Art. 6 RODO to fundament legalnego przetwarzania danych osobowych w Unii Europejskiej. Bez jego zrozumienia każda firma — od jednoosobowej działalności po korporację — naraża się na kary administracyjne, roszczenia odszkodowawcze i utratę reputacji. W tym poradniku, zaktualizowanym na 2026 rok, wyjaśniamy krok po kroku wszystkie przesłanki legalności przetwarzania, pokazujemy najświeższe orzecznictwo sądów administracyjnych i Prezesa UODO, oraz podpowiadamy, jak wdrożyć zgodność w praktyce — tak, by uniknąć najczęstszych błędów.
Artykuł 6 rozporządzenia 2016/679 nie działa w próżni. W 2026 roku jego wykładnię kształtują nie tylko wytyczne Europejskiej Rady Ochrony Danych (EROD), ale także wyroki TSUE dotyczące tzw. dalszego przetwarzania, zgody w kontekście reklamy behawioralnej oraz nowe obowiązki wynikające z Data Act i AI Act, które weszły w życie w latach 2024–2026. Jeśli prowadzisz sklep internetowy, agencję marketingową, gabinet lekarski albo dział HR — ten artykuł jest dla Ciebie.
Dlaczego art. 6 RODO jest ważniejszy, niż myślisz
Wielu przedsiębiorców postrzega RODO przez pryzmat obowiązku informacyjnego i zgód w formularzach. Tymczasem art. 6 stanowi pierwszą linię obrony przed zarzutem nielegalnego przetwarzania. To właśnie on odpowiada na fundamentalne pytanie: czy w ogóle wolno mi przetwarzać te dane?
W 2025 roku Prezes UODO nałożył na polską spółkę z branży e-commerce karę w wysokości 4,8 mln zł za przetwarzanie danych klientów bez ważnej podstawy prawnej — firma powoływała się na prawnie uzasadniony interes, ale nie przeprowadziła testu równowagi wymaganego przez RODO. To nie odosobniony przypadek. Według raportu EROD za 2025 rok, nieprawidłowe określenie podstawy przetwarzania stanowiło 32% wszystkich naruszeń stwierdzonych w UE.
Znaczenie art. 6 rośnie też w kontekście nowych technologii. AI Act (rozporządzenie 2024/1689), którego przepisy w pełni obowiązują od sierpnia 2026 roku, nakłada na dostawców systemów AI wysokiego ryzyka obowiązek wykazania podstawy prawnej przetwarzania danych treningowych. Bez solidnej dokumentacji z art. 6 RODO nie przejdziesz oceny zgodności.
Sześć podstaw przetwarzania — przegląd i hierarchia
Art. 6 ust. 1 RODO wymienia sześć przesłanek legalności przetwarzania. Nie ma między nimi formalnej hierarchii — nie można powiedzieć, że zgoda jest "lepsza" od prawnie uzasadnionego interesu. W praktyce jednak niektóre podstawy są wzajemnie wykluczające się i wybór niewłaściwej skutkuje nieważnością przetwarzania.
Oto pełny katalog przesłanek:
| Przesłanka | Art. 6 ust. 1 | Najczęstsze zastosowanie | Możliwość wycofania |
|---|---|---|---|
| Zgoda | lit. a | Marketing, cookies, badania | Tak |
| Umowa | lit. b | Sprzedaż, usługi, zatrudnienie | Nie (do wykonania umowy) |
| Obowiązek prawny | lit. c | Księgowość, podatki, HR | Nie |
| Żywotne interesy | lit. d | Medycyna ratunkowa | Nie |
| Interes publiczny | lit. e | Administracja publiczna | Nie |
| Prawnie uzasadniony interes | lit. f | Monitoring, marketing bezpośredni, bezpieczeństwo IT | Tak (sprzeciw) |
Kluczowa zasada: na każdą operację przetwarzania musisz mieć osobną podstawę. Jeden zbiór danych może być przetwarzany na kilku podstawach — np. dane klienta przechowujesz na podstawie obowiązku podatkowego (lit. c), ale wysyłasz newsletter na podstawie zgody (lit. a).
Zgoda (art. 6 ust. 1 lit. a) — kiedy jest konieczna, a kiedy ryzykowna
Zgoda pozostaje najbardziej rozpoznawalną, ale i najczęściej nadużywaną podstawą przetwarzania. Zgodnie z wytycznymi EROD z 2025 roku (zaktualizowanymi w lutym 2026), zgoda musi być:
- dobrowolna — pracownik nie może "zgodzić się" na monitoring pod groźbą zwolnienia,
- konkretna — osobna na każdy cel (np. marketing SMS i e-mail to dwie zgody),
- świadoma — poprzedzona jasną informacją, najlepiej warstwową,
- jednoznaczna — wymaga aktywnego działania (checkbox, nie pre-ticked),
- łatwo wycofywalna — w każdym momencie, jednym kliknięciem.
Wielkim przełomem 2026 roku jest wyrok TSUE z 19 marca 2026 r. (sygn. C-621/23), który orzekł, że zgoda marketingowa nie może być warunkiem skorzystania z podstawowej usługi cyfrowej — chyba że przetwarzanie jest niezbędne do jej wykonania. Oznacza to, że praktyka tzw. consent wall (dostęp do treści tylko za zgodą na wszystkie cele marketingowe) jest niezgodna z RODO, jeśli istnieje alternatywny model (np. płatny dostęp bez zgód). Dla wydawców internetowych to ogromna zmiana.
Kiedy zgoda jest konieczna: marketing elektroniczny (newsletter, SMS marketing, push), pliki cookies analityczne i reklamowe, profilowanie do celów marketingowych, przetwarzanie danych wrażliwych (art. 9) gdy brak innej podstawy, transfer do państw trzecich gdy brak decyzji o adekwatności.
Kiedy zgoda jest ryzykowna: nie wybieraj zgody, jeśli istnieje inna solidna podstawa. Jeśli np. przetwarzasz dane do wykonania umowy, zgoda jest zbędna i może wprowadzać konsumentów w błąd — sugerując, że mają wybór tam, gdzie go nie ma.
Umowa i obowiązek prawny (lit. b i c) — dwie najbezpieczniejsze podstawy
Te dwie przesłanki, choć pozornie oczywiste, w praktyce budzą wiele pytań granicznych.
Przetwarzanie niezbędne do wykonania umowy (lit. b)
Zakres tej podstawy jest wąski: przetwarzanie musi być obiektywnie niezbędne do realizacji umowy. Jeśli cel można osiągnąć bez tych danych — podstawa nie zachodzi. Przykładowo:
- Sklep internetowy może przetwarzać adres dostawy, ale już nie datę urodzenia (chyba że sprzedaje alkohol).
- Serwis VOD może przetwarzać historię oglądania dla działania usługi, ale nie dla rekomendacji (tu potrzebny jest art. 6 ust. 1 lit. f lub zgoda).
W 2026 roku istotne jest też stanowisko EROD dotyczące rozwiązań DPI (Deep Packet Inspection) — dostawcy Internetu nie mogą powoływać się na umowę przy analizie ruchu do celów reklamowych.
Przetwarzanie niezbędne do wypełnienia obowiązku prawnego (lit. c)
Tu kluczowa jest zasada: obowiązek musi wynikać z prawa UE lub prawa państwa członkowskiego. Przykłady: przechowywanie faktur przez 5 lat, prowadzenie akt pracowniczych, raportowanie do GIIF, AML (przeciwdziałanie praniu pieniędzy). Każdy taki obowiązek powinien być udokumentowany — w rejestrze czynności przetwarzania warto podać konkretny przepis (np. art. 74 ustawy o rachunkowości).
Najczęstszy błąd: firmy traktują "obowiązek prawny" rozszerzająco, wrzucając tu wszystko, co "wypada" zrobić. Pamiętaj: obowiązek prawny to nie to samo co dobra praktyka branżowa.
Prawnie uzasadniony interes (lit. f) — test równowagi krok po kroku
To najbardziej elastyczna i zarazem najtrudniejsza do prawidłowego zastosowania przesłanka. Art. 6 ust. 1 lit. f wymaga przeprowadzenia tzw. testu równowagi składającego się z trzech etapów:
Krok 1: Identyfikacja interesu
Interes musi być rzeczywisty, aktualny i zgodny z prawem. Przykłady uznane przez EROD: marketing bezpośredni (w tym własny marketing produktów podobnych do zakupionych — tzw. soft opt-in z Prawa telekomunikacyjnego), zapewnienie bezpieczeństwa sieci i informacji, zapobieganie oszustwom, monitoring wizyjny na posesji prywatnej.
Krok 2: Niezbędność
Czy tego samego celu nie da się osiągnąć w inny, mniej inwazyjny sposób? Jeśli np. chcesz monitorować pracowników dla bezpieczeństwa, a wystarczy kontrola dostępu kartą — monitoring jest nieproporcjonalny.
Krok 3: Test równowagi
Ważysz interes administratora z prawami i swobodami osoby, której dane dotyczą. Uwzględnij: rozsądne oczekiwania osoby (np. klient banku spodziewa się analizy transakcji pod kątem fraudów, ale nie spodziewa się działań marketingowych), charakter danych (im więcej danych wrażliwych, tym ciężej uzasadnić), status osoby (dzieci — większa ochrona), skutki dla jednostki.
W 2026 roku dokumentuj test równowagi pisemnie — w formie Legitimate Interest Assessment (LIA). To nie jest wymóg literalny RODO, ale w praktyce bez LIA nie obronisz się przed Prezesem UODO. Wzór LIA powinien zawierać: opis interesu, uzasadnienie niezbędności, analizę wpływu, wnioski i środki ochronne (np. prawo do sprzeciwu, minimalizacja, pseudonimizacja).
Art. 6 RODO a nowe technologie w 2026 roku
Rok 2026 przynosi przecięcie RODO z trzema nowymi regulacjami, które zmieniają krajobraz ochrony danych.
AI Act i dane treningowe
Od sierpnia 2026 roku dostawcy systemów AI wysokiego ryzyka muszą wykazać podstawę prawną dla wszystkich danych użytych do trenowania, walidacji i testowania modeli. W praktyce oznacza to audyt datasetów pod kątem art. 6 — i najczęściej powrót do zgody lub prawnie uzasadnionego interesu. Komisja Europejska opublikowała w styczniu 2026 roku Code of Practice on Data for General-Purpose AI, gdzie rekomenduje prowadzenie Data Provenance Cards (kart pochodzenia danych) mapowanych na przesłanki z art. 6.
Data Act i dane IoT
Data Act (rozporządzenie 2023/2854, w pełni obowiązujące od 12 września 2025 r.) daje użytkownikom urządzeń IoT prawo dostępu do generowanych przez nie danych — także tych, które stanowią dane osobowe. Administratorzy muszą przygotować się na udostępnianie takich danych na podstawie art. 6 ust. 1 lit. c (obowiązek prawny z Data Act) i zapewnić, że nie naruszy to praw innych osób, których dane są w strumieniu danych.
eIDAS 2.0 i portfele tożsamości
Od maja 2026 roku obywatele UE mogą korzystać z Europejskiego Portfela Tożsamości Cyfrowej (EUDI Wallet). Dla administratorów oznacza to nową formę pozyskiwania zgody — kwalifikowany podpis elektroniczny w portfelu może służyć jako jednoznaczne potwierdzenie zgody w rozumieniu art. 4 pkt 11 RODO, co znacząco podnosi poziom pewności prawnej.
Konsekwencje błędów — kary, odszkodowania i kontrole w 2026 roku
Skala egzekwowania RODO rośnie z roku na rok. W 2025 roku organy nadzorcze w całej UE nałożyły łącznie kary na kwotę przekraczającą 2,1 mld EUR — to wzrost o 40% w porównaniu z rokiem 2024. Najwyższa pojedyncza kara — 1,2 mld EUR — dotyczyła właśnie naruszenia art. 6 (brak ważnej podstawy prawnej dla przetwarzania danych behawioralnych na potrzeby reklamy).
W Polsce Prezes UODO przeprowadził w 2025 roku 347 kontroli — 128 z nich zakończyło się stwierdzeniem naruszeń art. 6. Oprócz kar administracyjnych (do 20 mln EUR lub 4% globalnego obrotu), administrator ponosi też odpowiedzialność cywilną — od 2024 roku sądy powszechne coraz chętniej zasądzają odszkodowania za szkody niemajątkowe (krzywdę) związane z nielegalnym przetwarzaniem — średnia wysokość odszkodowania w Polsce w 2025 roku wyniosła 12 500 zł.
Co sprawdza UODO podczas kontroli w 2026 roku? Rejestr czynności przetwarzania (czy każda operacja ma przypisany art. 6 ust. 1), dokumentację testów równowagi (LIA), klauzule zgody (czy spełniają warunki z wytycznych EROD z 2025 r.), powiązanie podstawy prawnej z obowiązkiem informacyjnym (art. 13 i 14 RODO), przetwarzanie danych dzieci (szczególny nadzór od 2025 roku).
Częste pytania
Czy mogę zmienić podstawę przetwarzania w trakcie?
Nie możesz swobodnie przełączać podstaw. Zmiana jest dopuszczalna tylko wtedy, gdy nowa podstawa była przewidziana od początku i wynika z prawa UE lub państwa członkowskiego. W praktyce: jeśli zebrałeś dane na podstawie zgody, nie możesz później powołać się na prawnie uzasadniony interes — chyba że przewiduje to konkretny przepis (np. dochodzenie roszczeń). Pamiętaj o obowiązku poinformowania osoby o zmianie.
Czy art. 6 dotyczy danych pracowników?
Tak. Przetwarzanie danych pracowniczych najczęściej opiera się na art. 6 ust. 1 lit. b (umowa), lit. c (obowiązki prawne z Kodeksu pracy, ZUS, US) oraz — w ograniczonym zakresie — lit. f (monitoring, jeśli spełniono test równowagi). Zgoda w stosunku pracy jest wyjątkowo trudna do zastosowania ze względu na nierównowagę stron — UODO i EROD uznają ją za domyślnie wadliwą.
Czy prawnie uzasadniony interes wymaga zgłoszenia do UODO?
Nie. Test równowagi jest wewnętrzną procedurą administratora. Jednak w razie kontroli musisz go okazać. Dlatego LIA powinna być dokumentem na piśmie (lub w formie elektronicznej), przechowywanym wraz z rejestrem czynności przetwarzania. Niektóre branże (finanse, zdrowie) mają obowiązek przedkładania LIA w ramach audytów sektorowych.
Czy mała firma też potrzebuje testu równowagi?
Tak. Rozmiar organizacji nie zwalnia z obowiązku wykazania zgodności z art. 6. Skala i szczegółowość LIA mogą być proporcjonalne do ryzyka — firma jednoosobowa nie musi tworzyć 50-stronicowego dokumentu, ale powinna mieć spisany co najmniej jednostronicowy arkusz z trzema krokami testu. W razie sporu lub kontroli brak jakiegokolwiek dokumentu jest traktowany jako okoliczność obciążająca.
Czy prowadzenie fanpage'a na Facebooku wymaga podstawy z art. 6?
Tak. Od wyroku TSUE z 2018 r. (sprawa Wirtschaftsakademie) wiadomo, że administrator fanpage'a jest współodpowiedzialny z platformą. W 2026 roku EROD potwierdza: przetwarzanie danych osób odwiedzających fanpage (w tym statystyki, targetowanie postów) wymaga albo zgody (dla reklam), albo prawnie uzasadnionego interesu (dla podstawowych statystyk zasięgu) — w obu przypadkach z udokumentowaną podstawą.
Czy mogę używać danych z publicznych rejestrów (CEIDG, KRS) bez zgody?
Tak — dane przedsiębiorców w CEIDG i KRS są jawne, ale uwaga: dotyczą one działalności gospodarczej, nie życia prywatnego. Jeśli przetwarzasz numer PESEL przedsiębiorcy z CEIDG do celów marketingowych, przekraczasz cel pierwotny udostępnienia. Podstawą może być art. 6 ust. 1 lit. f, ale trzeba przeprowadzić test równowagi i umożliwić sprzeciw.
Jak art. 6 RODO wiąże się z cookies?
RODO nie reguluje cookies bezpośrednio — robi to dyrektywa ePrivacy (implementowana w Prawie telekomunikacyjnym). Jednak zgoda wymagana dla cookies marketingowych i analitycznych musi spełniać standard art. 6 RODO (dobrowolność, jednoznaczność itd.). Praktyka "cookie wall" jest obecnie pod ostrzałem EROD — w 2026 roku oczekiwane są nowe wytyczne, prawdopodobnie zakazujące tej praktyki w ślad za wspomnianym wyrokiem TSUE.
Czy muszę mieć IOD-a, żeby spełnić art. 6?
Nie. Inspektor Ochrony Danych (IOD) jest obowiązkowy tylko w określonych przypadkach (organy publiczne, przetwarzanie na dużą skalę danych wrażliwych, monitoring na dużą skalę). Natomiast każdy administrator — niezależnie od IOD — musi samodzielnie zapewnić zgodność z art. 6. Jeśli nie masz pewności co do wyboru podstawy prawnej, specjalista od ochrony danych to inwestycja, która zwraca się szybciej niż pierwsza kara.
Czy profilowanie klientów na stronie WWW jest legalne?
To zależy. Profilowanie na podstawie danych transakcyjnych do celów własnego marketingu (np. rekomendacje w sklepie) można oprzeć na art. 6 ust.1 lit. f — po teście równowagi. Profilowanie behawioralne na potrzeby reklamy (np. śledzenie między witrynami) wymaga zgody. Wszelkie zautomatyzowane decyzje wywołujące skutki prawne (art. 22) są generalnie zakazane, chyba że zachodzi zgoda, umowa lub przepis prawa.
Która podstawa jest najlepsza dla sklepu internetowego?
Nie ma jednej odpowiedzi. Typowy sklep internetowy w 2026 roku korzysta z co najmniej 5 podstaw jednocześnie: art. 6 ust.1 lit. b — realizacja zamówienia, lit. c — obowiązki podatkowe i księgowe, lit. f — dochodzenie roszczeń, bezpieczeństwo IT, lit. a — marketing (newsletter, zgoda marketingowa), lit. c — obowiązki z ustawy o prawach konsumenta (zwroty, reklamacje). Każda operacja musi być osobno przypisana do właściwej podstawy w rejestrze czynności.
Jeśli wdrożenie tych zasad brzmi jak wyzwanie, które trudno ogarnąć samodzielnie — nie jesteś sam. W KluczeSoft.pl od lat pomagamy firmom w pełnym dostosowaniu procesów przetwarzania danych do RODO, AI Act i Data Act, dostarczając oprogramowanie i audyty, które minimalizują ryzyko i oszczędzają czas. Sprawdź nasze rozwiązania dla administratorów danych.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.