Przetwarzanie danych osobowych – „nie

szczególnie chronionych”
Artykuł 6. Zgodność przetwarzania z prawem.
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim -
spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym
lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą,
lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub
w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których
nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby,
której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane
dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne
w ramach realizacji swoich zadań.
2. Państwa członkowskie mogą zachować lub wprowadzić bardziej szczegółowe przepisy, aby
dostosować stosowanie przepisów niniejszego rozporządzenia w odniesieniu do przetwarzania
służącego wypełnieniu warunków określonych w ust. 1 lit. c) i e); w tym celu mogą dokładniej
określić szczegółowe wymogi przetwarzania i inne środki w celu zapewnienia zgodności
przetwarzania z prawem i jego rzetelności, także w innych szczególnych sytuacjach związanych
z przetwarzaniem przewidzianych w rozdziale IX.
3. Podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania,
o którym mowa w ust. 1 lit. e) – musi być ono niezbędne do wykonania zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów
niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez
administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty,
którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy
przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność
z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych

1
z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego
muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do
wyznaczonego, prawnie uzasadnionego celu.
4. Jeżeli przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się
na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego
stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący
zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator - aby ustalić, czy
przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane
- bierze pod uwagę między innymi:
a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego
dalszego przetwarzania;
b) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane
dotyczą, a administratorem;
c) 22) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych
osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów
zabronionych zgodnie z art. 10;
d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

Należy także wziąć pod uwagę motywy RODO

(39)

Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób
fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane,
przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą
przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane
z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane
jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane
dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających
zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a
także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych
osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i
prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw
przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele
przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich
zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do
celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu
przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w
przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby
zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator
powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne
działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane
osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i

2
odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu
służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

(40)

Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby,
której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym
rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których
mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku
prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba,
której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed
zawarciem umowy.

(41)

W przypadku gdy w niniejszym rozporządzeniu jest mowa o podstawie prawnej lub akcie prawnym,
niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów
wynikających z porządku konstytucyjnego danego państwa członkowskiego. Taka podstawa prawna
lub taki akt prawny powinny być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im
podlegających - jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej
(zwanego dalej "Trybunałem Sprawiedliwości") i Europejskiego Trybunału Praw Człowieka.

(42)

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator
powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację
przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie
powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej
zakresu. Zgodnie z dyrektywą Rady 93/13/EWG 11) oświadczenie o wyrażeniu zgody przygotowane
przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i
prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było
świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz
zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za
dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie
może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

(43)

Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania
danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą,
której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i
dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we
wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna
na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to
stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy - w tym świadczenie usługi - mimo
że do jej wykonania zgoda nie jest niezbędna.

(44)

Przetwarzanie powinno być zgodne z prawem, jeżeli jest ono niezbędne w związku z zawarciem
umowy lub zamiarem zawarcia umowy.

3
(45)

Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega
administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym
lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii
lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego
indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że
dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z
obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do
wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy
publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania.
Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu
dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj
danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym
można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki
zapewniające zgodność z prawem i rzetelność przetwarzania. Prawo Unii lub prawo państwa
członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w
interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy
inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład
zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie
publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

(46)

Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest
niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub
innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą
przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie
da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno
ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład
gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich
rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w
przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.

(47)

Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym
administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle
rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem
nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie
uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni
rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba,
której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie
prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w
tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane
dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym
celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu
administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji,
w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego
przetwarzania. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych

4
osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien
mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w
ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa
dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania
oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie
danych osobowych do celów marketingu bezpośredniego.

(48)

Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem

centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach
grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania
danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady
przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu
się w państwie trzecim.

(49)

Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do

zapewnienia bezpieczeństwa sieci i informacji - tj. zapewnienia odporności sieci lub systemu
informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem
lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność
przechowywanych lub przesyłanych danych osobowych - oraz bezpieczeństwa związanych z nimi
usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły
reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające
bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług
w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa
dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci
łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu "odmowa
usługi", a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności
elektroniczne

(50)

Przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie
zebrane, powinno być dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane
osobowe zostały pierwotnie zebrane. W takim przypadku nie jest wymagana odrębna podstawa
prawna inna niż podstawa prawna, która umożliwiła zbieranie danych osobowych. Jeżeli
przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w
ramach sprawowania władzy publicznej powierzonej administratorowi, prawo Unii lub prawo państwa
członkowskiego mogą określać i precyzować zadania i cele, w których dalsze przetwarzanie powinno
być uznawane za zgodne z prawem i z pierwotnymi celami. Dalsze przetwarzanie do celów
archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów
statystycznych powinny być uznawane za operacje przetwarzania zgodne z prawem i z pierwotnymi
celami. Podstawa prawna przetwarzania danych osobowych przewidziana prawem Unii lub prawem
państwa członkowskiego może być również podstawą prawną dalszego przetwarzania. Aby ustalić,
czy cel dalszego przetwarzania danych osobowych jest zgodny z celem, w którym dane te zostały
pierwotnie zebrane, administrator - po spełnieniu wszystkich wymogów warunkujących zgodność
pierwotnego przetwarzania z prawem - powinien uwzględnić między innymi: wszelkie powiązania
pomiędzy tymi celami a celami zamierzonego dalszego przetwarzania; kontekst, w którym dane

5
osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane
dotyczą, oczekiwać dalszego wykorzystania danych oparte na rodzaju ich powiązania z
administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania
dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas
pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.

Jeżeli osoba, której dane dotyczą, wyraziła zgodę lub jeżeli przetwarzanie ma za podstawę prawo Unii
lub prawo państwa członkowskiego stanowiące w demokratycznym społeczeństwie niezbędny i
proporcjonalny środek, który zapewnia w szczególności realizację ważnych celów leżących w
ogólnym interesie publicznym, administrator powinien móc dokonać dalszego przetwarzania danych
osobowych, bez względu na jego zgodność z pierwotnymi celami. W każdym przypadku należy
zapewnić stosowanie zasad przewidzianych w niniejszym rozporządzeniu, w szczególności
stosowanie zasady informowania osoby, której dane dotyczą, o tych innych celach oraz o jej prawach,
w tym prawie do sprzeciwu. Wskazanie przez administratora ewentualnych czynów zabronionych czy
zagrożeń dla bezpieczeństwa publicznego oraz przesłanie w indywidualnym przypadku - lub w
różnych przypadkach związanych z tym samym czynem zabronionym lub zagrożeniem dla
bezpieczeństwa publicznego - odpowiednich danych osobowych właściwemu organowi należy uznać
za zrealizowanie przez administratora prawnie uzasadnionego interesu. Jednak takie przesłanie w
prawnie uzasadnionym interesie administratora lub dalsze przetwarzanie danych osobowych powinno
być zabronione, jeżeli jest niezgodne z prawnym, zawodowym lub innym wiążącym obowiązkiem
zachowania tajemnicy.

Komentarz M. Sakowska – Baryła

1. Cel i przedmiot przepisu. Rolą komentowanego przepisu jest sformułowanie podstaw prawnych
przetwarzania danych osobowych, czyli wskazanie sytuacji, w których dokonywanie operacji na
danych osobowych będzie dopuszczalne. W konsekwencji art. 6 ust. 1 obejmuje enumeratywne
wyszczególnienie materialnych przesłanek pozwalających na przetwarzanie wszystkich danych
osobowych, również dotyczących karalności (obejmujących informacje dotyczące wyroków
skazujących, czynów zabronionych i powiązanych środków bezpieczeństwa określonych w art. 10,
oczywiście z uwzględnieniem uwarunkowań określonych w tym przepisie), z wyłączeniem danych
osobowych określonych w art. 9 ust. 1 (czyli danych podlegających szczególnej ochronie prawnej).
Spełnienie choć jednej z przesłanek wymienionych w art. 6 ust. 1 przesądza o legalności
przetwarzania danych w świetle art. 5 lit. a, który statuuje zasadę zgodności przetwarzania z prawem.
Treść art. 6 koresponduje z motywem 40 preambuły RODO wskazującym, że aby przetwarzanie
danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą,
lub na innej uzasadnionej podstawie przewidzianej prawem albo w rozporządzeniu, albo w innym
akcie prawnym Unii lub w prawie państwa członkowskiego, w tym musi się ono odbywać z
poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem
umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby,
której dane dotyczą, przed zawarciem umowy. W konsekwencji do warunków prawnych
przetwarzania danych osobowych należą:

1)

zgoda podmiotu danych – "osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich
danych osobowych w jednym lub większej liczbie określonych celów" (art. 6 ust. 1 lit. a);

6
2)

wykonanie lub zawarcie umowy – "przetwarzanie jest niezbędne do wykonania umowy, której stroną
jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed
zawarciem umowy" (art. 6 ust. 1 lit. b);

3)

prawny obowiązek – "przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego

na administratorze" (art. 6 ust. 1 lit. c);

4)

ochrona żywotnych interesów – "przetwarzanie jest niezbędne do ochrony żywotnych interesów

osoby, której dane dotyczą, lub innej osoby fizycznej" (art. 6 ust. 1 lit. d);

5)

wykonywanie zadania publicznego lub władzy publicznej – "przetwarzanie jest niezbędne do

wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy
publicznej powierzonej administratorowi" (art. 6 ust. 1 lit. e);

6)

prawnie uzasadniony interes administratora lub strony trzeciej – "przetwarzanie jest niezbędne do
celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub
przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają
interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych
osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem" (art. 6 ust. 1 lit. f).

Nowością na gruncie komentowanego przepisu jest wyłączenie możliwości zastosowania przesłanki

uzasadnionego interesu administratora, wymienionej w art. 6 ust. 1 lit. f, w celu legalizacji
przetwarzania danych osobowych przez organy publiczne w ramach realizacji swoich zadań (szerzej
zob. M. Sakowska-Baryła, Przetwarzanie danych osobowych, s. 34 i n.). Wyłączenie tej podstawy
mogło rodzić trudności praktyczne z legalizacją przetwarzania danych osobowych w ramach
stosowanego powszechnie w urzędach obsługujących ograny publiczne monitoringu wizyjnego. W
systemie prawa krajowego bowiem brak kompleksowej regulacji dotyczącej monitoringu wizyjnego
(o bezskutecznych próbach wprowadzenia ustawy zob.: J. Jabłońska-Bonca, Prywatna ochrona, s. 345
i n.; M. Wróblewski, Podstawy prawne funkcjonowania monitoringu, s. 33 i n.). Niedostatek ten został
po części uzupełniony przez OchrDanychU, która wprowadziła odpowiednie podstawy stosowania
monitoringu wizyjnego, m.in. w art. 60c SamWojU, art. 4b SamPowU, art. 108a PrOśw, art. 5a
ZasZarzU). Poza tym ustawodawca zdecydował również o wprowadzeniu podstawy legalizującej
dopuszczalność stosowania wideonadzoru w art. 222 KP.

2. Kryterium niezbędności przetwarzania. W celu zalegalizowania przetwarzania danych osobowych

należy nie tylko wskazać jedną z przesłanek wymienionych art. 6 ust. 1; na administratorze spoczywa
obowiązek wykazania kryterium "niezbędności". Pojęcie to występuje wprost w treści podstaw
prawnych przetwarzania danych, wymienionych po przesłance zgody, czyli w art. 6 ust. 1 lit. b–f, a
zatem ściśle ogranicza okoliczności, w jakich mogą one mieć zastosowanie. W odniesieniu do
przetwarzania danych nieznajdującego oparcia w przesłance zgody wymóg niezbędności oznacza, że
administrator powinien stwierdzić rzeczywistą i racjonalną potrzebę przetwarzania danych,
uzasadniającą ingerencję w sferę prywatności osoby. Innymi słowy, powinien przeprowadzić swoiste
badanie niezbędności przetwarzania danych na podstawie wybranej przesłanki. Wkraczanie w sferę

7
prywatności osoby fizycznej powinno pozostawać w odpowiedniej proporcji do celów, których
ochrona uzasadnia dokonane ograniczenie. To, co mieści się w kryterium niezbędności, należy ustalać
w każdym konkretnym przypadku, z uwzględnieniem celu, potrzeb i kontekstu przetwarzania danych
osobowych. Względy obrotu gospodarczego przemawiają zatem za ujmowaniem kryterium
niezbędności w rozsądnych granicach, aby zbyt rygorystyczne ujęcie nie stanowiło przeszkody w
prowadzeniu działalności, wykonaniu umowy czy konieczności ochrony żywotnych interesów
człowieka. Przeciwko wąskiemu rozumieniu tej przesłanki przemawia brzmienie motywu 39
preambuły, z którego wynika, że dane osobowe powinny być przetwarzane w sytuacjach, gdy celu
przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Poza tym nie bez znaczenia
jest treść motywu 4, wskazującego, że prawo do ochrony danych osobowych nie jest prawem
bezwzględnym i należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem
innych praw podstawowych w myśl zasady proporcjonalności.

3. Charakter prawny przesłanek przetwarzania danych. Przesłanki legalizujące przetwarzanie mają

charakter autonomiczny i niezależny. W konsekwencji prawidłowe wskazanie przez administratora
jednej z nich uznaje się za całkowicie wystarczające dla legalizacji operacji przetwarzania danych.
Wystarczy zatem wystąpienie jednej z nich, aby przetwarzanie danych stało się prawnie dozwolone
(w tym zakresie zachowują ważność poglądy wyrażone w doktrynie i judykaturze na gruncie art. 23
OchrDanychU16; por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, 2015, s. 472;
P. Litwiński, Publicznoprawna ochrona, s. 512 i n.; M. Sakowska-Baryła, Przesłanki dopuszczalności
przetwarzania, s. 10 i n.; M. Sakowska-Baryła, Prawo do ochrony danych osobowych, s. 224 i n.; wyr.
WSA w Warszawie: z 11.12.2005 r., II SA/Wa 917/05, Legalis; z 31.3.2006 r., II SA/Wa 2395/04,
Legalis; z 27.11.2008 r., II SA/Wa 903/08, Legalis). Administrator powinien zasadniczo uprzednio
wskazać przesłankę, na podstawie której będzie dokonywał przetwarzania danych, czyli przed
rozpoczęciem tych czynności. Wniosek taki wynika z analizy treści przepisów określających treść
obowiązków informacyjnych. Artykuł 13 ust. 1 lit. c wymaga, by administrator podczas pozyskiwania
danych poinformował osoby, których dane dotyczą, o podstawie prawnej przetwarzania. Z kolei z
dyspozycji art. 13 ust. 1 lit. d wynika, iż administrator ma obowiązek poinformowania ich o prawnie
uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią, jeśli
przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f. Podobne obowiązki na administratorów
nakłada odpowiednio art. 14 ust. 1 lit. c oraz ust. 2 lit. b. Komentowany przepis nie wprowadza
hierarchiczności w katalogu przesłanek legalizujących przetwarzanie. Są one równoprawne w tym
sensie, że każdej przysługuje taka sama moc legalizacji przetwarzania danych, przy czym jedna
przesłanka przetwarzania danych nie powinna być przez administratora traktowana jako podstawa
legalizacyjna wszystkich danych znajdujących się w jego gestii w świetle wymagań stawianych przez
art. 5. Natomiast wydaje się, że zachowają na gruncie RODO aktualność poglądy wyrażane w
poprzednim stanie prawnym, zgodnie z którymi przesłankę niezbędności przetwarzania dla celu
realizacji obowiązku wynikającego z przepisu prawa należy stosować jednak przed innymi
przesłankami (tak na gruncie OchrDanychU16 m.in. W. Zimny, Przesłanki legalizujące, s. 5 i n.).

4. Zgoda osoby, której dane dotyczą. Pierwszą przesłankę legalizującą przetwarzanie danych
osobowych stanowi zgoda wyrażona przez osobę, której dane dotyczą. Zgodnie z treścią art. 6 ust. 1
lit. a dopuszczalne jest przetwarzanie danych, jeśli osoba, której dane dotyczą, wyraziła zgodę na
przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Pojęcie
zgody zostało sformułowane w art. 4 pkt 11, warunki prawidłowości wyrażonej zgody określono w
art. 7, natomiast warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa

8
informacyjnego wskazano w art. 8. Poza tym zgoda, z zastrzeżeniem jej wyraźności, została
wymieniona jako przesłanka legalności przetwarzania danych podlegających szczególnej ochronie
prawnej w art. 9 ust. 2 lit. a, oraz w przepisie dotyczącym profilowania – art. 22 ust. 2 lit. c, a także
przy formułowaniu warunków przesyłania danych do państwa trzeciego – art. 49 ust. 1 lit. a.

5. Relacja przesłanki zgody do innych podstaw przetwarzania. W literaturze w sposób szczególny

traktuje się przesłankę zgody, wskazując, że sam prawodawca ją eksponuje zwykle na pierwszym
miejscu w regulacjach dotyczących podstaw przetwarzania (zarówno w RODO – art. 6 ust. 1 lit. a, art.
9 ust. 2 lit. a, jak i na gruncie OchrDanychU16 – art. 23 ust. 1 pkt 1 i 27 ust. 2 pkt 1). Zgoda jest
interpretowana jako najsilniejszy przejaw autonomii informacyjnej osoby fizycznej, ponieważ
pozwala jednostce na samodzielną decyzję dotyczącą określenia sfery dostępności dla innych
informacji o sobie. Stąd przyznanie podstawowego znaczenia przesłance zgody osoby
zainteresowanej na udostępnianie informacji (zob. wyr. TK: z 20.11.2002 r., K 41/02, OTK-A 2002, Nr
6, poz. 83; z 13.12.2011 r., K 33/08, OTK-A 2011, Nr 10, poz. 116). Autonomia informacyjna,
rozumiana jako prawo do decydowania o ujawnianiu innym informacji dotyczących swojej osoby oraz
do sprawowania kontroli nad tymi informacjami, stanowi komponent prawa do prywatności (zob.
ugruntowane poglądy doktryny: S.D. Warren, L.D. Brandeis, The Right to Privacy; M. Safjan, Prawo do
prywatności; J. Wawrzyniak, Prawo do prywatności). Relację przesłanki zgody do pozostałych
podstaw prawnych przetwarzania danych rozważała również Grupa Robocza Art. 29 [Opinia 15/2011
w sprawie definicji zgody (WP 187), która na gruncie dyrektywy 95/46/WE podkreśliła, że zgoda nie
jest jedyną podstawą prawną przetwarzania danych, ale jednocześnie wskazała na fakt, że kolejność
przesłanek w art. 7 dyrektywy 95/46/WE nie jest obojętna. Z jednej strony, Grupa wskazuje na
wyjątkowy charakter zgody (wynikający z faktu, że zgoda to podstawowy instrument informacyjnego
samostanowienia przez jednostkę), z drugiej – zwraca uwagę, że zgoda nie nadaje się jako podstawa
prawna każdego przetwarzania danych. Uzyskanie zgody nie zwalnia również administratora z innych
obowiązków przewidzianych przepisami dyrektywy 95/46/WE (szersze omówienie: A. Mednis, Cechy
zgody, Legalis). Natomiast należy podkreślić, że zgoda na gruncie art. 6 ust. 1 RODO nie powinna być
traktowana w sposób uprzywilejowany w stosunku do pozostałych podstaw legalizujący
przetwarzanie, w szczególności nie posiada nadrzędnego charakteru (słusznie M. Mazewski, Prawo
do wyrażenia, s. 50 i n.). W praktyce administratorowi w konkretnych okolicznościach przysługiwać
może więcej niż jedna przesłanka legalizacyjna. Najczęściej chodzi o pozyskaną zgodę w sytuacji, gdy
administrator już dysponuje inną podstawą przetwarzania, np. służy mu prawnie uzasadniony interes
bądź zawarta umowa. Zbieranie zgód "na wszelki wypadek" nie powinno mieć miejsca z uwagi na
wywołanie u podmiotu danych iluzorycznego przekonania o skuteczności odwołania zgody, choć
administrator oprze proces przetwarzania na innej przesłance, którą dysponuje. W praktyce nie jest
zupełnie obojętne, na jakiej przesłance zostało oparte przetwarzanie, ponieważ rzutuje to na zakres
uprawnień podmiotów danych oraz obowiązków spoczywających na administratorze. Przykładowo,
realizacja prawa do wyrażenia sprzeciwu jest możliwa wyłącznie wówczas, gdy operacje
przetwarzania znalazły oparcie na podstawie prawnie uzasadnionego interesu lub wykonania zadania
realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi.

6. Cele przetwarzania. Treść przesłanki wskazuje, że prawidłowe wrażenie zgody na przetwarzanie

danych osobowych wymaga wskazania celu lub celów przetwarzania. Konkretyzacja celu jest nie tylko
przesłanką zgody, ale przede wszystkim realizacją sformułowanej art. 5 ust. 1 lit. b zasady związania
celem. W motywie 32 wyjaśniono, że zgoda powinna dotyczyć wszystkich czynności przetwarzania

9
dokonywanych w tym samym celu lub w tych samych celach, natomiast jeżeli przetwarzanie służy
różnym celom, potrzebna jest zgoda na wszystkie te cele. Przepis posługuje się pojęciem "czynności
przetwarzania", które nie zostało wyjaśnione na gruncie RODO. Pojawia się w treści motywu 97, który
pozwala na wyodrębnienie pojęcia "czynności głównych" oraz "czynności pobocznych" przetwarzania
danych. Czynności mogą mieć również charakter czysto osobisty, domowy bądź związany z
prowadzoną działalnością gospodarczą (por. art. 2 RODO). Na gruncie analizowanego przepisu
wydaje się, że chodzi o konkretne działania podejmowane na danych w ramach każdego z celów.
Jeżeli celem byłoby więc przesyłanie informacji handlowej drogą elektroniczną, to czynnością
przetwarzania byłoby pozyskiwanie, odczytywanie, utrwalanie, przesyłanie oraz modyfikowanie
danych osobowych w tym celu. W tym zakresie można by uznać, że w ramach każdego z celów
przetwarzania danych mamy najczęściej do czynienia z co najmniej dwoma czynnościami, jak
pozyskanie oraz odczytanie danych osobowych [tak: P. Litwiński (red.), Rozporządzenie UE,
komentarz do art. 6].

7. Forma zgody. Zgoda może być wyrażona w dowolnej formie – przepisy RODO nie wprowadzają
żadnych wymogów formalnych w odniesieniu do wyrażenia zgody w postaci oświadczenia bądź w
postaci wyraźnego działania potwierdzającego. Natomiast wprowadzanie pewnych wymagań
dotyczących formy lub sposobu wyrażenia zgody może być wynikiem związania zasadą rozliczalności
(art. 5 ust. 2), która niesie obowiązek wykazania, że zgoda została wyrażona, oraz konsekwencją
rozłożenia ciężaru dowodu, który zgodnie z art. 7 ust. 1 spoczywa na administratorze. Administrator
zatem będzie dążył do pozyskania zgody w takiej postaci bądź formie, która pozwoli na jej
udokumentowanie. Zważywszy jednak na definicję zgody, wydaje się, że bezwzględny wymóg np.
pisemności zgody postawiony przez administratora podmiotowi danych dla celów dowodowych nie
będzie wiążący. Stąd zgodę można wyrazić poprzez odznaczenie checkboxa, wybór ustawień
technicznych, nagranie rozmowy telefonicznej itd. Jednakże brak działania ze strony podmiotu
danych, np. brak reakcji na e-mail z zapytaniem o wyrażenie zgody, nawet jeśli może być poczytany
za milczącą zgodę (zgodę domyślną), nie będzie na gruncie RODO zgodą skuteczną. Zgoda domyślna
nie spełnia bowiem co najmniej kryterium jednoznaczności.

8. Inne warunki wyrażenia zgody. Jak już wspomniano, wyrażenie zgody musi mieć charakter
uprzedni w stosunku do rozpoczęcia przetwarzania danych przez administratora. Warunek ten
dotyczy również przypadku zmiany celu przez administratora w trakcie przetwarzania. Wyrażona
zgoda na przetwarzanie danych może być objęta pewnymi ograniczeniami dotyczącymi czasu, na
który została złożona, zakresu terytorialnego bądź zakładanego zakresu danych, np. danych
osobowych obejmujących e-mail bądź telefon dla realizacji określonego celu. Poza tym zgoda ma
charakter odwoływalny w każdym czasie na podstawie art. 7 ust. 3. Odwołanie zgody powinno być
tak samo łatwe, jak jej udzielenie.

9. Ważność zgód uzyskanych na podstawie przepisów krajowych. Przepisy RODO nie zawierają
przepisów przejściowych dotyczących oceny ważności zgody uzyskanej na podstawie stanu prawnego
obowiązującego do 25.5.2018 r. Po tej dacie może powstać stan niepewności prawnej, ponieważ
administratorzy stykają się z problemem oceny dopuszczalności kontynuacji procesu przetwarzania
danych osobowych na podstawie przesłanki zgody od dnia stosowania RODO. Można podjąć próbę
rozwiązania problemu ważności zgód na podstawie treści motywu 171, zgodnie z którym
przetwarzanie, które w dniu rozpoczęcia stosowania rozporządzenia już się toczy, powinno w

10
terminie 2 lat od wejścia rozporządzenia w życie zostać dostosowane do jego przepisów, jednakże
jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą,
nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom
RODO. W praktyce zatem administrator opierający proces przetwarzania na podstawie zgody musi ją
ocenić pod względem wymagań określonych w przepisach art. 4 pkt 11, art. 6 ust. 1 lit. a i art. 9 ust. 2
lit. a w zw. z art. 7 oraz 9 ust. 2 lit. a. Można przypuszczać, że w większości ocena ta wskaże na
niedostatki materialne wyrażonych zgód, w szczególności w zakresie jednoznaczności zgody bądź
świadomości jej odwołania w każdym czasie.

10. Zgoda wyrażana przez dziecko. Prawodawca unijny uwzględnił możliwość samodzielnego
wyrażenia zgody na przetwarzanie danych osobowych związanych z realizacją usług społeczeństwa
informacyjnego przez dziecko, które ukończyło 16 rok życia. Z kolei, jeżeli dziecko nie ukończyło 16
lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub
zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w
zakresie wyrażonej zgody. Państwa członkowskie mogą przewidzieć w swoim prawie niższą granicę
wiekową, która musi wynosić co najmniej 13 lat (szerzej zob. komentarz do art. 8).

11. Niezbędność przetwarzania dla realizacji umowy. Komentowany przepis przewiduje, że

przetwarzanie jest zgodne z prawem w takim zakresie, w jakim jest niezbędne do wykonania umowy,
której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane
dotyczą, przed zawarciem umowy. To przesłanka podobna do wynikającej z art. 23 ust. 1 pkt 3
OchrDanychU16, która przewidywała, że przetwarzanie danych jest dopuszczalne, gdy jest to
konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to
niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
Oznacza to, że analogicznie, jak to miało miejsce pod rządami OchrDanychU16, komentowany przepis
legalizuje przetwarzanie danych w dwóch sytuacjach nieodłącznie związanych ze stosunkiem
umownym:

1) gdy przetwarzanie jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą,
przed zawarciem umowy lub

2) gdy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane
dotyczą.

Legalizacja przetwarzania danych w takich przypadkach wydaje się naturalną koleją rzeczy, ponieważ
źródłem, a jednocześnie i celem przetwarzania danych pozostaje nawiązanie i realizacja stosunku
umownego pomiędzy osobą, której dane dotyczą, a podmiotem, który takimi danymi musi
dysponować w ramach tego stosunku i właśnie ze względu na jego istnienie. Zakres przetwarzania
danych, a często i sposób, w jaki się to odbywa, w znacznej mierze uzależnione są od przedmiotu
świadczenia, kontekstu, ale także przepisów prawa odnoszących się do danego rodzaju stosunku
umownego. Nadto rzadko jest tak, że umowa zawierana z osobą, której dane dotyczą, pozostaje w
oderwaniu od szeregu obowiązków wynikających z przepisów prawa, które immanentnie są z taką
umową związane, a jednocześnie wiążą się z przetwarzaniem danych osobowych. Chodzi tu chociażby
o obowiązki podatkowe czy wynikające z przepisów o ubezpieczeniach społecznych. Tym bardziej na
odnotowanie zasługuje treść motywu 40 RODO (in fine), w którym wskazuje się, że aby przetwarzanie
danych było zgodne z prawem, powinno odbywać się z poszanowaniem umowy, której stroną jest
osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed

11
zawarciem umowy. W owo poszanowanie umowy wpisana jest konieczność dokonywania ustaleń co
do dopuszczalności przetwarzania danych osobowych z uwzględnieniem istoty i charakteru
konkretnego stosunku umownego, zamiaru stron oraz okoliczności, w jakich umowa jest zawierana i
wykonywana. Wszystko to ma bowiem wpływ na zakres danych osobowych przetwarzanych przy
zawieraniu i realizacji umowy.

12. Aspekt podmiotowy. Z komentowanego przepisu nie wynika wprost, komu przepis ten zapewnia
legalne przetwarzanie, gdy odbywa się ono w takim zakresie, w jakim jest niezbędne do wykonania
umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby,
której dane dotyczą, przed zawarciem umowy. W art. 6 ust. 1 lit. b RODO wprost wymieniono
bowiem wyłącznie osobę, której dane dotyczą, jako stronę lub potencjalną stronę umowy, a więc
osobę żądającą jej zawarcia. Nie powinno jednak być kwestionowane, że tak określona przesłanka
legalizuje przetwarzanie danych osobowych przez administratora. Wynika to z ogólnego założenia
przyjętego w definicji zawartej w art. 4 pkt 7 RODO, wskazującej, iż administrator to podmiot
decydujący o celach i sposobach przetwarzania danych, a w związku z relacją umowną, o jakiej tu
mowa, to właśnie ten podmiot co do zasady decyduje o celach i sposobach przetwarzania przy
realizacji umowy. Ponadto to właśnie administrator jest zawsze podmiotem domyślnie
zobowiązanym na gruncie RODO, co ma miejsce także w braku jego bezpośredniego wskazania w
komentowanym przepisie (zob. szerzej komentarz do art. 4 pkt 7 RODO). Nie można także wykluczyć,
że po stronie zobowiązanej do ochrony w praktyce pojawią się współadministratorzy w rozumieniu
art. 26 RODO i to oni wespół będą musieli wykazywać działanie w ramach analizowanej tu przesłanki
legalizującej przetwarzanie danych osobowych. Jednocześnie pamiętać należy, że w ramach
przesłanki wynikającej z art. 6 ust. 1 lit. b RODO w imieniu i na rzecz administratora przetwarzania
danych osobowych dokonywać może podmiot przetwarzający, jednak stroną umowy, o której mowa
w komentowanym przepisie, będzie administrator, a nie przetwarzający. W art. 6 ust. 1 lit. b RODO
wyraźnie mowa o osobie, której dane dotyczą, jako o stronie umowy lub takiej, która żąda jej
zawarcia. Oznacza to, że tak określona przesłanka legalizująca czyni dopuszczalne przetwarzanie
wyłącznie danych takiej osoby, która zawarła lub żąda zawarcia umowy z administratorem. Tak więc
dla zastosowania art. 6 ust. 1 lit. b osoba, której dane dotyczą, musi być stroną umowy, co oznacza,
że zakres tego przepisu nie obejmuje przetwarzania danych osobowych innych osób, które nie są
stronami umowy, choć umowa może dotyczyć ich szeroko pojmowanych interesów. Można tu
zwrócić uwagę choćby na przetwarzanie danych osób, które objęte są działaniem umowy o
świadczenie na rzecz osoby trzeciej, której konstrukcja wynika z art. 393 KC. Poprzez jej zawarcie
będąca stroną umowy osoba, której dane dotyczą, może umówić się z drugą stroną –
administratorem na gruncie RODO – że spełni on świadczenie na rzecz osoby trzeciej bliżej
oznaczonej w umowie. Oznacza to, że w takim przypadku administrator będzie nie tylko przetwarzał
dane osobowe tej osoby fizycznej, z którą umowę zawarł, ale również innej osoby, na rzecz której ma
obowiązek świadczyć, ale z którą umowy nie zawierał.

13. Osoby reprezentujące osoby prawne i zaangażowane w realizację umowy. Nie jest zatem
zasadne powoływanie się na "przesłankę wykonania umowy" wówczas, gdy wynikające z umowy
przetwarzanie danych faktycznie dotyczy nie danych osobowych strony takiego stosunku prawnego,
ale innych osób. Tymczasem często już w samej treści umowy wskazuje się osoby odpowiedzialne za
jej realizację po obu stronach poprzez zamieszczenie w jej treści ich imion, nazwisk, danych
kontaktowych, często wraz z określeniem stanowisk lub pełnionych funkcji. Bywa też, że informacje o
takich osobach przekazywane są później – już na etapie wykonania umowy – i w żadnym razie nie

12
mamy tu do czynienia z przetwarzaniem danych osoby, na której żądanie umowa została zawarta, lub
która jest jej stroną. Podobnie rzecz się ma z danymi osobowymi osób fizycznych reprezentujących
osoby prawne i jednostki organizacyjne niemające osobowości prawnej przy zawieraniu umów.
Trzeba przecież brać pod uwagę, że tylko człowiek może "działać" w sensie fizycznym, stąd osoba
prawna (jednostka organizacyjna niemająca osobowości prawnej) musi być "zastępowana" przez
"działających" (w znaczeniu fizycznym) ludzi, którzy funkcjonują w sferze praw i obowiązków osoby
prawnej. W konstrukcji osoby prawnej muszą być określone reguły, które pozwalają ustalać, jakie
działania, których ludzi i w jakich okolicznościach liczą się w stosunkach prawnych jako działania
takiej osoby prawnej [G. Gorczyński, w: Kodeks cywilny, t. I, red. M. Fras, M. Habdas, komentarz do
art. 38, teza 1]. Tak więc, zgodnie z art. 38 KC, osoba prawna działa przez swoje organy w sposób
przewidziany w ustawie i w opartym na niej statucie, a funkcje w ramach tych organów zawsze
sprawują osoby fizyczne, tyle że na gruncie prawa ochrony danych osobowych nie sposób zrównać
działania tych osób w związku z zawieraniem umów w imieniu i na rzecz osoby prawnej z działaniem
osoby fizycznej, która w imieniu własnym i na własną rzecz żąda zawarcia umowy lub ją wykonuje, a
jej danymi druga strona (administrator) dysponuje na podstawie art. 6 ust. 1 lit. b RODO. Na tym tle
zasadne wydaje się przyjmować, że przetwarzanie danych osobowych osób fizycznych
reprezentujących osoby prawne i inne jednostki organizacyjne, a także osób, które w imieniu swoich
mocodawców uczestniczą w wykonywaniu umów, będąc odpowiedzialnymi za ich realizację lub
kontakt z kontrahentem, stanowi przetwarzanie niezbędne do celów wynikających z prawnie
uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – zgodnie z art.
6 ust. 1 lit. f RODO.

14. Przedstawicielstwo. Przesłanka, o której mowa w art. 6 ust. 1 lit. b RODO, ma zastosowanie do
przetwarzania danych osobowych osoby będącej stroną umowy lub potencjalną stroną umowy, gdy
ta ma być zawarta na jej żądanie, stąd swym zakresem nie będzie obejmować przetwarzania danych
osobowych osób fizycznych działających na rzecz i w imieniu innej osoby fizycznej w ramach
przedstawicielstwa uregulowanego w art. 95 i n. KC. Zasadniczo bowiem czynności prawnej można
dokonać przez przedstawiciela, przy czym umocowanie do działania w cudzym imieniu może opierać
się na ustawie (przedstawicielstwo ustawowe) albo na oświadczeniu reprezentowanego
(pełnomocnictwo) i przetwarzanie ich danych osobowych w związku z działaniem przy zawieraniu
umowy w imieniu i na rzecz osoby reprezentowanej nie jest objęte zakresem art. 6 ust. 1 lit. b, ale
odbywa się na podstawie art. 6 ust. 1 lit. f RODO. Analogicznie rzecz się ma z przetwarzaniem danych
osobowych przedstawiciela ustawowego osoby ograniczonej w zdolności do czynności prawnych w
związku z wyrażaniem przez nią zgody na dokonanie czynności prawnej, w na tym zawarcie umowy z
administratorem, bez której czynność jest nieważna (art. 17 KC).

15. Jednostronne czynności prawne. Należy podzielić zapatrywanie wyrażone w literaturze, iż

komentowany art. 6 ust. 1 lit. b RODO nie ma zastosowania do jednostronnych czynności prawnych,
a jeśli przy ich okazji dochodzi do przetwarzania danych przez administratora, znajdować powinno
ono oparcie w przesłance prawnie uzasadnionego interesu z art. 6 ust. 1 lit. f RODO (zob. W.
Chomiczewski, D. Lubasz, w: Bielak-Jomaa, Lubasz, RODO, komentarz do art. 6, teza 4).

16. Podjęcie działań przed zawarciem umowy. Komentowany przepis nie odnosi się do wszelkich
działań administratora z wykorzystaniem danych osobowych, które mógłby podejmować, a
częstokroć podejmuje przed zawarciem umowy, a tylko takich, które noszą następujące cechy:

13
1) są działaniami podejmowanymi na żądanie osoby, której dane dotyczą;

2) z osobą, której dane dotyczą, ma być zawarta umowa;

3) są niezbędne do zawarcia umowy z osobą, której dane dotyczą.

Analizowana przesłanka nie pozwala zatem na przetwarzanie danych osobowych w szeroko

pojmowanych celach marketingowych administratora, które mają zainteresować osobę, której dane
dotyczą, jego ofertą oraz zachęcić do zawarcia umowy (szerzej zob. K. Reszczyk-Król, Prawne granice
przetwarzania). To przesłanka, której zastosowanie jest aktualne wówczas, gdy umowa ma być
zawarta na żądanie osoby, której dane dotyczą, a więc w praktyce to ona sygnalizuje
administratorowi swoje zainteresowanie zawarciem określonej umowy, niezależnie od tego, co ma
być przedmiotem świadczenia. Rzecz jasna propozycja ta może być konsekwencją wcześniejszych
zachowań drugiej strony. Może być np. efektem działań promocyjnych administratora (bądź
podmiotów działających na jego rzecz), także tych imiennie skierowanych do osoby, której dane
dotyczą. Niemniej to ta osoba właśnie musi wyrazić chęć zawarcia umowy, a omawiana tu przesłanka
znajdzie zastosowanie dopiero na etapie czynności przygotowawczych do zawarcia umowy, a nie
wcześniejszych działań marketingowych, gdzie przetwarzanie danych wymagać będzie legitymowania
się inną przesłanką. W literaturze wskazuje się, że w tym przypadku wystarczające pozostaje
stanowcze zamanifestowanie przez osobę, której dane dotyczą, chęci zawarcia umowy i nie jest tu
wymagane złożenie przez taką osobę oferty w rozumieniu przepisów KC. Niewątpliwie może być też i
tak, że żądanie zawarcia umowy, o którym tu mowa, będzie odpowiedzią osoby fizycznej na
propozycję zawarcia umowy kierowaną do danej osoby przez administratora, który na etapie jej
formułowania i komunikowania wcale nie musi znać danych osobowych tej osoby, a co za tym idzie
ich nie przetwarza [zob. P. Litwiński (red.), Rozporządzenie UE, s. 294; A. Drozd, Ustawa o ochronie
danych osobowych, 2008, teza 4).

17. Zawarcie umowy. W literaturze wskazuje się, że pojęcie "zawarcie umowy" występuje w
dwojakim znaczeniu. Od strony proceduralnej zawarcie umowy jest tożsame z wypełnieniem trybu
zawiązania stosunku prawnego określonego w przepisach prawa lub przez same strony (tryb
ofertowy, negocjacje, przetarg, aukcja). W znaczeniu materialnym natomiast sprowadza się do
porozumienia (konsensu) stron co do wywołania zamierzonych przez nie skutków prawnych w drodze
złożenia zgodnych oświadczeń woli przez co najmniej dwie strony (M. Jasiakiewicz, K. Oplustil,
Zawarcie umowy, s. 136–137). Komentowany przepis stanowi o przetwarzaniu niezbędnym do
podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, co oznacza, że
dopuszczalne jest korzystanie z danych osobowych na etapie przygotowawczym, gdy potencjalne
strony umowy wymieniają się informacjami w celu bliższego poznania oferty lub przygotowania
zindywidualizowanej oferty dla konkretnego klienta, przeprowadzenia negocjacji, przesłania
dodatkowych informacji na temat oferowanego produktu czy usługi, gdy dokonują wzajemnego
zweryfikowania tożsamości i spełnienia kryteriów wymaganych przy zawarciu danego rodzaju
umowy, gdy sprawdzają informacje w rejestrach publicznych (np. w elektronicznej księdze
wieczystej), gdy utrzymują kontakt mailowy lub telefoniczny. Nie każda przecież umowa należy do
umów powszechnie zawieranych w drobnych bieżących sprawach życia codziennego, które nie
wymagają uzyskiwania wiedzy co do tożsamości osoby, na rzecz której się świadczy. Natomiast
wszędzie tam, gdzie na podstawie ustawy lub dla celów dowodowych umowa ma formę pisemną,
dokumentową albo elektroniczną, a także gdy dla umowy zastrzeżona jest forma szczególna (np.
forma aktu notarialnego), niezbędne jest przetwarzanie danych osobowych, a przed jej zawarciem
zgromadzenie odpowiednich informacji lub dokumentów obejmujących dane osobowe i w tych
sytuacjach – zgodnie z komentowanym przepisem – przetwarzanie jest dopuszczalne. Chodzi jednak

14
o przetwarzanie niezbędne dla tak określonego celu. Analizowany przepis nie usprawiedliwia
przetwarzania danych, jeśli zawarcie umowy nie wymaga takich danych lub tego rodzaju danych.

Za uprawnione należy jednocześnie uznać przetwarzanie dokonywane na żądanie osoby, której dane
dotyczą, przed zawarciem umowy także wówczas, gdy finalnie nie dochodzi do jej zawarcia. Jak
bowiem wskazuje się w motywie 44 RODO, przetwarzanie powinno być zgodne z prawem, jeżeli jest
ono niezbędne w związku z zawarciem umowy lub zamiarem zawarcia umowy, przy czym trudno
kwestionować zamiar zawarcia umowy tylko dlatego, że ostatecznie umowy nie zawarto. W tym
przypadku jednak istotny pozostaje aspekt czasowy takiego przetwarzania. Jak bowiem wynika z
treści art. 5 ust. 1 lit. e RODO, dane osobowe muszą być przechowywane w formie umożliwiającej
identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w
których dane te są przetwarzane. Zatem z uwagi na tak określoną zasadę ograniczenia
przechowywania administrator zobowiązany jest dokonać starannych ustaleń, jak długo dopuszczalne
jest w danym przypadku przechowywanie danych osoby, z którą umowa nie została zawarta.

18. Wykonanie umowy. Na podstawie komentowanego przepisu przetwarzanie danych jest zgodne z
prawem, jeśli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą. To
podstawa przetwarzania w przypadkach, gdy doszło już do zawarcia umowy pomiędzy
administratorem a osobą, której dane dotyczą. Przez wykonanie umowy należy rozumieć wykonanie
stosunku prawnego, w tym także stosunku zobowiązaniowego. Przy czym – jak wskazuje się w
piśmiennictwie – chodzi tu o zachowanie się zgodnie z treścią stosunku zobowiązaniowego
ukształtowanego przez strony, jak i w przepisach prawa, a także zasady współżycia społecznego,
normy prawa i zwyczaje z uwzględnieniem tej okoliczności, że strony konkretnego stosunku
zobowiązaniowego często zobowiązane są do spełnienia nie jednego (jednorazowego) świadczenia,
ale kilku świadczeń (okresowych, sukcesywnych) albo spełnienia świadczenia ciągłego przez pewien
oznaczony z góry lub nieoznaczony czas, a przy zobowiązaniach wzajemnych świadczenia występują
po każdej ze stron, które w celu ich spełnienia są zobowiązane podejmować różne działania, w tym te
wymagające przetwarzania danych osobowych. Działania te nie zawsze są wyraźnie określone w
umowie czy w przepisach prawa. Część działań natomiast ma charakter fundamentalny dla spełnienia
świadczenia, część natomiast ma charakter akcesoryjny (zob. A. Klein, Wykonanie umów, s. 245).
Należy więc przyjąć, że o ile przetwarzanie danych jest niezbędne do tak określonych czynności
składających się na wykonanie umowy, pozostaje ono zgodne z prawem. Jednocześnie należy
przychylić się do poglądu wyrażonego w literaturze, że zakresem komentowanego przepisu objąć
należy także przetwarzanie danych osobowych odbywające się przy okazji zmiany treści umowy
łączącej strony czy w związku z jej rozwiązaniem (zob. W. Chomiczewski, D. Lubasz, w: Bielak-Jomaa,
Lubasz, RODO, komentarz do art. 6, teza 6). Przyjmując tę szeroką interpretację celowościową,
należałby uznać, że analizowana przesłanka może stanowić usprawiedliwienie przetwarzania także w
przypadku odstąpienia od umowy (odmiennie zob. W. Chomiczewski, D. Lubasz, w: Bielak-Jomaa,
Lubasz, RODO, komentarz do art. 6, teza 9).

19. Niezbędność przetwarzania. W analizowanym przepisie mowa o przetwarzaniu niezbędnym do

wykonania umowy. Należy przyjąć, że owa "niezbędność" powinna dotyczyć zarówno zakresu danych
osobowych, którymi dysponuje się przed zawarciem umowy lub przy jej wykonaniu, jak i zakresu
wykonywanych operacji przetwarzania. Zapatrywanie to ma oparcie nie tylko w art. 6 ust. 1 lit. b, ale i
w treści art. 5 ust. 1 lit. c statuującego zasadę minimalizacji danych, z którą koresponduje zalecenie
zawarte w motywie 39 RODO, w którym wskazano, że dane osobowe powinny być adekwatne,

15
stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane, a także
przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć
innymi sposobami. Przetwarzanie danych w celu wykonania umowy nie powinno być przy tym okazją
dla administratora do przetwarzania przy tej sposobności danych w szerszym zakresie i w ramach
szerzej zakrojonych operacji niż wynika to z owego celu, chyba że jednocześnie administrator jest w
stanie wykazać spełnienie innej przesłanki dopuszczalności przetwarzania. Niemniej takie rozszerzone
przetwarzanie, w tym jego cele, powinno być znane podmiotowi danych, jako że wszelkie
przetwarzanie danych osobowych powinno być przejrzyste dla osób fizycznych. Osoby te powinny
bowiem wiedzieć, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w
inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane (art. 5
ust. 1 lit. a RODO oraz motyw 39). Nie sposób określić żadnego katalogu danych osobowych ani też
operacji przetwarzania, które uznać by można za niezbędne do wykonania umowy lub do podjęcia
działań przed zawarciem umowy. Na tym tle aktualność zachowują ustalenia judykatury poczynione
pod rządami art. 23 ust. 1 pkt 3 OchrDanychU16, który formułował podobną przesłankę (zob. wyr.
NSA z 13.7.2004 r., OSK 420/04, Leglis; wyr. WSA we Wrocławiu z 2.10.2009 r., I SA/Wr 945/09,
Legalis; wyr. WSA w Warszawie z 27.2.2004 r., II SA 291/03, Legalis; wyr. WSA w Warszawie z
29.7.2010 r., II SA/Wa 539/10, Legalis).

20. Niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze.

Zgodnie z art. 6 ust. 1 lit. c przetwarzanie jest zgodne z prawem, gdy jest ono niezbędne do
wypełnienia obowiązku prawnego ciążącego na administratorze. Podstawa prawna przetwarzania
danych, zgodnie z art. 6 ust. 3, musi być określona w prawie Unii Europejskiej lub w prawie państwa
członkowskiego, któremu podlega administrator. Tak sformułowane przepisy wykluczają możliwość
oparcia przetwarzania na realizacji zaciągniętego zobowiązania. Poza tym przepis wspomina jedynie o
obowiązku prawnym, nie przewidując w tym zakresie realizacji uprawnienia przewidzianego
przepisem prawa, co ogranicza zakres stosowania wskazanej przesłanki. Przepis art. 6 ust. 1 lit. c
samodzielnie nie stanowi podstawy legalizacyjnej przetwarzania, należy bowiem go odnieść do
odpowiedniego przepisu prawa, któremu podlega administrator, zazwyczaj będzie to przepis prawa
krajowego, choć w rachubę mogą tu wchodzić także przepisy prawa unijnego. W praktyce mogą to
być także przepisy RODO, które nakładają na administratora szereg obowiązków, z którymi musi
wiązać się przetwarzanie danych osobowych. Można tu wskazać choćby na obowiązki, które
pojawiają się przy:

1) realizacji praw osób, których dane dotyczą, związane z ustaleniem tożsamości osoby żądającej
realizacji uprawnienia;

2) adekwatnym umocowaniem personelu administratora do przetwarzania, w tym z upoważnianiem i

poleceniem przetwarzania oraz zobowiązaniem do zachowania odpowiedniego rodzaju tajemnicy
bądź weryfikacją, czy konkretna osoba spełnia kryteria wykonywania zawodu, z którym związana jest
tajemnica zawodowa;

3) powierzaniu przetwarzania, które zazwyczaj wymaga zawarcia umowy, a co za tym idzie

przetwarzania danych osób reprezentujących jej strony;

4) współadministrowaniu, które wymaga dokonania wspólnych ustaleń przez administratorów, gdzie

udokumentowanie takich ustaleń powoduje konieczność przetwarzania informacji o osobach
fizycznych działających w imieniu każdego ze współadministrujących podmiotów;

16
5) wyznaczaniu inspektora ochrony danych i informowaniu o nim organu nadzorczego, gdzie
nieodzowne jest posługiwanie się danymi osobowymi konkretnej osoby fizycznej wykonującej taką
funkcję u administratora itp.

21. Charakter przepisu. Charakter przepisu bądź jego usytuowanie w dziedzinie prawa nie ma
znaczenia, natomiast jego adresatem powinien być administrator. Na gruncie art. 6 ust. 1 lit. c w zw. z
art. 6 ust. 3 będą miały zastosowanie przepisy UE lub państwa członkowskiego. Z katalogu źródeł
prawa określonego w art. 87 ust. 1 i 2 Konstytucji RP należy wykluczyć akty niższego rzędu
(rozporządzenia i akty prawa miejscowego), zgodnie z zastrzeżeniem wynikającym z art. 31 ust. 3
Konstytucji RP stanowiącym, iż ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw
mogą być stanowione tylko w drodze ustawy. Na gruncie OchrDanychU16 NSA uznał za nieważną
uchwałę rady miejskiej w sprawie regulaminu utrzymania czystości i porządku na terenie miasta,
nakładającą obowiązek znakowania psów i rejestrowania danych ich właścicieli. W ocenie NSA
nałożenie takiego obowiązku w drodze uchwały rady miasta narusza art. 51 Konstytucji RP (wyr. NSA
z 1.3.2012 r., II OSK 2599/11, Legalis). Poza tym in abstracto nie stanowią podstawy przetwarzania
danych osobowych akty stosowania prawa (decyzje, postanowienia itp.).

22. Niezbędność przetwarzania. Zgodnie z komentowanym przepisem przetwarzanie powinno być

niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Można przyjąć, że
obowiązek wykazania przez administratora kryterium niezbędności przetwarzania będzie tu
łatwiejszy do wykonania, ponieważ w tym wypadku konkretny przepis często będzie wyznaczał zakres
niezbędności przetwarzania. W konsekwencji przetwarzanie dokonywane z naruszeniem ram
wyznaczonych przez treść takiego przepisu zasadniczo nie będzie spełniało waloru niezbędności. Z
analizy treści art. 6 ust. 3 RODO wynika, że prawodawca unijny wskazał elementy podstawy prawnej
o charakterze obligatoryjnym i fakultatywnym. Do obligatoryjnych należy określenie celu
przetwarzania danych, natomiast do fakultatywnych należą przepisy szczegółowe dostosowujące
stosowanie przepisów RODO, w tym: ogólne warunki zgodności z prawem przetwarzania przez
administratora, rodzaj danych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty,
którym można ujawnić dane osobowe, cele, w których można je ujawnić, ograniczenia celu, okresy
przechowywania oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z
prawem i rzetelność przetwarzania także w innych szczególnych sytuacjach związanych z
przetwarzaniem, o których mowa w rozdziale IX. Wymagania te zostały również określone w motywie
45, z którego wynika również, że RODO nie nakłada wymogu, aby dla każdego indywidualnego
przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane
uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku
prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania
zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. W
konsekwencji administrator będzie zobowiązany do ustalenia związku między zakresem
przetwarzania danych a realizacją obowiązku wynikającego z przepisu. Poza tym warto zwrócić
uwagę, iż motyw 45 wskazuje na możliwość realizacji zadań podmiotów publicznych nawet przez
osoby fizyczne: "Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy
administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach
sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna
podlegająca prawu publicznemu lub prawu prywatnemu (…)". Nie ma większych wątpliwości, że w
Polsce dochodzi do tego typu przypadków, np. w sytuacji realizowania zadań związanych z ochroną
zdrowia publicznego przez lekarzy i to nawet wtedy, gdy nie korzystają oni ze środków publicznych

17
(np. w ramach realizacji obowiązków określonych w ustawie z 5.12.2008 r. o zapobieganiu oraz
zwalczaniu zakażeń i chorób zakaźnych u ludzi, t.j. Dz.U. z 2018 r. poz. 151) (por. K. Wygoda,
Modyfikacja przesłanek dopuszczalności przetwarzania, s. 38). W doktrynie wyraża się stanowisko, że
wymóg istnienia obowiązku prawnego ciążącego na konkretnym administratorze nie musi
każdorazowo implikować powiązanego z nim obowiązku podania danych osobowych przez osobę,
której dane podlegać mają przetwarzaniu. Zwłaszcza w przypadku istnienia zobowiązania nałożonego
na organ lub podmiot publiczny może on dysponować innymi sposobami pozyskiwania informacji o
podmiotach danych, wykorzystywanymi priorytetowo w procesie ich przetwarzania, dającymi
dodatkowo pewność co do poprawności użytych w procesie przetwarzania informacji (chodzi np. o
dostęp do zasobów zawartych w Systemie Rejestrów Państwowych poprzez aplikację ŹRÓDŁO) (por.
K. Wygoda, Modyfikacja przesłanek dopuszczalności przetwarzania, s. 39).

23. Niezbędność przetwarzania do ochrony żywotnych interesów osoby fizycznej. W myśl art. 6 ust.
1 lit. d przetwarzanie danych osobowych jest dopuszczalne, gdy jest niezbędne do ochrony
żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej. W poprzednim stanie
prawnym przesłanka ta była sformułowana w art. 7 lit. d dyrektywy 95/46/WE, z kolei na gruncie
krajowym regulował ją art. 23 ust. 3 OchrDanychU16, który wskazywał na niezbędność ochrony
żywotnych interesów osoby, której dane dotyczą, gdy brak było możliwości uzyskania zgody
podmiotu danych na przetwarzanie jego danych osobowych, a możliwość oparcia czynności na
danych osobowych na tej przesłance była ograniczona czasowo do momentu, gdy uzyskanie zgody
znów stało się możliwe. Na gruncie art. 6 ust. 1 lit. d RODO komentowanej podstawie nadano szerszy
zakres – służy ona do legalizacji przetwarzania danych podmiotu danych lub innej osoby fizycznej.
Wynika stąd, że dane osobowe podmiotu danych będą mogły być przetwarzane również wówczas,
gdy jego własne żywotne interesy tego nie uzasadniają, ale jest to niezbędne dla ochrony żywotnych
interesów innej osoby fizycznej. Poza tym ochrona żywotnych interesów osoby fizycznej lub innej
osoby fizycznej nie jest możliwa w inny sposób niż z wykorzystaniem danych osobowych. W
literaturze jako przykład wskazuje się okoliczność podania do publicznej informacji dotyczących
osoby stwarzającej zagrożenie dla życia i zdrowia innych w związku z popełnieniem przez nią
przestępstwa i trwającymi poszukiwaniami (tak D. Lubasz, w: Bielak-Jomaa, Lubasz, RODO,
komentarz do art. 6). Poza tym art. 6 ust. 1 lit. d nie wiąże przesłanki ochrony żywotnych interesów z
brakiem możliwości uzyskania zgody od osoby, której dane dotyczą. Taki związek jednak przewiduje
motyw 112, z którego wynika, że przekazywanie danych osobowych należy uznać za zgodne z
prawem również w przypadkach, gdy jest niezbędne w celu ochrony interesu, który ma istotne
znaczenie dla żywotnych interesów osoby, której dane dotyczą, lub innej osoby, w tym integralności
fizycznej lub życia, a osoba, której dane dotyczą, nie jest w stanie wyrazić zgody. W konsekwencji
takie odniesienie znajduje się w art. 49, który reguluje warunki wyjątkowego przekazania danych
osobowych do państwa trzeciego lub organizacji międzynarodowej. Przepis dopuszcza przetwarzanie
danych osobowych w tych celach, jeśli jest ono niezbędne do ochrony żywotnych interesów osoby,
których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie
niezdolna do wyrażenia zgody.

24. Pojęcie "żywotnych interesów". Wykładnia przesłanki wymaga poddania analizie zwrotu:
"żywotne interesy" osoby fizycznej. Występuje on również w treści art. 9 ust. 2 lit. c, jednakże na
kanwie żadnego z nich prawodawca nie wskazał sposobu jego rozumienia. W związku z tym w
poszukiwaniu wskazówek interpretacyjnych należy sięgnąć do motywu 46 preambuły, który jako
rodzaje przetwarzania służące żywotnym interesom wskazuje przykładowo: niezbędność

18
przetwarzania do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się,
lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i
katastrof spowodowanych przez człowieka. Biorąc pod uwagę charakter wskazanych okoliczności,
należy stwierdzić, że intencją prawodawcy jest ochrona interesów większej wagi, która uzasadnia
czasowy brak respektowania ochrony prywatności człowieka, zwłaszcza w aspekcie jego autonomii
informacyjnej. W tym kontekście nie ulega wątpliwości, że chodzi o interesy związane z ratowaniem
życia bądź zdrowia (z zastrzeżeniem, że dane o zdrowiu należą do szczególnych kategorii danych
objętych ochroną na gruncie art. 9 ust. 2 lit. c). Można to odnieść do sytuacji klęski żywiołowej i
podjęcia działań w celu ratowania zdrowia lub życia (np. lokalizacji tych osób w celu ewakuacji,
dostarczenia leków, żywności itp.), które wiążą się z niezbędnością przetwarzania danych osobowych
tych osób, albo ustalenia przyczyn utraty przytomności przez osobę fizyczną, np. choroba (B.
Kaczmarek-Templin, Podstawy legalizacyjne, s. 122). Poza tym do zakresu żywotnych interesów co do
zasady należy również kwalifikować interesy majątkowe (por. na gruncie OchrDanychU16: w: J. Barta,
P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, 2015, komentarz do art. 23).

25. Wykonywanie zadania publicznego lub władzy publicznej. To przesłanka określona w art. 6 ust.
1 lit. e. Stanowi podstawę przetwarzania danych w przypadku organów i podmiotów publicznych,
które działają, co do zasady, w celu realizacji zadań "(...) w interesie publicznym lub w ramach
sprawowania władzy publicznej powierzonej administratorowi". Regulacja ta daje potencjalnie
szerokie możliwości wykazania legalności przetwarzania, nieskierowane bezpośrednio na
ustanowienie kompetencji organu lub podmiotu powołującego się na ich istnienie jako uzasadnienie
występowania interesu publicznego. Jeśli przetwarzanie jest niezbędne do wypełnienia obowiązku
prawnego ciążącego na administratorze, jak i wówczas, gdy jest niezbędne do wykonania zadania
realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi, konieczne staje się, by podstawa prawna takiego przetwarzania była określona w
prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator. Przesłanka
wymaga zatem określenia w przepisach niezbędności przetwarzania do wykonania zadania
realizowanego w interesie publicznym bądź niezbędności przetwarzania w ramach sprawowania
władzy publicznej powierzonej administratorowi.

W nauce zadanie realizowane w interesie publicznych na gruncie art. 23 ust. 1 pkt 4 OchrDanychU16
wiązano z pojęciem zadań publicznych (por. A. Drozd, Ustawa o ochronie danych osobowych, 2006, s.
123; również A. Mednis, Ustawa o ochronie danych osobowych, s. 67). Jednakże przepis ten nie mógł
stanowić podstawy prawnej do przetwarzania danych osobowych w związku z działalnością organów
władzy publicznej o charakterze władczym (A. Mednis, Ustawa o ochronie danych osobowych, s. 67;
J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, 2004, s. 509). W doktrynie
bezspornie wyraża się stanowisko, że chodzi o działania prowadzone w interesie publicznym przy
użyciu form niewładczych, np. świadczenie pomocy socjalnej, pomocy ofiarom klęsk żywiołowych,
walka z terroryzmem, z działającymi niezgodnie z prawem sektami, przeciwdziałanie praniu brudnych
pieniędzy itp. I choć w komentowanym przepisie mowa o przetwarzaniu danych "w ramach
sprawowania władzy publicznej", w tym przypadku owego sprawowania władzy nie będziemy
utożsamiać z takimi aktami władztwa publicznego, jak decyzje administracyjne, wyroki sądowe czy
innego rodzaju akty indywidualno-konkretne stanowiące przejawy władztwa publicznego wobec osób
fizycznych czy podmiotów prywatnych, z którymi wiąże się przetwarzanie danych osobowych.

Z kolei przetwarzanie danych w ramach sprawowania władzy publicznej powierzonej

administratorowi stanowi pewne novum na gruncie komentowanego przepisu. Przesłankę tę należy
interpretować z uwzględnieniem przepisów konstytucyjnych, w szczególności art. 51 Konstytucji RP

19
stanowiącym dyrektywę dla ustawodawcy zwykłego w zakresie stosowania zasady proporcjonalności.
Poza tym komentowana przesłanka nie kreuje generalnej podstawy przetwarzania danych
osobowych przez organy władzy publicznej. Należy bezwzględnie uwzględniać przepisy regulujące
zakres dopuszczalnych działań organów wyznaczony normatywnie. Oznacza to, że przetwarzanie
określonych danych powinno mieścić się w ramach rzeczowej i miejscowej właściwości podmiotu,
który tego dokonuje. W praktyce przypadki stosowania tej przesłanki zapewne często będą zbieżne z
tymi, które w poprzednim stanie prawnym znajdowały podstawę w przesłance określonej w art. 23
ust. 1 pkt 4 OchrDanychU16, zgodnie z którym przetwarzanie danych było dopuszczalne, gdy było
niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.

Wydaje się, że w bieżącym stanie prawnym, podobnie jak poprzednio, analizowana przesłanka ma
charakter otwarty; nie sposób z góry bowiem określić katalogu zadań realizowanych w interesie
publicznym lub w ramach sprawowania władzy publicznej w przypadku jakiegokolwiek
administratora. Katalogu takich administratorów także zresztą nie sposób określić. Aktualność
zachowuje tu stanowisko wyrażone przez NSA na tle art. 23 ust. 1 pkt 4 OchrDanychU16, iż chodzi tu
o zadania, które zostały zlecone przez prawo temu podmiotowi, który dane przetwarza, oraz że mogą
to być zadania z zakresu bezpieczeństwa publicznego, walki z przestępczością, udzielania pomocy
ofiarom klęsk żywiołowych itd., a podmiotami wykonującymi zadania publiczne mogą zaś być organy
państwowe, samorządowe lub komunalne jednostki organizacyjne, a także inne podmioty
wykonujące zadania publiczne, w tym podmioty niepubliczne (zob. wyr. NSA z 5.2.2008 r., I OSK
37/07, Legalis). Bez wątpienia natomiast chodzi tu o takie zadania, które administrator wykonuje –
nawiązując do tradycyjnego podziału obszarów działalności podmiotów publicznych – w sferze
imperium, a nie sferze dominium, a więc tam, gdzie realizuje swoje kompetencje z zakresu przyznanej
mu władzy, nie zaś z zakresu działalności ściśle cywilnoprawnej, w tym zwłaszcza właścicielskiej w
odniesieniu do majątku, którym dysponuje, czy też w sferze prawnopracowniczej wobec członków
swojego personelu.

Użytecznym przykładem tego typu zadań mogą być zadania publiczne wyszczególnione w każdej z
ustaw samorządowych, a więc odpowiednio w art. 7 SamGminU, art. 4 SamPowU oraz art. 14
SamWojU. W każdym z tych przypadków zadania określone zostały w taki sposób, że w zależności od
konkretnej sytuacji, stanu prawnego w danym czasie, kontekstu realizacyjnego mogą one wymagać
przetwarzania danych osobowych bądź nie, a jeżeli tak, na warunkach określonych w RODO
potencjalnie można poszukiwać dla nich oparcia w treści art. 6 ust. 1 lit. e. Obrazowo można określać
ten przepis jako swoisty "wentyl bezpieczeństwa" dostarczający przesłanki legalizacyjnej dla
przetwarzania danych osobowych tam, gdzie to niezbędne dla realizacji zadania publicznego, ale
niewysłowione wprost w przepisie prawa kreującym takie zadanie. W dalszym ciągu jednak aktualny
pozostaje pogląd, że zadania publiczne, w imię których ma się odbywać przetwarzanie danych
osobowych, muszą być określone prawem i że chodzić tu będzie o zadania, które zostały zlecone
przez prawo temu podmiotowi, który dane przetwarza (zob. wyr. NSA z 3.7.2009 r., I OSK 1007/08,
Legalis).

26. Niezbędność przetwarzania dla celów wynikających z prawnie uzasadnionych interesów.

Przesłanka wyrażona w art. 6 ust. 1 lit. f jest ukierunkowana przede wszystkim na ochronę interesów
podmiotów sektora gospodarczego. Jej konstrukcja oparta na klauzuli generalnej umożliwia
dokonywanie przetwarzania danych w sytuacjach uzasadnionych prowadzoną działalnością
biznesową. Zważywszy bowiem na społeczne funkcje przepisów statuujących ochronę danych
osobowych, nie można ich interpretować jako ograniczeń uderzających w rozwój sektora
biznesowego, w którym prowadzenie określonej działalności polegającej m.in. na oferowaniu

20
towarów bądź usług niejednokrotnie wymaga wykorzystania danych. Takie ujęcie mogłoby w efekcie
doprowadzić do obchodzenia prawa, głównie w zakresie naruszania praw podmiotów danych. Na
przesłankę tę nie mogą powoływać się organy publiczne w ramach realizacji swoich zadań, co
potwierdza motyw 47 stanowiący, że dla organów publicznych podstawę prawną przetwarzania
danych osobowych powinien określić ustawodawca; prawnie uzasadniony interes administratora nie
powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy
publiczne w ramach realizacji swoich zadań. Bezwzględnie nie wyklucza się jednak stosowania tej
przesłanki w związku z przetwarzaniem w innych celach niż te, które łączą się bezpośrednio z
realizacją zadań organów publicznych, na co zdaje się wskazywać motyw 49. Podzielamy stanowisko
wyrażane w literaturze, iż organy publiczne mogą korzystać z przedmiotowej przesłanki poza
zadaniami realizowanymi w interesie publicznym lub w ramach sprawowania władzy publicznej
powierzonej administratorowi (K. Wygoda, Modyfikacja przesłanek dopuszczalności przetwarzania, s.
41; M. Gumularz, Uzasadniony interes, s. 18).

27. Test proporcjonalności. Komentowany przepis dopuszcza przetwarzanie danych w zakresie

niezbędnym do celów wynikających z prawnie uzasadnionych interesów realizowanych przez
administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec
tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą,
wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest
dzieckiem. Z tego przepisu oraz z motywu 47 wynika, że warunkiem prawidłowości powołania się na
analizowaną przesłankę jest spełnienie łączne następujących wymogów:

1) identyfikacja prawnie uzasadnionego interesu, który jest realizowany przez administratora lub
przez stronę trzecią,

2) zweryfikowanie niezbędności przetwarzania dla realizacji celu wynikającego z przedmiotowego

interesu;

3) ocena, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w
danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które
mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony
trzeciej.

Mamy tutaj do czynienia ze swoistym testem proporcjonalności, ponieważ administrator musi

dokonać wyważenia dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu
administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności
podmiotu danych z drugiej. Ponadto zgodnie z motywem 47 administrator przy ważeniu dóbr
powinien wziąć pod uwagę rozsądne oczekiwania osób, których dane dotyczą, oparte na ich
powiązaniach z administratorem, czyli np. uwzględnić pozostawanie w relacji z klientem
administratora lub gdy osoba działa na jego rzecz.

28. Pojęcie "prawnie uzasadnionego interesu". Wykreowana przesłanka jest dość pojemna z uwagi
na okoliczność, że prawodawca posłużył się dla jej skonstruowania klauzulą generalną: "prawnie
uzasadniony interes". Treść tej klauzuli należy interpretować szeroko, mając na względzie motywy
47–49, które zawierają otwarty katalog takich interesów, zaliczając do nich m.in. cele marketingu
bezpośredniego, przesyłanie danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych
celów administracyjnych, przetwarzanie danych w zakresie bezwzględnie niezbędnym i

21
proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji. W naszym przekonaniu
zachowują co do zasady aktualność wyrażane w doktrynie poglądy dotyczące wykładni tego przepisu
na gruncie art. 23 ust. 1 pkt 5 OchrDanychU16. Przepis ten przewidywał, że dozwolone jest
przetwarzanie danych osobowych, jeżeli jest ono niezbędne do osiągania prawnie
usprawiedliwionych celów realizowanych przez administratora danych lub odbiorcę danych, a
ponadto przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Egzemplifikacja celów nastąpiła w art. 23 ust. 4 OchrDanychU16, który wymieniał marketing
bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z
tytułu prowadzonej działalności gospodarczej. Na gruncie art. 23 ust. 1 pkt 5 OchrDanychU16
wypracowano stanowisko, że pozbawione podstaw jest interpretowanie terminu "prawnie
usprawiedliwione cele" jako te, które zostały uprzednio zawarte w akcie normatywnym (J. Barta, P.
Fajgielski, R. Markiewicz, Ochrona danych osobowych, 2015, s. 468 i n.) – "(...) przetwarzanie danych
osobowych w celu i za pomocą środków, co do których istnieje publiczne przyzwolenie na
posługiwanie się nimi w życiu społecznym (...) uznanie, że cel przetwarzania danych jest
usprawiedliwiony, wymaga, aby był on zgodny z prowadzoną działalnością i charakterem
administratora lub odbiorcy danych i nie był w żadnej mierze niezgodny z prawem, zasadami
współżycia społecznego czy dobrymi obyczajami (np. zbieranie danych w celu szantażu)" (D. Fleszer,
Zakres przetwarzania danych, 2008, passim). W doktrynie i judykaturze przyjmuje się, że amalgamat
"prawnie usprawiedliwione cele" stanowi zwrot niedookreślony będący klauzulą generalną w
znaczeniu funkcjonalnym (zob. uzasadnienie do wyr. NSA z 19.11.2001 r., II SA 2702/00, niepubl.).
Funkcją zaś takich terminów jest przede wszystkim wyznaczenie pewnego luzu decyzyjnego, dzięki
któremu organ, stosując prawo, jest uprawniony do wprzęgnięcia w proces decyzyjny ocen
indywidualnych, także pewnych zasad postępowania niewyrażonych wprost w przepisach prawa (P.
Barta, P. Litwiński, Ustawa o ochronie danych osobowych, 2009, s. 228). Na gruncie art. 6 ust. 1 lit. f
RODO należy stwierdzić, iż prawodawca unijny, wprowadzając kategorię "uzasadnionego interesu
administratora", ustanowił szerszą przesłankę przetwarzania danych osobowych. Pojęcie "interesu"
bowiem będzie kategorią szerszą niż pojęcie "celu". Interes administratora może być określany jako
pewna relacja między jakimś stanem obiektywnym a oceną tego stanu z punktu widzenia korzyści,
jaką on przynosi lub może przynieść administratorowi, przy czym musi być uzasadniony. Kategoria
interesu będzie dość zróżnicowana, zależna od potrzeb wygenerowanych w związku z prowadzoną
działalnością przez administratora, czyli w konsekwencji i dynamiczna, co oznacza, że nie powinno się
go w sposób jednoznaczny ustalić i zdefiniować. W konsekwencji prawodawca unijny, nie
przesądzając arbitralnie, co stanowi interes administratora, stwarza możliwość określania go przez
samych zainteresowanych z uwzględnieniem okoliczności każdego konkretnego przypadku, pod
warunkiem spełnienia pozostałych kryteriów określonych w przepisie oraz przy respektowaniu
wymagań art. 5 RODO. Można oczekiwać pewnego wykrystalizowania wykładni tego pojęcia na
gruncie RODO w trakcie sądowej kontroli prawidłowości zastosowania tej regulacji. Podsumowując,
prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz
jako interes, który jest zgodny z prawem, przy czym może on obejmować interesy ekonomiczne,
prawne i inne. Interesy te mogą zostać wyartykułowane w treści aktów wewnętrznych jednostki
administratora (np. w statucie, umowie spółki itp.), mogą również wynikać z określonego stanu
faktycznego.

29. Zakres klauzuli "uzasadniony interes". Zgodnie z motywem 47 zakres klauzuli uzasadnionego
interesu administratora obejmuje marketing bezpośredni oraz zapobieganie oszustwom. Z
perspektywy prawa ochrony danych osobowych za działania w zakresie marketingu bezpośredniego
uznaje się wszelkie działania promujące produkty lub usługi, które skierowane są do osoby, której

22
dotyczą dane osobowe wykorzystywane w celu prowadzenia tej formy marketingu (por. P. Barta, P.
Litwiński, Ustawa o ochronie danych osobowych, 2009, s. 231–232). Stosowanie tego typu działań
doznaje ograniczeń nie tylko na gruncie RODO, lecz również w przepisach innych ustaw, np. art. 10
ŚwiadUsłElektU zakazujący przesyłania niezamówionej informacji handlowej skierowanej do
oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w
szczególności poczty elektronicznej, oraz przepis art. 172 PrTel, który zakazuje używania
telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów
marketingu bezpośredniego, dopuszczając ich zastosowanie jedynie na podstawie zgody abonenta
lub użytkownika końcowego. Na płaszczyźnie prawa krajowego w zasadniczym zakresie marketingu
bezpośredniego obowiązuje klauzula opt-in, jeżeli chodzi o przetwarzanie danych w postaci wysyłania
informacji handlowej drogą elektroniczną bądź używania telekomunikacyjnych urządzeń końcowych i
automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Pozostałe fazy
przetwarzania danych w celu marketingu bezpośredniego nie są jednak objęte ograniczeniami z
cytowanej wyżej ustawy. Jeśli chodzi o zapobieganie oszustwom, to ta przesłanka może legalizować
przetwarzanie danych w celach zapobiegania kradzieżom tożsamości, ataków hakerskich itp. Z kolei
motyw 48 wskazuje, że prawnie uzasadniony interes może polegać na przesyłaniu danych osobowych
w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też
przetwarzania danych osobowych klientów lub pracowników. Jako ostatni przykład prawnie
uzasadnionego celu motyw 49 RODO podaje przetwarzanie danych osobowych w zakresie
bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji, tj.
zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na
przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność,
autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych, oraz
bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy
przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na
komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności
elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa. Może to obejmować
np. zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu
złośliwych kodów, przerywanie ataków typu "odmowa usługi", a także przeciwdziałanie uszkodzeniu
systemów komputerowych i systemów łączności elektronicznej.

30. Prawo do sprzeciwu wobec przetwarzania w celach marketingu bezpośredniego. Przetwarzanie

danych osobowych na potrzeby marketingu bezpośredniego wiąże się z możliwością skorzystania
przez podmiot danych z uprawnienia przewidzianego w art. 21, mianowicie z prawa do sprzeciwu.
Artykuł 21 ust. 1 stanowi, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść
sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w
tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem
bezpośrednim. Skutkiem sprzeciwu wobec przetwarzania danych jest usunięcie danych (art. 17 ust. 1
lit. b i c RODO) albo ograniczenie przetwarzania (art. 18 ust. 1 lit. d RODO). Sprzeciw wobec
przetwarzania jest jedną z przesłanek usunięcia danych, a w przypadkach, które nie uzasadniają
usunięcia – ograniczenia przetwarzania, m.in. gdy podmiot danych kwestionuje ich prawidłowość –
na okres pozwalający administratorowi ją zweryfikować. Zważywszy na skutki wykorzystania przez
osobę fizyczną uprawnienia do sprzeciwu, należy przychylić się do poglądów wyrażanych w doktrynie,
iż sprzeciw należy do uprawnień kluczowych dla kontroli zakresu przetwarzania i jego zgodności z
prawem (M. Krzysztofek, Prawo do sprzeciwu, s. 291). Dla porządku należy dodać, że podmiot danych
może wnieść sprzeciw również wobec przetwarzania dotyczących jej danych osobowych, opartego na
art. 6 ust. 1 lit. e, czyli wobec przetwarzania prowadzonego w interesie publicznym lub w ramach

23
sprawowania władzy publicznej bądź w ramach prawnie uzasadnionych interesów administratora lub
strony trzeciej.

31. Dopuszczalność zmiany celu przetwarzania danych. Przepis reguluje dopuszczalność

samodzielnej zmiany celu przetwarzania danych przez administratora. Zgodnie z art. 6 ust. 4 jeżeli
przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na
podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego
stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący
zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator może zmienić cel
przetwarzania. Decyzja nie jest jednak tutaj całkowicie swobodna. Administrator, aby ustalić, czy
przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie
zebrane, powinien uwzględnić:

1) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego
dalszego przetwarzania;

2) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane
dotyczą, a administratorem;

3) charakter danych osobowych, w szczególności, czy przetwarzane są szczególne kategorie danych

osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych;

4) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;

5) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.

Charakterystyka wskazanych kryteriów oceny została dokonana przez Grupę Roboczą Art. 29 [Opinia
3/2013 w sprawie ograniczenia celu (WP 203), s. 23–27].

Legalność przetwarzania danych

szczególnie chronionych
Motywy RODO

(51)

Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw
i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować
poważne ryzyko dla podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać
się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym
rozporządzeniu terminu "pochodzenie rasowe" nie oznacza, że Unia akceptuje teorie sugerujące
istnienie osobnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania
szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją "danych
biometrycznych" tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi,
umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości.
Takich danych osobowych nie należy przetwarzać, chyba że niniejsze rozporządzenie dopuszcza ich

24
przetwarzanie w szczególnych przypadkach, przy czym należy uwzględnić, że prawo państw
członkowskich może obejmować przepisy szczegółowe o ochronie danych dostosowujące
zastosowanie przepisów niniejszego rozporządzenia tak, by można było wypełnić obowiązki prawne
lub wykonać zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy
publicznej powierzonej administratorowi. Oprócz wymogów szczegółowych mających zastosowanie
do takiego przetwarzania, zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego
rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy
wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii
danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na
szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych
działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z
podstawowych wolności.

(52)

Należy również zezwolić na wyjątki od zakazu przetwarzania szczególnych kategorii danych

osobowych - o ile przewiduje to prawo Unii lub prawo państwa członkowskiego i podlega to
odpowiednim zabezpieczeniom chroniącym dane osobowe i inne prawa podstawowe - jeżeli uzasadnia
to interes publiczny, w szczególności polegający na przetwarzaniu danych osobowych w dziedzinie
prawa pracy, prawa zabezpieczenia społecznego, w tym emerytur, oraz do celów bezpieczeństwa,
monitorowania i ostrzegania zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym
zagrożeniom zdrowotnym. Taki wyjątek może być przewidziany ze względu na cele zdrowotne, w
tym związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej, w
szczególności zapewnianiem jakości i ekonomiczności procedur stosowanych do rozstrzygania
roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub ze względu
na cele archiwalne w interesie publicznym, cele badań naukowych lub historycznych lub cele
statystyczne. Należy także przewidzieć wyjątek pozwalający przetwarzać takie dane osobowe, jeżeli
jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń w postępowaniu sądowym,
administracyjnym lub też innym postępowaniu pozasądowym.

(53)

Szczególne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane
do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z
korzyścią dla osób fizycznych i ogółu społeczeństwa, w szczególności w kontekście zarządzania
usługami i systemami opieki zdrowotnej i zabezpieczenia społecznego, w tym przetwarzania takich
danych przez organy zarządcze i centralne krajowe organy ds. zdrowia do celów kontroli jakości,
pozyskiwania informacji zarządczych oraz ogólnego krajowego i lokalnego nadzoru nad systemem
opieki zdrowotnej i zabezpieczenia społecznego oraz zapewniania ciągłości opieki zdrowotnej lub
zabezpieczenia społecznego oraz transgranicznej opieki zdrowotnej lub do celów bezpieczeństwa,
monitorowania i ostrzegania zdrowotnego lub do celów archiwalnych w interesie publicznym, do
celów badań naukowych lub historycznych lub do celów statystycznych, które mają podstawę w
prawie Unii lub prawie państwa członkowskiego i służą interesowi publicznemu, a także na potrzeby
analiz prowadzonych w interesie publicznym w dziedzinie zdrowia publicznego. Niniejsze
rozporządzenie powinno zatem przewidywać zharmonizowane warunki przetwarzania szczególnych
kategorii danych osobowych dotyczących zdrowia, ze względu na szczególne potrzeby, w
szczególności gdy dane takie są przetwarzane w określonych celach zdrowotnych przez osoby
podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. Prawo Unii lub prawo
państwa członkowskiego powinny przewidywać konkretne, odpowiednie środki chroniące prawa
podstawowe i dane osobowe osób fizycznych. Państwa członkowskie powinny móc zachować lub

25
wprowadzić dalsze warunki, w tym ograniczenia, przetwarzania danych genetycznych, danych
biometrycznych lub danych dotyczących zdrowia. Warunki te nie powinny jednak utrudniać
swobodnego przepływu danych osobowych w Unii, jeżeli odnoszą się do transgranicznego
przetwarzania takich danych.

(54)

Niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego może być
przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą.
Przetwarzanie takie powinno podlegać konkretnym, odpowiednim środkom chroniącym prawa i
wolności osób fizycznych. W tym kontekście "zdrowie publiczne" należy interpretować zgodnie z
definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/2008 12), czyli jako
wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i
niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej,
zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki
na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych
dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować
przetwarzaniem danych osobowych do innych celów przez strony trzecie, takie jak pracodawcy, czy
zakłady ubezpieczeń i banki.

(55)

Przetwarzanie danych osobowych przez organy publiczne do celów - określonych w prawie

konstytucyjnym lub prawie międzynarodowym publicznym - oficjalnie uznanych związków
wyznaniowych odbywa się w interesie publicznym.

(56)

Jeżeli w ramach działań związanych z wyborami funkcjonowanie systemu demokratycznego w

państwie członkowskim wymaga zbierania przez partie polityczne danych osobowych dotyczących
poglądów politycznych obywateli, można zezwolić na przetwarzanie tych danych z uwagi na względy
interesu publicznego pod warunkiem ustanowienia odpowiednich zabezpieczeń.

Artykuł 9. Przetwarzanie szczególnych kategorii danych osobowych.

1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków
zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu
jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności
lub orientacji seksualnej tej osoby.
2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych
w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego
przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez
administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego
i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub

26
porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie
zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej
osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia
zgody;
d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem
odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach
politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie
dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe
kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez
zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której
dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach
sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na
podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego
celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki
ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny
zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub
zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub
zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie
z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których
mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie
zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami
zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz
produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa
członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób,
których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań
naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie
prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie
naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw
podstawowych i interesów osoby, której dane dotyczą.
3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa
w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego
obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa
członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę
również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa
państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
4. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia
w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych
dotyczących zdrowia.

27
Komentarz A. Nerka

1. Cel przepisu. Komentowana regulacja dotyczy przetwarzania szczególnych kategorii danych

osobowych, w stosunku do których prawodawca przewiduje wyższy stopień ochrony prawnej niż w
stosunku do pozostałych danych osobowych. Artykuł 9 ust. 1 RODO określa enumeratywny katalog
danych kwalifikowanych jako dane szczególne, ust. 2 wskazuje odrębne podstawy przetwarzania tej
kategorii danych, ust. 3 dotyczy uszczegółowienia warunków przetwarzania danych dla celów
określonych w ust. 2 lit. h, a ust. 4 stwarza możliwość dla państw członkowskich wprowadzenia
innych warunków, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych
biometrycznych lub danych dotyczących zdrowia. Jak wskazuje motyw 51 preambuły, dane osobowe,
które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności,
wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko
dla podstawowych praw i wolności. Stąd wyższy reżim prawny zabezpieczający interesy jednostki w
zakresie przetwarzania danych zaliczanych do powyższej kategorii oraz wynikający stąd
intensywniejszy poziom ochrony. W literaturze na gruncie art. 27 ust. 1 OchrDanychU dotyczącego
przetwarzania danych wrażliwych (sensytywnych) wskazywano, że kryterium wyróżnienia tych
informacji jako danych objętych szczególną ochroną należy upatrywać w okoliczności, iż dotyczą one
bezpośrednio sfer należących do prywatności czy nawet intymności osoby fizycznej, jak również
znacznie większym poczuciem zagrożenia oraz niebezpieczeństwem wywołania na różnych polach
(zatrudnienie, ochrona zdrowia, ubezpieczenie, kredytowanie itd.) decyzji dyskryminujących (J. Barta,
P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, 2004, s. 569). Na marginesie można dodać,
że w świetle motywu 10 preambuły RODO używanie dotychczasowego doktrynalnego pojęcia
"danych wrażliwych" jest w pełni uzasadnione. Przesłanki legalizujące przetwarzanie wrażliwych
danych osobowych mają charakter autonomiczny. Można je dodatkowo podzielić na te, które mogą
się odnosić do wszelkiego rodzaju danych wrażliwych (wymienionych w art. 9 ust. 2 lit. a, c, e, f, g, j),
oraz te, które dotyczą tylko jednej kategorii danych (wymienionych w art. 9 ust. 2 lit. b, d, h, i oraz w
art. 10).

2. Katalog szczególnych kategorii danych. Prawodawca w zamkniętym katalogu wymienił dane

osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub
światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych
genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub
danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Wyodrębnienie tych
danych oraz danych dotyczących karalności osoby fizycznej (art. 10 RODO) w zestawieniu z
pozostałymi danymi o zwykłym, pospolitym charterze może wywołać mylne przekonanie o zupełności
i koherentności dokonanego podziału danych. Bardzo prawdopodobne jest bowiem, że w
konkretnych sytuacjach przetwarzanie niektórych z tzw. danych zwykłych (np. dane o sytuacji
ekonomicznej, socjalnej) będzie niosło ze sobą znacznie większe zagrożenie dla prywatności niż
przetwarzanie niektórych z tzw. danych wrażliwych [P. Litwiński (red.), Rozporządzenie UE, 2018,
komentarz do art. 9, Legalis]. Przepis posługuje się sformułowaniem "dane ujawniające", co nasuwa
wniosek, że do danych wrażliwych należy zaliczyć informacje jednoznacznie stwierdzające pewne
właściwości osoby fizycznej, jak i informacje, z których tego rodzaju wiadomości przeciętny odbiorca
może wyprowadzić z dużą dozą prawdopodobieństwa. Oznacza to, że na gruncie art. 9 ust. 1 RODO,
jak i poprzednio na gruncie art. 27 ust. 1 OchrDanychU przeprowadzenie precyzyjnej granicy między
danymi wrażliwymi a danymi zwykłymi może być poważnie utrudnione (J. Barta, P. Fajgielski, R.
Markiewicz, Ochrona danych osobowych, 2015, s. 486).

28
3. Dane ujawniające pochodzenie rasowe lub etniczne. Zgodnie z motywem 51 preambuły do
danych wymagających szczególnej ochrony powinno się zaliczać dane ujawniające pochodzenie
rasowe lub etniczne, przy czym wyodrębnienie powyższej kategorii danych nie oznacza, że UE
akceptuje teorie sugerujące istnienie osobnych ras ludzkich. Zastrzeżenie to wydaje się tym bardziej
uzasadnione, jeśli weźmie się pod uwagę odchodzenie na płaszczyźnie naukowej od podziału na rasy,
który jest podziałem umownym i zależnym od przyjętego kryterium (por. szerzej M. Siwicki,
Nielegalna i szkodliwa, passim; M. Woiński, Prawnokarne, Legalis). Natomiast kwalifikacja tych
informacji jako danych wrażliwych jest pewną konsekwencją uznawania rasy lub pochodzenia
etnicznego za kryteria dyskryminacji, której UE konsekwentnie zakazuje.

4. Dane ujawniające poglądy polityczne. Stanowią kategorię potencjalnie sporną, ponieważ nawet
wyrażanie zdania lub opinii na tematy polityczne nie musi, choć może prowadzić do ujawniania
prezentowanych poglądów politycznych, a nawet przynależności do danej opcji politycznej bądź
postawy wskazującej na neutralność polityczną. Użyte w przepisie pojęcie jest niedookreślone i daje
dużą swobodę interpretacyjną. Bez wątpienia informacja o członkostwie osoby w partii politycznej
będzie ujawniała poglądy człowieka, ale już tak jednoznacznie nie można ocenić angażowania się w
działalność polityczną, np. udział w manifestacjach, wiecach, akcjach politycznych. Taka aktywność
może, ale nie musi prowadzić do ujawnienia informacji o poglądach politycznych, podobnie jak
publiczne wypowiedzi wyrażające polityczne preferencje człowieka.

5. Dane ujawniające przekonania religijne. Kryterium wyróżnienia tych danych stanowi ich
bezpośredni związek ze sferą należącą do ścisłej prywatności czy nawet intymności osoby fizycznej.
Dysponowanie tymi danymi wiąże się ze znacznie większym poczuciem zagrożenia oraz
niebezpieczeństwem wywołania negatywnych skutków dla podmiotu danych w istotnych obszarach
jego interesów życiowych (zatrudnienie, funkcjonowanie w zbiorowości społecznej, sąsiedzkiej itd.).
Przyjęcie pewnej ideologii, na którą składa się wyznawanie określonej religii albo jej odrzucenie
(konfesja, apostazja) oraz udział w czynnościach, które ten wybór manifestują, ma znaczenie dla
oceny ujawnienia posiadanych przekonań religijnych. Zachowania takie mieszczą się w granicach
wolności religijnej określonej w art. 53 Konstytucji RP, zgodnie z którym wolność religii obejmuje
wolność wyznawania i przyjmowania religii według własnego wyboru oraz uzewnętrzniania
indywidualnie lub z innymi, publicznie lub prywatnie swojej religii przez uprawianie kultu, modlitwę,
uczestnictwo w obrzędach, praktykowanie lub nauczanie. Poza tym do danych ujawniających
przekonania religijne można zakwalifikować skorzystanie przez lekarza z klauzuli sumienia, czyli np.
odmowę wykonywania przez lekarzy aborcji i eutanazji (por. art. 39 ZawLekU). Innym przykładem
będzie złożenie wniosku przez osoby należące do kościołów i innych związków wyznaniowych,
których święta religijne nie są dniami ustawowo wolnymi od pracy, o zwolnienie od pracy na czas
niezbędny do obchodzenia tych świąt (art. 42 GwarWolSumU, oraz § 1 rozporządzenia Ministra Pracy
i Polityki Socjalnej oraz Edukacji Narodowej z 11.3.1999 r. w sprawie zwolnień od pracy lub nauki
osób należących do kościołów i innych związków wyznaniowych w celu obchodzenia świąt religijnych
niebędących dniami ustawowo wolnymi od pracy, Dz.U. Nr 26, poz. 235).

6. Dane ujawniające przekonania światopoglądowe. Kategoria ta jest bardzo pojemna, posiada

szeroki zakres semantyczny. W literaturze pojęcie światopoglądu jest ujmowane jako "zespół
ogólnych przekonań i twierdzeń składających się na spójny – przynajmniej w oczach jego
zwolenników czy wyznawców – i całościowy obraz rzeczywistości (tego, co istnieje) oraz związanych z

29
nimi ocen i norm wyznaczających postawy i ukierunkowujących postępowanie podmiotu względem
siebie i otoczenia" [A. Podsiad, Z. Więckowski (red.), Mały słownik, s. 388] bądź jako "pogląd
człowieka na świat, wyraz interpretacji świata zawierający oceny i normy, wypływający z naszej
wiedzy i uznawanych wartości" (P. Kamela, O pojęciu światopoglądu, s. 24). Pojemność użytego w
przepisie sformułowania nastręczy wielu problemów w praktyce, ponieważ może być nim objęta
potencjalnie szeroka gama zachowań i przekonań człowieka; poza tym termin ten posiada pewne
obszary wspólne z przekonaniami politycznymi i religijnymi. Rozważając pojęcie światopoglądu w
ujęciu normatywnym, warto wziąć pod uwagę jego znaczenie nadane na gruncie art. 25 ust. 2
Konstytucji RP, traktującego o bezstronności władz publicznych RP w sprawach przekonań religijnych,
światopoglądowych i filozoficznych, zapewniając swobodę ich wyrażania w życiu publicznym; oraz
art. 53 ust. 7 Konstytucji RP, gwarantującego wolność światopoglądową i wyznaniową.

7. Dane ujawniające przynależność do związków zawodowych. Przynależność związkowa jest

konsekwencją skorzystania z konstytucyjnego prawa do zrzeszania się (art. 12 i 59 Konstytucji RP)
(szerzej L. Florek, Konstytucyjne gwarancje, s. 202; P. Czarny, B. Naleziński, Pojęcie wolności
zrzeszania się, s. 593–594). Prawo przynależności do organizacji związkowych jest związane z
pozostawaniem w stosunku zatrudnienia. Z treści art. 2 ZwZawU wynika, że prawo do wstępowania
do związków zawodowych mają pracownicy bez względu na podstawę stosunku pracy, członkowie
rolniczych spółdzielni produkcyjnych oraz osoby wykonujące pracę na podstawie umowy agencyjnej,
jeżeli nie są pracodawcami. Poza tym prawo to przysługuje osobom pozostającym w stosunku
zatrudnienia o charakterze cywilnoprawnym (por. wyr. TK z 2.6.2015 r., K 1/13, MPP 2015, Nr 7, s.
338), członkom rolniczych spółdzielni produkcyjnych, osobom wykonującym pracę nakładczą,
osobom wykonującym służbę zastępczą, osobom, które czynnie zakończyły świadczenie pracy, a
mianowicie rencistom i emerytom oraz osobom bezrobotnym w rozumieniu PromZatrU. Zakres
podmiotowy przynależności związkowej obejmuje również funkcjonariuszy Policji, Straży Granicznej i
Służby Więziennej oraz Państwowej Straży Pożarnej. Dane dotyczące przynależności związkowej mają
znaczenie przede wszystkim w sferze zatrudnienia, w której mogą stać się narzędziem dyskryminacji
(por. szerzej H. Szewczyk, Dyskryminacja w zatrudnieniu, s. 19 i n.).

8. Dane genetyczne i dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej.

Wprowadzenie tych kategorii danych na grunt RODO zaowocowało zdefiniowaniem pojęć danych
genetycznych oraz danych biometrycznych w art. 4 pkt 13 i 14.

9. Dane dotyczące zdrowia. Definicję legalną danych dotyczących zdrowia zawiera art. 4 pkt 15
RODO.

10. Dane dotyczące seksualności lub orientacji seksualnej. Komentowany przepis wyodrębnia dane
dotyczące seksualności lub orientacji seksualnej, rozszerzając tym samym zakres przedmiotowej
kategorii danych. Rozróżnienie terminologiczne prowadzi do wniosku, że zakres tych pojęć nie jest
identyczny. Seksualność jest pojęciem szerokim, może obejmować informacje dotyczące
prowadzonego życia seksualnego bądź abstynencji płciowej, informacje dotyczące realizacji
zaspokajania popędu płciowego itd.; z kolei orientacja seksualna może być rozumiana jako
deklarowanie się jako np. hetero-, homo- lub biseksualisty.

30
11. Regulacja podstaw prawnych przetwarzania danych wrażliwych. Komentowany przepis określa
podstawy prawne właściwe do przetwarzania szczególnych kategorii danych osobowych. Artykuł 9
ust. 1 RODO wprowadza zakaz przetwarzania szczególnych kategorii danych osobowych, natomiast
ust. 2 określa numerus clausus przesłanek uchylających ten zakaz. Zachowują aktualność poglądy
doktryny na temat autonomicznego i niezależnego charakteru przesłanek przetwarzania danych
wrażliwych, wyrażane na gruncie OchrDanychU (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona
danych osobowych, 2015, s. 486). Katalog przesłanek legalizujących nie może być rozszerzany w
drodze aktów podustawowych oraz w drodze wykładni, zgodnie z zasadą exceptiones non sunt
extentdendae. Przetwarzanie danych sensytywnych wiąże się ze zwiększonym ryzykiem naruszenia
praw i wolności podmiotu danych, w szczególności w obszarze dyskryminacji. Stąd też w treści
motywu 71 zwraca się uwagę na to, by administrator zabezpieczył dane osobowe w sposób
zapobiegający dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy
polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny
bądź zdrowotny lub orientację seksualną. Artykuł 9 ust. 2 wskazuje na 10 przesłanek legalizujących
przetwarzanie danych sensytywnych ujętych w zamknięty katalog. Lektura motywu 10 preambuły i
art. 9 ust. 4 RODO nasuwa wniosek, że na gruncie krajowym może to ulec modyfikacji. Mianowicie
państwom członkowskim przysługuje prawo doprecyzowania kwestii przetwarzania danych
wrażliwych również w zakresie określenia okoliczności dotyczących konkretnych sytuacji związanych z
przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z
prawem (motyw 10). Poza tym w zakresie danych biometrycznych, genetycznych lub dotyczących
zdrowia, zgodnie z art. 9 ust. 4 RODO, ustawodawca krajowy może zachować lub wprowadzić dalsze
warunki, w tym ograniczenia przetwarzania.

12. Wyraźna zgoda osoby, której dane dotyczą. Pierwszą przesłanką legalizującą przetwarzanie
danych szczególnych stanowi zgoda wyrażona przez osobę, której dane dotyczą. Zgodnie z treścią art.
9 ust. 2 lit. a dopuszczalne jest przetwarzanie danych sensytywnych, jeśli podmiot danych wyraził w
sposób wyraźny zgodę na przetwarzanie danych osobowych w jednym lub kilku konkretnych celach,
chyba że prawo UE lub prawo państwa członkowskiego przewiduje, iż podmiot danych nie może
uchylić przedmiotowego zakazu. Właściwością charakteryzującą zgodę na przetwarzanie danych
sensytywnych jest jej wyraźność. Analogiczny warunek został sformułowany przy dopuszczeniu
zautomatyzowanego podejmowania decyzji w stosunku do podmiotu danych, w tym profilowania, o
których mowa w art. 22 ust. 1 w zw. z ust. 2 lit. c, a także legalizowaniu transferu danych do państwa
trzeciego zgodnie z art. 49 ust. 1 lit. a. Cecha wyraźności nie została bliżej określona w przepisach
RODO, jednakże można stwierdzić, że jej konsekwencją będzie wymaganie złożenia oświadczenia
dotyczącego zgody, jednak bez szczególnego wskazania formy. Z pewnością za niespełniającą
warunku wyraźności można uznać zgodę wyrażoną konkludentnie. Można tutaj odwołać się do opinii
Grupy Roboczej Art. 29 oraz stanowiska doktryny zajętego na gruncie dyrektywy 95/46/WE, na co
pozwala właściwie taka sama regulacja dotycząca zgody wyrażanej na przetwarzanie danych
sensytywnych. W motywie 32 wyjaśniono, że zgoda powinna dotyczyć wszystkich czynności
przetwarzania dokonywanych w tym samym celu, natomiast jeżeli przetwarzanie służy różnym
celom, potrzebna jest zgoda na wszystkie te cele. Przy wskazaniu zgody jako przesłanki
dopuszczalności przetwarzania danych sensytywnych prawodawca unijny przewidział możliwość, aby
w prawie (unijnym bądź krajowym) zostało zawarte zastrzeżenie, że osoba, której dane dotyczą, nie
może uchylić zakazu przetwarzania danych sensytywnych. Wprowadzenie w przepisach tego rodzaju
postanowienia oznaczałoby brak możliwości oparcia przetwarzania danych sensytywnych na zgodzie
osoby, której dane dotyczą. Z uwagi na brzmienie art. 9 ust. 4 RODO wydaje się, że w szczególności

31
takie ograniczenia mogą dotyczyć przetwarzania danych genetycznych, danych biometrycznych lub
danych dotyczących zdrowia.

13. Niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw w

dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej. Przesłanka ta legalizuje
przetwarzanie danych osobowych, jeśli jest to niezbędne do wypełnienia obowiązków i wykonywania
szczególnych praw przez administratora lub osobę, której dane dotyczą. Uwzględnienie w treści
przepisu realizacji obowiązków i praw przez osobę, której dane dotyczą, jest w pełni zrozumiałe z
uwagi na powszechność uczestnictwa człowieka w sferze zatrudnienia i ochrony socjalnej w
obszarach, w których koncentrują się interesy zawodowe i socjalne związane z zatrudnieniem,
korzystaniem ze świadczeń społecznych bądź opieki socjalnej. W tym obszarze prawa, zwłaszcza
prawa zabezpieczenia społecznego, dominują unormowania ukierunkowane głównie na ochronę
uznanych prawnie interesów osób (pracowników, ubezpieczonych, członków rodzin, uprawnionych
itd.). Przesłanka ta legalizuje przetwarzanie wrażliwych danych osobowych w obszarze prawa pracy i
obejmuje szeroki zespół obowiązków pracodawcy nałożonych na niego przez przepisy prawa pracy w
rozumieniu art. 9 KP, przy czym przyjąć należy, że obowiązki te dotyczą nie tylko pracodawcy i
wynikają również z innych przepisów prawa, jeśli dotyczą zatrudnienia osób na podstawach
pozapracowniczych (np. cywilnoprawnych). Za taką interpretacją przemawiają nie tylko względy
celowościowe, ale i dynamiczny rozwój stosunków zatrudnienia. Z kolei zabezpieczenie społeczne
można odnieść do zakresu sfery społecznej wyznaczonej przez systemy stworzone do realizacji celów
zabezpieczenia społecznego wyrażonych choćby na mocy art. 67 Konstytucji RP, wśród których
wymienia się ubezpieczenie społeczne, zabezpieczenie społeczne i pomoc społeczną (na temat
otwartości pojęcia zabezpieczenie społeczne zob. J. Jończyk, Prawo zabezpieczenia społecznego, s. 7 i
n.; T. Bińczycka-Majewska, Wybrane problemy, s. 61 i n.). Pewną pomocą może również służyć
wykładnia analizowanego pojęcia dokonana na gruncie rozporządzenia Parlamentu Europejskiego i
Rady (WE) Nr 883/2004 z 29.4.2004 r. w sprawie koordynacji systemów zabezpieczenia społecznego
(Dz.Urz. UE L Nr 166, s. 1). Artykuł 3 wymienia świadczenia pieniężne przysługujące z tytułu
określonych zdarzeń objętych ochroną (ryzyk), co pozwala na ustalenie zakresu przedmiotowego
zabezpieczenia społecznego (por. S. Majkowska-Szulc, M. Tomaszewska, M. Zieleniecki,
Zabezpieczenie społeczne, s. 16 i n.).

Najszerszym pojęciem jest jednak "ochrona socjalna", która uwzględnia m.in. ochronę zdrowia oraz
bezpieczeństwo socjalne. W świetle komentowanego przepisu regulacja praw i obowiązków
administratorów bądź osób fizycznych powinna wynikać z prawa UE lub prawa państwa
członkowskiego (przy czym wówczas na gruncie krajowym zakres przetwarzania danych musi być
określony w ustawie), lub porozumienia zbiorowego na mocy prawa państwa członkowskiego
przewidującego odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane
dotyczą. Wykorzystanie porozumień zbiorowych stanowi nowe rozwiązanie mieszczące się jednak w
specyfice stosunków zatrudnienia, które posługują się dość powszechnie źródłami zbiorowego prawa
pracy. Porozumienia zbiorowe należą do katalogu specyficznych (swoistych) źródeł prawa pracy
określonych w art. 9 § 1 KP, który wymienia m.in. układy zbiorowe pracy i inne oparte na ustawie
porozumienia zbiorowe.

14. Niezbędność przetwarzania do ochrony żywotnych interesów osoby fizycznej. W myśl art. 9 ust.
2 lit. c przetwarzanie danych wrażliwych jest dopuszczalne, gdy jest niezbędne do ochrony żywotnych
interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest

32
fizycznie lub prawnie niezdolna do wyrażenia zgody. Wskazana przesłanka służy do legalizacji
przetwarzania danych wrażliwych podmiotu danych lub innej osoby fizycznej, jeśli tylko istnieje
żywotny interes uzasadniający przetwarzanie. Co więcej, dane osobowe podmiotu danych będą
mogły być przetwarzane również wówczas, gdy jego własne żywotne interesy tego nie uzasadniają,
ale jest to niezbędne dla ochrony żywotnych interesów innej osoby fizycznej. Kluczowe dla
interpretacji przepisu jest pojęcie "żywotnego interesu" osoby fizycznej, które występuje również na
gruncie art. 6 ust. 1 lit. d RODO. Żywotny interes nie został przez prawodawcę zdefiniowany, zwrot
ten należy więc kwalifikować jako klauzulę generalną (tak: M. Kuba, w: Bielak-Jomaa, Lubasz, RODO,
s. 449). Wydaje się, że chodzi o istotne interesy życiowe jednostki, mające dla niej większe znaczenie,
w tym dotyczące ratowania życia, zdrowia oraz spraw majątkowych [zob. D. Wociór, Dane osobowe,
s. 11; P. Litwiński (red.), Rozporządzenie UE, komentarz do art. 9; B. Kaczmarek-Templin, Podstawy
legalizacyjne, s. 122]. Analizowana przesłanka może być podstawą przetwarzania danych osobowych
zasadniczo wyłącznie wówczas, gdy przetwarzania ewidentnie nie da się oprzeć na innej podstawie
prawnej (motyw 46). Poza tym przepis formułuje warunek, by osoba, której dane dotyczą, była
fizycznie lub prawnie niezdolna do wyrażenia zgody. Fizyczną niezdolnością do wyrażenia zgody
będzie m.in. brak możliwości skontaktowania się z osobą, również ze względu na jej stan zdrowia
bądź okoliczności wyłączające świadomość, z kolei za niezdolność prawną należy traktować
małoletniość danej osoby bądź ubezwłasnowolnienie skutkujące brakiem zdolności do czynności
prawnych (art. 13 KC). Wydaje się, że ta przesłanka ma charakter tymczasowy, mimo że wprost nie
wynika to z przepisu. Przeszkody związane z prawnym brakiem zdolności do wyrażenia zgody mogą
ustać w związku z np. nabyciem pełnoletniości.

15. Niezbędność przetwarzania w celach wykonywania działalności o celach politycznych,

światopoglądowych, religijnych lub związkowych. Komentowany przepis dotyczy przetwarzania
dokonywanego w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich
zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych,
światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy
wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty
w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody
osób, których dane dotyczą. Przepis stanowi podstawę przetwarzania danych wrażliwych przez
organizacje co do zasady niekomercyjne, o niezarobkowym charakterze, co zwykle znajduje
odzwierciedlenie w statucie lub innym akcie wewnątrzorganizacyjnym. Artykuł 9 ust. 2 lit. d RODO
wskazuje, że chodzi o organizacje prowadzące działalność dla osiągania celów politycznych,
naukowych, religijnych, filozoficznych lub związkowych. Zakres wskazanych podmiotów ma charakter
otwarty, może tu chodzić o fundacje, stowarzyszenia, kościoły, związki wyznaniowe, instytucje
niezależnie od ich statusu prawnego, pod warunkiem jednak niezarobkowego charakteru. W związku
z wykonywaniem swoich zadań statutowych organizacje te są uprawnione do przetwarzania w
niezbędnym zakresie określonych sensytywnych danych osobowych dotyczących wyłącznie członków
lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego
celami, czyli może chodzić o osoby zatrudnione, wolontariuszy, osoby regularnie wspierające daną
organizację, np. darczyńców. Przepis zakazuje ujawniania przetwarzanych danych osobom trzecim
bez zgody podmiotu danych (art. 9 ust. 2 lit. d RODO).

16. Upublicznienie danych przez podmiot danych. Zgodnie z art. 9 ust. 2 lit. e RODO przetwarzanie
danych wrażliwych jest legalizowane przez ich upublicznienie w sposób oczywisty przez osobę, której
dane dotyczą. Oznacza to, że osoba sama zdecydowała o podaniu do publicznej wiadomości

33
określonych informacji o sobie, mieszczących się w zakresie art. 9 ust. 1 RODO. Sposób upublicznienia
danych wrażliwych nie jest istotny, najczęściej chodzi o wykorzystanie środków masowego przekazu
(np. Internet, prasa, radio, TV).

17. Ustalenie, dochodzenie lub obrona roszczeń oraz sprawowanie wymiaru sprawiedliwości przez
sądy. Zgodnie z treścią art. 9 ust. 2 lit. f RODO kolejną przesłanką przetwarzania danych wrażliwych
jest niezbędność przetwarzania do ustalenia, dochodzenia lub obrony roszczeń lub w ramach
sprawowania wymiaru sprawiedliwości przez sądy. Z motywu 52 wynika, że chodzi o roszczenia w
postępowaniu sądowym, administracyjnym lub innym postępowaniu pozasądowym. Przesłanka ta
legalizuje zatem przetwarzanie danych wrażliwych w zakresie czynności związanych z dochodzeniem
wszelkich praw, które są realizowane przez sądy, strony i ich pełnomocników, bez względu na rodzaj i
tryb postępowania (procesowe, zwykłe czy odrębne, nieprocesowe itd.) [por. P. Litwiński (red.),
Rozporządzenie UE, komentarz do art. 9]. Pojęcie sądu należy rozumieć szeroko, jako obejmujące
zarówno sądy cywilne, karne, administracyjne, jak również sądy polubowne.

18. Niezbędność przetwarzania ze względu na ważny interes publiczny. Komentowany art. 9 ust. 2
lit. g RODO artykułuje przesłankę legalizującą przetwarzanie danych wrażliwych, jeśli jest ono
niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa UE lub
prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty
prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych
i interesów osoby, której dane dotyczą. Sformułowanie "względy związane z interesem publicznym"
wskazuje na szeroki potencjał praktyczny analizowanej przesłanki. Występująca w języku prawnym i
prawniczym klauzula interesu publicznego nie posiada ustalonej normatywnie treści, w związku z tym
możliwa jest jej dość szeroka wykładnia. Podobna sytuacja zachodzi na gruncie komentowanego
przepisu, na co wskazuje się w doktrynie (K. Szymielewicz, Reforma europejskiego prawa, s. 14–15).
Pewne podpowiedzi formułuje motyw 52, wskazując, że chodzi o interes publiczny, w szczególności
polegający na przetwarzaniu danych osobowych w dziedzinie prawa pracy, prawa zabezpieczenia
społecznego, w tym emerytur, oraz do celów bezpieczeństwa, monitorowania i ostrzegania
zdrowotnego, zapobiegania chorobom zakaźnym i innym poważnym zagrożeniom zdrowotnym.
Ustawodawca, korzystając z art. 9 ust. 2 lit. g RODO, musi zachować zasadę proporcjonalności
odnoszoną do wyznaczonego celu przetwarzania, nie wprowadzać regulacji naruszających istoty
prawa do ochrony danych oraz przewidzieć odpowiednie i konkretne środki ochrony praw
podstawowych i interesów osoby, której dane dotyczą.

19. Niezbędność przetwarzania dla realizacji celów związanych ze zdrowiem. Przepis art. 9 ust. 2 lit.
h RODO stanowi o niezbędności przetwarzania do celów profilaktyki zdrowotnej lub medycyny pracy,
do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub
zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub
zabezpieczenia społecznego na podstawie prawa UE lub prawa państwa członkowskiego lub zgodnie
z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa
w ust. 3. Oznacza to, że sensytywne dane osobowe dotyczące zdrowia mogą być przetwarzane do
wskazanych celów, jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika
podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa UE lub prawa
państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez
inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa UE

34
lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
Odwołanie do kategorii pracownika lub osoby podlegającej obowiązkowi zachowania tajemnicy
zawodowej na gruncie krajowym obejmuje lekarzy, lekarzy dentystów, pielęgniarki, położne,
fizjoterapeutów oraz diagnostów laboratoryjnych, jako że wszystkie te grupy zawodowe zobowiązane
są do zachowania tajemnicy związanej z wykonywaniem swojego zawodu. Poza tym dotyczy służby
medycyny pracy (SłMedPrU), której zadania wykonują lekarze, pielęgniarki, psycholodzy i inne osoby
o kwalifikacjach zawodowych niezbędnych do wykonywania wielodyscyplinarnych zadań tej służby.
Zakres art. 9 ust. 2 lit. h RODO pozwala stwierdzić, że przepis ten pozwala zatem w szeroki sposób na
przetwarzanie danych sensytywnych dla realizacji różnorodnych celów związanych ze zdrowiem
jednostki w zakresie sfery zawodowej, np. profilaktyka zdrowotna, medycyna pracy [por. T. Wyka,
Granice pozyskania danych osobowych, s. 95 i n.; A. Nerka, Przetwarzanie danych, s. 13 i n.].

20. Niezbędność przetwarzania ze względów związanych z interesem publicznym w dziedzinie

zdrowia publicznego. Zgodnie z tą regulacją przetwarzanie danych jest dopuszczalne, jeśli jest
niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich
jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie
wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub
wyrobów medycznych, na podstawie prawa UE lub prawa państwa członkowskiego, które przewidują
odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności
tajemnicę zawodową. Jak wynika z treści motywu 54, niezbędne może być wówczas przetwarzanie
danych szczególnie chronionych bez zgody podmiotu danych. Zastrzega się jednak, że przetwarzanie
danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować
przetwarzaniem danych do innych celów przez podmioty trzecie, takie jak pracodawcy, banki czy
zakłady ubezpieczeń. Pojęcie zdrowia publicznego na gruncie prawa krajowego pojawia się w
ZdrowPublU, która w art. 1 ust. 2 wskazuje, że przez zdrowie publiczne rozumie się zadania określone
w art. 2. Z kolei przepis ten wymienia:

– monitorowanie i ocenę stanu zdrowia społeczeństwa, zagrożeń zdrowia oraz jakości życia związanej
ze zdrowiem społeczeństwa;

– edukację zdrowotną dostosowaną do potrzeb różnych grup społeczeństwa, w szczególności dzieci,

młodzieży i osób starszych;

– promocję zdrowia;

– profilaktykę chorób;

– działania w celu rozpoznawania, eliminowania lub ograniczania zagrożeń i szkód dla zdrowia
fizycznego i psychicznego w środowisku zamieszkania, nauki, pracy i rekreacji;

– analizę adekwatności i efektywności udzielanych świadczeń opieki zdrowotnej w odniesieniu do

rozpoznanych potrzeb zdrowotnych społeczeństwa;

– inicjowanie i prowadzenie badań naukowych oraz współpracy międzynarodowej w zakresie zdrowia

publicznego;

– rozwój kadr uczestniczących w realizacji zadań z zakresu zdrowia publicznego;

– ograniczanie nierówności w zdrowiu wynikających z uwarunkowań społeczno-ekonomicznych;

– działania w obszarze aktywności fizycznej.

35
W nauce wskazuje się, że w obowiązującym ustawodawstwie istnieją legalne definicje zdrowia
publicznego, choć termin ten nie występuje w sposób systemowy, a tylko rozproszony, na użytek
poszczególnych aktów normatywnych, wobec czego używa się go w różnym znaczeniu (por. szerzej H.
Izdebski, w: Ustawa o zdrowiu publicznym, komentarz do art. 2, Lex/el. 2016; H. Kirschner, Zdrowie
publiczne, s. 3). Wydaje się jednak, że termin "zdrowie publiczne" należy interpretować zgodnie z
definicją w rozporządzeniu Parlamentu Europejskiego i Rady (WE) Nr 1338/2008 z 16.12.2008 r. w
sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy
(Dz.Urz. UE L Nr 354, s. 70 ze zm.). Zgodnie z art. 3 lit. c rozporządzenia "zdrowie publiczne" oznacza
wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i
niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej,
zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, opiekę
zdrowotną, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów.

21. Niezbędność przetwarzania do celów archiwalnych w interesie publicznym, do celów badań

naukowych lub historycznych lub do celów statystycznych. Ostatnią przesłanką przetwarzania
danych wrażliwych, wskazaną w art. 9 ust. 2 lit. i, jest niezbędność przetwarzania do celów
archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów
statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa UE lub prawa państwa członkowskiego,
które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i
przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której
dane dotyczą. Podobnie jak w przypadku innych danych wrażliwych przetwarzanych na różnych
polach, ale w kontekście interesu publicznego, podstawa przetwarzania powinna zostać
sformułowana w prawie unijnym lub krajowym (na poziomie ustawy). W tym przypadku także ma być
zachowane kryterium proporcjonalności oraz muszą być przewidziane odpowiednie i konkretne
środki ochrony praw podstawowych i interesów osoby, której dane dotyczą, przetwarzanie zaś nie
może naruszać istoty prawa do ochrony danych osobowych.

PRZETWARZANIE DANYCH DOT.

WYROKÓW
Artykuł 10 Przetwarzanie danych osobowych dotyczących wyroków skazujących
i naruszeń prawa
KOMENTOWA N Y P R ZEP IS – A . NER KA

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów

zabronionych lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno
dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone
prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia
praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących
są prowadzone wyłącznie pod nadzorem władz publicznych.

1. Kategorie danych o karalności. Komentowany przepis obejmuje kategorie wyroków skazujących,

czynów zabronionych oraz powiązanych środków bezpieczeństwa. Na gruncie prawa krajowego termin
"wyroki skazujące" należy odnieść do informacji o wyrokach w rozumieniu art. 413 § 2 KPK bądź art.
82 KPW. Doprecyzowanie, że chodzi o wyroki skazujące zdaje się wykluczać umarzające lub

36
warunkowo umarzające postępowanie albo też uniewinniające (art. 414 KPK), a także orzeczenia
dyscyplinarne, jak i sądów koleżeńskich. Mniej wątpliwości nasuwa wykładnia pojęcia "czyny
zabronione". Znaczenia tego pojęcia należy poszukiwać w art. 1 § 2 w zw. z art. 115 § 1 KK, na gruncie
których czynem zabronionym jest tylko zachowanie, którego cechy (znamiona) zostały określone w
ustawie i którego popełnienie jest zabronione pod groźbą kary. Komentowany przepis nie obejmuje
"danych dotyczących (…) innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym", jak czynił to art. 27 ust. 1 OchrDanychU16.

2. Charakter informacji o karalności. Informacje dotyczące wyroków skazujących, czynów

zabronionych lub powiązanych środków bezpieczeństwa należą do szczególnych kategorii danych
osobowych zasługujących na szczególną ochronę prawną. Przetwarzanie tego typu danych osobowych
nie zostało objęte zakazem przetwarzania, jak w przypadku szczególnych kategorii danych wskazanych
w art. 9 RODO; wolno je przetwarzać na podstawie przesłanek wymienionych w art. 6 ust. 1 (czyli
przesłanki przetwarzania przewidziane dla danych "zwykłych"), jednakże wyłącznie pod nadzorem
władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa
członkowskiego przewidującym odpowiednie zabezpieczenia praw i wolności osób, których dane
dotyczą. Wynika stąd, że dane dotyczące karalności zachowują swój szczególny charakter, który
uzasadnia nadzór władzy publicznej zwłaszcza nad ich przetwarzaniem, w szczególności nad
czynnościami pozyskiwania oraz udostępniania (M. Krzysztofek, Ochrona danych osobowych, s. 14; D.
Dörre-Kolasa, Wpływ rozporządzenia ogólnego, s. 41). Nieuprawnione przetwarzanie informacji o
przeszłości kryminalnej osoby fizycznej może mieć dojmujący wpływ na jej interesy życiowe, również
zawodowe. Pracodawca, choć należy do kręgu podmiotów uprawnionych na podstawie art. 6 ust. 1
KrRejKarU do uzyskania informacji z KRK, to jednak dla realizacji uprawnienia powinien wskazać
szczególny przepis prawa, z którego wynika wymóg niekaralności wobec osoby ubiegającej się o
zatrudnienie lub pracownika (zob. wyr. WSA w Warszawie z 29.6.2007 r., IV SA/Wa 714/07, Legalis;
wyr. WSA w Warszawie z 28.11.2011 r., II SA/Wa 978/11, Legalis; M. Wujczyk, Prawo pracownika, s.
269–270; R. Jendrych, Wymogi niekaralności, s. 118 i n.). W konstrukcji tej uwidocznia się nadzór
państwa nad dostępem do informacji o karalności; dopuszczenie do niekontrolowanego przetwarzania
informacji o przeszłości kryminalnej osoby fizycznej pozostawałoby w sprzeczności z ochroną dóbr
osobistych tej osoby, podważałoby również skuteczność i sens resocjalizacji. Natomiast odrębnym
zagadnieniem jest kwestia traktowania kary, która uległa zatarciu. Zatarcie skazania, zgodnie z art. 106
KK, jest instytucją prawa karnego, która powoduje uznanie przestępstwa za niebyłe. Oznacza to, że
osoba, co do której nastąpiło zatarcie, jest uważana za niekaraną; z zatartego skazania nie wolno
wyciągać żadnych skutków prawnych oraz nikt nie ma prawa czynić zarzutu z tego tytułu (por. J.
Wojciechowski, Kodeks karny, s. 190). Zatarcie skazania następuje z mocy prawa lub z mocy orzeczenia
sądu.

Przetwarzanie danych o karalności wiąże się z istotnym ryzykiem naruszenia praw i wolności podmiotu
danych. W przypadku zatrudnienia informacje uzyskane przez podmiot zatrudniający w związku z
przetwarzaniem danych nie mogą w szczególności naruszać dóbr osobistych osób zatrudnionych, w tym
prawa do prywatności. Jak wskazuje się w treści motywu 75, przetwarzanie szczególnych kategorii
danych może prowadzić m.in. do szkód majątkowych lub niemajątkowych, dyskryminacji czy też
naruszenia dobrego imienia, w związku z czym niezbędne wydaje się stosowanie wyższych standardów
ochrony, jak również przeprowadzenia oceny skutków dla ochrony danych (motyw 91).

37
3. Nadzór władz publicznych. Artykuł 10 zd. 2 RODO przewiduje, że wszelkie kompletne rejestry
wyroków skazujących mają być prowadzone wyłącznie pod nadzorem władz publicznych. Na gruncie
prawa krajowego można wskazać przede wszystkim Krajowy Rejestr Karny oraz Krajowy Rejestr
Przestępstw na Tle Seksualnym prowadzony na podstawie PrzestSekU. Wydaje się, że ze względu na
zakres gromadzonych danych do takich rejestrów nie należy zaliczać Krajowego Systemu
Informacyjnego Policji. Zgodnie z art. 20 ust. 1 PolicjaU Policja, z zachowaniem ograniczeń
wynikających z art. 19, może uzyskiwać informacje, w tym także niejawnie, gromadzić je, sprawdzać
oraz przetwarzać. Policja może pobierać, uzyskiwać, gromadzić, przetwarzać i wykorzystywać w celu
realizacji zadań ustawowych informacje, w tym dane osobowe, o osobach podejrzanych o popełnienie
przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych
przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości
lub usiłujących ukryć swoją tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody.
Jak stanowi art. 20 ust. 17 PolicjaU dane osobowe zebrane w celu wykrycia przestępstwa przechowuje
się przez okres niezbędny do realizacji ustawowych zadań Policji. Organy Policji dokonują weryfikacji
tych danych po zakończeniu sprawy, w ramach której dane te zostały wprowadzone do zbioru, a ponadto
nie rzadziej niż co 10 lat od dnia uzyskania lub pobrania informacji, usuwając zbędne dane. Informacje,
jakimi dysponuje Krajowy System Informacyjny Policji, nie stanowią źródła wiedzy powszechnie
dostępnej, służą wyłącznie do realizacji zadań Policji. Szczegółowe zasady funkcjonowania
przedmiotowego rejestru określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z
21.7.2016 r. w sprawie przetwarzania informacji przez Policję (Dz.U. z 2016 r. poz. 1091 ze zm.).

4. Krajowy Rejestr Karny. Należy do rejestrów prowadzonych w systemie teleinformatycznym, w

którym gromadzone są dane o zastosowaniu środków szeroko pojętej reakcji prawnokarnej. KrRejKarU
zawiera regulację dotyczącą prawa dostępu do danych, które dotyczą określonej osoby fizycznej (art. 7)
oraz przepisy poświęcone zasadom i sposobowi przetwarzania danych osobowych (rozdział 2).
Uzupełnieniem ustawy są przepisy wykonawcze zawarte w rozporządzeniach wydanych przez Ministra
Sprawiedliwości:

1) rozporządzenie Ministra Sprawiedliwości z 2.9.2015 r. w sprawie gromadzenia danych osobowych

i danych o podmiotach zbiorowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z
Rejestru (Dz.U. z 2015 r. poz. 1464),

2) rozporządzenie Ministra Sprawiedliwości z 27.5.2015 r. w sprawie wykazu kodów stosowanych

przy przekazywaniu za pośrednictwem systemu ECRIS informacji dotyczących kwalifikacji prawnej
czynu zabronionego przyjętej w orzeczeniu oraz orzeczonych kar i środków karnych, jak również
środków zabezpieczających, kompensacyjnych i przepadku, środków wychowawczych, poprawczych i
wychowawczo-leczniczych, oraz sposobu zastosowania tych kodów (Dz.U. z 2015 r. poz. 853 ze zm.),

3) rozporządzenie Ministra Sprawiedliwości z 26.5.2015 r. w sprawie szczegółowości informacji

umieszczanych w karcie rejestracyjnej i w zawiadomieniu (Dz.U. z 2015 r. poz. 846),

4) rozporządzenie Ministra Sprawiedliwości z 1.7.2015 r. w sprawie szczegółowych zasad i sposobu

przetwarzania oraz przekazywania danych osobowych zgromadzonych w zbiorach Krajowego
Rejestru Karnego do celów statystycznych oraz badań naukowych (Dz.U. z 2015 r. poz. 984),

5) rozporządzenie Ministra Sprawiedliwości z 7.7.2015 r. w sprawie udzielania informacji o osobach

oraz o podmiotach zbiorowych na podstawie danych zgromadzonych w Krajowym Rejestrze Karnym
(Dz.U. z 2015 r. poz. 1025 ze zm.),

rozporządzenie Ministra Sprawiedliwości z 18.6.2014 r. w sprawie opłat za wydanie informacji z

Krajowego Rejestru Karnego (Dz.U. z 2015 r. poz. 861 ze zm.).

38
Za prowadzenie KRK odpowiada, wchodzące w skład Ministerstwa Sprawiedliwości, Biuro
Informacyjne Krajowego Rejestru Karnego, do którego zadań należy przede wszystkim przetwarzanie
danych osobowych oraz danych o podmiotach zbiorowych, podlegających gromadzeniu w rejestrze (art.
4 ust. 1 pkt 1 KrRejKarU). Na zawartość informacyjną Krajowego Rejestru Karnego składają się,
zgodnie z art. 1 ust. 2 KrRejKarU, dane o osobach:

1) prawomocnie skazanych za przestępstwa lub przestępstwa skarbowe,

2) przeciwko którym prawomocnie warunkowo umorzono postępowanie karne w sprawach o

przestępstwa lub przestępstwa skarbowe,

3) przeciwko którym prawomocnie umorzono postępowanie karne w sprawach o przestępstwa lub

przestępstwa skarbowe na podstawie amnestii,

4) będących obywatelami polskimi prawomocnie skazanymi przez sądy państw obcych,

5) wobec których prawomocnie orzeczono środki zabezpieczające w sprawach o przestępstwa lub

przestępstwa skarbowe,

6) nieletnich, wobec których prawomocnie orzeczono środki wychowawcze, poprawcze lub

wychowawczo-lecznicze albo którym wymierzono karę na podstawie art. 13 lub 94 PostNielU,

7) prawomocnie skazanych za wykroczenia na karę aresztu,

8) poszukiwanych listem gończym,

9) tymczasowo aresztowanych,

10) nieletnich umieszczonych w schroniskach dla nieletnich.

Istotnym elementem realizacji nadzoru władzy publicznej nad przetwarzaniem tej kategorii danych jest
wyczerpująca regulacja zasad udostępniania informacji zawartych w KRK. Nielimitowane prawo do
zasięgania informacji o danych zgromadzonych w KRK przysługuje jedynie samemu wnioskodawcy –
zainteresowanej osobie fizycznej lub podmiotowi zbiorowemu (art. 7 ust. 1 i 2 KrRejKarU).
Uzyskiwanie informacji o osobach trzecich jest podwójnie ograniczone. Po pierwsze, art. 6 ust. 1
KrRejKarU wymienia enumeratywnie podmioty do tego uprawnione. Po drugie, uprawnienie to
dodatkowo jest ograniczone albo ze względu na kategorię osób, o które można pytać (np. Marszałek
Sejmu posiada je tylko w odniesieniu do posłów), albo ze względu na rodzaj postępowania prawnego,
w związku z którym dochodzi do zapytania (np. prokuratorom w związku z postępowaniem, do którego
prowadzenia są ustawowo upoważnieni). Poza tym nieuprawnione uzyskanie informacji z KRK jest
objęte odpowiedzialnością na gruncie art. 25 KrRejKarU. Zasady usuwania danych z KRK określa art.
14 KrRejKarU.

5. Rejestr Sprawców Przestępstw na Tle Seksualnym. Rejestr ten stanowi jeden ze szczególnych
środków ochrony służących przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym,
wskazując instrumenty ochrony w art. 3 PrzestSekU (por. J. Mierzwińska-Lorencka, Rejestr sprawców,
s. 147–162). Założeniem ustawodawcy jest rozwiązanie problemu wzrostu zagrożenia przestępczością
na tle seksualnym poprzez wprowadzenie nowych środków ochrony społeczeństwa, w szczególności
małoletnich, przed tego rodzaju czynami. Ustawa kładzie nacisk na rozbudowę aktywnych środków
ochrony służących zapobieganiu przestępczości seksualnej już na etapie przed popełnieniem czynu
zabronionego, zwłaszcza środków prewencyjnych (szerzej: A. Rękas, w: Z problematyki wiktymologii,
Lex/el. 2017). Rejestr ten obejmuje informacje dotyczące przestępstw przeciwko wolności seksualnej

39
wymienionych w rozdziale XXV KK, z wyłączeniem czynów wskazanych w art. 2 PrzestSekU. Zgodnie
z art. 4 ust. 1 PrzestSekU, składa się z dwóch wyodrębnionych baz danych: rejestru z dostępem
ograniczonym oraz rejestru. Z kolei zawartość informacyjną rejestrów określają art. 6–7 PrzestSekU,
przy czym jest on szerszy w przypadku rejestru z dostępem ograniczonym. Rejestr z dostępem
ograniczonym, który ma być dostępny jedynie dla określonych podmiotów, zawiera szczegółowe dane
osobowe sprawcy, m.in.: imię, nazwisko, imiona rodziców, nazwisko rodowe matki, obywatelstwo,
kwalifikację prawną czynu zabronionego, datę wydania oraz uprawomocnienia się orzeczenia,
sygnaturę akt sprawy, numer PESEL, wizerunek twarzy uzyskany z Rejestru Dowodów Osobistych oraz
faktyczny adres pobytu osoby, a także aktualne adresy zameldowania na pobyt stały lub czasowy. Dane
z rejestru publicznego są dostępne bez ograniczeń i publikowane na stronie internetowej Biuletynu
Informacji Publicznej Ministerstwa Sprawiedliwości (art. 16 PrzestSekU), prawo do uzyskania
informacji o osobie ujętej w rejestrze z dostępem ograniczonym przysługuje zaś podmiotom wskazanym
w art. 12 PrzestSekU. Są to przede wszystkim organy państwowe, ale także inne instytucje, które wiążą
swoją działalność z kontaktami z dziećmi, m.in. szkoły, przedszkola, fundacje, mogą uzyskiwać z
rejestru z dostępem ograniczonym jedynie informacje o tym, czy dana osoba jest do niego wpisana.
Oznacza to, że zdyskwalifikowane z pracy z dziećmi zostaną wszystkie osoby, które widnieją w tym
rejestrze, a nie tylko te, które zostały wpisane do rejestru publicznego.

Rejestr Sprawców Przestępstw na Tle Seksualnym pełni zróżnicowane funkcje, w szczególności funkcję
prewencji generalnej oraz funkcję społecznego napiętnowania (szerzej na temat funkcji: E.
Michałkiewicz, Rejestr Sprawców Przestępstw na Tle Seksualnym, s. 61 i n.).

40