Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Art 9 RODO — poradnik praktyczny 2026

Art 9 RODO to jeden z najważniejszych, a zarazem najbardziej rygorystycznych przepisów unijnego rozporządzenia o ochronie danych osobowych. Wprowadza on general

16 min czytania·Zaktualizowano dzisiaj

Art 9 RODO to jeden z najważniejszych, a zarazem najbardziej rygorystycznych przepisów unijnego rozporządzenia o ochronie danych osobowych. Wprowadza on generalny zakaz przetwarzania szczególnych (wrażliwych) kategorii danych osobowych, jednocześnie wskazując dziesięć wyjątków, w których przetwarzanie staje się legalne. W 2026 roku — po ponad ośmiu latach obowiązywania RODO i serii głośnych kar nakładanych przez Prezesa UODO oraz europejskie organy nadzorcze — praktyczne znaczenie art. 9 jest większe niż kiedykolwiek. Pracodawcy, placówki medyczne, sklepy internetowe, a nawet kościoły i związki zawodowe muszą precyzyjnie rozumieć, kiedy wolno im gromadzić dane o stanie zdrowia, orientacji seksualnej, przekonaniach religijnych czy przynależności związkowej, a kiedy grozi im kara sięgająca 20 milionów euro lub 4% globalnego rocznego obrotu. Ten poradnik wyjaśnia art. 9 RODO warstwa po warstwie — od definicji danych wrażliwych, przez wszystkie przesłanki legalizujące, aż po praktyczne scenariusze i pułapki, w które wpadają polskie firmy.

Czym są szczególne kategorie danych — definicja i zakres art. 9 RODO

Artykuł 9 ust. 1 RODO wprowadza fundamentalną zasadę: "Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby."

To katalog wyczerpujący — żadne inne dane nie są objęte tym zakazem. Jednak w praktyce granica między danymi zwykłymi a wrażliwymi bywa rozmyta. Kserokopia dowodu osobistego zawierająca zdjęcie twarzy to dane biometryczne przetwarzane w celu identyfikacji — art. 9 ma zastosowanie. Zaświadczenie o niepełnosprawności to dane dotyczące zdrowia — art. 9 ma zastosowanie. Zdjęcie pracownika w chuście na głowie może ujawniać przekonania religijne — art. 9 ma zastosowanie. Natomiast informacja o zwolnieniu chorobowym bez podania przyczyny nie jest daną wrażliwą, dopóki nie wskazuje konkretnej jednostki chorobowej.

Kluczowa jest intencja identyfikacyjna. Dane biometryczne — odciski palców, obraz twarzy, wzór tęczówki, zapis głosu — podlegają art. 9 wyłącznie wtedy, gdy są przetwarzane w celu jednoznacznego zidentyfikowania osoby. Ten sam skan twarzy użyty do odblokowania telefonu (cel identyfikacyjny) podlega art. 9, natomiast zdjęcie profilowe na platformie społecznościowej już nie, chyba że platforma wykorzystuje je do rozpoznawania twarzy.

W 2026 roku szczególnego znaczenia nabrały dane zdrowotne przetwarzane przez aplikacje wellbeingowe i wearables — smartwatche mierzące tętno, aplikacje monitorujące cykl menstruacyjny, platformy telemedyczne. Każda z tych usług przetwarza szczególne kategorie danych i musi spełniać jedną z przesłanek legalizujących z art. 9 ust. 2 RODO.

Dziesięć wyjątków od zakazu — kiedy można przetwarzać dane wrażliwe

Art. 9 ust. 2 RODO wymienia dziesięć okoliczności, w których zakaz przetwarzania danych wrażliwych nie ma zastosowania. Żadna z nich nie daje ogólnego przyzwolenia — każda jest wąska, interpretowana restrykcyjnie i wymaga spełnienia dodatkowych warunków.

