+48 692 004 515

  kancelaria@maniszewska.pl

Menu
podstawy prawne przetwarzania danych

Podstawy prawne przetwarzania danych osobowych — szczegółowy przewodnik po art. 6 RODO

Wybór właściwej podstawy prawnej przetwarzania danych osobowych to jedna z najważniejszych decyzji, jakie podejmuje administrator danych — i jednocześnie jedna z najczęstszych przyczyn naruszeń stwierdzanych przez UODO. Błędnie dobrana podstawa prawna może oznaczać, że całe przetwarzanie jest nielegalne, nawet jeśli organizacja spełnia wszystkie inne wymagania RODO.

Art. 6 RODO wymienia sześć — i tylko sześć — podstaw prawnych, na których można oprzeć przetwarzanie danych osobowych. Nie ma siódmej opcji. Jeśli żadna z nich nie ma zastosowania, przetwarzanie jest niedopuszczalne.

W tym artykule szczegółowo omawiam każdą z sześciu podstaw prawnych — z przykładami, pułapkami i praktycznymi wskazówkami dotyczącymi wyboru właściwej podstawy.

Dlaczego wybór podstawy prawnej jest tak ważny?

Podstawa prawna nie jest abstrakcyjnym wymogiem formalnym — determinuje ona całą relację między administratorem a osobą, której dane dotyczą:

Różne prawa osoby — w zależności od podstawy prawnej, osoba ma różne prawa. Przy zgodzie — prawo do wycofania zgody. Przy uzasadnionym interesie — prawo do sprzeciwu. Przy umowie — prawo do przenoszenia danych. Przy obowiązku prawnym — ograniczone prawo do usunięcia.

Różne obowiązki administratora — zgoda wymaga mechanizmu wycofania, uzasadniony interes wymaga testu równowagi (LIA), umowa wymaga powiązania zakresu danych z przedmiotem umowy.

Konsekwencje błędnego wyboru — jeśli administrator powołuje się na zgodę, ale zgoda nie spełnia wymogów (np. nie jest dobrowolna), przetwarzanie jest nielegalne. Zmiana podstawy prawnej „w locie” jest problematyczna — EDPB wskazuje, że administrator powinien określić podstawę prawną przed rozpoczęciem przetwarzania i nie powinien jej dowolnie zmieniać.

Klauzula informacyjna — art. 13 RODO wymaga wskazania podstawy prawnej w klauzuli informacyjnej. Błędna lub brakująca informacja to osobne naruszenie.

Podstawa 1: Zgoda osoby (art. 6 ust. 1 lit. a)

Definicja: Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub więcej określonych celach.

Kiedy stosować:

  • Newsletter i marketing e-mailowy
  • Cookies analityczne i marketingowe
  • Publikacja wizerunku pracownika na stronie firmowej (zdjęcie)
  • Przetwarzanie danych w celach, które nie wynikają z umowy, obowiązku prawnego ani uzasadnionego interesu

Wymogi ważnej zgody (art. 7 RODO):

Dobrowolność — zgoda musi być wyrażona swobodnie, bez przymusu. Osoba nie może ponosić negatywnych konsekwencji odmowy. Uzależnienie wykonania umowy od zgody na przetwarzanie danych w celach niezwiązanych z umową (np. „zaznacz zgodę na marketing, żeby złożyć zamówienie”) czyni zgodę niedobrowolną i nieważną.

Konkretność — zgoda musi dotyczyć konkretnego celu. Ogólnikowa zgoda („zgadzam się na przetwarzanie danych”) jest nieważna. Jeśli przetwarzasz dane w kilku celach — potrzebujesz osobnej zgody na każdy cel.

Świadomość — osoba musi wiedzieć, na co się zgadza: kto jest administratorem, w jakim celu dane będą przetwarzane, jakie dane są objęte, komu mogą być przekazane.

Jednoznaczność — zgoda wymaga aktywnego działania (zaznaczenie checkboxa, kliknięcie przycisku). Milczenie, domyślnie zaznaczone pola, brak reakcji NIE stanowią zgody. TSUE potwierdził to w wyroku Planet49 (C-673/17).

Możliwość wycofania — osoba musi mieć możliwość wycofania zgody w dowolnym momencie, w sposób równie łatwy jak jej udzielenie (art. 7 ust. 3 RODO). Wycofanie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.

Najczęstsze błędy:

  • Stosowanie zgody tam, gdzie właściwą podstawą jest umowa lub obowiązek prawny
  • Wymuszanie zgody jako warunku usługi
  • Brak mechanizmu wycofania zgody
  • Ogólnikowa treść zgody
  • Pre-ticked checkboxy
  • Łączenie wielu celów w jednej zgodzie (bundled consent)

Zgoda pracownika — EDPB i UODO podkreślają, że w relacji pracodawca-pracownik zgoda rzadko będzie dobrowolna ze względu na nierówność stron. W miarę możliwości należy szukać innej podstawy prawnej.

Podstawa 2: Wykonanie umowy (art. 6 ust. 1 lit. b)

Definicja: Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, lub do podjęcia działań na żądanie osoby przed zawarciem umowy.

Kiedy stosować:

  • Realizacja zamówienia w sklepie internetowym (adres dostawy, dane do faktury)
  • Świadczenie usługi na podstawie umowy (dane klienta kancelarii prawnej)
  • Obsługa reklamacji i zwrotów
  • Prowadzenie konta użytkownika (jeśli konto jest elementem usługi)
  • Działania przedumowne na żądanie osoby (np. przygotowanie oferty, wycena)

Kluczowe ograniczenie — „niezbędność”: Można przetwarzać tylko te dane, które są obiektywnie niezbędne do wykonania umowy. Jeśli do wysyłki zamówienia wystarczą imię, adres i telefon — nie możesz wymagać podania daty urodzenia „bo jest w formularzu”. EDPB w wytycznych 2/2019 podkreśla, że „niezbędność” należy interpretować wąsko — nie wystarczy, że przetwarzanie jest „przydatne” lub „wygodne” dla administratora.

Działania przedumowne: Art. 6 ust. 1 lit. b obejmuje też przetwarzanie danych na etapie przed zawarciem umowy — ale tylko na żądanie osoby. Przykład: klient prosi o wycenę usługi i podaje swoje dane kontaktowe. Wysyłanie niezamówionych ofert handlowych nie mieści się w tej podstawie.

Najczęstsze błędy:

  • Rozszerzanie zakresu „wykonania umowy” na marketing, analitykę czy profilowanie — to nie jest niezbędne do wykonania umowy
  • Powoływanie się na umowę przy przetwarzaniu danych pracowników w celach wykraczających poza stosunek pracy
  • Brak rozróżnienia między danymi niezbędnymi do umowy a danymi zbieranymi „przy okazji”

Podstawa 3: Obowiązek prawny (art. 6 ust. 1 lit. c)

Definicja: Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Kiedy stosować:

  • Prowadzenie dokumentacji kadrowej (Kodeks pracy)
  • Przechowywanie dokumentów podatkowych (Ordynacja podatkowa, ustawa o rachunkowości)
  • Zgłaszanie danych do ZUS i urzędu skarbowego
  • Przechowywanie dokumentacji medycznej (ustawa o prawach pacjenta)
  • Przekazywanie danych na żądanie sądu, prokuratury, policji
  • Prowadzenie rejestru beneficjentów rzeczywistych (AML)
  • Obowiązki wynikające z NIS2, ustawy o KSC

Kluczowe wymaganie — konkretny przepis prawa: Administrator musi wskazać konkretny przepis prawa, który nakłada obowiązek przetwarzania. Nie wystarczy ogólne powołanie się na „przepisy prawa” — trzeba wskazać, o jaki przepis chodzi. Przykład: „Przetwarzanie jest niezbędne do wypełnienia obowiązku wynikającego z art. 94 pkt 9a Kodeksu pracy (prowadzenie dokumentacji pracowniczej).”

Obowiązek prawny musi wynikać z prawa UE lub prawa państwa członkowskiego — nie z wewnętrznych regulaminów firmy ani z umów.

