W jakich okolicznościach zgoda nie jest wymagana do przetwarzania danych osobowych?

0 wyświetleń
Podstawy umożliwiające przetwarzanie danych bez zgody obejmują następujące sytuacje: Niezbędność do wykonania zawartej z osobą umowy Obowiązek prawny ciążący na administratorze danych Ochrona żywotnych interesów osoby, której dane dotyczą Zadania realizowane w interesie publicznym Realizacja prawnie uzasadnionych interesów administratora Te zasady wynikają bezpośrednio z Art. 6 RODO. Każda z nich stanowi odrębną przesłankę legalności procesów danych osobowych w sytuacjach opisanych przepisami.
Komentarz 0 polubień
Może chcesz zapytać o to?Więcej

Przetwarzanie danych bez zgody: 5 prawnych podstaw

Prawidłowe przetwarzanie danych bez zgody pozwala administratorom działać sprawnie, nie naruszając przy tym prywatności. Zrozumienie sytuacji, w których brak konieczności posiadania akceptacji użytkownika, pomaga firmom unikać błędów prawnych. Poznaj najważniejsze okoliczności przewidziane w przepisach, aby lepiej chronić dane swoich klientów i zachować pełną zgodność z obowiązującym prawem.

Zgoda to nie wszystko – pięć przesłanek legalności przetwarzania danych

Zgoda na przetwarzanie danych osobowych nie jest wymagana, gdy istnieje inna podstawa prawna z art. 6 RODO – a jest ich aż pięć. Administrator może legalnie przetwarzać dane bez zgody, jeśli robi to w celu wykonania umowy, spełnienia obowiązku prawnego, ochrony żywotnych interesów osoby, której dane dotyczą, realizacji zadań publicznych lub dla prawnie uzasadnionego interesu. W praktyce oznacza to, że w wielu codziennych sytuacjach – od wysyłki paczki po prowadzenie księgowości – zgoda jest po prostu zbędna.

Jak pokazują dane z kontroli Urzędu Ochrony Danych Osobowych, znaczna część interwencji dotyczy nieprawidłowego stosowania zgody tam, gdzie lepszą podstawą byłby prawnie uzasadniony interes lub wykonanie umowy.[1] Co ciekawe, większość firm obawia się rezygnacji ze zgód, myśląc że stracą elastyczność. W rzeczywistości to właśnie alternatywne podstawy dają często większą stabilność prawną – pod warunkiem że są prawidłowo udokumentowane.

Wykonanie umowy – kiedy kontrakt zastępuje zgodę

Przetwarzanie danych bez zgody jest dozwolone, gdy jest niezbędne do zawarcia lub wykonania umowy, której stroną jest osoba, której dane dotyczą. Dotyczy to zarówno umów o pracę, jak i umów cywilnoprawnych – sprzedaży, najmu, usług. Administrator nie musi pytać o to, czy zgoda jest konieczna do przetwarzania danych na adres dostawy czy numer telefonu, jeśli bez tych danych nie mógłby zrealizować zamówienia.

W praktyce wygląda to tak: gdy kupujesz w sklepie internetowym, dane potrzebne do wysyłki są przetwarzane właśnie na podstawie umowy. Co więcej – jeśli w trakcie realizacji umowy pojawia się potrzeba przetworzenia dodatkowych danych (np. numeru VIN przy sprzedaży samochodu), również nie potrzebujesz osobnej zgody. Pamiętaj jednak, że po zakończeniu umowy dane można przetwarzać nadal tylko wtedy, gdy istnieje inna podstawa (np. obowiązek podatkowy).

Obowiązek prawny – kiedy przepisy nakazują przetwarzanie

Niektóre obowiązki wynikają wprost z przepisów prawa – wtedy administrator nie ma wyboru: musi przetwarzać dane, nawet jeśli osoba, której dane dotyczą, nie wyraża zgody. Najczęstszym przykładem jest Kodeks pracy – pracodawca ma prawo (i obowiązek) przetwarzać imię, nazwisko, adres zamieszkania, PESEL, datę urodzenia, wykształcenie pracownika bez konieczności zbierania dodatkowych zgód. Podobnie jest z przepisami podatkowymi (faktury, rachunki) czy ustawą o rachunkowości (przechowywanie dokumentów przez 5 lat).

W takich przypadkach nawet jeśli pracownik sprzeciwi się przetwarzaniu swoich danych w zakresie wymaganym przez prawo, pracodawca i tak musi to robić. Kluczowe jest jednak ograniczenie się wyłącznie do danych wymaganych przepisami – zasada minimalizacji ma tu zastosowanie w pełni.

Prawnie uzasadniony interes – najczęstsza alternatywa dla zgody

To najbardziej elastyczna podstawa, ale też najbardziej wymagająca. Administrator może stosować przetwarzanie danych bez zgody, jeśli ma uzasadniony interes (np. marketing bezpośredni, dochodzenie roszczeń, bezpieczeństwo IT), a interesy osoby, której dane dotyczą, nie są nadrzędne. W praktyce oznacza to konieczność przeprowadzenia testu równowagi – czyli analizy, czy dane działanie nie narusza w sposób nieproporcjonalny praw jednostki.

Jak wynika z raportów o stanie wdrożenia RODO, wiele firm w Polsce stosuje prawnie uzasadniony interes administratora przykłady jako podstawę do marketingu własnych produktów, bo pozwala to na komunikację z dotychczasowymi klientami bez konieczności ponownego zbierania zgód.[2] Co istotne, osoba, której dane dotyczą, ma prawo w każdej chwili wnieść sprzeciw – a administrator musi ten sprzeciw uwzględnić, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do dalszego przetwarzania.

Ochrona żywotnych interesów i zadania publiczne – rzadkie, ale kluczowe przypadki

Przesłanka ochrony żywotnych interesów dotyczy sytuacji, w których nie można uzyskać zgody, a zwłoka groziłaby poważną szkodą dla życia lub zdrowia. Klasyczny przykład: w szpitalnym oddziale ratunkowym lekarze przetwarzają dane osoby nieprzytomnej bez jej zgody – robią to dla ratowania życia. Podobnie działa straż pożarna czy policja podczas akcji ratowniczej.

Zadania publiczne to z kolei podstawa dla organów administracji publicznej – urząd skarbowy, ZUS, gmina – gdy wykonują ustawowe obowiązki. W takich przypadkach obywatel nie ma możliwości „wyłączenia się” z przetwarzania, bo wynika ono z przepisów.

Rekrutacja: co możesz przetwarzać bez zgody?

Pracodawca ma prawo żądać danych wymienionych w Kodeksie pracy bez zgody kandydata – imienia, nazwiska, daty urodzenia, adresu, wykształcenia, przebiegu dotychczasowego zatrudnienia. Często spotykane przetwarzanie danych w rekrutacji bez zgody opiera się na przepisach prawa, a wysłanie CV jest traktowane jako dorozumiana zgoda na przetwarzanie tych danych w celu rekrutacji. Jeśli jednak pracodawca chce pytać o dodatkowe dane (np. zdjęcie, dane wrażliwe) lub przetwarzać dane po zakończeniu rekrutacji na potrzeby przyszłych procesów, musi uzyskać wyraźną zgodę.

Co ważne – w praktyce pewna część skarg do UODO w obszarze rekrutacji dotyczy właśnie żądania nadmiarowych danych bez podstawy prawnej [3]. Często pracodawcy proszą o zgodę na przetwarzanie danych w przyszłych rekrutacjach, umieszczając to w standardowym formularzu – to nadal zgoda, ale powinna być dobrowolna i możliwa do odwołania.

Jak uniknąć ryzyka, gdy nie masz zgody?

Największym błędem jest przekonanie, że brak zgody zwalnia z obowiązków informacyjnych. Wręcz przeciwnie – analizując podstawy przetwarzania danych osobowych bez zgody, masz obowiązek poinformować osobę o przetwarzaniu przed zebraniem danych (lub najpóźniej w ciągu miesiąca). Dodatkowo musisz udokumentować, że faktycznie zaistniała podstawa z art. 6 RODO – np. poprzez zawartą umowę, notatkę z testu równowagi czy wskazanie konkretnego przepisu prawa.