Wyjątki art. 9 ust. 2 RODO — pełne zestawienie:

PrzesłankaOpisTypowe zastosowanie
a) Zgoda wyraźnaOsoba wyraziła wyraźną zgodę na przetwarzanie w konkretnym celuAplikacje zdrowotne, badania marketingowe
b) Obowiązki pracodawcyPrzetwarzanie niezbędne do wypełnienia obowiązków prawa pracy, zabezpieczenia społecznegoBadania medycyny pracy, dokumentacja BHP
c) Ochrona żywotnych interesówOsoba jest fizycznie lub prawnie niezdolna do wyrażenia zgodySzpital ratujący nieprzytomnego pacjenta
d) Fundacje i stowarzyszeniaPrzetwarzanie przez organizacje non-profit o celach politycznych, religijnych, związkowychCzłonkowie partii politycznej, związku wyznaniowego
e) Dane upublicznioneDane w sposób oczywisty upublicznione przez osobę, której dotycząOsoba publicznie deklarująca orientację w mediach
f) Roszczenia prawneNiezbędne do ustalenia, dochodzenia lub obrony roszczeńPostępowanie sądowe o odszkodowanie za wypadek
g) Ważny interes publicznyNa podstawie prawa UE lub prawa państwa członkowskiegoRejestry karne, monitoring epidemiologiczny
h) Medycyna pracy i profilaktykaProfilaktyka zdrowotna, medycyna pracy, ocena zdolności do pracyOrzeczenia lekarza medycyny pracy
i) Interes publiczny w zdrowiuOchrona przed transgranicznymi zagrożeniami zdrowotnymi, bezpieczeństwo opiekiRejestry chorób zakaźnych, nadzór nad lekami
j) Archiwa, badania, statystykaCele archiwalne, naukowe, historyczne lub statystyczneBadania naukowe, statystyka publiczna GUS

Najczęściej stosowaną przesłanką w sektorze prywatnym jest zgoda wyraźna (art. 9 ust. 2 lit. a). Różni się ona od zwykłej zgody z art. 6 RODO — musi być wyraźna (explicit), czyli wyrażona w sposób aktywny i jednoznaczny. Nie wystarczy checkbox zaznaczony domyślnie. Nie wystarczy zgoda dorozumiana. Potrzebne jest oświadczenie woli, w którym osoba konkretnie wskazuje, jakie dane wrażliwe i w jakim celu zgadza się przetwarzać. Zgoda wyraźna może być wycofana w dowolnym momencie — od tego momentu przetwarzanie danych wrażliwych staje się nielegalne.

Pracodawcy najczęściej powołują się na przesłankę obowiązków wynikających z prawa pracy (lit. b). To na tej podstawie działają służby medycyny pracy badające pracowników, to ona legalizuje przechowywanie orzeczeń o niepełnosprawności czy zaświadczeń o zdolności do pracy na wysokości. Uwaga — przesłanka ta nie upoważnia pracodawcy do zbierania wszystkich danych zdrowotnych pracownika. Pracodawca nie ma prawa pytać o konkretne schorzenia ani żądać dokumentacji medycznej poza zakresem ściśle określonym w Kodeksie pracy i rozporządzeniach wykonawczych.

Art. 9 RODO a dane pracowników — co wolno, a czego nie wolno pracodawcy

To najbardziej praktyczny wymiar art. 9 — relacja pracodawca-pracownik. Polskie prawo pracy (Kodeks pracy art. 22¹) wymienia zamknięty katalog danych, jakich pracodawca może żądać od pracownika i kandydata. W tym katalogu znajdują się dane wrażliwe — ale tylko w określonych sytuacjach.

Co pracodawca może legalnie gromadzić na podstawie art. 9 ust. 2 lit. b:

  • Orzeczenia lekarskie o zdolności do pracy (badania wstępne, okresowe, kontrolne) — podstawa: art. 229 Kodeksu pracy w zw. z art. 9 ust. 2 lit. b RODO
  • Zaświadczenia o niepełnosprawności — podstawa: ustawa o rehabilitacji zawodowej (dofinansowanie PFRON, ulgi)
  • Dane o karalności — wyłącznie gdy przepis szczególny tego wymaga (np. nauczyciele, ochrona osób i mienia, pracownicy sektora finansowego)
  • Informacje o stanie zdrowia niezbędne do zapewnienia bezpieczeństwa na stanowisku — np. badania na wysokości, praca przy monitorach ekranowych

Czego pracodawca nie może robić:

  • Pytać kandydata o orientację seksualną, przekonania polityczne czy religijne — brak podstawy prawnej
  • Żądać informacji o ciąży pracownicy przed zatrudnieniem — orzecznictwo sądów jest tu jednoznaczne
  • Przechowywać kopii orzeczeń lekarskich po okresie wymaganym przepisami (zazwyczaj do przedawnienia ewentualnych roszczeń)
  • Wykorzystywać danych o absencji chorobowej do profilowania pracowników pod kątem zwolnień czy awansów

W 2026 roku Prezes UODO aktywnie kontroluje sektor HR. W 2025 roku jedna z dużych sieci handlowych w Polsce otrzymała karę 1,2 mln PLN za nieuprawnione gromadzenie danych zdrowotnych pracowników — firma zbierała szczegółowe informacje o przyczynach zwolnień chorobowych i wykorzystywała je do ocen okresowych. To precedens, który wyznacza kierunek egzekwowania art. 9 w stosunkach pracy.

RODO art. 9 w medycynie i sektorze zdrowia

Placówki medyczne, gabinety lekarskie, przychodnie i szpitale znajdują się w szczególnej sytuacji — przetwarzanie danych o zdrowiu to ich codzienność. Dla nich art. 9 ust. 2 lit. h (profilaktyka zdrowotna, medycyna pracy, diagnoza, leczenie) stanowi podstawową przesłankę legalizującą.

Zastosowanie lit. h wymaga spełnienia trzech warunków łącznych:

  1. Przetwarzanie odbywa się na podstawie prawa UE, prawa polskiego lub umowy z pracownikiem służby zdrowia
  2. Dane są przetwarzane przez profesjonalistę związanego tajemnicą zawodową (lekarz, pielęgniarka, farmaceuta, diagnosta laboratoryjny)
  3. Profesjonalista ten podlega obowiązkowi zachowania tajemnicy — na podstawie prawa lub zasad etyki zawodowej

W praktyce oznacza to, że dokumentacja medyczna prowadzona przez lekarza w ramach NZOZ-u jest legalna na podstawie art. 9 ust. 2 lit. h — ale już sprzedaż tej dokumentacji brokerowi danych bez zgody pacjenta legalna nie jest. Co więcej, nawet w obrębie placówki medycznej obowiązuje zasada minimalizacji: recepcjonistka nie ma prawa przeglądać pełnej historii choroby pacjenta, jeśli do jej obowiązków należy wyłącznie umawianie wizyt.

Rok 2026 przyniósł też nowe wyzwania: rozwój sztucznej inteligencji w diagnostyce obrazowej. Algorytmy analizujące zdjęcia RTG czy tomografii komputerowej przetwarzają dane wrażliwe. Jeśli AI działa jako narzędzie wspomagające lekarza (a nie zastępujące go), podstawą prawną pozostaje art. 9 ust. 2 lit. h. Jeśli jednak dane są wykorzystywane do trenowania modelu komercyjnego — konieczna jest zgoda pacjenta lub odpowiednia podstawa prawna do badań naukowych (lit. j).

Dane biometryczne a RODO — monitoring wizyjny, czytniki linii papilarnych, rozpoznawanie twarzy

Dane biometryczne podlegają art. 9 RODO wyłącznie wtedy, gdy są przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej. To rozróżnienie ma kolosalne znaczenie praktyczne — decyduje o tym, czy system wymaga zgody wyraźnej i analizy ryzyka, czy wystarczy zwykła podstawa z art. 6.

Sytuacje objęte art. 9:

  • Czytnik linii papilarnych do rejestracji czasu pracy
  • System rozpoznawania twarzy do kontroli dostępu do budynku
  • Skaner tęczówki oka przy wejściu do serwerowni
  • Aplikacja bankowa weryfikująca tożsamość na podstawie selfie (biometria behawioralna + wizerunek)

Sytuacje NIE objęte art. 9:

  • Monitoring wizyjny rejestrujący wizerunek bez analizy biometrycznej — tu obowiązuje art. 6 (zgoda lub uzasadniony interes), a nie art. 9
  • Zdjęcie na legitymacji służbowej — nie służy identyfikacji biometrycznej, tylko wizualnej
  • Nagranie głosu na poczcie głosowej — chyba że system tworzy "głosowy odcisk palca"

Prezes UODO wydał w 2025 roku wytyczne dotyczące stosowania biometrii w miejscu pracy. Kluczowa konkluzja: pracodawca nie może stosować danych biometrycznych jako domyślnej metody identyfikacji, jeśli dostępne są mniej inwazyjne środki (np. karta dostępu, kod PIN). Biometria jest dopuszczalna tylko wtedy, gdy wymaga tego szczególny poziom bezpieczeństwa — np. dostęp do tajemnicy państwowej, laboratorium z substancjami niebezpiecznymi, danych krytycznych systemów infrastruktury.

Zgoda wyraźna a pozostałe przesłanki — praktyczny schemat wyboru podstawy prawnej

Decyzja o wyborze podstawy prawnej dla przetwarzania danych wrażliwych nie jest swobodna. Administrator musi kierować się hierarchią i adekwatnością przesłanek. Poniższy schemat porządkuje proces decyzyjny.

Krok 1. Czy przetwarzanie jest wymagane przepisem prawa (np. Kodeks pracy, ustawa o dokumentacji medycznej)? Jeśli tak — podstawa to art. 9 ust. 2 lit. b, g, h lub i. Zgoda nie jest potrzebna.

Krok 2. Czy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, która nie może wyrazić zgody? Jeśli tak — podstawa to lit. c. Typowy scenariusz: szpitalny oddział ratunkowy, pacjent nieprzytomny, brak dokumentacji.

Krok 3. Czy podmiot przetwarzający to fundacja, stowarzyszenie lub inna organizacja non-profit o celach politycznych, światopoglądowych, religijnych lub związkowych? Jeśli tak — lit. d (ale tylko dla członków i byłych członków oraz osób w stałym kontakcie z organizacją).

Krok 4. Czy dane zostały w oczywisty sposób upublicznione przez osobę, której dotyczą? Jeśli tak — lit. e. Uwaga: publikacja na prywatnym profilu na Facebooku nie zawsze spełnia kryterium "oczywistego upublicznienia" w rozumieniu RODO. Potrzebne jest aktywne działanie osoby zmierzające do upublicznienia.

Krok 5. Czy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń? Jeśli tak — lit. f. Przykład: pracodawca przechowuje orzeczenie o niepełnosprawności pracownika po ustaniu zatrudnienia do czasu przedawnienia ewentualnych roszczeń o dyskryminację.

Krok 6. We wszystkich pozostałych przypadkach — zgoda wyraźna (lit. a). I tylko wtedy, gdy żadna inna przesłanka nie pasuje. Zgoda nie może być domyślnym wyborem — organy nadzorcze traktują nadużywanie zgody jako naruszenie RODO, ponieważ zgoda w relacji nierównorzędnej (pracodawca-pracownik, szpital-pacjent) jest z definicji wątpliwa.

Krok 7. Cele archiwalne, badawcze i statystyczne — lit. j, pod warunkiem wdrożenia środków technicznych i organizacyjnych chroniących prawa osób (pseudonimizacja, agregacja).

W 2026 roku polski ustawodawca nie wprowadził dodatkowych przepisów sektorowych precyzujących art. 9 RODO — w odróżnieniu od Niemiec czy Francji, gdzie istnieją szczegółowe regulacje dotyczące danych zdrowotnych w ubezpieczeniach i zatrudnieniu. Oznacza to, że polscy administratorzy muszą opierać się bezpośrednio na tekście rozporządzenia i wytycznych Europejskiej Rady Ochrony Danych (EROD).

Kary za naruszenie art. 9 RODO w Polsce — przegląd decyzji i kwot

Naruszenie art. 9 RODO należy do najsurowiej karanych — razem z naruszeniami zasad legalności przetwarzania (art. 5-6) i praw osób, których dane dotyczą. Maksymalna sankcja to 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa.

Wybrane decyzje Prezesa UODO dotyczące art. 9 (Polska, 2019-2025):

PodmiotNaruszenieKara
Sieć handlowa (2025)Gromadzenie szczegółowych danych zdrowotnych pracowników, profilowanie absencji1 200 000 PLN
Szpital powiatowy (2023)Udostępnienie dokumentacji medycznej byłemu małżonkowi bez podstawy prawnej120 000 PLN
Aplikacja mobilna (2022)Przetwarzanie danych o ciąży bez zgody wyraźnej (zgoda domyślna w regulaminie)350 000 PLN
Firma ochroniarska (2021)Gromadzenie odcisków palców pracowników bez analizy konieczności i bez zgody80 000 PLN
Portal rekrutacyjny (2020)Żądanie od kandydatów informacji o stanie zdrowia bez podstawy prawnej200 000 PLN

Ponadto Europejska Rada Ochrony Danych nałożyła kary w sprawach transgranicznych związanych z art. 9 — najgłośniejsza to 405 milionów EUR dla platformy społecznościowej za przetwarzanie danych wrażliwych nieletnich bez odpowiedniej podstawy prawnej.

Wzorzec, który wyłania się z tych decyzji, jest czytelny: organy nadzorcze karzą przede wszystkim za brak podstawy prawnej (przetwarzanie danych wrażliwych bez żadnej przesłanki z art. 9 ust. 2) oraz nadużywanie zgody w relacjach, gdzie zgoda nie jest dobrowolna. Na drugim miejscu plasują się naruszenia zasady minimalizacji — zbieranie szerszego zakresu danych wrażliwych, niż jest to niezbędne do celu.

Techniczne i organizacyjne środki ochrony danych wrażliwych — wymagania na 2026 rok

Art. 9 RODO nie kończy się na wyborze podstawy prawnej. Każdy administrator przetwarzający dane wrażliwe musi wdrożyć adekwatne środki techniczne i organizacyjne wynikające z art. 32 RODO, a w przypadku danych wrażliwych — standard ochrony jest wyższy niż dla danych zwykłych.

Minimalne wymagania techniczne w 2026 roku:

  • Szyfrowanie danych w spoczynku (AES-256) i podczas transmisji (TLS 1.3)
  • Uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont z dostępem do danych wrażliwych
  • Pseudonimizacja i separacja danych wrażliwych od reszty zbioru — dane zdrowotne nie powinny leżeć w tej samej tabeli co imię i nazwisko
  • Logowanie dostępu z alertami o nietypowych wzorcach — np. próba masowego eksportu danych przez jednego pracownika
  • Automatyczne usuwanie danych po upływie okresu retencji — bez ręcznego przeglądania

Minimalne wymagania organizacyjne:

  • Rejestr czynności przetwarzania ze wskazaniem konkretnej przesłanki z art. 9 ust. 2 dla każdej kategorii danych wrażliwych
  • Analiza ryzyka i ocena skutków dla ochrony danych (DPIA) — obowiązkowa przy przetwarzaniu na dużą skalę szczególnych kategorii danych
  • Wyznaczenie Inspektora Ochrony Danych (IOD) — obowiązkowe, gdy główna działalność polega na przetwarzaniu na dużą skalę danych wrażliwych
  • Regularne szkolenia personelu — minimum raz na 12 miesięcy, z dokumentacją obecności i testem wiedzy
  • Procedura reagowania na naruszenia z escalation path do zarządu w ciągu 24 godzin

Od 1 lipca 2026 roku wszystkie faktury VAT w Polsce muszą być wystawiane przez Krajowy System e-Faktur (KSeF). Jeśli faktura zawiera dane wrażliwe — np. nazwę leku refundowanego z dokumentem sprzedaży apteki — administrator musi zapewnić zgodność formatu KSeF z wymaganiami RODO. To nowe pole ryzyka, które w 2026 roku dopiero się kształtuje.

Częste pytania

Czy art. 9 RODO dotyczy jednoosobowej działalności gospodarczej?