Prawo do usunięcia — ograniczone: Gdy przetwarzanie opiera się na obowiązku prawnym, osoba nie może skutecznie żądać usunięcia danych — administrator ma prawo (i obowiązek) je przechowywać przez okres wymagany prawem (art. 17 ust. 3 lit. b RODO).

Podstawa 4: Ochrona żywotnych interesów (art. 6 ust. 1 lit. d)

Definicja: Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

Kiedy stosować:

  • Sytuacje zagrożenia życia lub zdrowia (np. ratownictwo medyczne, klęski żywiołowe)
  • Przetwarzanie danych osoby nieprzytomnej w celu udzielenia pomocy medycznej

W praktyce — ta podstawa jest stosowana niezwykle rzadko. EDPB podkreśla, że „żywotne interesy” oznaczają kwestie życia i śmierci, a nie ogólne interesy osoby. Nie można powoływać się na tę podstawę w rutynowych procesach biznesowych.

Jeśli istnieje inna podstawa prawna (np. zgoda, umowa, obowiązek prawny), należy ją zastosować zamiast ochrony żywotnych interesów.

Podstawa 5: Zadanie realizowane w interesie publicznym (art. 6 ust. 1 lit. e)

Definicja: Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Kiedy stosować:

  • Organy administracji publicznej realizujące zadania ustawowe
  • Szkoły i uczelnie publiczne (prowadzenie dokumentacji edukacyjnej)
  • Szpitale publiczne (w pewnym zakresie)
  • Instytucje kultury realizujące zadania publiczne
  • Organizacje realizujące zadania zlecone przez organy publiczne

Kluczowe wymaganie: Zadanie publiczne musi wynikać z prawa UE lub prawa krajowego — nie z wewnętrznej decyzji organizacji. Administrator musi wskazać konkretny przepis.

Prawo do sprzeciwu: Osoby mają prawo do sprzeciwu wobec przetwarzania opartego na interesie publicznym (art. 21 ust. 1 RODO). Administrator może kontynuować przetwarzanie, jeśli wykaże istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec interesów osoby.

Uwaga: Podmioty prywatne co do zasady nie mogą powoływać się na tę podstawę — chyba że realizują konkretne zadania publiczne na podstawie przepisów prawa.

Podstawa 6: Uzasadniony interes administratora (art. 6 ust. 1 lit. f)

Definicja: Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, chyba że nadrzędne wobec tych interesów są interesy lub podstawowe prawa i wolności osoby.

Kiedy stosować:

  • Marketing bezpośredni wobec własnych klientów (motyw 47 RODO wprost wymienia to jako przykład)
  • Monitoring wizyjny w celu ochrony mienia
  • Zapobieganie oszustwom
  • Dochodzenie, ustalanie lub obrona roszczeń
  • Bezpieczeństwo sieci i systemów IT
  • Analityka biznesowa na zanonimizowanych lub pseudonimizowanych danych
  • Prowadzenie wewnętrznych celów administracyjnych w ramach grupy kapitałowej (motyw 48 RODO)

Test równowagi interesów (Legitimate Interest Assessment — LIA):

Uzasadniony interes to najsłabsza z głównych podstaw prawnych — wymaga każdorazowego przeprowadzenia testu równowagi (LIA), który obejmuje trzy etapy:

Etap 1: Identyfikacja interesu — czy interes administratora jest rzeczywisty, konkretny i aktualny? Czy jest prawnie uzasadniony (nie sprzeczny z prawem)? Przykład: „Naszym interesem jest marketing bezpośredni naszych usług prawnych wobec istniejących klientów.”

Etap 2: Test niezbędności — czy przetwarzanie jest obiektywnie niezbędne do realizacji tego interesu? Czy nie ma mniej inwazyjnego sposobu osiągnięcia celu?

Etap 3: Test równowagi — czy interes administratora jest nadrzędny wobec interesów, praw i wolności osoby? Tu należy uwzględnić: charakter danych (im bardziej wrażliwe, tym wyższe ryzyko dla osoby), rozsądne oczekiwania osoby (czy osoba mogła się spodziewać takiego przetwarzania?), charakter relacji (klient vs. osoba niezwiązana z administratorem), wpływ na osobę (jakie konsekwencje ma przetwarzanie?), zabezpieczenia (jakie środki zmniejszają ryzyko — np. pseudonimizacja, opt-out).

LIA musi być udokumentowany — na piśmie, przed rozpoczęciem przetwarzania. W razie kontroli UODO lub żądania osoby, administrator musi być w stanie przedstawić LIA.

Najczęstsze błędy:

  • Brak przeprowadzenia LIA („uznaliśmy, że to nasz uzasadniony interes”)
  • Zbyt powierzchowny LIA (jedno zdanie zamiast rzetelnej analizy)
  • Stosowanie uzasadnionego interesu do celów, które wyraźnie wymagają zgody (np. profilowanie na dużą skalę)
  • Ignorowanie prawa osoby do sprzeciwu
  • Stosowanie tej podstawy przez organy publiczne — art. 6 ust. 1 lit. f nie ma zastosowania do przetwarzania przez organy publiczne w ramach realizacji ich zadań (ostatnie zdanie art. 6 ust. 1)

Prawo do sprzeciwu: Osoba ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania opartego na uzasadnionym interesie (art. 21 ust. 1 RODO). W przypadku marketingu bezpośredniego sprzeciw jest bezwzględny — administrator musi natychmiast zaprzestać przetwarzania (art. 21 ust. 2–3 RODO).

Szczególne kategorie danych — art. 9 RODO

Jeśli przetwarzasz dane szczególnych kategorii (zdrowie, biometria, pochodzenie rasowe, poglądy polityczne, przekonania religijne, dane genetyczne, dane o orientacji seksualnej), sam art. 6 nie wystarczy — musisz dodatkowo spełnić jeden z warunków z art. 9 ust. 2 RODO:

Wyraźna zgoda osoby (art. 9 ust. 2 lit. a) — zgoda musi być wyraźna (explicit), nie tylko jednoznaczna.

Obowiązki z prawa pracy i zabezpieczenia społecznego (art. 9 ust. 2 lit. b) — np. przetwarzanie danych o zdrowiu pracownika na podstawie Kodeksu pracy.

Ochrona żywotnych interesów (art. 9 ust. 2 lit. c).

Przetwarzanie przez organizację non-profit (art. 9 ust. 2 lit. d) — w odniesieniu do danych członków.

Dane upublicznione przez osobę (art. 9 ust. 2 lit. e).

Ustalenie, dochodzenie lub obrona roszczeń (art. 9 ust. 2 lit. f).

Ważny interes publiczny (art. 9 ust. 2 lit. g).

Cele zdrowotne (art. 9 ust. 2 lit. h–i) — profilaktyka zdrowotna, medycyna pracy, diagnostyka medyczna.

Cele archiwalne, badawcze, statystyczne (art. 9 ust. 2 lit. j).

Jak wybrać właściwą podstawę prawną — praktyczny algorytm

  1. Czy istnieje przepis prawa nakazujący przetwarzanie? → Tak → Obowiązek prawny (lit. c)
  2. Czy przetwarzanie jest niezbędne do wykonania umowy z osobą? → Tak → Umowa (lit. b)
  3. Czy przetwarzanie dotyczy realizacji zadania publicznego? → Tak → Interes publiczny (lit. e)
  4. Czy sytuacja dotyczy zagrożenia życia? → Tak → Żywotne interesy (lit. d)
  5. Czy administrator ma konkretny, prawnie uzasadniony interes, który nie narusza nadmiernie praw osoby? → Tak → Uzasadniony interes (lit. f) — przeprowadź LIA
  6. Żadna z powyższych nie ma zastosowania?Zgoda (lit. a) — ostateczność, nie domyślna opcja

Kluczowa zasada: Zgoda nie powinna być domyślnym wyborem. EDPB podkreśla, że zgoda jest właściwą podstawą tylko wtedy, gdy żadna inna podstawa nie ma zastosowania i gdy osoba ma rzeczywistą, swobodną możliwość wyboru.

Zmiana podstawy prawnej — czy to dopuszczalne?

EDPB w wytycznych 2/2019 wskazuje, że administrator powinien określić podstawę prawną przed rozpoczęciem przetwarzania i co do zasady nie powinien jej zmieniać. Zmiana podstawy prawnej w trakcie przetwarzania jest problematyczna, ponieważ:

Narusza zasadę przejrzystości — osoba została poinformowana o jednej podstawie, a administrator stosuje inną.

Może naruszać prawa osoby — np. zmiana z zgody na uzasadniony interes eliminuje prawo do wycofania zgody.

Może świadczyć o braku rzetelnej oceny — jeśli administrator musi zmieniać podstawę, może to oznaczać, że pierwotna była błędna.

Wyjątkowo zmiana może być uzasadniona — np. gdy zmienia się stan prawny (nowy przepis nakłada obowiązek przetwarzania). Ale wymaga to ponownego poinformowania osób i aktualizacji dokumentacji.

Najczęstsze błędy w doborze podstaw prawnych

„Zgoda na wszystko” — stosowanie zgody jako uniwersalnej podstawy, nawet tam, gdzie właściwą podstawą jest umowa lub obowiązek prawny. Efekt: zgoda nie jest dobrowolna (bo przetwarzanie i tak jest konieczne), co czyni ją nieważną.

Łączenie podstaw prawnych — powoływanie się jednocześnie na zgodę i uzasadniony interes dla tego samego celu. EDPB odradza takie podejście — administrator powinien wybrać jedną podstawę.

Brak LIA — stosowanie uzasadnionego interesu bez udokumentowanego testu równowagi.

Zbyt szerokie rozumienie „umowy” — traktowanie każdego przetwarzania danych klienta jako „niezbędnego do wykonania umowy”, podczas gdy np. marketing, profilowanie czy analityka nie mieszczą się w tej podstawie.

Pominięcie art. 9 — przetwarzanie danych szczególnych z powołaniem się wyłącznie na art. 6, bez spełnienia dodatkowego warunku z art. 9.

Brak wskazania podstawy w klauzuli informacyjnej — lub wskazanie ogólnikowe („art. 6 RODO”) bez sprecyzowania litery.

Checklist — podstawy prawne przetwarzania

  1. Dla każdego celu przetwarzania w RCP sprawdź, czy wskazana jest konkretna podstawa prawna.
  2. Upewnij się, że podstawa jest prawidłowo dobrana (nie stosuj zgody tam, gdzie właściwa jest umowa).
  3. Jeśli stosujesz uzasadniony interes — przeprowadź i udokumentuj LIA.
  4. Jeśli stosujesz zgodę — sprawdź, czy spełnia wymogi art. 7 RODO (dobrowolność, konkretność, świadomość, jednoznaczność, możliwość wycofania).
  5. Jeśli przetwarzasz dane szczególne — sprawdź, czy spełniasz warunek z art. 9 ust. 2.
  6. Sprawdź klauzule informacyjne — czy wskazują prawidłową podstawę prawną dla każdego celu.
  7. Nie łącz podstaw prawnych — jedna podstawa na jeden cel.
  8. Nie zmieniaj podstawy prawnej w trakcie przetwarzania bez ważnego powodu.
  9. Przeszkol pracowników HR, marketingu i sprzedaży — to oni najczęściej decydują o zbieraniu danych. Więcej o RODO w HR przeczytasz w naszym przewodniku.
  10. Regularnie przeglądaj podstawy prawne — zmiany w procesach mogą wymagać aktualizacji.

Potrzebujesz pomocy z podstawami prawnymi?

Prawidłowy dobór podstaw prawnych to fundament zgodności z RODO — i element, który UODO sprawdza w każdej kontroli. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont pomagamy firmom i instytucjom w analizie i doborze podstaw prawnych przetwarzania — dla każdego procesu, każdego celu, każdej grupy danych. Przeprowadzamy testy równowagi interesów (LIA), weryfikujemy mechanizmy zgód i aktualizujemy dokumentację.

 

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — przeanalizujemy Twoje procesy przetwarzania i dobierzemy prawidłowe podstawy prawne.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts