EuroComply
Zarejestruj się
Back to blog
RODO 13 min read

RODO Artykuł 6: Sześć Podstaw Prawnych Przetwarzania Danych Osobowych

What you need to know: RODO Artykuł 6: Sześć Podstaw Prawnych Przetwarzania Danych Osobowych

Przed rozpoczęciem przetwarzania danych osobowych administrator musi zidentyfikować jedną z sześciu podstaw prawnych z Artykułu 6 RODO. Błędny wybór oznacza kary do 20 mln euro lub 4% globalnego obrotu oraz obowiązek usunięcia danych.

Source: EuroComply Editorial (2026-06-03)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

RODO Artykuł 6 wymaga, aby administrator zidentyfikował podstawę prawną przetwarzania danych osobowych zanim rozpocznie przetwarzanie. Dostępnych jest sześć opcji. Przetwarzanie bez ważnej podstawy prawnej lub oparcie go na błędnie dobranej podstawie to nie tylko kwestia formalna — grozi karą do 20 mln euro lub 4% globalnego rocznego obrotu oraz nakazem usunięcia bezprawnie przetwarzanych danych.

Niniejszy przewodnik omawia każdą z sześciu podstaw prawnych, wyjaśnia, kiedy i jak stosować każdą z nich, oraz wskazuje najczęstsze błędy popełniane przez administratorów.

Przepis prawa: RODO Artykuł 6(1)

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy — i w takim zakresie, w jakim — spełniony jest co najmniej jeden z poniższych warunków:

(a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

(b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

(c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

(d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

(e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

(f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem."

Sześć podstaw prawnych — szczegółowe omówienie

1. Zgoda — Artykuł 6(1)(a)

Zgoda jest właściwą podstawą, gdy administrator chce przetwarzać dane do celu, który nie jest niezbędny do zawarcia lub wykonania umowy, wypełnienia obowiązku prawnego ani do realizacji uzasadnionego interesu o wyraźnej przewadze nad interesami podmiotu danych.

Wymogi ważnej zgody:

Zgodnie z Artykułem 4(11) RODO oraz motywem 32, zgoda musi być:

  • Dobrowolna — osoba nie może ponieść żadnych negatywnych konsekwencji z powodu odmowy lub cofnięcia zgody. Uzależnianie dostępu do usługi od wyrażenia zgody na niepowiązane z nią przetwarzanie danych (tzw. wiązanie zgód) jest nieważne.
  • Konkretna — każdy odrębny cel przetwarzania wymaga osobnej zgody. Jedna ogólna zgoda „na przetwarzanie danych w celach marketingowych i analitycznych" nie spełnia tego wymogu.
  • Świadoma — osoba musi rozumieć, na co się zgadza. Klauzule zgody ukryte w regulaminach pisanych prawniczym żargonem są problematyczne.
  • Jednoznaczna — wyrażona aktywnym działaniem (np. zaznaczenie pustego checkboxa, kliknięcie przycisku „Zgadzam się"). Milczenie, wstępnie zaznaczone pola oraz brak działania nie stanowią zgody.

Co nie jest ważną zgodą:

  • Wstępnie zaznaczone checkboxy
  • Klauzule zgody sformułowane jako warunek zawarcia umowy, gdy przetwarzanie nie jest do umowy niezbędne
  • Zgoda zapisana drobnym drukiem w regulaminie, której wymagane jest aktywne wyłączenie

Cofnięcie zgody: Osoba ma prawo wycofać zgodę w dowolnym momencie, a wycofanie musi być równie łatwe jak jej wyrażenie. Cofnięcie nie wpływa na legalność przetwarzania, które nastąpiło przed jego dokonaniem.

Kiedy nie używać zgody: Nie należy stosować zgody jako domyślnej lub bezpiecznej podstawy prawnej dla wszelkiego przetwarzania. Zgoda jest faktycznie słabą podstawą — może zostać w każdej chwili cofnięta, co zmusza do natychmiastowego zaprzestania przetwarzania. Jeżeli administrator musiałby przetwarzać dane niezależnie od tego, czy osoba udzieli zgody — oznacza to, że właściwszą podstawą jest inna z wymienionych.

2. Umowa — Artykuł 6(1)(b)

Ta podstawa obejmuje przetwarzanie niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań przed zawarciem umowy na jej żądanie.

Kluczowy element: test niezbędności

Przetwarzanie jest objęte tą podstawą tylko wtedy, gdy jest faktycznie niezbędne do wykonania umowy. Pytanie brzmi: czy administrator mógłby wykonać umowę bez przetwarzania tych danych? Jeżeli tak — dana podstawa nie ma zastosowania.

Przykłady zastosowania:

  • Przetwarzanie adresu dostawy w celu realizacji zamówienia e-commerce
  • Przetwarzanie danych rozliczeniowych w celu realizacji płatności
  • Przetwarzanie adresu e-mail w celu przesyłania potwierdzeń zamówień
  • Przetwarzanie danych przed zawarciem umowy na żądanie osoby (np. weryfikacja kredytowa przed przyznaniem pożyczki)

Czego nie obejmuje ta podstawa:

  • Marketingu lub profilowania w celu ulepszania produktu (nie są niezbędne do wykonania umowy)
  • Analityki behawioralnej użytkowników na potrzeby wewnętrzne administratora
  • Udostępniania danych podmiotom trzecim w celach niezwiązanych z wykonaniem umowy

3. Obowiązek prawny — Artykuł 6(1)(c)

Ta podstawa dotyczy przetwarzania niezbędnego do wypełnienia obowiązku prawnego ciążącego na administratorze, wynikającego z prawa UE lub prawa krajowego.

Wymóg konkretnego przepisu:

Administrator musi być w stanie wskazać konkretny przepis prawa nakładający obowiązek przetwarzania. Ogólnikowe stwierdzenie „musimy przechowywać te dane zgodnie z przepisami" jest niewystarczające.

Przykłady zastosowania w prawie polskim:

  • Przechowywanie faktur VAT przez 5 lat (Ustawa o VAT, Ustawa o rachunkowości)
  • Prowadzenie akt osobowych pracowników przez 10 lat (od 2019 r.) — Kodeks pracy i Ustawa o emeryturach i rentach
  • Weryfikacja tożsamości klientów (KYC) i monitorowanie transakcji (AML) — Ustawa o przeciwdziałaniu praniu pieniędzy
  • Zgłaszanie do Zakładu Ubezpieczeń Społecznych (ZUS) i Urzędu Skarbowego

Istotna różnica w stosunku do zgody: Osoba nie może cofnąć tej podstawy — obowiązek prawny istnieje niezależnie od jej woli.

4. Żywotne interesy — Artykuł 6(1)(d)

Ta podstawa dotyczy przetwarzania niezbędnego do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. Motyw 46 RODO precyzuje, że chodzi o przypadki zagrożenia życia lub zdrowia.

Kiedy stosować:

Jest to podstawa o charakterze wyjątkowym, stosowana wyłącznie w sytuacjach nagłych, gdy przetwarzanie danych jest niezbędne dla ochrony życia lub zdrowia i nie można uzyskać zgody osoby.

Przykłady:

  • Lekarz udziela szpitalowi informacji o stanie zdrowia nieprzytomnego pacjenta, który nie jest w stanie wyrazić zgody
  • Producent udostępnia dane kontaktowe klientów organom w ramach nagłego odwołania produktu stwarzającego zagrożenie życia
  • Organizacja humanitarna przetwarza dane osób poszkodowanych w katastrofie naturalnej

Czego nie obejmuje ta podstawa: Codziennego przetwarzania danych przez przedsiębiorstwa komercyjne. Jeżeli firma może uzyskać zgodę lub oprzeć przetwarzanie na innej podstawie — podstawa żywotnych interesów nie ma zastosowania.

5. Zadanie publiczne — Artykuł 6(1)(e)

Ta podstawa dotyczy przetwarzania niezbędnego do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Kiedy stosować:

Przede wszystkim przez organy publiczne i podmioty wykonujące zadania publiczne: urzędy administracji państwowej i samorządowej, sądy, szpitale publiczne, uczelnie publiczne, organy regulacyjne.

Podmioty prywatne mogą korzystać z tej podstawy wyłącznie wtedy, gdy powierzono im wykonanie konkretnego zadania publicznego na mocy przepisu prawa — nie jest wystarczające samo przetwarzanie danych, które leży w interesie publicznym w rozumieniu administratora.

Przykłady:

  • Przetwarzanie danych przez UODO w ramach postępowań nadzorczych
  • Przetwarzanie danych przez urzędy skarbowe w ramach kontroli podatkowych
  • Przetwarzanie danych przez uczelnie publiczne w procesie rekrutacji

6. Uzasadniony interes — Artykuł 6(1)(f)

Uzasadniony interes jest podstawą, którą podmioty prywatne stosują najczęściej poza przypadkami wykonania umowy i obowiązku prawnego. Wymaga ona jednak szczegółowej analizy.

Trzyetapowy test uzasadnionego interesu:

Etap 1: Cel (czy interes jest uzasadniony?)

Interes musi być zgodny z prawem i rzeczywiście realizowany. Musi być wystarczająco precyzyjnie zdefiniowany, aby możliwe było wyważenie go z interesami osoby, której dane dotyczą. Interes nie może być pretekstem.

Etap 2: Niezbędność (czy przetwarzanie jest konieczne?)

Przetwarzanie musi być niezbędne do realizacji celu — wymagane jest wybranie najmniej inwazyjnego sposobu osiągnięcia tego celu. Jeżeli cel można osiągnąć bez przetwarzania danych osobowych lub przy przetwarzaniu danych w mniejszym zakresie — podstawa nie ma zastosowania.

Etap 3: Wyważenie (czy interesy administratora są nadrzędne?)

Należy wyważyć interesy administratora z interesami, prawami i wolnościami osób, których dane dotyczą. Uwzględnia się m.in.:

  • Charakter danych (dane zwykłe vs. dane szczególnych kategorii)
  • Rozsądne oczekiwania osoby, której dane dotyczą
  • Potencjalne szkody dla osoby
  • Relację między administratorem a osobą (klient, pracownik, osoba trzecia)

Ocena uzasadnionego interesu (Legitimate Interest Assessment — LIA):

Wynik trzyetapowego testu należy udokumentować na piśmie przed rozpoczęciem przetwarzania. Dokument ten stanowi dowód zgodności z zasadą rozliczalności (Artykuł 5(2) RODO) i jest podstawą do obrony w przypadku skargi lub postępowania UODO.

Przykłady uzasadnionego zastosowania:

  • Zapobieganie oszustwom (fraud prevention) — analiza transakcji klientów pod kątem podejrzanych wzorców
  • Bezpieczeństwo IT — monitorowanie sieci, logi dostępu, wykrywanie incydentów
  • Marketing bezpośredni skierowany do istniejących klientów (tzw. soft opt-in) — wysyłka ofert dotyczących podobnych produktów lub usług zakupionych przez klienta (z uwzględnieniem prawa do sprzeciwu)
  • Obrona i dochodzenie roszczeń prawnych
  • Wewnętrzne transfery danych w ramach grupy kapitałowej dla celów administracyjnych

Prawo do sprzeciwu: Osoby fizyczne mają prawo sprzeciwić się przetwarzaniu opartemu na uzasadnionym interesie (Artykuł 21). Administrator musi wówczas zaprzestać przetwarzania, chyba że wykaże istnienie nadrzędnych prawnie uzasadnionych podstaw lub potrzeby ustalenia, dochodzenia lub obrony roszczeń.

Dane szczególnych kategorii: Artykuł 9 — podwójny warunek

Dane szczególnych kategorii, o których mowa w Artykule 9(1), wymagają nie tylko podstawy prawnej z Artykułu 6, lecz także jednej z podstaw wymienionych w Artykule 9(2).

Jakie dane to dane szczególnych kategorii:

  • Dane ujawniające pochodzenie rasowe lub etniczne
  • Dane ujawniające poglądy polityczne
  • Dane ujawniające przekonania religijne lub światopoglądowe
  • Dane ujawniające przynależność do związków zawodowych
  • Dane genetyczne
  • Dane biometryczne przetwarzane w celu jednoznacznej identyfikacji osoby
  • Dane dotyczące zdrowia
  • Dane dotyczące seksualności lub orientacji seksualnej

Podstawy z Artykułu 9(2) — wybrane:

  • Wyraźna zgoda (wyższy standard niż zwykła zgoda z Artykułu 6)
  • Niezbędność w zakresie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej
  • Ochrona żywotnych interesów osoby niezdolnej do wyrażenia zgody
  • Badania naukowe, historyczne lub statystyczne z odpowiednimi zabezpieczeniami
  • Ochrona zdrowia publicznego

Przetwarzanie danych szczególnych kategorii bez ważnej podstawy zarówno z Artykułu 6, jak i Artykułu 9(2) podlega najwyższym karom — do 20 mln euro lub 4% globalnego obrotu.

Drzewo decyzyjne: wybór podstawy prawnej

Poniższe pytania prowadzą do właściwej podstawy prawnej dla danej czynności przetwarzania:

1. Czy przepis prawa UE lub krajowego wprost nakłada obowiązek przetwarzania tych danych?

  • Tak → Artykuł 6(1)(c) — obowiązek prawny
  • Nie → przejdź do pytania 2

2. Czy przetwarzanie jest niezbędne do wykonania umowy z osobą, której dane dotyczą, lub do działań przedumownych na jej żądanie?

  • Tak → Artykuł 6(1)(b) — umowa (należy zastosować test niezbędności)
  • Nie → przejdź do pytania 3

3. Czy przetwarzanie jest realizowane przez organ publiczny lub podmiot wykonujący zadanie publiczne powierzone mu na mocy prawa?

  • Tak → Artykuł 6(1)(e) — zadanie publiczne
  • Nie → przejdź do pytania 4

4. Czy istnieje uzasadniony interes administratora, który jest nadrzędny wobec interesów osoby, której dane dotyczą?

  • Tak → Artykuł 6(1)(f) — uzasadniony interes (wymaga sporządzenia oceny LIA)
  • Nie → przejdź do pytania 5

5. Czy przetwarzanie jest niezbędne do ochrony życia lub zdrowia osoby, która nie może wyrazić zgody?

  • Tak → Artykuł 6(1)(d) — żywotne interesy
  • Nie → przejdź do pytania 6

6. Czy osoba wyraziła dobrowolną, konkretną, świadomą i jednoznaczną zgodę?

  • Tak → Artykuł 6(1)(a) — zgoda (musi spełniać wszystkie wymogi)
  • Nie → przetwarzanie jest niezgodne z prawem — nie wolno go rozpoczynać

Dokumentacja: rejestr czynności przetwarzania (RCP)

Artykuł 30 RODO nakłada na administratorów zatrudniających co najmniej 250 pracowników obowiązek prowadzenia rejestru czynności przetwarzania (RCP). Poniżej progu 250 pracowników obowiązek nadal istnieje, jeżeli przetwarzanie może powodować ryzyko naruszenia praw lub wolności podmiotów danych, przetwarzanie nie jest sporadyczne, lub obejmuje dane szczególnych kategorii (Artykuł 9) lub dane dotyczące wyroków skazujących (Artykuł 10).

Lista kontrolna dokumentacji w RCP dla każdej czynności przetwarzania:

  • [ ] Nazwa i dane kontaktowe administratora (oraz IOD, jeżeli wyznaczono)
  • [ ] Cel przetwarzania — precyzyjny, nie ogólnikowy
  • [ ] Podstawa prawna — z cytowaniem konkretnego artykułu RODO lub przepisu krajowego
  • [ ] Uzasadnienie wyboru podstawy prawnej (szczególnie ważne przy uzasadnionym interesie)
  • [ ] Kategorie osób, których dane dotyczą (klienci, pracownicy, kontrahenci itp.)
  • [ ] Kategorie danych osobowych (dane kontaktowe, dane finansowe, dane o zdrowiu itp.)
  • [ ] Odbiorcy lub kategorie odbiorców danych
  • [ ] Przekazywanie danych do państw trzecich (jeżeli dotyczy) — z podaniem odpowiednich zabezpieczeń
  • [ ] Planowany okres przechowywania lub kryteria ustalenia tego okresu
  • [ ] Opis technicznych i organizacyjnych środków bezpieczeństwa (ogólny opis)

Dla uzasadnionego interesu — dokumentacja dodatkowa:

  • [ ] Pełna ocena uzasadnionego interesu (LIA) z wynikiem trzyetapowego testu
  • [ ] Data przeprowadzenia oceny i dane osoby odpowiedzialnej
  • [ ] Opis środków ograniczających wpływ na prawa podmiotów danych

Ocena skutków dla ochrony danych (DPIA) — kiedy jest wymagana?

Artykuł 35 RODO wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed rozpoczęciem przetwarzania, które może powodować wysokie ryzyko dla praw i wolności osób.

DPIA jest obowiązkowa m.in. gdy:

  • Przetwarzanie na dużą skalę obejmuje dane szczególnych kategorii (Artykuł 9)
  • Stosowane jest systematyczne i kompleksowe profilowanie z automatycznym podejmowaniem decyzji o skutkach prawnych
  • Prowadzony jest systematyczny monitoring publicznie dostępnych obszarów na dużą skalę

UODO opublikował listę rodzajów operacji przetwarzania wymagających DPIA. W przypadku przetwarzania danych pracowników przez pracodawców, danych klientów w systemach lojalnościowych czy profilowania do celów reklamowych należy każdorazowo rozważyć konieczność przeprowadzenia DPIA.

Typowe błędy administratorów

Błąd 1: Stosowanie zgody jako domyślnej podstawy dla wszystkiego Zgoda jest właściwą podstawą wyłącznie wtedy, gdy przetwarzanie jest naprawdę dobrowolne. Stosowanie zgody do przetwarzania, które de facto jest niezbędne do wykonania umowy lub wynika z obowiązku prawnego, rodzi ryzyko prawne — cofnięcie zgody zmusza do zaprzestania przetwarzania nawet wtedy, gdy jest ono obiektywnie konieczne.

Błąd 2: Brak dokumentacji wybranej podstawy prawnej Wskazanie podstawy prawnej wyłącznie w informacji o prywatności (polityce prywatności), bez jej odzwierciedlenia w RCP z odpowiednim uzasadnieniem, nie spełnia wymogu rozliczalności.

Błąd 3: Zmiana celu przetwarzania bez oceny zgodności Artykuł 5(1)(b) i Artykuł 6(4) dopuszczają przetwarzanie danych w nowym celu tylko wtedy, gdy nowy cel jest zgodny z pierwotnym (test zgodności celów) lub gdy istnieje odrębna podstawa prawna. Zmiana celu bez tej oceny jest niezgodna z prawem.

Błąd 4: Stosowanie uzasadnionego interesu bez oceny LIA Uzasadniony interes bez udokumentowanej oceny LIA to najsłabiej broniona pozycja w przypadku postępowania UODO. Organ może zakwestionować zasadność tej podstawy, a administrator nie dysponuje wówczas żadnym dowodem przeprowadzenia analizy.

Błąd 5: Ignorowanie prawa do sprzeciwu przy uzasadnionym interesie Jeżeli podstawą przetwarzania jest uzasadniony interes, administrator musi wyraźnie poinformować o tym prawie (Artykuł 21(4)) i przestrzegać go w praktyce.

Błąd 6: Niezrozumienie testu niezbędności przy podstawie umownej Przetwarzanie danych do celów marketingowych lub analitycznych nie staje się „niezbędne do wykonania umowy" tylko dlatego, że administrator uzna je za przydatne lub korzystne dla swojego modelu biznesowego.

Lista kontrolna przed rozpoczęciem nowej czynności przetwarzania

  • [ ] Zidentyfikowano i udokumentowano cel przetwarzania (precyzyjny, nie ogólnikowy)
  • [ ] Przeprowadzono analizę sześciu podstaw prawnych i wybrano właściwą
  • [ ] Dla uzasadnionego interesu: sporządzono pisemną ocenę LIA
  • [ ] Sprawdzono, czy dane obejmują szczególne kategorie (Artykuł 9) — jeśli tak, zidentyfikowano dodatkową podstawę
  • [ ] Oceniono konieczność przeprowadzenia DPIA
  • [ ] Zaktualizowano RCP o nową czynność przetwarzania
  • [ ] Zaktualizowano informację o prywatności (politykę prywatności) udostępnianą osobom
  • [ ] Określono i udokumentowano okres przechowywania danych
  • [ ] Oceniono środki bezpieczeństwa odpowiednie do ryzyka przetwarzania

Najważniejsze wnioski

Artykuł 6 RODO jest fundamentem każdej czynności przetwarzania danych osobowych. Nie istnieje hierarchia ważności pomiędzy sześcioma podstawami — każda jest równorzędna prawnie. Kluczowe jest, aby wybrana podstawa była faktycznie odpowiednia dla danego celu przetwarzania, a nie jedynie wygodna. Najczęściej popełnianym błędem jest nadużywanie zgody tam, gdzie właściwą podstawą jest umowa lub uzasadniony interes, oraz stosowanie uzasadnionego interesu bez udokumentowanej oceny LIA.

Prawidłowy wybór podstawy prawnej nie jest jednorazowym ćwiczeniem — podlega przeglądowi w przypadku zmiany celów przetwarzania, zmiany modelu biznesowego, nowych rodzajów danych lub nowych regulacji krajowych i unijnych.


Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W sprawach dotyczących konkretnego stanu faktycznego należy skonsultować się z kwalifikowanym prawnikiem specjalizującym się w ochronie danych osobowych.

Key takeaways: RODO Artykuł 6: Sześć Podstaw Prawnych Przetwarzania Danych Osobowych

This article covers: Przepis prawa: RODO Artykuł 6(1), Sześć podstaw prawnych — szczegółowe omówienie, Dane szczególnych kategorii: Artykuł 9 — podwójny warunek.

  • Przepis prawa: RODO Artykuł 6(1)
  • Sześć podstaw prawnych — szczegółowe omówienie
  • Dane szczególnych kategorii: Artykuł 9 — podwójny warunek
  • Drzewo decyzyjne: wybór podstawy prawnej
  • Dokumentacja: rejestr czynności przetwarzania (RCP)
Source: EuroComply Editorial (2026-06-03)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.