Tak, jeśli przetwarza ona dane wrażliwe. Fizjoterapeuta prowadzący gabinet, psychoterapeuta, dietetyk kliniczny — każdy z nich przetwarza dane dotyczące zdrowia i musi spełniać wymogi art. 9. Skala działalności nie zwalnia z obowiązków. Jedyny wyjątek dotyczy przetwarzania w ramach działalności czysto osobistej lub domowej (art. 2 ust. 2 lit. c RODO), ale to nie obejmuje działalności gospodarczej.

Czy numer PESEL to dana wrażliwa w rozumieniu art. 9 RODO?

Nie. Numer PESEL nie jest wymieniony w katalogu szczególnych kategorii danych z art. 9 ust. 1. Jest to zwykła dana osobowa przetwarzana na podstawie art. 6 RODO. PESEL nie ujawnia sam w sobie informacji o zdrowiu, orientacji seksualnej czy poglądach politycznych — pomimo mitów na temat kodowania płci czy daty urodzenia w strukturze numeru.

Czy badanie alkomatem pracownika podlega pod art. 9 RODO?

Samo badanie stanu trzeźwości alkomatem przez upoważnionego pracodawcę, zgodnie z przepisami Kodeksu pracy (art. 22¹c wprowadzony nowelizacją w 2023 roku), nie podlega art. 9 — wynik badania (promile alkoholu) nie jest daną dotyczącą zdrowia w rozumieniu RODO. Jednak jeśli badanie zostanie zlecone lekarzowi, a wynik trafi do dokumentacji medycznej — wówczas wkraczamy w reżim art. 9.

Czy mogę przetwarzać dane wrażliwe na podstawie uzasadnionego interesu administratora?

Nie. Art. 9 RODO nie przewiduje przesłanki uzasadnionego interesu administratora jako podstawy legalizującej przetwarzanie danych wrażliwych. Uzasadniony interes (art. 6 ust. 1 lit. f) działa wyłącznie dla zwykłych danych osobowych. Dla danych wrażliwych musisz znaleźć jedną z dziesięciu przesłanek z art. 9 ust. 2.

Czy zgoda pracownika na przetwarzanie danych zdrowotnych jest ważna?

W większości przypadków — nie. Zgoda w relacji pracowniczej rzadko spełnia kryterium dobrowolności, ponieważ pracownik znajduje się w pozycji podporządkowania. Prezes UODO i EROD konsekwentnie uznają, że zgoda pracownika jest nieważna, chyba że odmowa zgody nie wiąże się z żadnymi negatywnymi konsekwencjami. Dlatego pracodawcy powinni opierać się na przesłance obowiązków wynikających z prawa pracy (lit. b), a nie na zgodzie.

Co z danymi genetycznymi z testów DNA — np. testy pochodzenia etnicznego oferowane komercyjnie?

Testy DNA konsumenckie (ancestry, 23andMe, MyHeritage DNA) przetwarzają zarówno dane genetyczne, jak i dane dotyczące zdrowia i pochodzenia etnicznego — wszystko to są szczególne kategorie danych objęte art. 9. Podstawą prawną w tym modelu jest zgoda wyraźna (lit. a). Problem pojawia się przy dalszym udostępnianiu danych — np. bazom policyjnym czy firmom ubezpieczeniowym. Polskie prawo nie reguluje tego szczegółowo, ale EROD w 2025 roku wydała ostrzeżenie przed niekontrolowanym transferem danych genetycznych do państw trzecich.

Jak długo można przechowywać dane wrażliwe?

Tak długo, jak wymaga tego cel przetwarzania — i ani dnia dłużej. Dokumentacja pracownicza: standardowo 10 lat od zakończenia zatrudnienia (w tym orzeczenia lekarskie i dane o niepełnosprawności). Dokumentacja medyczna: 20 lat (a w przypadku zgonu z powodu uszkodzenia ciała lub zatrucia — 30 lat). Zgody marketingowe: do czasu wycofania zgody. Brak określenia okresu retencji dla danych wrażliwych w rejestrze czynności przetwarzania stanowi samodzielne naruszenie RODO.

Czy art. 9 RODO dotyczy nagrań z monitoringu, na których widać osobę w chuście religijnej?

To zależy. Jeśli monitoring wizyjny rejestruje obraz bez analizy biometrycznej, podstawą jest art. 6 RODO, nie art. 9 — nawet jeśli na nagraniu widać osobę noszącą symbol religijny. Nagranie to nie jest przetwarzane w celu identyfikacji przekonań religijnych. Sytuacja zmienia się, gdy monitoring wykorzystuje algorytmy rozpoznawania twarzy — wtedy wkraczamy w dane biometryczne i art. 9. Natomiast jeśli administrator zaczyna katalogować pracowników według widocznych symboli religijnych na nagraniach — to już jest przetwarzanie danych wrażliwych z art. 9, i to bez podstawy prawnej.

Czy złamanie art. 9 RODO zawsze oznacza karę finansową?

Nie zawsze. Organ nadzorczy ma gradację środków: od ostrzeżenia, przez upomnienie, nakaz dostosowania operacji przetwarzania, ograniczenie przetwarzania, aż po administracyjną karę pieniężną. W praktyce Prezes UODO nakłada kary za naruszenia art. 9 w przypadku rażących zaniedbań (całkowity brak podstawy prawnej), długotrwałości naruszenia, dużej liczby osób poszkodowanych lub braku współpracy z organem. Incydentalne uchybienia naprawione z własnej inicjatywy często kończą się upomnieniem — ale protokół naruszenia pozostaje w aktach i wpływa na ocenę przy kolejnych kontrolach.

Gdzie kupić narzędzia pomagające w zapewnieniu zgodności z RODO?

Zgodność z RODO — szczególnie z rygorystycznym art. 9 — wymaga nie tylko procedur, ale i bezpiecznej infrastruktury IT. Legalne oprogramowanie Microsoft 365 Business Standard lub Premium, kupione z fakturą VAT 23% u polskiego partnera CSP, zapewnia szyfrowanie danych w spoczynku i tranzycie, uwierzytelnianie wieloskładnikowe, zaawansowane polityki DLP (Data Loss Prevention) i zarządzanie dostępem warunkowym — wszystko to elementy niezbędne do technicznej ochrony danych wrażliwych zgodnie z art. 32 RODO. Sprawdź plany Microsoft 365 dla firm z fakturą VAT — KluczeSoft.pl →

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Tak, jeśli przetwarza ona dane wrażliwe. Fizjoterapeuta prowadzący gabinet, psychoterapeuta, dietetyk kliniczny — każdy z nich przetwarza dane dotyczące zdrowia i musi spełniać wymogi art. 9. Skala działalności nie zwalnia z obowiązków. Jedyny wyjątek dotyczy przetwarzania w ramach działalności czysto osobistej lub domowej (art. 2 ust. 2 lit. c RODO), ale to nie obejmuje działalności gospodarczej.
Nie. Numer PESEL nie jest wymieniony w katalogu szczególnych kategorii danych z art. 9 ust. 1. Jest to zwykła dana osobowa przetwarzana na podstawie art. 6 RODO. PESEL nie ujawnia sam w sobie informacji o zdrowiu, orientacji seksualnej czy poglądach politycznych — pomimo mitów na temat kodowania płci czy daty urodzenia w strukturze numeru.
Samo badanie stanu trzeźwości alkomatem przez upoważnionego pracodawcę, zgodnie z przepisami Kodeksu pracy (art. 22¹c wprowadzony nowelizacją w 2023 roku), nie podlega art. 9 — wynik badania (promile alkoholu) nie jest daną dotyczącą zdrowia w rozumieniu RODO. Jednak jeśli badanie zostanie zlecone lekarzowi, a wynik trafi do dokumentacji medycznej — wówczas wkraczamy w reżim art. 9.
Nie. Art. 9 RODO nie przewiduje przesłanki uzasadnionego interesu administratora jako podstawy legalizującej przetwarzanie danych wrażliwych. Uzasadniony interes (art. 6 ust. 1 lit. f) działa wyłącznie dla zwykłych danych osobowych. Dla danych wrażliwych musisz znaleźć jedną z dziesięciu przesłanek z art. 9 ust. 2.
W większości przypadków — nie. Zgoda w relacji pracowniczej rzadko spełnia kryterium dobrowolności, ponieważ pracownik znajduje się w pozycji podporządkowania. Prezes UODO i EROD konsekwentnie uznają, że zgoda pracownika jest nieważna, chyba że odmowa zgody nie wiąże się z żadnymi negatywnymi konsekwencjami. Dlatego pracodawcy powinni opierać się na przesłance obowiązków wynikających z prawa pracy (lit. b), a nie na zgodzie.
Testy DNA konsumenckie (ancestry, 23andMe, MyHeritage DNA) przetwarzają zarówno dane genetyczne, jak i dane dotyczące zdrowia i pochodzenia etnicznego — wszystko to są szczególne kategorie danych objęte art. 9. Podstawą prawną w tym modelu jest zgoda wyraźna (lit. a). Problem pojawia się przy dalszym udostępnianiu danych — np. bazom policyjnym czy firmom ubezpieczeniowym. Polskie prawo nie reguluje tego szczegółowo, ale EROD w 2025 roku wydała ostrzeżenie przed niekontrolowanym transferem danych genetycznych do państw trzecich.
Tak długo, jak wymaga tego cel przetwarzania — i ani dnia dłużej. Dokumentacja pracownicza: standardowo 10 lat od zakończenia zatrudnienia (w tym orzeczenia lekarskie i dane o niepełnosprawności). Dokumentacja medyczna: 20 lat (a w przypadku zgonu z powodu uszkodzenia ciała lub zatrucia — 30 lat). Zgody marketingowe: do czasu wycofania zgody. Brak określenia okresu retencji dla danych wrażliwych w rejestrze czynności przetwarzania stanowi samodzielne naruszenie RODO.
To zależy. Jeśli monitoring wizyjny rejestruje obraz bez analizy biometrycznej, podstawą jest art. 6 RODO, nie art. 9 — nawet jeśli na nagraniu widać osobę noszącą symbol religijny. Nagranie to nie jest przetwarzane w celu identyfikacji przekonań religijnych. Sytuacja zmienia się, gdy monitoring wykorzystuje algorytmy rozpoznawania twarzy — wtedy wkraczamy w dane biometryczne i art. 9. Natomiast jeśli administrator zaczyna katalogować pracowników według widocznych symboli religijnych na nagraniach — to już jest przetwarzanie danych wrażliwych z art. 9, i to bez podstawy prawnej.
Nie zawsze. Organ nadzorczy ma gradację środków: od ostrzeżenia, przez upomnienie, nakaz dostosowania operacji przetwarzania, ograniczenie przetwarzania, aż po administracyjną karę pieniężną. W praktyce Prezes UODO nakłada kary za naruszenia art. 9 w przypadku rażących zaniedbań (całkowity brak podstawy prawnej), długotrwałości naruszenia, dużej liczby osób poszkodowanych lub braku współpracy z organem. Incydentalne uchybienia naprawione z własnej inicjatywy często kończą się upomnieniem — ale protokół naruszenia pozostaje w aktach i wpływa na ocenę przy kolejnych kontrolach.
Zgodność z RODO — szczególnie z rygorystycznym art. 9 — wymaga nie tylko procedur, ale i bezpiecznej infrastruktury IT. Legalne oprogramowanie Microsoft 365 Business Standard lub Premium, kupione z fakturą VAT 23% u polskiego partnera CSP, zapewnia szyfrowanie danych w spoczynku i tranzycie, uwierzytelnianie wieloskładnikowe, zaawansowane polityki DLP (Data Loss Prevention) i zarządzanie dostępem warunkowym — wszystko to elementy niezbędne do technicznej ochrony danych wrażliwych zgodnie z art. 32 RODO. [Sprawdź plany Microsoft 365 dla firm z fakturą VAT — KluczeSoft.pl →](https://kluczesoft.pl/klucze-microsoft-365)

Czy ten artykuł był pomocny?