechy prawidłowej zgody RODO?

Art. 4 pkt 11 RODO definiuje zgodę przez cztery cechy — i żadnej z nich nie można pominąć. Zgoda musi być jednocześnie dobrowolna, świadoma, konkretna i jednoznaczna. Brak choćby jednej cechy powoduje, że administrator nie może skutecznie powołać się na taką zgodę jako podstawę przetwarzania.

Cecha	Co oznacza w praktyce
Dobrowolność	Odmowa nie może powodować żadnych negatywnych konsekwencji. Nie wolno uzależniać dostępu do usługi od wyrażenia zgody na dodatkowe, niezwiązane z nią przetwarzanie
Świadomość	Osoba musi wiedzieć: kto jest administratorem, w jakim celu dane będą przetwarzane i jak może cofnąć zgodę
Konkretność	Każdy cel to osobna zgoda — nie można udzielić jednej zgody „na wszystko"
Jednoznaczność	Wymagane aktywne działanie: własnoręczny podpis, kliknięcie niezaznaczonego checkboxa. Milczenie, brak sprzeciwu ani domyślnie zaznaczone checkboxy nie stanowią zgody

Jak cofnąć zgodę na przetwarzanie danych osobowych?

Zgodę można cofnąć w dowolnym momencie, bez podawania przyczyny (art. 7 ust. 3 RODO). Nie ma żadnego terminu, żadnej formy pisemnej wymaganej z mocy prawa, żadnego uzasadnienia. Cofnięcie jest równie łatwe jak udzielenie zgody — jeśli zgodę można dać e-mailem, można ją też cofnąć e-mailem.

Ważne

Cofnięcie zgody nie jest retroaktywne — nie wpływa na legalność przetwarzania, które miało miejsce przed cofnięciem. Jeśli firma wysyłała Ci newsletter na podstawie Twojej zgody przez rok, a teraz cofasz zgodę — tych wcześniejszych wysyłek nie możesz zakwestionować. Od momentu cofnięcia administrator musi jednak zaprzestać przetwarzania w oparciu o tę zgodę.

Jeśli administrator utrudnia cofnięcie zgody — na przykład wymaga cofnięcia tylko listownie, choć zgody można udzielić przez formularz online — narusza art. 7 ust. 3 RODO. W takiej sytuacji możesz złożyć skargę do Urzędu Ochrony Danych Osobowych (UODO) pod adresem uodo.gov.pl/skargi.

Zgoda RODO w przypadku dzieci — art. 8 RODO

Jeśli usługi informacyjne (np. aplikacja mobilna, konto w sklepie internetowym, media społecznościowe) są skierowane do dzieci, stosuje się art. 8 RODO. W Polsce granica wiekowa to 16 lat — osoby poniżej tego wieku nie mogą samodzielnie wyrazić skutecznej zgody na przetwarzanie danych do tego rodzaju usług. Wymagana jest zgoda rodzica lub prawnego opiekuna.

Administrator powinien podjąć rozsądne działania, aby zweryfikować, że zgody udzielił rodzic lub opiekun — z uwzględnieniem dostępnych możliwości technicznych. W praktyce oznacza to zazwyczaj dodatkowe oświadczenie w formularzu lub oddzielny checkbox dla opiekuna. Nie ma obowiązku weryfikowania dokumentów tożsamości, ale administrator nie może zupełnie ignorować kwestii wieku użytkownika.

Najczęstsze błędy administratorów przy zbieraniu zgód RODO

Na podstawie decyzji UODO i praktyki nadzorczej można wskazać kilka błędów, które powtarzają się najczęściej — i które najłatwiej poprawić już na etapie projektowania formularza:

Łączone zgody — jeden formularz zbiera zgodę na kilka różnych celów jednocześnie (kontakt handlowy + przekazanie danych partnerom + newsletter). Każdy cel wymaga osobnej zgody i osobnego checkboxa
Domyślnie zaznaczone pola — pre-ticked checkbox to bezpośrednie naruszenie RODO; osoba musi sama aktywnie zaznaczyć pole
Brak informacji o prawie cofnięcia — zgoda bez pouczenia, że można ją cofnąć, nie spełnia wymogów art. 7 ust. 3 RODO
Brak daty — bez daty administrator nie jest w stanie udowodnić, kiedy zgoda została udzielona, co narusza art. 7 ust. 1 RODO
Zbyt szeroki zakres danych — zbieranie więcej danych, niż potrzeba do realizacji celu, narusza zasadę minimalizacji (art. 5 ust. 1 lit. c)
Ogólne sformułowania celu — „cele marketingowe" lub „poprawa jakości usług" bez żadnego doprecyzowania nie spełniają wymogu konkretności

Gdzie złożyć skargę, gdy administrator narusza warunki zgody?

Jeśli administrator przetwarza Twoje dane pomimo cofnięcia zgody, utrudnia cofnięcie, nie udziela dostępu do danych albo przetwarza dane w sposób niezgodny z udzieloną zgodą — masz prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Skargę możesz złożyć:

Elektronicznie przez formularz na uodo.gov.pl — podpisując Profilem Zaufanym lub podpisem kwalifikowanym
Pisemnie na adres: ul. Stawki 2, 00-193 Warszawa
Osobiście w siedzibie UODO w godzinach przyjęć

Przed złożeniem skargi warto wezwać administratora do zaprzestania naruszenia — pisemne wezwanie jest dowodem, że próbowałeś rozwiązać sprawę polubownie, i może przyspieszyć rozpatrzenie skargi przez UODO. Wzór takiego pisma znajdziesz w naszym dokumencie wniosek o usunięcie danych osobowych.

Informacja

UODO może nałożyć na administratora karę finansową sięgającą 20 milionów euro lub 4% rocznego obrotu (dla dużych przedsiębiorców). W praktyce kary dla małych podmiotów wynoszą od kilku do kilkudziesięciu tysięcy złotych — ale samo wszczęcie postępowania jest już dla wielu firm poważnym problemem wizerunkowym.

Powiązane dokumenty RODO i ochrony danych

Zgoda na przetwarzanie danych osobowych często pojawia się razem z innymi dokumentami z obszaru prywatności i ochrony danych. Warto mieć je pod ręką:

Wniosek o usunięcie danych osobowych — gdy chcesz skorzystać z prawa do bycia zapomnianym
Zgoda na wykorzystanie wizerunku — odrębny formularz wymagany przy publikacji zdjęć lub nagrań wideo
Upoważnienie do dokumentacji medycznej — przetwarzanie danych zdrowotnych wymaga szczególnej podstawy z art. 9 RODO

Czy zgoda RODO musi być w formie pisemnej?

Nie — RODO nie narzuca formy pisemnej. Zgoda może być wyrażona elektronicznie (zaznaczenie checkboxa, wysłanie e-maila) lub ustnie. Jednak dla celów dowodowych forma pisemna lub udokumentowana elektronicznie jest zdecydowanie zalecana — administrator musi być w stanie udowodnić, że zgoda została udzielona (art. 7 ust. 1 RODO). Zgoda ustna jest w praktyce niemożliwa do udowodnienia.

Czy zgoda jest ważna bezterminowo?

Tak — zgoda pozostaje ważna do momentu cofnięcia. Przepisy RODO nie przewidują automatycznego wygaśnięcia zgody po upływie określonego czasu. Jednak w dobrej praktyce administratorzy powinni cyklicznie weryfikować, czy zgoda jest nadal aktualna — szczególnie gdy zmieniły się okoliczności lub cel przetwarzania. Europejski Inspektor Ochrony Danych zaleca odnawianie zgód co kilka lat w przypadku długotrwałych relacji.

Czy pracodawca może wymagać zgody pracownika na przetwarzanie danych?

Teoretycznie tak, ale w praktyce bardzo trudno uznać taką zgodę za dobrowolną. UODO wielokrotnie podkreślał, że nierównowaga stron w relacji pracodawca–pracownik powoduje, iż zgoda jest z natury wątpliwa. Pracodawca powinien szukać innej podstawy prawnej — przepisu prawa (np. Kodeksu pracy) lub uzasadnionego interesu. Jeśli pracodawca uzależnia zatrudnienie lub awans od udzielenia zgody — jest ona nieważna.

Co zrobić, gdy administrator nie respektuje cofnięcia zgody?

W pierwszym kroku wyślij pisemne wezwanie do zaprzestania przetwarzania — zachowaj dowód wysyłki (potwierdzenie e-mail, zwrotne potwierdzenie listu poleconego). Jeśli administrator nie reaguje w rozsądnym terminie (zazwyczaj 30 dni), złóż skargę do Prezesa UODO. Możesz też dochodzić odszkodowania na drodze cywilnej za szkodę wyrządzoną niezgodnym z prawem przetwarzaniem (art. 82 RODO).

Jak wyrazić zgodę na przetwarzanie danych dziecka poniżej 16 lat?

W takiej sytuacji formularz musi podpisać rodzic lub prawny opiekun dziecka. W treści zgody warto wyraźnie zaznaczyć, że oświadczenie składa opiekun prawny w imieniu małoletniego, podać jego imię i nazwisko oraz stosunek prawny do dziecka (matka, ojciec, opiekun prawny). Administrator powinien przechowywać taką zgodę przez cały okres przetwarzania danych dziecka.

Czy zgoda wyrażona przez zaznaczenie checkboxa na stronie internetowej jest ważna?

Tak — o ile checkbox nie był domyślnie zaznaczony i formularz zawierał pełną informację o celu, zakresie danych i prawach osoby. Zgoda elektroniczna jest tak samo ważna jak pisemna, pod warunkiem że spełnia wszystkie wymogi art. 7 RODO. Administrator powinien zachować log systemowy z datą, godziną i adresem IP, które dokumentują moment wyrażenia zgody — to jego dowód zgodnie z art. 7 ust. 1 RODO.

Czym różni się zgoda RODO od upoważnienia do przetwarzania danych?

To dwa różne dokumenty. Zgoda na przetwarzanie (art. 6 ust. 1 lit. a RODO) pochodzi od osoby, której dane dotyczą, i stanowi podstawę prawną przetwarzania przez administratora. Upoważnienie do przetwarzania danych (art. 29 RODO) to wewnętrzny dokument, który administrator wystawia swoim pracownikom lub współpracownikom, uprawniając ich do dostępu do danych. Te dwa dokumenty pełnią zupełnie inną funkcję i nie można ich zamiennie stosować.