Artykuł 6 RODO porządkuje podstawowe pytanie: kiedy wolno przetwarzać dane osobowe i na czym naprawdę opiera się legalność takiego działania. W praktyce to nie jest detal prawny, tylko fundament każdej polityki prywatności, formularza, umowy czy procesu kadrowego. Pokażę tu, jak odróżnić sześć podstaw prawnych, jak wybrać właściwą w konkretnej sytuacji i gdzie najczęściej pojawiają się błędy.
Najważniejsze zasady, które porządkują legalność przetwarzania
- Co najmniej jedna podstawa z art. 6 musi pasować do konkretnego celu przetwarzania.
- Zgoda działa tylko wtedy, gdy jest dobrowolna, konkretna i można ją wycofać.
- W sektorze publicznym najczęściej liczą się obowiązek prawny i zadanie publiczne, a nie prawnie uzasadniony interes.
- Przy podstawie z lit. f potrzebny jest test równowagi i sensowny obowiązek informacyjny.
- Dla danych szczególnej kategorii trzeba zwykle dołożyć jeszcze podstawę z art. 9 RODO.
Co reguluje art. 6 i dlaczego to od niego zaczyna się cała analiza
Art. 6 RODO odpowiada na pytanie, czy w ogóle wolno przetwarzać dane osobowe. Jeśli nie umiesz wskazać jednej z podstaw wymienionych w tym przepisie, całe przetwarzanie stoi na słabym gruncie, nawet wtedy, gdy cel wydaje się rozsądny albo praktyczny.
Ja zawsze zaczynam od prostego porządku: najpierw cel, potem podstawa prawna, dopiero później zakres danych, czas przechowywania i obowiązek informacyjny. To ważne, bo sam fakt, że coś jest potrzebne organizacyjnie, nie oznacza jeszcze, że jest zgodne z prawem.
Trzeba też pamiętać, że art. 6 dotyczy danych zwykłych. Jeśli w procesie pojawiają się dane szczególnej kategorii, na przykład o zdrowiu, poglądach czy przynależności związkowej, dochodzi dodatkowa przesłanka z art. 9 RODO. Bez tego samo art. 6 nie wystarczy. Żeby dobrze z tego korzystać, trzeba przejść przez sześć podstaw i zobaczyć, jak różnią się w praktyce.
Sześć podstaw prawnych i kiedy każda z nich ma sens
W praktyce nie ma jednej „najlepszej” podstawy. Jest tylko taka, która najlepiej opisuje rzeczywisty mechanizm przetwarzania. Poniżej zestawiam je w sposób, który najczęściej pomaga przy decyzji operacyjnej.
| Podstawa | Kiedy zwykle pasuje | Na co uważać |
|---|---|---|
| Zgoda | Newsletter, marketing, udział w akcji promocyjnej, publikacja zdjęcia w sytuacjach, w których osoba ma realny wybór | Musi być dobrowolna, konkretna i odwoływalna; nie nadaje się do sytuacji, w których druga strona nie ma realnej alternatywy |
| Umowa | Realizacja zamówienia, rezerwacji, dostawy, obsługi konta lub działań przed zawarciem umowy | Obejmuje tylko to, co jest rzeczywiście potrzebne do wykonania umowy, a nie dane zbierane „na zapas” |
| Obowiązek prawny | Kadry, księgowość, archiwizacja, obowiązki podatkowe, AML, ewidencje wymagane przepisami | Musi wynikać z konkretnego przepisu prawa, a nie z regulaminu, procedury albo wygody administratora |
| Żywotne interesy | Sytuacje zagrożenia życia lub zdrowia, gdy trzeba działać natychmiast | To podstawa wyjątkowa, nie do codziennego przetwarzania administracyjnego |
| Zadanie publiczne lub władza publiczna | Urzędy, szkoły publiczne, jednostki publiczne, działania wykonywane wprost na podstawie prawa | Potrzebna jest podstawa w przepisach szczególnych; sama użyteczność społeczna nie wystarcza |
| Prawnie uzasadniony interes | Bezpieczeństwo systemów, dochodzenie roszczeń, niektóre działania marketingowe B2B, ograniczony monitoring | Trzeba zrobić test równowagi; interes administratora nie może przeważać nad prawami osoby, której dane dotyczą |
W praktyce najwięcej nieporozumień dotyczy lit. f, czyli prawnie uzasadnionego interesu. UODO przypomina, że podmiot publiczny nie powinien sięgać po tę podstawę wtedy, gdy realizuje własne ustawowe zadania. Właśnie dlatego sama lista podstaw nie wystarcza; trzeba jeszcze umieć dobrać je do realnego scenariusza, a nie do wygodnej etykiety w polityce prywatności. Najlepiej widać to, gdy przechodzimy od teorii do konkretnego procesu decyzyjnego.
Jak wybrać właściwą podstawę bez zgadywania
Ja zwykle idę przez cztery pytania. To prosty filtr, ale działa lepiej niż intuicja, a przy audycie czy kontroli daje też czytelny ślad decyzyjny.
- Czy istnieje przepis prawa, który nakazuje albo wyraźnie pozwala przetwarzać te dane? Jeśli tak, najpierw sprawdzam lit. c albo e.
- Czy dane są niezbędne do wykonania umowy albo działań przed jej zawarciem? Jeśli tak, najczęściej pasuje lit. b.
- Czy osoba ma realny wybór i może odmówić bez szkody dla podstawowej usługi? Jeśli tak, można rozważyć zgodę.
- Czy przetwarzanie służy uzasadnionemu interesowi, a po stronie osoby nie widać przewagi jej praw i wolności? Jeśli tak, wchodzę w lit. f i robię test równowagi.
Przykład z życia: sklep internetowy może opierać obsługę zamówienia na umowie, a fakturowanie na obowiązku prawnym. Ten sam sklep nie powinien jednak traktować newslettera sprzedażowego jako elementu umowy, jeśli odbiorca ma mieć wybór. Podobnie w organizacji społecznej: rozliczenie darowizny opiera się zwykle na obowiązku prawnym, ale zapis do listy informacyjnej już na zgodzie. Po takim rozróżnieniu łatwiej uniknąć błędów, które najczęściej psują zgodność od środka.
Najczęstsze błędy, które psują zgodność z RODO
W praktyce widzę kilka powtarzalnych pomyłek. Nie są spektakularne, ale właśnie dlatego bywają najbardziej kosztowne: wchodzą do procesu po cichu i potem rozchodzą się na wszystkie formularze, maile i rejestry.
- Stosowanie zgody „na wszelki wypadek”, nawet gdy przetwarzanie da się lepiej oprzeć na umowie albo obowiązku prawnym.
- Wpisywanie prawnie uzasadnionego interesu bez realnego testu równowagi i bez sprawdzenia, czego rozsądnie oczekuje osoba, której dane dotyczą.
- Powoływanie się na obowiązek prawny bez wskazania konkretnego przepisu, który rzeczywiście nakłada taki obowiązek.
- Zbieranie większej liczby danych niż potrzeba, bo „może się przydadzą później”. To zwykle kończy się naruszeniem zasady minimalizacji.
- Używanie jednej podstawy do wszystkiego, mimo że różne czynności w tym samym procesie mają różny charakter.
- Brak spójności między podstawą prawną a klauzulą informacyjną. Jeśli ktoś czyta politykę prywatności i nie widzi tam logicznego uzasadnienia, proces jest słabo opisany.
Najgorszy błąd to traktowanie art. 6 jak formalności do odhaczenia. To nie działa. Podstawa prawna ma pasować do rzeczywistości, bo inaczej później nie broni się ani dokumentacja, ani praktyka. A to prowadzi już prosto do różnic między firmą, urzędem i organizacją społeczną.
Jak to wygląda w firmie, urzędzie i organizacji społecznej
Ten sam przepis działa trochę inaczej w zależności od tego, kto przetwarza dane i po co to robi. W 2026 r. UODO nadal konsekwentnie podkreśla, że podmioty publiczne powinny najpierw szukać podstaw w lit. c i e, a nie sięgać po lit. f do realizacji zadań ustawowych. To ważna różnica, bo w administracji granica między „można” a „powinno się” bywa szczególnie cienka.
- W firmie prywatnej najczęściej spotkasz umowę, obowiązek prawny i prawnie uzasadniony interes. Zgoda jest potrzebna tam, gdzie osoba ma realny wybór, na przykład przy newsletterze albo marketingu.
- W urzędzie i szkole publicznej dominują obowiązek prawny oraz zadanie publiczne. Jeśli konkretny przepis nie daje podstawy, nie da się go zastąpić dobrą praktyką albo uzasadnieniem organizacyjnym.
- W organizacji społecznej często występuje miks podstaw. Księgowość i rozliczenia opierają się na obowiązku prawnym, komunikacja informacyjna może opierać się na zgodzie, a kontakt roboczy z wolontariuszem lub uczestnikiem wydarzenia czasem na umowie albo prawnie uzasadnionym interesie, zależnie od sytuacji.
W fundacjach i stowarzyszeniach najczęściej widać jeszcze jeden problem: chęć objęcia wszystkiego jedną podstawą, żeby uprościć dokumenty. To zwykle kończy się przeciwnie do zamierzenia, bo proces staje się mniej czytelny, a nie bardziej. Dlatego przed uruchomieniem przetwarzania warto zrobić krótki, ale porządny przegląd całego procesu.
Co sprawdzić przed uruchomieniem przetwarzania, żeby nie zbudować błędu od pierwszego dnia
Jeśli mam zamknąć temat w praktycznej checkliście, zawsze patrzę na te elementy. Dzięki nim łatwiej zamienić przepis w działający proces, a nie tylko w ładny zapis w polityce prywatności.
- Jaki jest dokładny cel przetwarzania i czy da się go opisać jednym zdaniem bez ogólników.
- Która podstawa prawna naprawdę pasuje do tego celu, a które odpadają od razu.
- Czy przetwarzane są dane zwykłe, czy również dane szczególnej kategorii, bo wtedy dochodzi dodatkowa przesłanka z art. 9 RODO.
- Czy zakres danych jest minimalny i czy nie zbierasz informacji tylko dlatego, że system na to pozwala.
- Czy klauzula informacyjna mówi to samo, co dokument wewnętrzny i rejestr czynności przetwarzania.
- Czy ustalono czas przechowywania danych i moment ich usunięcia albo anonimizacji.
- Czy w przypadku lit. f istnieje zapis testu równowagi, a w przypadku lit. a sposób wyrażenia i wycofania zgody.
Jeśli po tej liście zostaje jeszcze wątpliwość, zwykle oznacza to, że proces nie jest dostatecznie dobrze opisany. Wtedy lepiej wrócić o krok niż próbować ratować sytuację klauzulą, która brzmi poprawnie tylko na papierze. Taka ostrożność oszczędza później dużo więcej czasu niż szybki skrót na starcie.
Co zostaje po uporządkowaniu podstaw prawnych
Najwięcej wartości z art. 6 RODO jest wtedy, gdy przestaje on być abstrakcyjnym przepisem, a staje się narzędziem decyzyjnym. Wtedy łatwiej odróżnić zgodę od obowiązku prawnego, umowę od interesu prawnego i zadanie publiczne od zwykłej wygody administratora.
Jeśli miałbym wskazać jedną praktyczną zasadę, powiedziałbym tak: najpierw sprawdź, co naprawdę uzasadnia przetwarzanie, a dopiero potem dopracowuj dokumenty. Taki porządek działa lepiej niż odwrotna kolejność, bo nie zmusza tekstu do usprawiedliwiania decyzji podjętej wcześniej. I właśnie w tym miejscu art. 6 zaczyna realnie pomagać, zamiast tylko komplikować formalności.
Najbardziej opłaca się pamiętać o jednym: podstawa prawna ma odzwierciedlać rzeczywisty proces, a nie życzeniową wersję procesu. Jeśli ten warunek jest spełniony, cała reszta RODO staje się znacznie prostsza do ułożenia.
