Artykuł 6 RODO – Zgodność przetwarzania z prawem

Artykuł 6 RODO – Zgodność przetwarzania z prawem

Artykuł 6 RODO – Zgodność przetwarzania z prawem

1.

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

2.

Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych z przetwarzaniem przewidzianych w rozdziale IX przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem.

3.

Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:

a) w prawie Unii; lub

b) w prawie państwa członkowskiego, któremu podlega administrator.

Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.

4.

Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ograniczenia ust. 1, administrator – aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane – bierze pod uwagę między innymi:

a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;

b) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;

c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 przetwarzanie szczególnych kategorii danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10 przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa;

d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

Komentarz prawnika

Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Artykuł 6 RODO stanowi fundament legalności przetwarzania danych osobowych w Unii Europejskiej. Przepis ten definiuje sześć podstaw prawnych, które legitymizują operacje na danych osobowych, bez których administratorzy nie mogą zgodnie z prawem przetwarzać danych. Jest to jeden z najczęściej analizowanych i stosowanych przepisów całego rozporządzenia, mający kluczowe znaczenie praktyczne.

Katalog podstaw prawnych przetwarzania

Artykuł 6 ust. 1 RODO wprowadza zamknięty katalog sześciu przesłanek legalizujących przetwarzanie. Na szczególną uwagę zasługują:

  • Zgoda (art. 6 ust. 1 lit. a) – wymagająca świadomego, dobrowolnego i jednoznacznego oświadczenia woli
  • Umowa (art. 6 ust. 1 lit. b) – umożliwiająca przetwarzanie niezbędne do wykonania umowy lub działań przedumownych
  • Obowiązek prawny (art. 6 ust. 1 lit. c) – dotyczący wymogów ustawowych i regulacyjnych
  • Żywotne interesy (art. 6 ust. 1 lit. d) – mająca ograniczone zastosowanie do sytuacji zagrożenia życia lub zdrowia
  • Interes publiczny (art. 6 ust. 1 lit. e) – istotna zwłaszcza dla podmiotów publicznych
  • Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) – wymagająca przeprowadzenia testu równowagi interesów

W praktyce administratorzy najczęściej opierają przetwarzanie na zgodzie, umowie, obowiązku prawnym lub prawnie uzasadnionym interesie, jednak wybór właściwej podstawy musi być zawsze dostosowany do kontekstu i celu przetwarzania.

Rola prawa krajowego w stosowaniu art. 6 RODO

Istotnym elementem konstrukcji artykułu 6 jest możliwość doprecyzowania pewnych aspektów przetwarzania przez prawo krajowe. Artykuł 6 ust. 2 i 3 przewiduje, że:

  • Państwa członkowskie mogą wprowadzić bardziej szczegółowe przepisy dotyczące podstaw z art. 6 ust. 1 lit. c) i e)
  • Cel przetwarzania w tych przypadkach musi wynikać z przepisów prawa
  • Regulacje krajowe mogą doprecyzowywać warunki legalności, rodzaje danych, okresy przechowywania i inne aspekty

Ta konstrukcja przepisu ma istotne konsekwencje praktyczne – administratorzy muszą często analizować nie tylko przepisy RODO, ale również odpowiednie regulacje krajowe, co zwiększa złożoność oceny prawnej.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Problematyka zmiany celu przetwarzania

Artykuł 6 ust. 4 RODO wprowadza mechanizm oceny zgodności dalszego przetwarzania z pierwotnymi celami. W mojej praktyce zawodowej to jeden z najtrudniejszych obszarów interpretacyjnych, wymagający uwzględnienia:

  • Związków między pierwotnym a nowym celem przetwarzania
  • Kontekstu zbierania danych i relacji z osobą, której dane dotyczą
  • Charakteru danych (szczególnie kategorii specjalnych)
  • Potencjalnych konsekwencji dla osoby, której dane dotyczą
  • Zastosowanych zabezpieczeń technicznych i organizacyjnych

W praktyce test zgodności z art. 6 ust. 4 wymaga dokładnej i udokumentowanej analizy, którą administrator powinien przeprowadzić przed rozpoczęciem przetwarzania w nowym celu.

Interakcja z innymi przepisami RODO

Artykuł 6 nie funkcjonuje w próżni prawnej – jego prawidłowe zastosowanie wymaga uwzględnienia szeregu innych przepisów RODO:

  • Artykuł 5 – zasady przetwarzania danych, w tym zasada minimalizacji i ograniczenia celu
  • Artykuł 7 – szczegółowe warunki wyrażania zgody
  • Artykuł 9 – dodatkowe wymogi dotyczące szczególnych kategorii danych
  • Artykuł 13-14 – obowiązki informacyjne obejmujące wskazanie podstawy prawnej
  • Artykuł 17 – prawo do usunięcia danych powiązane z odwołaniem zgody

Kompleksowa analiza legalności przetwarzania wymaga zatem spojrzenia znacznie szerszego niż sam artykuł 6.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Wyzwania związane ze stosowaniem art. 6 RODO

W mojej praktyce zawodowej najczęstsze problemy związane z artykułem 6 RODO obejmują:

  • Błędne oparcie przetwarzania na zgodzie, gdy dostępna jest inna, bardziej odpowiednia podstawa prawna – najczęściej jest to umowa lub obowiązek prawny
  • Nadmierne poleganie na prawnie uzasadnionym interesie bez przeprowadzenia rzetelnego testu równowagi
  • Niewystarczające udokumentowanie oceny podstawy prawnej w rejestrze czynności przetwarzania
  • Trudności w identyfikacji właściwej podstawy dla złożonych czynności przetwarzania
  • Problemy z interpretacją „niezbędności” przetwarzania w kontekście umowy lub obowiązku prawnego

Każdy z tych problemów wymaga indywidualnej analizy, uwzględniającej specyfikę danej organizacji i kontekst przetwarzania.

Podsumowanie

Artykuł 6 RODO stanowi fundamentalny przepis dla każdego administratora danych osobowych. Prawidłowe określenie podstawy prawnej przetwarzania jest pierwszym i kluczowym krokiem w zapewnieniu zgodności z RODO.

Z perspektywy praktycznej, dla administratorów kluczowe znaczenie ma dokumentowanie procesu wyboru właściwej podstawy prawnej oraz jej powiązania z konkretnym celem przetwarzania. W przypadku kontroli organu nadzorczego to właśnie zdolność do wykazania, że przetwarzanie opiera się na właściwie dobranej i udokumentowanej podstawie prawnej, często decyduje o wyniku postępowania.

Warto również pamiętać, że interpretacja artykułu 6 RODO stale ewoluuje, głównie dzięki wytycznym organów nadzorczych oraz orzecznictwu TSUE. Regularne śledzenie tych źródeł powinno stanowić stały element praktyki w obszarze ochrony danych osobowych.

« Artykuł 5 – Zasady dotyczące przetwarzania danych osobowych
Artykuł 7 – Warunki wyrażenia zgody »