Ochrona Danych

RODO art. 5: siedem zasad przetwarzania danych

Artykuł 5 RODO: siedem zasad przetwarzania danych osobowych z orzecznictwem UODO. Praktyczne przykłady i odpowiedzialność administratora.

W jednym zdaniu. Artykuł 5 RODO ustanawia siedem podstawowych zasad przetwarzania danych osobowych, których naruszenie jest podstawą najwyższych sankcji administracyjnych w skali do 20 mln EUR lub 4% obrotu globalnego.

Najważniejsze punkty

  • 7 zasad: zgodność z prawem, ograniczenie celu, minimalizacja, prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność.
  • Naruszenie art. 5 — wyższa kategoria sankcji (art. 83 ust. 5 lit. a RODO).
  • Każda zasada musi być udokumentowana — rozliczalność jest “metazasadą”.
  • Sprawa Morele.net oparta m.in. na naruszeniu art. 5 ust. 1 lit. f (integralność).
  • Minimalizacja oznacza również adekwatność i ograniczenie do celu.
  • Prawidłowość wymaga procedury aktualizacji i sprostowania danych.

1. Zgodność z prawem, rzetelność i przejrzystość

Art. 5 ust. 1 lit. a wymaga, aby dane były przetwarzane “zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”. Zgodność z prawem to istnienie jednej z podstaw prawnych z art. 6 (lub art. 9 dla danych szczególnych kategorii). Przejrzystość oznacza klauzulę informacyjną zgodną z art. 13-14 — krótką, zrozumiałą, łatwo dostępną.

2. Ograniczenie celu

Dane zbiera się “w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami” (art. 5 ust. 1 lit. b). Dalsze przetwarzanie dla celów archiwalnych w interesie publicznym, badań naukowych, historycznych lub statystycznych nie jest uznawane za niezgodne. Każda nowa operacja na danych wymaga oceny zgodności z pierwotnym celem.

3. Minimalizacja danych

Dane muszą być “adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów” (art. 5 ust. 1 lit. c). UODO konsekwentnie sankcjonuje nadmiarowe zbieranie: PESEL przy newsletterze, kopia dowodu tożsamości przy rezerwacji online, dane majątkowe przy rekrutacji bez uzasadnienia. Minimalizacja jest egzaminem racjonalności każdego pola formularza.

4. Prawidłowość danych

Art. 5 ust. 1 lit. d wymaga “podejmowania wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane”. Administrator musi mieć procedurę aktualizacji, mechanizm sprostowań powiązany z prawem dostępu z art. 15, oraz, w pewnych przypadkach, weryfikację źródeł danych.

5. Ograniczenie przechowywania

Dane przechowuje się “przez okres nie dłuższy niż jest to niezbędne do celów” (art. 5 ust. 1 lit. e). Wymóg: matryca retencji w RCP, automatyczne usuwanie lub anonimizacja, polityka archiwizacji. Polskie szczegółowe okresy retencji wynikają z przepisów: dokumenty pracownicze 10 lat (KP), faktury 5 lat (Ordynacja podatkowa), monitoring 3 miesiące standardowo (KP art. 22^2^).

6. Integralność i poufność

Art. 5 ust. 1 lit. f wymaga “odpowiedniego bezpieczeństwa danych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą”. Ta zasada jest operacjonalizowana w art. 32. Naruszenie integralności było jednym z głównych zarzutów wobec Morele.net (DKN.5130.2484.2019).

7. Rozliczalność (accountability)

Art. 5 ust. 2 jest “metazasadą” — administrator musi udowodnić zgodność z zasadami z ust. 1. Brak rozliczalności jest samodzielną podstawą kary. Dokumentacja obejmuje: RCP, polityki, oceny ryzyka, DPIA, rejestr naruszeń, log zgód, dowody szkoleń. Bez dokumentacji najlepsze praktyki są bezwartościowe wobec UODO.

8. Naruszenie art. 5 w orzecznictwie UODO

Sprawa Decyzja Naruszona zasada
Morele.net DKN.5130.2484.2019 integralność, rozliczalność
Virgin Mobile Polska DKN.5112.1.2020 integralność
ClickQuickNow DKN.5103.6.2019 zgodność z prawem (zgoda)
ID Finance Poland DKN.5112.36.2020 integralność, minimalizacja
Cyfrowy Polsat DKN.5131.40.2022 rozliczalność

9. Sankcje za naruszenie art. 5

Art. 83 ust. 5 lit. a RODO przewiduje za naruszenie podstawowych zasad przetwarzania (w tym art. 5) karę do 20 mln EUR lub 4% rocznego obrotu globalnego — najwyższą kategorię sankcji. Naruszenia art. 5 zwykle łączą się z innymi (art. 6, 13, 25, 32) co potęguje wymiar kary.

10. Wdrożenie zasad — checklista praktyczna

  • Każda operacja przetwarzania ma cel zapisany w RCP.
  • Klauzula informacyjna w prostym języku, krótkie i długie wersje.
  • Formularze ograniczone do pól niezbędnych.
  • Matryca retencji z automatycznym usuwaniem.
  • Procedura sprostowania w max 30 dni.
  • Polityka bezpieczeństwa i szyfrowanie danych w spoczynku.
  • Dokumentacja: kto, kiedy, na jakiej podstawie.

11. Rozliczalność a audyt

Dobre praktyki rozliczalności: zewnętrzny audyt RODO co 24 miesiące, wewnętrzny self-assessment co kwartał, log decyzji DPIA, podpisany rejestr szkoleń, ewidencja zgód z timestampem, podpisany RCP zatwierdzony przez kierownictwo. Te dokumenty stanowią pierwszą linię obrony w postępowaniu UODO.

12. Art. 5 w sektorach wrażliwych

W służbie zdrowia, oświacie, finansach i u operatorów telekomunikacyjnych zasady art. 5 są weryfikowane szczególnie restrykcyjnie. Przykład: w bankowości scoring kredytowy musi spełniać minimalizację (tylko relewantne cechy), prawidłowość (aktualne dane BIK) oraz przejrzystość (informacja o logice automatycznej decyzji art. 22). Zobacz też angielski GDPR Article 5 guide.

13. Tekst artykułu 5 RODO

“1. Dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne („minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane („prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne („ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo („integralność i poufność"). 2. Administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność")."

Polskie tłumaczenie ustanawia uniwersalny szkielet zgodności. Motywy 39, 50 i 74 preambuły RODO dostarczają wskazówek interpretacyjnych. Krajowym uzupełnieniem jest Ustawa o ochronie danych osobowych z 10 maja 2018 r. (Dz.U. 2018 poz. 1000), która w art. 1-3 potwierdza bezpośrednie stosowanie RODO w Polsce.

14. Orzecznictwo TSUE wpływające na art. 5

Najważniejsze wyroki: C-131/12 Google Spain (prawo do bycia zapomnianym jako konsekwencja zasady ograniczenia przechowywania), C-311/18 Schrems II (zgodność z prawem transferów do USA), C-184/20 Vyriausioji tarnybinės etikos komisija (minimalizacja przy publikacji oświadczeń majątkowych — TSUE uznał za nieproporcjonalne publikowanie szczegółowych danych członków rodziny urzędników), C-634/21 SCHUFA (przejrzystość scoringu kredytowego), C-340/21 (rzetelność oceny adekwatności środków bezpieczeństwa). EROD Guidelines 05/2020 (zgoda), 07/2020 (administrator/procesor) oraz 03/2022 (interes prawnie uzasadniony) doprecyzowują wymagania art. 5 w praktyce. Patrz Kary UODO 2025 oraz umowa powierzenia wzór.

FAQ

Czy art. 5 ma zastosowanie do danych zanonimizowanych?

Nie. Dane zanonimizowane (niemożliwe do ponownej identyfikacji) wychodzą poza zakres RODO. Pseudonimizacja nie jest anonimizacją — dane pseudonimizowane nadal podlegają wszystkim zasadom z art. 5.

Jakie są terminy retencji dla danych klientów e-commerce?

Faktury — 5 lat (Ordynacja podatkowa). Reklamacje — 6 lat (Kodeks cywilny). Marketing — do wycofania zgody. Konta nieaktywne — zwykle 12-36 miesięcy z poinformowaniem klienta.

Czy mogę wykorzystać dane z jednego celu do innego?

Tylko jeśli nowy cel jest zgodny z pierwotnym (art. 6 ust. 4) lub osoba wyraziła nową zgodę. Test zgodności obejmuje związek celów, kontekst, charakter danych, konsekwencje, zabezpieczenia.

Jak udokumentować zasadę minimalizacji?

W RCP wskaż listę pól danych i uzasadnienie dla każdego. Przegląd raz w roku przy aktualizacji RCP. W formularzach unikaj pól opcjonalnych — minimalizacja to też wyłączenie zbierania “na zapas”.

Czy IOD jest odpowiedzialny za przestrzeganie art. 5?

Nie. Odpowiedzialność za art. 5 spoczywa zawsze na administratorze (art. 5 ust. 2). IOD monitoruje i doradza, ale nie ponosi odpowiedzialności prawnej za zgodność. Art. 38 ust. 3 RODO chroni IOD przed odwołaniem z powodu wykonywania zadań — co potwierdził TSUE w wyroku C-453/21 X-FAB.

Jak wykazać przestrzeganie zasady rozliczalności w praktyce?

Przygotuj pakiet dokumentów: aktualny RCP (art. 30), polityki ochrony danych zatwierdzone przez zarząd, rejestr DPIA, rejestr zgód z timestampem i wersją regulaminu, dziennik incydentów (art. 33), protokoły szkoleń z listą obecności, raporty audytów wewnętrznych i zewnętrznych, ewidencja umów powierzenia. Te artefakty pozwalają udowodnić zgodność niezależnie od podpisanych deklaracji. UODO w postępowaniach systematycznie żąda przedstawienia dokumentów z konkretną datą, podpisem i ścieżką wersji.

Czy minimalizacja oznacza, że nie mogę zbierać “na zapas”?

Tak. Zbieranie pól “może się przyda” jest klasyczne naruszenie art. 5 ust. 1 lit. c. UODO w decyzji przeciwko sklepowi internetowemu sankcjonował zbieranie PESEL przy newsletterze (240 tys. zł, 2023). Test: gdyby UODO zapytał “po co Państwo zbierają to pole”, czy jest gotowa konkretna odpowiedź z uzasadnieniem celu i wskazaniem podstawy prawnej? Jeśli nie, pole należy usunąć.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →