zZmiany w Prawie
Słownik

Podstawy prawne przetwarzania (art. 6 RODO)

Art. 6 RODO wymienia sześć podstaw prawnych przetwarzania danych osobowych — bez podstawy przetwarzanie jest niezgodne z prawem.

Ostatnia weryfikacja:

ZmianyWPrawie monitoruje proces legislacyjny — to nie jest porada prawna. Treści mają charakter informacyjny i edukacyjny. Stan prawny zmienia się w czasie; zawsze weryfikuj w oficjalnym źródle (Sejm, RCL, ISAP, EUR-Lex) lub skonsultuj się z prawnikiem.

Art. 6 RODO to **rdzeń legalności przetwarzania danych osobowych**. Każde przetwarzanie — zbieranie, przechowywanie, udostępnianie, usuwanie — musi opierać się na jednej z **sześciu podstaw prawnych** wymienionych w art. 6 ust. 1 lit. a–f rozporządzenia 2016/679. Bez podstawy przetwarzanie jest niezgodne z prawem, niezależnie od ostrożności technicznej. Wybór podstawy determinuje też zakres praw osoby, której dane dotyczą — m.in. prawo do bycia zapomnianym, prawo sprzeciwu czy obowiązek uzyskania zgody. Dla danych szczególnych kategorii (np. zdrowotnych, biometrycznych) potrzebna jest dodatkowa podstawa z art. 9. Pojęcie jest fundamentem [RODO](/slownik/gdpr-rodo) i sąsiaduje z [IOD](/slownik/iod-inspektor-ochrony-danych) oraz [obsługą naruszeń](/slownik/naruszenie-ochrony-danych) — szczególnie ważne dla [e-commerce](/branze/e-commerce).

Decyzje UODO i wytyczne EROD dotyczące podstaw prawnych — śledź w jednej osi czasu —otwórz tracker

Definicja

Art. 6 ust. 1 RODO wymienia zamknięty katalog sześciu podstaw prawnych, na których może opierać się przetwarzanie danych osobowych: zgoda, wykonanie umowy, obowiązek prawny administratora, żywotne interesy, zadanie w interesie publicznym oraz prawnie uzasadnione interesy. Wybór podstawy nie jest dowolny — musi odpowiadać rzeczywistemu celowi przetwarzania. Dla danych szczególnych kategorii (m.in. zdrowotnych, biometrycznych, ujawniających pochodzenie, poglądy polityczne) art. 6 nie wystarcza — wymagana jest dodatkowa podstawa z art. 9 RODO. Dane karne (art. 10) mają osobny reżim.

Sześć podstaw — art. 6 ust. 1 lit. a–f

Pełny katalog z RODO:

  • (a) Zgoda — dobrowolna, świadoma, konkretna i jednoznaczna; może zostać wycofana w każdej chwili,
  • (b) Wykonanie umowy — przetwarzanie niezbędne do wykonania umowy z osobą, której dane dotyczą, lub podjęcia działań przed jej zawarciem na żądanie tej osoby,
  • (c) Obowiązek prawny — przetwarzanie niezbędne do wypełnienia obowiązku ciążącego na administratorze (m.in. obowiązki podatkowe, ZUS, AML, archiwizacyjne),
  • (d) Żywotne interesy — ochrona życia lub zdrowia osoby, której dane dotyczą, lub innej osoby fizycznej; podstawa stosowana rzadko, w sytuacjach krytycznych,
  • (e) Zadanie w interesie publicznym — wykonywanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • (f) Prawnie uzasadnione interesy — przetwarzanie niezbędne do realizacji prawnie uzasadnionych interesów administratora lub strony trzeciej, jeśli nie przeważają nad nimi interesy i podstawowe prawa osoby (wymaga testu równowagi — LIA, Legitimate Interest Assessment); nie ma zastosowania do organów publicznych w ramach ich zadań.

Każda podstawa wymaga udokumentowania w rejestrze czynności przetwarzania.

Art. 9 i art. 10 — dane szczególnych kategorii i dane karne

Dla części danych art. 6 nie wystarczy:

  • Art. 9 — dane szczególnych kategorii: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; dane genetyczne, biometryczne (w celu jednoznacznej identyfikacji); dane dotyczące zdrowia, seksualności lub orientacji seksualnej,
  • Dodatkowe podstawy z art. 9 ust. 2: m.in. wyraźna zgoda; prawo pracy i zabezpieczenia społecznego; żywotne interesy, gdy osoba nie może wyrazić zgody; przetwarzanie przez organizacje non-profit w ramach uprawnionej działalności; dane upublicznione przez osobę; roszczenia prawne; ważny interes publiczny; medycyna i zdrowie publiczne; archiwizacja, badania naukowe lub historyczne; statystyka,
  • Art. 10 — dane karne: dotyczące wyroków skazujących i naruszeń prawa lub środków bezpieczeństwa; przetwarzanie wyłącznie pod kontrolą organu publicznego albo na podstawie prawa UE/krajowego z odpowiednimi gwarancjami.

Przetwarzanie danych z art. 9 i 10 wymaga równoległej podstawy z art. 6 ust. 1.

Interpretacja podstaw prawnych ewoluuje wraz z decyzjami UODO

Plan dla e-commerce alarmuje o nowych decyzjach UODO, wytycznych EROD oraz nowelizacjach ustawy o ochronie danych osobowych. 3 dni za darmo.

Wypróbuj plan dla e-commerce

Test równowagi (LIA) dla art. 6 ust. 1 lit. f

Podstawa prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) wymaga przeprowadzenia tzw. testu równowagi — Legitimate Interest Assessment (LIA). Administrator musi wykazać, że jego interes (lub strony trzeciej) jest prawnie uzasadniony, że przetwarzanie jest niezbędne do realizacji tego interesu (nie ma mniej inwazyjnej alternatywy) oraz że nie przeważają nad nim interesy ani podstawowe prawa i wolności osoby, której dane dotyczą — w szczególności gdy osobą jest dziecko.

Typowe przykłady akceptowane jako prawnie uzasadniony interes to: marketing bezpośredni własnych produktów (z zachowaniem prawa sprzeciwu), bezpieczeństwo sieci i informacji, zapobieganie nadużyciom, dochodzenie roszczeń. LIA powinien być udokumentowany — to praktyczne narzędzie do wykazania rozliczalności. Wytyczne metodologiczne publikują UODO i EROD.

Powiązane pojęcia

Pojęcia powiązane z art. 6 RODO:

  • RODO (GDPR) — całość rozporządzenia 2016/679,
  • IOD — Inspektor Ochrony Danych — pomaga w doborze i dokumentacji podstaw prawnych,
  • Naruszenie ochrony danych — przy naruszeniu identyfikujemy m.in. podstawę przetwarzania,
  • Baner cookies — zgoda na cookies śledzące to art. 6 ust. 1 lit. a + przepisy o łączności,
  • EUR-Lex — tam znajdziesz tekst rozporządzenia 2016/679,
  • ISAP — tam znajdziesz ustawę o ochronie danych osobowych,
  • E-commerce — branża, dla której wybór podstawy z art. 6 jest codzienną decyzją.

Najczęstsze pytania

Co to jest art. 6 RODO?

Art. 6 RODO to przepis wymieniający zamknięty katalog sześciu podstaw prawnych przetwarzania danych osobowych: zgoda, wykonanie umowy, obowiązek prawny administratora, żywotne interesy, zadanie w interesie publicznym oraz prawnie uzasadnione interesy. Każde przetwarzanie danych musi opierać się na jednej z tych podstaw — w przeciwnym razie jest niezgodne z prawem.

Jakie są podstawy prawne przetwarzania danych?

Sześć: (a) zgoda osoby, (b) wykonanie umowy, (c) obowiązek prawny administratora, (d) żywotne interesy osoby fizycznej, (e) zadanie w interesie publicznym lub sprawowanie władzy publicznej, (f) prawnie uzasadnione interesy administratora lub strony trzeciej (z testem równowagi). Dla danych szczególnych kategorii wymagana jest dodatkowa podstawa z art. 9 RODO.

Czym różni się zgoda od prawnie uzasadnionego interesu?

Zgoda (art. 6 ust. 1 lit. a) musi być dobrowolna, świadoma i konkretna — osoba może ją wycofać w każdej chwili. Prawnie uzasadniony interes (lit. f) nie wymaga zgody, ale wymaga testu równowagi (LIA) — administrator musi wykazać, że jego interes przeważa nad interesem osoby, której dane dotyczą. Organy publiczne nie mogą stosować lit. f w ramach swoich zadań.

Co to jest test równowagi (LIA)?

Legitimate Interest Assessment to procedura oceny przed zastosowaniem podstawy „prawnie uzasadnionego interesu" z art. 6 ust. 1 lit. f. Administrator weryfikuje trzy elementy: czy interes jest prawnie uzasadniony, czy przetwarzanie jest niezbędne (nie ma mniej inwazyjnej alternatywy) oraz czy nie przeważają nad nim interesy i prawa osoby. Wynik LIA należy udokumentować — to element rozliczalności z RODO.

Co to są dane szczególnych kategorii?

Dane z art. 9 RODO: ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznej identyfikacji, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Ich przetwarzanie wymaga równoległej podstawy z art. 6 oraz dodatkowej z art. 9 ust. 2 — m.in. wyraźnej zgody.

Czy można zmienić podstawę prawną w trakcie przetwarzania?

Zmiana podstawy prawnej w trakcie tego samego przetwarzania jest co do zasady niedopuszczalna — szczególnie z perspektywy osoby, której dane dotyczą, oczekuje się przewidywalności. Wytyczne EROD wskazują, że administrator powinien od początku trafnie dobrać podstawę. W praktyce zmiana wymaga ponownego poinformowania osoby i nowej oceny prawnej.

Zmiany dla Twojej branży — dziennie na maila

Streszczenie projektu, ocena wpływu i linki do źródeł (Sejm, RCL, ISAP, EUR-Lex). Bez doradztwa — same fakty.

Zobacz plany

Źródła

Powiązane hasła

Słownik
RODO (GDPR)
Słownik
IOD (Inspektor Ochrony Danych)
Słownik
Naruszenie ochrony danych
Słownik
Baner cookies
Słownik
EUR-Lex
Branże
E-commerce

ZmianyWPrawie monitoruje proces legislacyjny — to nie jest porada prawna. Treści mają charakter informacyjny i edukacyjny. Stan prawny zmienia się w czasie; zawsze weryfikuj w oficjalnym źródle (Sejm, RCL, ISAP, EUR-Lex) lub skonsultuj się z prawnikiem.