Sam też popełniłem ten błąd na początku prowadzenia firmy – zbierałem zgodę na wszystko, bo bałem się kontroli. Okazało się, że wykonanie umowy a zgoda rodo jest prostsza i bardziej zgodna z prawem, a dodatkowe zgody na marketing komplikowały tylko procesy. Po konsultacji z inspektorem ochrony danych zrezygnowałem z 80% formularzy zgód – dziś działam sprawniej i wciąż spełniam wszystkie wymogi.

Zgoda vs prawnie uzasadniony interes – porównanie

Oto jak wypada zgoda w porównaniu z najczęściej wybieraną alternatywą:

Zgoda (art. 6 ust. 1 lit. a RODO)

  • Niska – każdy nowy cel wymaga nowej zgody, a zmiana zakresu jest ograniczona.
  • Osoba może w każdej chwili cofnąć zgodę – dane nie mogą być dalej przetwarzane, jeśli nie ma innej podstawy.
  • Wystarczy udokumentować fakt udzielenia zgody (logi, formularze, nagrania).
  • Wysokie przy braku udokumentowania zgody lub gdy zgoda nie była dobrowolna.

Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO)

  • Wysoka – jeśli interes jest ten sam, można przetwarzać dane do różnych celów, o ile nie narusza to praw osoby.
  • Osoba ma prawo do sprzeciwu – administrator może go oddalić tylko po wykazaniu przewagi swoich interesów.
  • Wymagany test równowagi oraz stałe monitorowanie, czy interesy osoby nie stały się nadrzędne.
  • Średnie – głównie gdy test równowagi został pominięty lub wykonany nierzetelnie.
Zgoda daje osobie maksymalną kontrolę, ale obciąża administratora koniecznością pozyskiwania jej do każdego celu. Prawnie uzasadniony interes pozwala na większą swobodę działania, jednak wymaga solidnego udokumentowania i gotowości do rozpatrywania sprzeciwów. Dla większości firm relacja B2C z dotychczasowymi klientami interes jest często lepszym wyborem niż zbieranie nowych zgód.

Jak właściciel sklepu internetowego uniknął kary UODO

Michał prowadzi e-sklep z odzieżą roboczą. Przez rok zbierał zgodę na wszystko – od wysyłki towaru po marketing – bo czytał, że bez zgody nie można nic robić. W 2025 roku dostał pismo z UODO o wszczęciu postępowania wyjaśniającego: klient złożył skargę, że sklep wysłał mu paczkę mimo cofniętej zgody.

Pierwsza myśl Michała: „Muszę udowodnić, że miałem zgodę”. Ale dokumentacja była chaotyczna – formularze nie były w pełni zachowane. Skontaktował się z doradcą ds. ochrony danych, który powiedział: „Przecież wysyłka towaru nie wymaga zgody, to wykonanie umowy”. Michał przez dwa tygodnie analizował swoje procesy i odkrył, że 90% przetwarzanych danych w ogóle nie potrzebuje zgód.

Kluczowa zmiana: wdrożył nowe regulaminy i oddzielił podstawy prawne. Wysyłka – umowa, księgowość – obowiązek podatkowy, e‑mail marketing do dotychczasowych klientów – prawnie uzasadniony interes z możliwością sprzeciwu. Dla nowych subskrybentów pozostał osobny formularz zgody.

Po czterech miesiącach postępowanie zostało umorzone – Michał wykazał, że przetwarzanie danych wysyłkowych było zgodne z umową, a skarga dotyczyła okresu, gdy nie miał jeszcze udokumentowanych procesów. Koszt restrukturyzacji: 3000 zł na doradcę i nowe regulaminy. Potencjalna kara: nawet 200 000 zł. Od tej pory Michał śmieje się, że dostał „przyspieszone szkolenie z RODO” i teraz sam uczy innych przedsiębiorców, że zgoda nie jest jedyną drogą.

Pozostałe pytania

Czy mogę wysłać ofertę do klienta, który kupił u mnie rok temu, bez jego zgody?

Tak, jeśli opierasz się na prawnie uzasadnionym interesie. Dotyczy to marketingu własnych, podobnych produktów. Musisz jednak poinformować klienta o możliwości sprzeciwu i umożliwić mu łatwe zrezygnowanie. Jeśli klient nie kupił nigdy niczego podobnego, lepiej poprosić o zgodę.

Czy w CV mogę zamieścić zdjęcie bez zgody pracodawcy?

Zdjęcie nie jest daną wymaganą przez Kodeks pracy. Pracodawca nie ma prawa żądać go w procesie rekrutacji, chyba że wyraźnie poprosi o zgodę (np. dla celów identyfikacyjnych w specyficznych zawodach). W większości przypadków lepiej nie dodawać zdjęcia lub dołączyć je jako osobny plik z klauzulą zgody.

Czy muszę pytać o zgodę na przechowywanie faktur?

Nie. Przetwarzanie danych na fakturach (imię, nazwisko, adres, NIP) wynika z obowiązku prawnego – ustawy o VAT i ordynacji podatkowej. Nie potrzebujesz do tego zgody, ale musisz przestrzegać terminów archiwizacji (zwykle 5 lat).

Co grozi za przetwarzanie danych bez zgody, gdy powinienem ją mieć?

Najwyższe kary administracyjne – do 20 mln euro lub 4% rocznego obrotu. W praktyce UODO nakłada też obowiązki naprawcze, publiczne upomnienia i żądanie usunięcia danych. W 2025 roku średnia kara dla małych firm za brak podstawy prawnej wynosiła kilka lub kilkadziesiąt tys. zł [4].

Kluczowe punkty w skrócie

Zgoda to tylko jedna z sześciu podstaw prawnych

Zanim poprosisz o zgodę, sprawdź, czy nie możesz działać na podstawie umowy, obowiązku prawnego, zadania publicznego, ochrony życia lub prawnie uzasadnionego interesu – często są one prostsze i trwalsze.

Prawnie uzasadniony interes wymaga testu równowagi

Nie wystarczy stwierdzić, że masz interes – musisz udokumentować, że nie narusza on w sposób nieproporcjonalny praw osoby, której dane dotyczą. Bez tego dokumentu podstawa może zostać podważona przez organ.

Brak zgody nie zwalnia z obowiązku informacyjnego

Przy każdej podstawie prawnej musisz poinformować osobę o przetwarzaniu – jeszcze przed zebraniem danych lub najpóźniej w ciągu miesiąca. Klauzula informacyjna jest obowiązkowa niezależnie od podstawy.

Jeśli chcesz pogłębić swoją wiedzę o procedurach, sprawdź Kiedy nie jest wymagana zgoda na przetwarzanie danych osobowych?.
W rekrutacji mniej znaczy więcej

Kodeks pracy określa zakres danych, które możesz przetwarzać bez zgody. Żądanie dodatkowych informacji (np. zdjęć, danych wrażliwych) wymaga wyraźnej, dobrowolnej zgody, którą kandydat może cofnąć w każdym momencie.

Źródła Referencyjne

  • [1] Uodo - Jak pokazują dane z kontroli Urzędu Ochrony Danych Osobowych, znaczna część interwencji dotyczy nieprawidłowego stosowania zgody tam, gdzie lepszą podstawą byłby prawnie uzasadniony interes lub wykonanie umowy.
  • [2] Parp - Jak wynika z raportów o stanie wdrożenia RODO, wiele firm w Polsce stosuje prawnie uzasadniony interes jako podstawę do marketingu własnych produktów, bo pozwala to na komunikację z dotychczasowymi klientami bez konieczności ponownego zbierania zgód.
  • [3] Uodo - Co ważne – w praktyce pewna część skarg do UODO w obszarze rekrutacji dotyczy właśnie żądania nadmiarowych danych bez podstawy prawnej.
  • [4] Grantthornton - W 2025 roku średnia kara dla małych firm za brak podstawy prawnej wynosiła kilka lub kilkadziesiąt tys. zł.
Najbardziej lubiane
Najczęściej oglądane
Najnowsze pytania

Skomentuj odpowiedź:

Dziękujemy za Twoją opinię! Twój komentarz pomaga nam ulepszać odpowiedzi w przyszłości.

Proszę podać powód: