Kiedy nie jest wymagana zgoda na przetwarzanie danych?

Kiedy nie jest wymagana zgoda na przetwarzanie danych? Fakty 2025

Rozumienie sytuacji, kiedy nie jest wymagana zgoda na przetwarzanie danych, chroni przed dotkliwymi konsekwencjami finansowymi i prawnymi. Firmy unikają w ten sposób błędów wynikających z niewiedzy podczas gromadzenia informacji o użytkownikach. Znajomość przepisów pozwala zachować bezpieczeństwo operacyjne bez zbędnych formalności. Poznaj szczegółowe zasady legalnego przetwarzania informacji.

Czy zgoda na przetwarzanie danych osobowych jest zawsze konieczna?

Wiele osób żyje w przekonaniu, że bez wyraźnego kliknięcia w checkbox lub podpisania klauzuli, żadna firma nie ma prawa tknąć ich danych. To mit. Zgoda jest tylko jedną z kilku równorzędnych podstaw prawnych w RODO, a w relacjach biznesowych czy urzędowych często okazuje się... najsłabszym ogniwem. Zastanawiasz się, czy można przetwarzać dane bez zgody? Jest to możliwe, gdy wymaga tego umowa, prawo lub gdy interes firmy przeważa nad prywatnością, pod warunkiem zachowania ścisłych zasad.

Mówiąc szczerze - na początku sam wpadałem w tę pułapkę. Projektując pierwszy system dla klienta, upierałem się przy zgodach na wszystko, od faktur po logowanie. Oczy piekły mnie od czytania regulaminów o 2 nad ranem, a klienci i tak nie czytali tych wszystkich okienek. Dopiero po bolesnym audycie zrozumiałem, że nadmiar zgód to proszenie się o kłopoty, bo każdą z nich użytkownik może wycofać w sekundę, paraliżując twój biznes. Istnieje jednak jedna specyficzna sytuacja, w której administratorzy nagminnie zbierają zgody, choć prawo tego nie wymaga - wyjaśnię ten błąd w sekcji o rekrutacji poniżej.

Pięć sytuacji, w których nie musisz pytać o zgodę

Europejskie przepisy o ochronie danych (RODO) w artykule 6 wskazują konkretne scenariusze określające, kiedy zgoda na RODO nie jest potrzebna, a przetwarzanie jest legalne z mocy samego prawa. Najważniejszym z nich jest wykonanie umowy. Jeśli kupujesz buty w sklepie internetowym, sprzedawca musi znać twój adres, by wysłać paczkę. Nie potrzebuje do tego osobnej zgody - to niezbędny element transakcji. Podobnie jest z obowiązkami prawnymi, takimi jak wystawienie faktury VAT czy zgłoszenie pracownika do ZUS. Tutaj prawo wręcz nakazuje administratorowi operowanie twoimi danymi.

Statystyki wskazują, że brak właściwej podstawy prawnej jest powszechną przyczyną naruszeń sankcjonowanych przez organy nadzorcze.^[1] To potężna liczba. Warto pamiętać o rzadszych, ale krytycznych podstawach: ochronie żywotnych interesów (np. gdy ratownik medyczny szuka w portfelu nieprzytomnego pacjenta informacji o grupie krwi) oraz zadaniach publicznych. Najwięcej emocji budzi jednak tzw. uzasadniony interes administratora, który pozwala na działania takie jak marketing bezpośredni czy monitoring wizyjny dla bezpieczeństwa, o ile nie narusza to rażąco praw osoby fizycznej.

Prawnie uzasadniony interes – potężne narzędzie z haczykiem

Uzasadniony interes (litera f w art. 6 RODO) to ulubiona podstawa firm prywatnych. Umożliwia on przetwarzanie danych osobowych bez zgody w celach dochodzenia roszczeń, zapewnienia cyberbezpieczeństwa czy marketingu własnych usług. Nie jest to jednak „karta pułapka”, którą można wyciągnąć zawsze. Warunkiem jest przeprowadzenie tzw. testu równowagi. Administrator musi udowodnić, że jego potrzeba biznesowa jest ważniejsza niż prywatność klienta w danym kontekście. Brzmi skomplikowanie? Bo takie jest.

Pamiętam sytuację, gdy firma, dla której pracowałem, chciała śledzić każdy ruch kursora użytkowników na stronie. Test równowagi wypadł fatalnie - korzyść dla UX była znikoma w porównaniu do inwazyjności takiego monitoringu. Zrezygnowaliśmy. To była dobra decyzja, bo w 2025 roku liczba skarg do urzędu ochrony danych wzrosła do 13.000,^[2] co pokazuje, że Polacy są coraz bardziej świadomi swoich praw. Ryzykowne opieranie się na uzasadnionym interesie bez dokumentacji (LIA) to prosta droga do wysokich kar.

Pułapka w rekrutacji: Czy klauzula w CV jest obowiązkowa?

To jest ten moment, o którym wspominałem na początku. Warto dokładnie wiedzieć, kiedy nie jest wymagana zgoda na przetwarzanie danych. Miliony Polaków co roku dopisują do swoich CV formułkę: „Wyrażam zgodę na przetwarzanie...”. Tymczasem w zakresie danych wymaganych przez Kodeks pracy, takich jak wykształcenie czy przebieg zatrudnienia, zgoda w ogóle nie jest wymagana. Pracodawca przetwarza te dane na podstawie obowiązku prawnego. Wymuszanie zgody na te informacje jest błędem metodologicznym, który wciąż pokutuje w działach HR.

Kandydat nie musi wyręczać firmy w dbaniu o legalność. Zgoda ma sens tylko wtedy, gdy chcesz, aby twoje CV zostało w bazie na poczet przyszłych rekrutacji lub gdy dobrowolnie podajesz dane nadmiarowe, np. o swoich pasjach czy zdjęcie. W każdym innym przypadku wystarczy, że pracodawca spełni wobec ciebie obowiązek informacyjny. W 2025 roku kary za naruszenia ochrony danych w Polsce wyniosły łącznie blisko 64,5 mln PLN, co oznacza niemal pięciokrotny wzrost rok do roku. ^[3] Organy kontrolne nie patrzą już pobłażliwie na błędy wynikające z niewiedzy.

Zgoda czy inne podstawy? Szybkie porównanie

Zgoda (Art. 6 ust. 1 lit. a)

- Marketing zewnętrzny, pliki cookies, dane wrażliwe

- Musi być dobrowolna, konkretna, świadoma i jednoznaczna

- Niska - może zostać wycofana w każdym momencie bez podania przyczyny

Wykonanie umowy (lit. b) lub Prawo (lit. c)

- Realizacja zamówień, wystawianie faktur, rozliczenia z ZUS

- Niezbędność do celu - nie wolno zbierać danych na zapas

- Wysoka - przetwarzanie trwa tak długo, jak trwa umowa lub obowiązek ustawowy

Uzasadniony interes (lit. f)

- Marketing bezpośredni do klientów, dochodzenie roszczeń, monitoring

- Konieczny test równowagi i udokumentowanie celu

- Średnia - osoba może zgłosić sprzeciw, który administrator musi rozpatrzyć

Błąd rekrutacyjny w krakowskim startupie

Marcin, właściciel małej agencji IT w Krakowie, odrzucał CV bez ręcznie dopisanej klauzuli RODO, bojąc się kar. Proces rekrutacji trwał wiecznie, a on tracił świetnych kandydatów przez formalności.

Podejście to wynikało z niewiedzy - Marcin myślał, że zgoda jest jedyną tarczą przed UODO. Frustracja rosła, gdy kandydaci pytali, dlaczego muszą kopiować przestarzałe formułki z 1997 roku.

Po konsultacji z inspektorem ochrony danych Marcin zrozumiał, że podstawowe dane z CV przetwarza na mocy Kodeksu pracy. Usunął wymóg klauzuli i wprowadził prosty komunikat informacyjny.

Efekt? Czas spływu aplikacji skrócił się o 20%, a firma przestała gromadzić niepotrzebne zgody, które i tak byłyby nieważne w świetle nowoczesnych przepisów.

E-commerce i walka o marketing

Hania prowadzi sklep z rękodziełem w Poznaniu. Chciała wysyłać maile do obecnych klientów o nowych kolekcjach, ale bała się, że bez checkboxa przy każdym zamówieniu złamie prawo.

Pierwsza próba: dodała 5 obowiązkowych zgód przy zakupie. Skutek był tragiczny - porzucenia koszyka wzrosły o 30%, bo klienci czuli się przytłoczeni biurokracją.

Okazało się, że marketing bezpośredni produktów własnych do obecnych klientów można oprzeć na uzasadnionym interesie. Hania uprościła formularz, zostawiając tylko opcję rezygnacji (opt-out).

Dzięki temu odzyskała płynność sprzedaży, a jej lista mailowa rośnie naturalnie, przy pełnym zachowaniu bezpieczeństwa prawnego potwierdzonego brakiem skarg w kolejnym roku.

Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej. Przepisy dotyczące ochrony danych osobowych są skomplikowane i zależą od indywidualnego kontekstu. Przed podjęciem decyzji o wyborze podstawy przetwarzania danych zaleca się konsultację z wykwalifikowanym inspektorem ochrony danych lub prawnikiem.