Jednym z pierwszych i najważniejszych pytań, które pojawia się przy wdrożeniu RODO, jest: na jakiej podstawie prawnej przetwarzamy dane? To pytanie nie jest formalnością — wybór podstawy prawnej decyduje o tym, jakie prawa przysługują osobie, której dane dotyczą, jakie obowiązki ciążą na administratorze i jak należy reagować w przypadku kontroli lub skargi.

Błędny wybór podstawy prawnej to naruszenie RODO — nawet jeśli dane są przetwarzane w słusznym celu i z pełnym poszanowaniem prywatności.

W tym artykule omawiamy:

• wszystkie sześć podstaw prawnych z art. 6 RODO,
• kiedy stosować każdą z nich,
• najczęstsze błędy przy wyborze podstawy,
• oraz dlaczego zgoda nie jest domyślnym rozwiązaniem.

Art. 6 RODO — sześć podstaw prawnych przetwarzania

Artykuł 6 RODO wskazuje zamknięty katalog sześciu podstaw prawnych. Przetwarzanie danych osobowych jest zgodne z prawem wyłącznie wtedy, gdy opiera się na co najmniej jednej z nich. Nie istnieje siódma podstawa — jeśli żadna z sześciu nie pasuje, przetwarzanie jest niedopuszczalne.

1. Zgoda (art. 6 ust. 1 lit. a)

Osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.

Kiedy stosować: Zgoda jest właściwą podstawą wtedy, gdy przetwarzanie nie jest konieczne do realizacji umowy, wypełnienia obowiązku prawnego ani żadnego innego celu wskazanego w pozostałych podstawach — a osoba ma realną możliwość odmowy bez żadnych negatywnych konsekwencji.

Typowe przypadki: newsletter, cookies marketingowe, przetwarzanie danych w celach promocyjnych, przesyłanie ofert handlowych.

Co musi spełniać ważna zgoda:

• dobrowolność — brak negatywnych konsekwencji za odmowę,
• konkretność — zgoda na określony cel, nie ogólna,
• świadomość — osoba wie, na co wyraża zgodę,
• jednoznaczność — aktywne działanie, nie milczenie ani domyślne zaznaczenie.

Kiedy NIE stosować: Zgoda jest złą podstawą, jeśli jej nieudzielenie skutkuje brakiem dostępu do usługi lub realizacji umowy — bo wówczas nie jest dobrowolna. Nie należy jej też stosować do przetwarzania, które jest niezbędne do wykonania umowy lub wymagane przez prawo.

2. Wykonanie umowy (art. 6 ust. 1 lit. b)

Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy.

Kiedy stosować: Gdy dane są rzeczywiście niezbędne do realizacji umowy z tą konkretną osobą. Przykłady: imię, nazwisko i adres do wysyłki w sklepie internetowym, dane do wystawienia faktury, dane pracownika potrzebne do naliczenia wynagrodzenia.

Kiedy NIE stosować: Podstawy tej nie można rozciągać na przetwarzanie danych, które jest jedynie wygodne lub pożyteczne dla administratora, ale nie wymagane do realizacji umowy. Przykład: zbieranie daty urodzenia klienta sklepu tylko dlatego, że administrator chce wysyłać mu życzenia urodzinowe — to nie jest niezbędne do wykonania umowy sprzedaży.

3. Obowiązek prawny (art. 6 ust. 1 lit. c)

Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Kiedy stosować: Gdy przepis prawa (ustawy, rozporządzenia) wprost nakłada na administratora obowiązek zebrania lub przechowywania określonych danych. Przykłady: przechowywanie dokumentacji pracowniczej przez 10 lub 50 lat zgodnie z Kodeksem pracy, raportowanie do ZUS i urzędu skarbowego, wystawianie i archiwizowanie faktur.

Ważne: Podstawą musi być konkretny przepis prawa — ogólna praktyka branżowa lub zwyczaj nie wystarczą. Administrator powinien być w stanie wskazać dokładny przepis, który nakłada dany obowiązek.

4. Ochrona żywotnych interesów (art. 6 ust. 1 lit. d)

Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

Kiedy stosować: Ta podstawa ma zastosowanie wyłącznie w sytuacjach zagrożenia życia lub zdrowia — gdy inne podstawy prawne nie mogą być zastosowane w odpowiednim czasie. Przykłady: przekazanie danych medycznych ratownikom podczas wypadku, udostępnienie danych osoby zaginionej służbom ratunkowym.

Kiedy NIE stosować: Nie jest to podstawa do stosowania w zwykłej działalności. Jej zakres jest wąski i powinien być interpretowany ściśle — tylko rzeczywiste, bezpośrednie zagrożenie życia lub zdrowia.

5. Zadanie realizowane w interesie publicznym (art. 6 ust. 1 lit. e)

Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Kiedy stosować: Przede wszystkim przez organy publiczne, instytucje państwowe i samorządowe wykonujące zadania publiczne. Przykłady: przetwarzanie danych przez urzędy, sądy, szkoły publiczne, uczelnie, szpitale publiczne w zakresie ich ustawowych zadań.

Kiedy NIE stosować: Prywatne firmy co do zasady nie mogą korzystać z tej podstawy, chyba że wykonują zadania publiczne zlecone przez prawo.

6. Prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f) — LIA

Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Kiedy stosować: To najbardziej elastyczna podstawa, ale też wymagająca największej staranności w ocenie. Stosuje się ją, gdy administrator ma uzasadniony interes w przetwarzaniu danych, przetwarzanie jest niezbędne do jego realizacji, oraz interesy osoby, której dane dotyczą, nie przeważają nad interesem administratora.

Typowe przypadki zastosowania: marketing bezpośredni do istniejących klientów, zapobieganie nadużyciom i oszustwom, zapewnienie bezpieczeństwa sieci i systemów, dochodzenie lub obrona roszczeń, profilowanie w ograniczonym zakresie.

Co to jest LIA i kiedy jest wymagana: Przed zastosowaniem tej podstawy administrator powinien przeprowadzić ocenę prawnie uzasadnionego interesu (LIA — Legitimate Interest Assessment). To trzyetapowy test, który ocenia: czy interes administratora jest rzeczywisty i prawnie uzasadniony, czy przetwarzanie jest niezbędne do jego realizacji, oraz czy interesy i prawa osoby, której dane dotyczą, nie przeważają. Wynik LIA powinien być udokumentowany.

Kiedy NIE stosować: Podstawy tej nie można stosować przez organy publiczne w zakresie wykonywania zadań publicznych. Nie nadaje się też do sytuacji, gdy osoba nie mogłaby racjonalnie spodziewać się, że jej dane są w ten sposób przetwarzane.

Zgoda kontra uzasadniony interes — jak wybrać?

To pytanie pojawia się najczęściej i generuje najwięcej błędów w praktyce.

Kluczowa różnica jest następująca: zgoda daje osobie pełną kontrolę — może ją wycofać w dowolnym momencie i administrator musi zaprzestać przetwarzania. Uzasadniony interes nie wymaga zgody, ale administrator musi wykazać, że jego interes jest rzeczywisty, przetwarzanie jest konieczne i prawa osoby nie są nadrzędne.

Wybór między tymi dwoma podstawami ma praktyczne konsekwencje:

Jeśli wybierzesz zgodę: musisz ją uzyskać przed przetwarzaniem, udokumentować, umożliwić wycofanie i zaprzestać przetwarzania po wycofaniu.

Jeśli wybierzesz uzasadniony interes: musisz przeprowadzić i udokumentować LIA, poinformować osobę o tej podstawie w klauzuli informacyjnej i respektować prawo do sprzeciwu (art. 21 RODO).

Częsty błąd polega na tym, że administratorzy wybierają zgodę wszędzie tam, gdzie jest wątpliwość — bo wydaje się bezpieczniejsza. W rzeczywistości zgoda jest jedną z najtrudniejszych podstaw do utrzymania w czasie, bo każde wycofanie zgody wymaga działania ze strony administratora.

Najczęstsze błędy przy wyborze podstawy prawnej

Zgoda jako domyślna podstawa do wszystkiego. Wiele organizacji zbiera zgody nawet tam, gdzie wystarczyłaby umowa lub obowiązek prawny. Efekt: nadmiernie rozbudowany system zarządzania zgodami, ryzyko utraty podstawy przy wycofaniu zgody, konfuzja prawna.

Łączenie kilku podstaw dla jednego celu. Przetwarzanie w danym celu powinno opierać się na jednej, właściwej podstawie. Wskazywanie kilku podstaw alternatywnie sugeruje, że administrator sam nie wie, która jest właściwa.

Brak dokumentacji LIA. Stosowanie uzasadnionego interesu bez przeprowadzonej i zapisanej oceny to naruszenie zasady rozliczalności.

Rozciąganie podstawy umowy na cele dodatkowe. Zbieranie danych na podstawie umowy, a następnie wykorzystywanie ich do celów marketingowych bez odrębnej podstawy prawnej to jeden z najczęściej stwierdzanych błędów.

Brak aktualizacji po zmianie celu. Jeśli cel przetwarzania się zmienia, podstawa prawna może wymagać zmiany lub rozszerzenia — a osoba powinna zostać o tym poinformowana.

Jak podstawy prawne powiązać z rejestrem czynności przetwarzania

Każda czynność przetwarzania w rejestrze czynności przetwarzania powinna mieć wskazaną konkretną podstawę prawną z art. 6 RODO. Jeśli przetwarzanie obejmuje dane szczególnych kategorii, dodatkowo wymagana jest podstawa z art. 9 RODO.

Rejestr bez wskazanych podstaw prawnych to rejestr niekompletny — i taki, który nie spełni swojej roli podczas kontroli UODO.

Prawidłowe zarządzanie podstawami prawnymi obejmuje również klauzule informacyjne — osoba, której dane dotyczą, musi zostać poinformowana o podstawie przetwarzania, zanim dane zostaną zebrane.

Podsumowanie

Wybór właściwej podstawy prawnej to fundament zgodności z RODO. Nie istnieje jedna podstawa domyślna — każdy cel przetwarzania wymaga indywidualnej oceny.

Praktyczna reguła wyboru:

• dane niezbędne do wykonania umowy → lit. b
• dane wymagane przez prawo → lit. c
• marketing do nowych odbiorców, cookies nieobowiązkowe → lit. a (zgoda)
• marketing do istniejących klientów, bezpieczeństwo, dochodzenie roszczeń → lit. f (LIA)
• zagrożenie życia → lit. d
• organ publiczny w zakresie zadań ustawowych → lit. e

Każda wybrana podstawa powinna być udokumentowana w rejestrze czynności przetwarzania i wskazana w klauzuli informacyjnej.