W jednym zdaniu. Artykuł 5 RODO ustanawia siedem podstawowych zasad przetwarzania danych osobowych, których naruszenie jest podstawą najwyższych sankcji administracyjnych w skali do 20 mln EUR lub 4% obrotu globalnego.
Najważniejsze punkty
- 7 zasad: zgodność z prawem, ograniczenie celu, minimalizacja, prawidłowość, ograniczenie przechowywania, integralność i poufność, rozliczalność.
- Naruszenie art. 5 — wyższa kategoria sankcji (art. 83 ust. 5 lit. a RODO).
- Każda zasada musi być udokumentowana — rozliczalność jest “metazasadą”.
- Sprawa Morele.net oparta m.in. na naruszeniu art. 5 ust. 1 lit. f (integralność).
- Minimalizacja oznacza również adekwatność i ograniczenie do celu.
- Prawidłowość wymaga procedury aktualizacji i sprostowania danych.
1. Zgodność z prawem, rzetelność i przejrzystość
Art. 5 ust. 1 lit. a wymaga, aby dane były przetwarzane “zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”. Zgodność z prawem to istnienie jednej z podstaw prawnych z art. 6 (lub art. 9 dla danych szczególnych kategorii). Przejrzystość oznacza klauzulę informacyjną zgodną z art. 13-14 — krótką, zrozumiałą, łatwo dostępną.
2. Ograniczenie celu
Dane zbiera się “w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami” (art. 5 ust. 1 lit. b). Dalsze przetwarzanie dla celów archiwalnych w interesie publicznym, badań naukowych, historycznych lub statystycznych nie jest uznawane za niezgodne. Każda nowa operacja na danych wymaga oceny zgodności z pierwotnym celem.
3. Minimalizacja danych
Dane muszą być “adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów” (art. 5 ust. 1 lit. c). UODO konsekwentnie sankcjonuje nadmiarowe zbieranie: PESEL przy newsletterze, kopia dowodu tożsamości przy rezerwacji online, dane majątkowe przy rekrutacji bez uzasadnienia. Minimalizacja jest egzaminem racjonalności każdego pola formularza.
4. Prawidłowość danych
Art. 5 ust. 1 lit. d wymaga “podejmowania wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane”. Administrator musi mieć procedurę aktualizacji, mechanizm sprostowań powiązany z prawem dostępu z art. 15, oraz, w pewnych przypadkach, weryfikację źródeł danych.
5. Ograniczenie przechowywania
Dane przechowuje się “przez okres nie dłuższy niż jest to niezbędne do celów” (art. 5 ust. 1 lit. e). Wymóg: matryca retencji w RCP, automatyczne usuwanie lub anonimizacja, polityka archiwizacji. Polskie szczegółowe okresy retencji wynikają z przepisów: dokumenty pracownicze 10 lat (KP), faktury 5 lat (Ordynacja podatkowa), monitoring 3 miesiące standardowo (KP art. 22^2^).
6. Integralność i poufność
Art. 5 ust. 1 lit. f wymaga “odpowiedniego bezpieczeństwa danych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą”. Ta zasada jest operacjonalizowana w art. 32. Naruszenie integralności było jednym z głównych zarzutów wobec Morele.net (DKN.5130.2484.2019).
7. Rozliczalność (accountability)
Art. 5 ust. 2 jest “metazasadą” — administrator musi udowodnić zgodność z zasadami z ust. 1. Brak rozliczalności jest samodzielną podstawą kary. Dokumentacja obejmuje: RCP, polityki, oceny ryzyka, DPIA, rejestr naruszeń, log zgód, dowody szkoleń. Bez dokumentacji najlepsze praktyki są bezwartościowe wobec UODO.
8. Naruszenie art. 5 w orzecznictwie UODO
| Sprawa | Decyzja | Naruszona zasada |
|---|---|---|
| Morele.net | DKN.5130.2484.2019 | integralność, rozliczalność |
| Virgin Mobile Polska | DKN.5112.1.2020 | integralność |
| ClickQuickNow | DKN.5103.6.2019 | zgodność z prawem (zgoda) |
| ID Finance Poland | DKN.5112.36.2020 | integralność, minimalizacja |
| Cyfrowy Polsat | DKN.5131.40.2022 | rozliczalność |
9. Sankcje za naruszenie art. 5
Art. 83 ust. 5 lit. a RODO przewiduje za naruszenie podstawowych zasad przetwarzania (w tym art. 5) karę do 20 mln EUR lub 4% rocznego obrotu globalnego — najwyższą kategorię sankcji. Naruszenia art. 5 zwykle łączą się z innymi (art. 6, 13, 25, 32) co potęguje wymiar kary.
10. Wdrożenie zasad — checklista praktyczna
- Każda operacja przetwarzania ma cel zapisany w RCP.
- Klauzula informacyjna w prostym języku, krótkie i długie wersje.
- Formularze ograniczone do pól niezbędnych.
- Matryca retencji z automatycznym usuwaniem.
- Procedura sprostowania w max 30 dni.
- Polityka bezpieczeństwa i szyfrowanie danych w spoczynku.
- Dokumentacja: kto, kiedy, na jakiej podstawie.
11. Rozliczalność a audyt
Dobre praktyki rozliczalności: zewnętrzny audyt RODO co 24 miesiące, wewnętrzny self-assessment co kwartał, log decyzji DPIA, podpisany rejestr szkoleń, ewidencja zgód z timestampem, podpisany RCP zatwierdzony przez kierownictwo. Te dokumenty stanowią pierwszą linię obrony w postępowaniu UODO.
12. Art. 5 w sektorach wrażliwych
W służbie zdrowia, oświacie, finansach i u operatorów telekomunikacyjnych zasady art. 5 są weryfikowane szczególnie restrykcyjnie. Przykład: w bankowości scoring kredytowy musi spełniać minimalizację (tylko relewantne cechy), prawidłowość (aktualne dane BIK) oraz przejrzystość (informacja o logice automatycznej decyzji art. 22). Zobacz też angielski GDPR Article 5 guide.
13. Tekst artykułu 5 RODO
“1. Dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne („minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane („prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne („ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo („integralność i poufność"). 2. Administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność")."
Polskie tłumaczenie ustanawia uniwersalny szkielet zgodności. Motywy 39, 50 i 74 preambuły RODO dostarczają wskazówek interpretacyjnych. Krajowym uzupełnieniem jest Ustawa o ochronie danych osobowych z 10 maja 2018 r. (Dz.U. 2018 poz. 1000), która w art. 1-3 potwierdza bezpośrednie stosowanie RODO w Polsce.
14. Orzecznictwo TSUE wpływające na art. 5
Najważniejsze wyroki: C-131/12 Google Spain (prawo do bycia zapomnianym jako konsekwencja zasady ograniczenia przechowywania), C-311/18 Schrems II (zgodność z prawem transferów do USA), C-184/20 Vyriausioji tarnybinės etikos komisija (minimalizacja przy publikacji oświadczeń majątkowych — TSUE uznał za nieproporcjonalne publikowanie szczegółowych danych członków rodziny urzędników), C-634/21 SCHUFA (przejrzystość scoringu kredytowego), C-340/21 (rzetelność oceny adekwatności środków bezpieczeństwa). EROD Guidelines 05/2020 (zgoda), 07/2020 (administrator/procesor) oraz 03/2022 (interes prawnie uzasadniony) doprecyzowują wymagania art. 5 w praktyce. Patrz Kary UODO 2025 oraz umowa powierzenia wzór.
FAQ
Czy art. 5 ma zastosowanie do danych zanonimizowanych?
Nie. Dane zanonimizowane (niemożliwe do ponownej identyfikacji) wychodzą poza zakres RODO. Pseudonimizacja nie jest anonimizacją — dane pseudonimizowane nadal podlegają wszystkim zasadom z art. 5.
Jakie są terminy retencji dla danych klientów e-commerce?
Faktury — 5 lat (Ordynacja podatkowa). Reklamacje — 6 lat (Kodeks cywilny). Marketing — do wycofania zgody. Konta nieaktywne — zwykle 12-36 miesięcy z poinformowaniem klienta.
Czy mogę wykorzystać dane z jednego celu do innego?
Tylko jeśli nowy cel jest zgodny z pierwotnym (art. 6 ust. 4) lub osoba wyraziła nową zgodę. Test zgodności obejmuje związek celów, kontekst, charakter danych, konsekwencje, zabezpieczenia.
Jak udokumentować zasadę minimalizacji?
W RCP wskaż listę pól danych i uzasadnienie dla każdego. Przegląd raz w roku przy aktualizacji RCP. W formularzach unikaj pól opcjonalnych — minimalizacja to też wyłączenie zbierania “na zapas”.
Czy IOD jest odpowiedzialny za przestrzeganie art. 5?
Nie. Odpowiedzialność za art. 5 spoczywa zawsze na administratorze (art. 5 ust. 2). IOD monitoruje i doradza, ale nie ponosi odpowiedzialności prawnej za zgodność. Art. 38 ust. 3 RODO chroni IOD przed odwołaniem z powodu wykonywania zadań — co potwierdził TSUE w wyroku C-453/21 X-FAB.
Jak wykazać przestrzeganie zasady rozliczalności w praktyce?
Przygotuj pakiet dokumentów: aktualny RCP (art. 30), polityki ochrony danych zatwierdzone przez zarząd, rejestr DPIA, rejestr zgód z timestampem i wersją regulaminu, dziennik incydentów (art. 33), protokoły szkoleń z listą obecności, raporty audytów wewnętrznych i zewnętrznych, ewidencja umów powierzenia. Te artefakty pozwalają udowodnić zgodność niezależnie od podpisanych deklaracji. UODO w postępowaniach systematycznie żąda przedstawienia dokumentów z konkretną datą, podpisem i ścieżką wersji.
Czy minimalizacja oznacza, że nie mogę zbierać “na zapas”?
Tak. Zbieranie pól “może się przyda” jest klasyczne naruszenie art. 5 ust. 1 lit. c. UODO w decyzji przeciwko sklepowi internetowemu sankcjonował zbieranie PESEL przy newsletterze (240 tys. zł, 2023). Test: gdyby UODO zapytał “po co Państwo zbierają to pole”, czy jest gotowa konkretna odpowiedź z uzasadnieniem celu i wskazaniem podstawy prawnej? Jeśli nie, pole należy usunąć.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial