W jednym zdaniu. Artykuł 6 RODO wymienia sześć podstaw prawnych przetwarzania danych osobowych, a brak ważnej podstawy stanowi najczęstszą przyczynę kar UODO (16% wszystkich sankcji w 2025 r.).
Najważniejsze punkty
- 6 podstaw: zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne, interes prawnie uzasadniony.
- Każda operacja musi mieć przypisaną co najmniej jedną podstawę.
- Zgoda wymaga dobrowolności, konkretności, świadomości i jednoznaczności.
- Interes prawnie uzasadniony wymaga testu (LIA — Legitimate Interest Assessment).
- Podstawa musi być wskazana w klauzuli informacyjnej (art. 13).
- Zmiana podstawy w trakcie przetwarzania jest niedopuszczalna.
1. Zgoda (art. 6 ust. 1 lit. a)
Zgoda jest dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli (art. 4 pkt 11 RODO). Musi być wyrażona w formie aktywnego działania — domyślnie zaznaczone checkboxy są niedozwolone (TSUE C-673/17 Planet49). Zgodę można w każdej chwili wycofać równie łatwo, jak się jej udzieliło. Administrator musi udowodnić uzyskanie zgody (log z timestampem, IP, treść).
2. Umowa (art. 6 ust. 1 lit. b)
Przetwarzanie jest niezbędne do wykonania umowy lub działań poprzedzających zawarcie umowy. Test “niezbędności” jest restrykcyjny — Wytyczne EROD 2/2019 wskazują, że ta podstawa nie obejmuje profilowania marketingowego, serwowania reklam, ulepszania usługi. Klasyczne zastosowanie: dane adresowe do dostawy, dane bankowe do płatności.
3. Obowiązek prawny (art. 6 ust. 1 lit. c)
Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Wymaga konkretnego przepisu prawa UE lub państwa członkowskiego. Przykłady polskie: dane do ZUS, US, GUS, AML, KAS, archiwum zakładowe. Sam zwyczaj branżowy lub “dobra praktyka” nie tworzy obowiązku prawnego.
4. Żywotne interesy (art. 6 ust. 1 lit. d)
Przetwarzanie niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Zastosowanie wąskie: ratownictwo medyczne, pandemia, klęski żywiołowe. Motyw 46 RODO doprecyzowuje, że podstawa ta jest stosowana, gdy “przetwarzanie nie może być w sposób oczywisty oparte na innej podstawie prawnej”.
5. Zadanie publiczne (art. 6 ust. 1 lit. e)
Przetwarzanie niezbędne do wykonania zadania w interesie publicznym lub w ramach władzy publicznej. Podstawa dla organów administracji, jednostek samorządu terytorialnego, szkół publicznych, szpitali publicznych. Musi mieć podstawę w prawie UE lub państwa członkowskiego (art. 6 ust. 3).
6. Interes prawnie uzasadniony (art. 6 ust. 1 lit. f)
Najbardziej elastyczna i najczęściej nadużywana podstawa. Wymaga trójstopniowego testu (LIA): cel (czy interes istnieje i jest uzasadniony), niezbędność (czy nie ma mniej inwazyjnej alternatywy), wyważenie (czy interes administratora przeważa nad prawami osoby). Test musi być udokumentowany. Nie ma zastosowania do podmiotów publicznych wykonujących zadania.
7. Tabela porównawcza podstaw
| Podstawa | Zastosowanie | Dokumentacja | Wycofanie |
|---|---|---|---|
| Zgoda | marketing, cookies | log zgody | każdej chwili |
| Umowa | wykonanie kontraktu | umowa | przy rozwiązaniu |
| Obowiązek prawny | ZUS, podatki | przepis prawa | nie |
| Żywotne interesy | ratownictwo | brak innej podstawy | nie |
| Zadanie publiczne | sektor publiczny | przepis prawa | nie |
| Interes uzasadniony | profilowanie | LIA, sprzeciw | sprzeciw art. 21 |
8. Podstawy szczególnych kategorii danych (art. 9)
Dane szczególnych kategorii (zdrowie, pochodzenie, religia, biometria, orientacja seksualna) wymagają jednej z podstaw z art. 6 ORAZ jednej z podstaw z art. 9 ust. 2 (zgoda wyraźna, prawo pracy, interes publiczny w zakresie zdrowia, niezbędność do ochrony żywotnych interesów). W praktyce klauzule “zgody na przetwarzanie danych” w polskich umowach często są zbędne i wprowadzające w błąd.
9. Najczęstsze błędy podstaw prawnych
- Zgoda jako “podstawa rezerwowa” przy innej obowiązującej podstawie.
- Powoływanie interesu prawnie uzasadnionego bez LIA.
- “Obowiązek prawny” bez wskazania przepisu.
- Mieszanie podstaw w jednej klauzuli (“zgoda i interes uzasadniony”).
- Brak osobnej podstawy dla art. 9.
- Marketing newsletter na podstawie umowy (powinna być zgoda lub interes).
- Profilowanie sklepowe na podstawie umowy (powinien być interes lub zgoda).
10. Sprawa ClickQuickNow — wadliwa zgoda
Decyzja DKN.5103.6.2019 nałożyła karę 201 559 zł za niemożliwość łatwego wycofania zgody — proces wycofania wymagał 5 kroków, kontaktu telefonicznego i pisemnego wniosku. UODO uznał to za naruszenie art. 7 ust. 3 RODO (“wycofanie zgody musi być równie łatwe jak jej wyrażenie”). Sprawa jest klasycznym przykładem złej operacjonalizacji zgody.
11. Test interesu prawnie uzasadnionego (LIA)
LIA powinien zawierać: opis celu, identyfikację interesu (administratora lub strony trzeciej), test niezbędności (czy istnieje mniej inwazyjna metoda), test wyważenia (oczekiwania osób, charakter danych, kontekst, zabezpieczenia, możliwość sprzeciwu), wniosek. Wzór LIA: zobacz wytyczne UODO oraz legitimate interest assessment.
12. Zmiana podstawy prawnej
Wytyczne EROD 5/2020 (zgoda) oraz orzecznictwo TSUE wskazują, że administrator nie może wybierać podstawy w trakcie przetwarzania ani zmieniać podstawy z powodu wadliwości pierwotnej. Jeśli zgoda była nieważna, dane należy usunąć zgodnie z zasadami prawa do bycia zapomnianym (art. 17) — nie można “uratować” przetwarzania poprzez retrospektywne wskazanie interesu prawnie uzasadnionego.
13. Orzecznictwo TSUE kształtujące art. 6
C-673/17 Planet49 (1.10.2019) — zgoda na cookies wymaga aktywnego, jednoznacznego działania; pre-checked boxes są niedopuszczalne. C-252/21 Meta v Bundeskartellamt (4.7.2023) — personalizacja reklam na Facebooku nie może opierać się na umowie ani interesie uzasadnionym, wymaga zgody. C-621/22 KNLTB (4.10.2024) — sprzedaż danych członków stowarzyszenia sponsorom nie spełnia testu interesu uzasadnionego. C-634/21 SCHUFA (7.12.2023) — scoring kredytowy oparty wyłącznie na automatycznej decyzji wymaga jednej z trzech wąskich podstaw z art. 22 ust. 2. C-446/21 Maximilian Schrems v Meta (4.10.2024) — minimalizacja danych (art. 5) ogranicza zakres profilowania nawet przy istniejącej podstawie. Polskie sądy administracyjne systematycznie powołują te wyroki w sprawach przeciwko UODO.
14. Polskie sprawy enforcement opierające się na art. 6
Poza ClickQuickNow UODO sankcjonował: P4 sp. z o.o. (operator Play) za marketing telefoniczny bez ważnej zgody klientów (kara 2024 r.); Toyota Bank Polska za scoring oparty na nieprawidłowo udokumentowanej podstawie; Fortum Marketing za udostępnienie danych podwykonawcy bez podstawy z art. 6 (4,9 mln zł); Virgin Mobile Polska za aktywację kart SIM bez właściwej weryfikacji podstawy. Komunikat UODO z 2024 r. wskazuje, że 16% wszystkich decyzji karnych dotyczy art. 6 — głównie wadliwa zgoda (40%), nadużycie interesu uzasadnionego (35%), brak podstawy dla art. 9 (25%). Patrz Kary UODO 2025, RODO Art. 5 zasady, umowa powierzenia wzór.
FAQ
Czy mogę oprzeć przetwarzanie pracownika na zgodzie?
Bardzo rzadko. EROD i UODO podkreślają nierównowagę stron w stosunku pracy, co podważa dobrowolność. Większość przetwarzania w stosunku pracy opiera się na umowie, obowiązku prawnym (KP) lub interesie uzasadnionym.
Jak udokumentować zgodę cookies?
Log zawierający: timestamp, identyfikator sesji, treść preferencji (które kategorie cookies), wersja banera, IP (opcjonalnie). Szczegółowe wymogi opisujemy w przewodniku po zgodzie na pliki cookies. Polskie firmy często używają narzędzi CMP typu Cookiebot, OneTrust, Usercentrics.
Czy marketing do byłych klientów wymaga zgody?
Tak, jeśli to marketing elektroniczny (e-mail, SMS, telefon). Dyrektywa ePrivacy oraz art. 172 Prawa telekomunikacyjnego wymagają zgody na komunikację elektroniczną. Wyjątek: tzw. soft opt-in dla podobnych produktów własnych z możliwością łatwej rezygnacji.
Czy interes prawnie uzasadniony obejmuje cross-selling?
Może obejmować, jeśli LIA wykaże adekwatność. Wytyczne EROD wskazują jednak na ostrożność — osoba musi mieć realną możliwość sprzeciwu (art. 21 ust. 2), a profilowanie zaawansowane może wymagać zgody.
Co jeśli nie wiem, jaką podstawę zastosować?
Wybór podstawy to obowiązek administratora przed rozpoczęciem przetwarzania (art. 5 ust. 1 lit. a). Brak ustalenia podstawy oznacza niezgodność. Wskazówka: zacznij od umowy lub obowiązku prawnego (najmniej dyskusyjne), potem interes uzasadniony, na końcu zgoda.
Jakie są wymagania zgody dziecka w Polsce?
Polska ustawa z 10 maja 2018 r. (art. 5) obniżyła próg z 16 do 13 lat. Dla usług społeczeństwa informacyjnego (rejestracja w grze, social media, sklep online) dziecko poniżej 13 lat wymaga zgody rodzica/opiekuna. Administrator musi podjąć rozsądne starania, aby zweryfikować zgodę. UODO opublikował w 2023 r. wytyczne sektorowe dla EdTech precyzujące metody weryfikacji (link do potwierdzenia mailem, podpis kwalifikowany, formularz papierowy). Naruszenie zagrożone jest sankcją z art. 83 ust. 5 RODO.
Czy soft opt-in jest legalny w Polsce?
Tak, na warunkach Prawa telekomunikacyjnego art. 172-174 oraz przyszłej Dyrektywy ePrivacy. Soft opt-in pozwala wysyłać marketing własnych podobnych produktów do klientów którzy podali e-mail przy zakupie, jeśli mieli jasną możliwość sprzeciwu przy zbiórce i mają możliwość rezygnacji przy każdej wiadomości. Nie obejmuje produktów innych firm grupowych ani cross-promocji. UODO i Prezes UKE mogą sankcjonować naruszenia.
Czy interes prawnie uzasadniony obejmuje analitykę webową?
Tak, jeśli LIA wykaże proporcjonalność. Najlepsza praktyka: anonimizacja IP, brak cross-site tracking, brak fingerprinting, krótka retencja (max 14 miesięcy), możliwość sprzeciwu (opt-out). Google Analytics 4 w konfiguracji EU mode z anonymize IP może być oparty na interesie. Cookies analityczne wymagają jednak zgody na podstawie art. 173 Prawa telekomunikacyjnego (lex specialis), niezależnie od art. 6 RODO.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial