Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Art 6 ust 1 RODO — poradnik praktyczny 2026

Art 6 ust 1 RODO to fundament legalnego przetwarzania danych osobowych w każdej organizacji działającej na terenie Europejskiego Obszaru Gospodarczego. Ten poje

16 min czytania·Zaktualizowano dzisiaj

Art 6 ust 1 RODO to fundament legalnego przetwarzania danych osobowych w każdej organizacji działającej na terenie Europejskiego Obszaru Gospodarczego. Ten pojedynczy przepis definiuje sześć przesłanek legalności przetwarzania — bez spełnienia przynajmniej jednej z nich każde działanie na danych osobowych jest nielegalne i naraża firmę na karę administracyjną do 20 000 000 EUR lub 4% rocznego światowego obrotu. W 2026 roku, po ośmiu latach obowiązywania RODO, organy nadzorcze — w tym polski Urząd Ochrony Danych Osobowych — coraz częściej egzekwują zgodność, a inspektorzy w trakcie kontroli rozpoczynają analizę właśnie od art. 6 ust. 1. Przedsiębiorca przetwarzający dane pracowników, klientów, kontrahentów lub użytkowników strony internetowej musi rozumieć każdą z sześciu przesłanek i potrafić wskazać podstawę prawną dla każdej kategorii danych, każdego celu i każdego odbiorcy. Ten poradnik wyjaśnia poszczególne przesłanki z uwzględnieniem orzecznictwa EROD, decyzji Prezesa UODO z lat 2024-2026 oraz praktycznych scenariuszy biznesowych — od umowy B2B przez marketing e-mail po monitoring wizyjny.

Art 6 ust 1 RODO — treść przepisu i znaczenie dla przedsiębiorcy

Treść art. 6 ust. 1 RODO stanowi zamknięty katalog sześciu przesłanek legalizujących przetwarzanie danych osobowych. Brzmi on: "Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy — i w takim zakresie, w jakim — spełniony jest co najmniej jeden z poniższych warunków". Dalej następuje wyliczenie: zgoda (lit. a), wykonanie umowy (lit. b), obowiązek prawny (lit. c), ochrona żywotnych interesów (lit. d), zadanie realizowane w interesie publicznym (lit. e) oraz prawnie uzasadniony interes administratora (lit. f).

Kluczowe jest sformułowanie "w takim zakresie, w jakim" — oznacza ono, że administrator nie może powołać się na jedną przesłankę dla całego zbioru danych, jeśli tylko część z nich jest niezbędna do realizacji danego celu. Przykładowo, pracodawca przetwarzający dane pracownika na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c w zw. z Kodeksem pracy) nie może na tej samej podstawie przetwarzać numeru prywatnego telefonu pracownika do celów marketingowych — potrzebuje do tego odrębnej przesłanki, najczęściej zgody.

Administrator musi określić podstawę prawną przed rozpoczęciem przetwarzania i udokumentować ją w rejestrze czynności przetwarzania (art. 30 RODO). Zmiana celu przetwarzania wymaga weryfikacji, czy pierwotna podstawa nadal ma zastosowanie — jeśli nie, konieczne jest wskazanie nowej. Brak podstawy prawnej to jedna z najczęstszych przyczyn kar UODO: w 2025 roku Prezes UODO nałożył karę 1,2 mln PLN na spółkę przetwarzającą dane bez ważnej podstawy prawnej, uznając że powoływanie się na "prawnie uzasadniony interes" bez testu równowagi stanowi naruszenie art. 6 ust. 1.

Sześć przesłanek legalności przetwarzania — szczegółowa analiza

Zgoda — art. 6 ust. 1 lit. a RODO

Zgoda to najbardziej znana, ale też najczęściej nadużywana przesłanka. RODO definiuje zgodę jako "dobrowolne, konkretne, świadome i jednoznaczne okazanie woli". W praktyce oznacza to, że:

  • Zgoda musi być dobrowolna — pracownik nie może "wyrazić zgody" na przetwarzanie danych przez pracodawcę, gdyż stosunek podległości służbowej wyklucza dobrowolność. Prezes UODO konsekwentnie kwestionuje zgody pracownicze od 2023 roku.
  • Zgoda musi być konkretna — blanketowe zgody "na przetwarzanie danych w celach marketingowych" są nieważne. Należy wskazać administratora, cel, zakres danych i okres przetwarzania.
  • Zgoda musi być świadoma — osoba musi rozumieć, na co się zgadza. Formularze z ukrytymi checkboxami i wielostronicowe polityki prywatności pisane językiem prawniczym nie spełniają tego wymogu.
  • Zgoda musi być jednoznaczna — milczenie, zaznaczone checkboxy ani dalsze korzystanie ze strony nie stanowią zgody. Checkbox musi być pusty i wymagać aktywnego kliknięcia.
  • Zgodę można wycofać w każdym momencie, a proces wycofania musi być równie łatwy jak jej wyrażenie.

Zgoda sprawdza się w marketingu bezpośrednim, newsletterach, cookies marketingowych, konkursach i programach lojalnościowych. Nie sprawdza się w zatrudnieniu, umowach B2B ani przetwarzaniu danych przez organy publiczne.

Wykonanie umowy — art. 6 ust. 1 lit. b RODO

Przesłanka wykonania umowy legalizuje przetwarzanie danych, które jest niezbędne do realizacji umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na jej żądanie przed zawarciem umowy. Słowo "niezbędne" ma wąskie znaczenie — EROD w wytycznych 2/2019 podkreśla, że nie chodzi o przetwarzanie "użyteczne" czy "wynikające z umowy", ale wyłącznie o takie, bez którego umowa nie może zostać wykonana.

Przykłady prawidłowego stosowania lit. b:

  • Sklep internetowy przetwarza adres dostawy i dane kontaktowe kupującego — bez nich nie może wysłać towaru.
  • Firma leasingowa przetwarza dane z BIK i Rejestru Dłużników do oceny zdolności kredytowej kontrahenta — ocena ryzyka jest niezbędna do zawarcia umowy leasingu.
  • Dostawca oprogramowania przetwarza adres e-mail administratora do wysyłki faktur i powiadomień serwisowych.

Przykłady nieprawidłowego stosowania lit. b:

  • Sklep dodaje klienta do newslettera po zakupie, twierdząc że "wynika to z umowy" — marketing nie jest niezbędny do dostarczenia towaru.
  • Pracodawca przetwarza wizerunek pracownika na podstawie umowy o pracę — wizerunek wymaga odrębnej podstawy.

Obowiązek prawny — art. 6 ust. 1 lit. c RODO

Przetwarzanie jest zgodne z prawem, gdy wynika z obowiązku nałożonego na administratora przepisem prawa UE lub prawa polskiego. To najczęstsza podstawa w działach kadrowo-płacowych, księgowości i sprawozdawczości podatkowej.

Kluczowe obowiązki prawne w polskim porządku prawnym w 2026 roku:

  • Kodeks pracy — dane osobowe pracownika (art. 22¹ KP), dokumentacja pracownicza, akta osobowe.
  • Ordynacja podatkowa i ustawa o VAT — dane na fakturach, w tym NIP, dane kontrahenta; od 2026 roku KSeF jest obowiązkowy dla wszystkich podatników VAT czynnych, co rozszerza zakres przetwarzania o obligatoryjne e-faktury ustrukturyzowane.
  • Ustawa o rachunkowości — przechowywanie dokumentacji księgowej przez 5 lat.
  • Ustawa o przeciwdziałaniu praniu pieniędzy (AML) — identyfikacja i weryfikacja tożsamości klientów, w tym przetwarzanie danych biometrycznych w określonych przypadkach.

Administrator powołujący się na lit. c musi wskazać konkretny przepis prawa — samo ogólne "obowiązek prawny" nie wystarcza. W rejestrze czynności przetwarzania należy podać jednostkę redakcyjną aktu prawnego.

Ochrona żywotnych interesów — art. 6 ust. 1 lit. d RODO

Najrzadziej stosowana przesłanka, zarezerwowana dla sytuacji zagrożenia życia lub zdrowia. Znajduje zastosowanie głównie w placówkach medycznych, ratownictwie i przy wypadkach — szpital przetwarza dane nieprzytomnego pacjenta przyjętego na SOR, gdy nie można uzyskać zgody, a zagrożone jest jego życie. W biznesie przesłanka ta praktycznie nie występuje, a próby jej wykorzystania w kontekście monitoringu pracowniczego czy bezpieczeństwa IT są odrzucane przez organy nadzorcze.

Zadanie realizowane w interesie publicznym — art. 6 ust. 1 lit. e RODO

Przesłanka zarezerwowana dla organów publicznych i podmiotów realizujących zadania publiczne na mocy przepisów prawa. Dotyczy szkół, uczelni, ZUS, NFZ, urzędów gmin, sądów i podobnych instytucji. Przedsiębiorca prywatny nie może powołać się na tę przesłankę, chyba że realizuje zadanie publiczne powierzone mu na mocy konkretnego przepisu — np. operator pocztowy obsługujący przesyłki sądowe.

Prawnie uzasadniony interes — art. 6 ust. 1 lit. f RODO

Najbardziej elastyczna i jednocześnie najbardziej ryzykowna przesłanka. Pozwala na przetwarzanie danych, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią — z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Stosowanie lit. f wymaga przeprowadzenia testu równowagi — udokumentowanego procesu decyzyjnego składającego się z trzech kroków:

  1. Identyfikacja prawnie uzasadnionego interesu — czy interes jest rzeczywisty, bieżący i zgodny z prawem? Przykłady: ochrona mienia (monitoring wizyjny), marketing bezpośredni własnych produktów, dochodzenie roszczeń, zapobieganie oszustwom, bezpieczeństwo sieci IT.
  2. Test niezbędności — czy przetwarzanie jest niezbędne do realizacji tego interesu, czy można osiągnąć cel innym, mniej ingerencyjnym sposobem?
  3. Test równowagi — czy interesy, prawa i wolności osoby przeważają nad interesem administratora? Należy uwzględnić rozsądne oczekiwania osoby, charakter danych (zwykłe czy wrażliwe), skalę przetwarzania i potencjalne skutki dla jednostki.

W 2025 roku Prezes UODO zakwestionował test równowagi w sprawie spółki prowadzącej monitoring wizyjny w szatni pracowniczej — uznano, że interes administratora (ochrona przed kradzieżami) nie przeważa nad prawem pracowników do prywatności w pomieszczeniu socjalnym. Kara wyniosła 780 000 PLN.

Kiedy stosować którą przesłankę — tabela decyzyjna dla przedsiębiorcy

Wybór właściwej podstawy prawnej zależy od kategorii osób, celu przetwarzania i kontekstu relacji między administratorem a osobą. Poniższa tabela przedstawia najczęstsze scenariusze biznesowe i przypisane im przesłanki.

Scenariusz biznesowyZalecana podstawa (art. 6 ust. 1)Uwagi praktyczne
Przetwarzanie danych pracownika — kadry, płace, ZUSlit. c (obowiązek prawny) + art. 22¹ KPNie stosować zgody pracowniczej
Przetwarzanie danych klienta B2C do realizacji zamówienialit. b (wykonanie umowy)Obejmuje dostawę, płatność, reklamację, gwarancję
Newsletter marketingowy do klientów, którzy wyrazili zgodęlit. a (zgoda)Odrębna zgoda od warunków umowy; checkbox nie może być zaznaczony domyślnie
Marketing własnych produktów do istniejących klientów B2B (e-mail, telefon)lit. f (prawnie uzasadniony interes)Dotyczy podobnych produktów/usług; obowiązek opt-out w każdej komunikacji
Monitoring wizyjny na terenie firmylit. f (prawnie uzasadniony interes)Obszar poza pomieszczeniami socjalnymi i sanitarnymi; oznakowanie, retencja max 30 dni
Weryfikacja kontrahenta w BIK/CEIDG przed umową B2Blit. b (działania przed zawarciem umowy)Wyłącznie dane niezbędne do oceny wiarygodności
Przechowywanie faktur VAT z danymi kontrahentalit. c (obowiązek prawny — Ordynacja podatkowa, ustawa o VAT)Okres 5 lat od końca roku podatkowego; od 2026 KSeF obligatoryjny
Przetwarzanie danych w CRM do zarządzania relacjamilit. f (prawnie uzasadniony interes)Wymaga testu równowagi; dotyczy danych kontaktowych osób reprezentujących kontrahentów
Przekazanie danych do ubezpieczyciela w ramach polisy OC firmylit. f (prawnie uzasadniony interes)Własny interes + interes strony trzeciej (ubezpieczyciela)
Przekazanie danych na żądanie organu ściganialit. c (obowiązek prawny — art. 18 KPK, art. 15 ust. 1 RODO)Wyłącznie na podstawie konkretnego przepisu i w żądanym zakresie

Marketing a art. 6 ust. 1 RODO — najczęstsze pułapki w 2026 roku

Działania marketingowe to obszar, w którym najczęściej dochodzi do naruszeń art. 6 ust. 1. Przedsiębiorcy mylą podstawy prawne marketingu bezpośredniego (lit. f) z marketingiem elektronicznym wymagającym zgody (lit. a), a także nie odróżniają klientów B2B od B2C.

Marketing B2C — konieczność zgody

Wysyłka newslettera do konsumenta, SMS marketingowy, powiadomienia push w aplikacji mobilnej — wszystkie te działania wymagają zgody na podstawie art. 6 ust. 1 lit. a RODO w związku z ustawą o świadczeniu usług drogą elektroniczną oraz Prawem telekomunikacyjnym. Zgoda musi być odrębna, potwierdzona (najlepiej mechanizmem double opt-in), a jej brak nie może wpływać na możliwość skorzystania z głównej usługi (zakaz wiązania zgody — tzw. bundling).

Marketing B2B — wyjątek prawnie uzasadnionego interesu

Wysyłka ofert handlowych na służbowy adres e-mail osoby reprezentującej firmę może opierać się na prawnie uzasadnionym interesie administratora (lit. f), o ile produkt lub usługa są powiązane z działalnością adresata. Kluczowe jest zapewnienie realnej możliwości sprzeciwu — każdy e-mail musi zawierać link opt-out działający natychmiast i bezwarunkowo. Wyjątek ten nie dotyczy osób fizycznych prowadzących jednoosobową działalność gospodarczą, jeśli korzystają z prywatnego adresu e-mail.

Remarketing, profile społecznościowe i tracking użytkowników

W 2026 roku remarketing i śledzenie użytkowników na stronach internetowych wymagają zgody (lit. a) wyrażonej za pośrednictwem platformy CMP (Consent Management Platform) zgodnej z Transparency & Consent Framework IAB Europe. Orzecznictwo TSUE w sprawie C-446/21 (Meta vs. NOYB) z 2024 roku potwierdziło, że Meta nie może powoływać się na prawnie uzasadniony interes przy targetowaniu reklam — wyłącznie zgoda użytkownika stanowi ważną podstawę przetwarzania danych do personalizacji reklam.

Konsekwencje utraty podstawy prawnej

Jeśli osoba cofnie zgodę lub wniesie skuteczny sprzeciw wobec przetwarzania na podstawie lit. f, administrator musi niezwłocznie zaprzestać przetwarzania danych w tym celu — nie może szukać innej podstawy prawnej dla tego samego celu. Opóźnienie w realizacji żądania, nawet o kilka dni, stanowi samodzielną podstawę do nałożenia kary.

Art 6 ust 1 RODO a przetwarzanie danych pracowników — granice legalności

Przetwarzanie danych w stosunku pracy rządzi się szczególnymi zasadami, wynikającymi z nierównowagi sił między pracodawcą a pracownikiem. Prezes UODO w decyzjach z lat 2024-2026 konsekwentnie podkreśla, że zgoda pracownika jako podstawa przetwarzania jest co do zasady nieważna — wyrok TSUE w sprawie C-62/24 (2025) potwierdził, że zgoda w kontekście zatrudnienia jest z natury wadliwa.

Legalne podstawy przetwarzania danych pracowniczych

Dane przetwarzane przez pracodawcę opierają się na następujących podstawach z art. 6 ust. 1:

  • lit. c (obowiązek prawny) — dane wymienione w art. 22¹ Kodeksu pracy (imię, nazwisko, PESEL, adres zamieszkania, wykształcenie, staż pracy, NIP, numer konta bankowego, dane członków rodziny do ZUS), a także dane wynikające z przepisów BHP, PIT, ZUS, PPK.
  • lit. b (wykonanie umowy) — dane niezbędne do wykonania umowy o pracę, wykraczające poza katalog KP, np. numer prywatnego telefonu służbowego, jeśli stanowisko wymaga kontaktu terenowego.
  • lit. f (prawnie uzasadniony interes) — monitoring wizyjny (z wyłączeniem pomieszczeń socjalnych, toalet i szatni), monitoring służbowej poczty e-mail w zakresie niezbędnym do zapewnienia ciągłości pracy podczas nieobecności.

Przetwarzanie niedozwolone

Pracodawca nie może na podstawie art. 6 ust. 1 przetwarzać:

  • Wizerunku pracownika bez zgody (chyba że wynika to z charakteru pracy — np. rzecznik prasowy).
  • Biometrycznych danych pracownika (odciski palców, skan tęczówki) do ewidencji czasu pracy — Prezes UODO w decyzji z 2025 roku uznał to za nieproporcjonalne.
  • Danych o stanie zdrowia — zakazane na podstawie art. 9 RODO, wyjątek jedynie w przypadkach ściśle określonych przepisami prawa pracy (medycyna pracy).

Kary i egzekwowanie art. 6 ust. 1 RODO w Polsce — stan na 2026 rok

Prezes Urzędu Ochrony Danych Osobowych w latach 2024-2026 znacząco zwiększył aktywność kontrolną i wysokość nakładanych kar. Analiza opublikowanych decyzji wskazuje na trzy główne kategorie naruszeń art. 6 ust. 1:

Kategoria naruszeniaPrzykład z orzecznictwa UODOWysokość kary
Brak jakiejkolwiek podstawy prawnejPrzetwarzanie danych klientów bez wskazania art. 6 ust. 1 w klauzuli informacyjnej450 000 – 1 200 000 PLN
Nieważność zgodyZgoda pracownicza na monitoring; zgoda domyślnie zaznaczona checkboxem; zgoda jako warunek zawarcia umowy200 000 – 800 000 PLN
Wadliwy test równowagi (lit. f)Powołanie się na prawnie uzasadniony interes bez dokumentacji testu; test równowagi ignorujący prawa jednostki350 000 – 780 000 PLN
Przetwarzanie poza zakresem przesłankiPrzetwarzanie danych marketingowych na podstawie lit. b (wykonanie umowy)150 000 – 500 000 PLN

Należy odnotować, że sądy administracyjne coraz częściej utrzymują w mocy decyzje Prezesa UODO — Wojewódzki Sąd Administracyjny w Warszawie w wyroku z IV kwartału 2025 roku (sygn. II SA/Wa 1432/25) oddalił skargę spółki ukaranej kwotą 950 000 PLN za przetwarzanie danych bez podstawy prawnej, uznając że "powierzchowne odwołanie się do prawnie uzasadnionego interesu bez przeprowadzenia testu równowagi jest równoznaczne z brakiem podstawy prawnej".

Ponadto od 2026 roku KSeF (Krajowy System e-Faktur) stał się obowiązkowy dla wszystkich czynnych podatników VAT — oznacza to rozszerzenie zakresu danych przetwarzanych na podstawie obowiązku prawnego (lit. c) o dane zawarte w fakturach ustrukturyzowanych, co wymaga od administratorów aktualizacji rejestrów czynności przetwarzania i klauzul informacyjnych.

Częste pytania

Czy mogę powołać się na dwie podstawy prawne jednocześnie dla tego samego celu?

Tak, ale każda z nich musi być ważna niezależnie. Administrator może wskazać dwie podstawy, np. lit. b (wykonanie umowy) i lit. c (obowiązek prawny) dla danych na fakturze — dane są niezbędne zarówno do wykonania umowy sprzedaży, jak i do spełnienia obowiązku podatkowego. Niedopuszczalne jest natomiast "przerzucanie się" między podstawami — jeśli zgoda zostanie cofnięta, administrator nie może nagle powołać się na prawnie uzasadniony interes dla tego samego celu.

Czy prawnie uzasadniony interes (lit. f) stosuje się do danych osobowych dzieci?

Z dużą ostrożnością. EROD w wytycznych wskazuje, że interesy i prawa dziecka mają szczególną wagę w teście równowagi. W praktyce przetwarzanie danych dzieci na podstawie lit. f jest rzadko uznawane za zgodne z prawem — preferowana jest zgoda rodzicielska (lit. a) z weryfikacją wieku.

Czy wysyłka oferty handlowej na służbowy e-mail znaleziony w Internecie jest legalna na podstawie lit. f?

Tak, pod warunkiem przeprowadzenia testu równowagi. Adres e-mail musi być jawnie służbowy (np. imie.nazwisko@firma.pl znalezione na stronie firmowej), oferta musi dotyczyć branży adresata, a każda wiadomość musi zawierać wyraźną i prostą możliwość sprzeciwu (opt-out). Adresy prywatne (np. @gmail.com) nawet jeśli opublikowane na stronie firmowej, wymagają zgody.

Jak długo ważna jest zgoda na przetwarzanie danych marketingowych?

Zgoda nie ma ustawowego terminu ważności — obowiązuje do momentu jej wycofania lub do czasu, gdy cel przetwarzania zostanie osiągnięty. Dobrą praktyką jest jednak cykliczne odświeżanie zgód co 2-3 lata, szczególnie w przypadku nieaktywnych subskrybentów. Zgoda nieaktywna (brak otwarć, brak kliknięć przez ponad 24 miesiące) traci przymiot "świadomej", gdyż osoba mogła zapomnieć o jej wyrażeniu.

Co z danymi przetwarzanymi przed 25 maja 2018 roku?

Dane zebrane przed wejściem w życie RODO nadal wymagają podstawy prawnej zgodnej z art. 6 ust. 1. Administrator nie może powoływać się na przesłanki z ustawy o ochronie danych osobowych z 1997 roku. Jeśli podstawa z RODO nie istnieje, przetwarzanie należy zaprzestać.

Czy przekazanie danych kontrahenta do ubezpieczyciela wymaga zgody?

Nie. Przekazanie danych do ubezpieczyciela w związku z polisą OC działalności gospodarczej opiera się na prawnie uzasadnionym interesie (lit. f) — administrator ma interes w zabezpieczeniu roszczeń, a ubezpieczyciel realizuje własny interes jako strona trzecia. Wymaga to jednak odnotowania w klauzuli informacyjnej i rejestrze czynności przetwarzania.

Czy monitoring wizyjny w małym sklepie wymaga zgody klientów?

Nie. Monitoring wizyjny w przestrzeni publicznej lokalu handlowego opiera się na prawnie uzasadnionym interesie administratora (lit. f) — ochrona mienia i bezpieczeństwo klientów. Wymagane jest jednak oznakowanie obszaru monitorowanego, ograniczenie retencji do maksymalnie 30 dni, wyłączenie monitoringu z przymierzalni i toalet oraz zgodność z minimalizacją danych (kamery obejmują tylko obszar niezbędny).

Czy administrator może zmienić podstawę prawną przetwarzania w trakcie jego trwania?

Tak, ale wyłącznie przed rozpoczęciem przetwarzania w nowym celu. Nie można zmienić podstawy retroaktywnie. Jeśli administrator planuje wykorzystać istniejące dane w nowym celu, musi przeprowadzić test zgodności celów (art. 6 ust. 4 RODO) i poinformować o tym osoby, których dane dotyczą. Jeśli nowy cel nie jest zgodny z pierwotnym — konieczna jest nowa podstawa prawna, najczęściej zgoda.

Jaka jest różnica między sprzeciwem wobec przetwarzania na podstawie lit. f a cofnięciem zgody na podstawie lit. a?

Cofnięcie zgody (lit. a) jest bezwarunkowe i skuteczne natychmiast — administrator musi bezzwłocznie zaprzestać przetwarzania. Sprzeciw wobec przetwarzania na podstawie lit. f może zostać odrzucony, jeśli administrator wykaże istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby. W praktyce administrator rzadko odrzuca sprzeciw — ciężar dowodu spoczywa na nim, a organy nadzorcze wymagają solidnego uzasadnienia.

Czy przetwarzanie danych w systemach chmurowych Microsoft 365 wymaga odrębnej podstawy prawnej z art. 6 ust. 1?

Podstawa prawna dotyczy celu przetwarzania, a nie technologii. Dane przechowywane w chmurze Microsoft 365 — np. Exchange Online dla poczty firmowej, OneDrive dla dokumentów pracowniczych czy SharePoint dla plików projektowych — podlegają tym samym przesłankom co dane na serwerze lokalnym: lit. b dla realizacji umowy, lit. c dla obowiązków kadrowo-płacowych, lit. f dla zarządzania dokumentacją wewnętrzną. Kluczowe jest zawarcie umowy powierzenia przetwarzania danych (DPA) z dostawcą chmury — Microsoft udostępnia DPA zgodne z RODO dla wszystkich planów Microsoft 365, w tym Business Standard, Business Premium i Office 365 E3. Wybierając klucze Microsoft 365 przez polskiego partnera CSP, takiego jak KluczeSoft.pl, otrzymujesz fakturę VAT 23% oraz gwarancję, że usługa działa w europejskich centrach danych Microsoft z pełną zgodnością RODO — sprawdź plany Microsoft 365 dla firm.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak, ale każda z nich musi być ważna niezależnie. Administrator może wskazać dwie podstawy, np. lit. b (wykonanie umowy) i lit. c (obowiązek prawny) dla danych na fakturze — dane są niezbędne zarówno do wykonania umowy sprzedaży, jak i do spełnienia obowiązku podatkowego. Niedopuszczalne jest natomiast "przerzucanie się" między podstawami — jeśli zgoda zostanie cofnięta, administrator nie może nagle powołać się na prawnie uzasadniony interes dla tego samego celu.
Z dużą ostrożnością. EROD w wytycznych wskazuje, że interesy i prawa dziecka mają szczególną wagę w teście równowagi. W praktyce przetwarzanie danych dzieci na podstawie lit. f jest rzadko uznawane za zgodne z prawem — preferowana jest zgoda rodzicielska (lit. a) z weryfikacją wieku.
Tak, pod warunkiem przeprowadzenia testu równowagi. Adres e-mail musi być jawnie służbowy (np. imie.nazwisko@firma.pl znalezione na stronie firmowej), oferta musi dotyczyć branży adresata, a każda wiadomość musi zawierać wyraźną i prostą możliwość sprzeciwu (opt-out). Adresy prywatne (np. @gmail.com) nawet jeśli opublikowane na stronie firmowej, wymagają zgody.
Zgoda nie ma ustawowego terminu ważności — obowiązuje do momentu jej wycofania lub do czasu, gdy cel przetwarzania zostanie osiągnięty. Dobrą praktyką jest jednak cykliczne odświeżanie zgód co 2-3 lata, szczególnie w przypadku nieaktywnych subskrybentów. Zgoda nieaktywna (brak otwarć, brak kliknięć przez ponad 24 miesiące) traci przymiot "świadomej", gdyż osoba mogła zapomnieć o jej wyrażeniu.
Dane zebrane przed wejściem w życie RODO nadal wymagają podstawy prawnej zgodnej z art. 6 ust. 1. Administrator nie może powoływać się na przesłanki z ustawy o ochronie danych osobowych z 1997 roku. Jeśli podstawa z RODO nie istnieje, przetwarzanie należy zaprzestać.
Nie. Przekazanie danych do ubezpieczyciela w związku z polisą OC działalności gospodarczej opiera się na prawnie uzasadnionym interesie (lit. f) — administrator ma interes w zabezpieczeniu roszczeń, a ubezpieczyciel realizuje własny interes jako strona trzecia. Wymaga to jednak odnotowania w klauzuli informacyjnej i rejestrze czynności przetwarzania.
Nie. Monitoring wizyjny w przestrzeni publicznej lokalu handlowego opiera się na prawnie uzasadnionym interesie administratora (lit. f) — ochrona mienia i bezpieczeństwo klientów. Wymagane jest jednak oznakowanie obszaru monitorowanego, ograniczenie retencji do maksymalnie 30 dni, wyłączenie monitoringu z przymierzalni i toalet oraz zgodność z minimalizacją danych (kamery obejmują tylko obszar niezbędny).
Tak, ale wyłącznie przed rozpoczęciem przetwarzania w nowym celu. Nie można zmienić podstawy retroaktywnie. Jeśli administrator planuje wykorzystać istniejące dane w nowym celu, musi przeprowadzić test zgodności celów (art. 6 ust. 4 RODO) i poinformować o tym osoby, których dane dotyczą. Jeśli nowy cel nie jest zgodny z pierwotnym — konieczna jest nowa podstawa prawna, najczęściej zgoda.
Cofnięcie zgody (lit. a) jest bezwarunkowe i skuteczne natychmiast — administrator musi bezzwłocznie zaprzestać przetwarzania. Sprzeciw wobec przetwarzania na podstawie lit. f może zostać odrzucony, jeśli administrator wykaże istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby. W praktyce administrator rzadko odrzuca sprzeciw — ciężar dowodu spoczywa na nim, a organy nadzorcze wymagają solidnego uzasadnienia.
Podstawa prawna dotyczy celu przetwarzania, a nie technologii. Dane przechowywane w chmurze Microsoft 365 — np. Exchange Online dla poczty firmowej, OneDrive dla dokumentów pracowniczych czy SharePoint dla plików projektowych — podlegają tym samym przesłankom co dane na serwerze lokalnym: lit. b dla realizacji umowy, lit. c dla obowiązków kadrowo-płacowych, lit. f dla zarządzania dokumentacją wewnętrzną. Kluczowe jest zawarcie umowy powierzenia przetwarzania danych (DPA) z dostawcą chmury — Microsoft udostępnia DPA zgodne z RODO dla wszystkich planów Microsoft 365, w tym Business Standard, Business Premium i Office 365 E3. Wybierając klucze Microsoft 365 przez polskiego partnera CSP, takiego

Czy ten artykuł był pomocny?