wegner-rzeczoznawca.pl
  • arrow-right
  • Porady prawnearrow-right
  • Przetwarzanie danych osobowych - Jak robić to legalnie i bez błędów?

Przetwarzanie danych osobowych - Jak robić to legalnie i bez błędów?

Dwie dłonie ściskają się na tle symbolizującym przetwarzanie danych osobowych. Tekst: "Zgoda, choć wymieniona w RODO jako pierwsza, nie zawsze jest najwygodniejszym i najpewniejszym wyborem, kiedy szukamy przesłanek legalnego przetwarzania danych.
Autor Kinga Kowalczyk
Kinga Kowalczyk

23 maja 2026

Spis treści

W praktyce najwięcej problemów nie zaczyna się od samego zbierania danych, tylko od pytania, czy wolno je zbierać, po co dokładnie i jak długo można je trzymać. Ten tekst porządkuje najważniejsze zasady, pokazuje podstawy prawne, obowiązki administratora oraz błędy, które najczęściej prowadzą do kłopotów. Zamiast teorii dostajesz tu konkretne wskazówki, które da się zastosować w firmie, urzędzie albo przy pojedynczym procesie na danych.

Najważniejsze zasady w praktyce

  • Najpierw trzeba wskazać konkretny cel i dopasować do niego właściwą podstawę prawną.
  • Nie każda sytuacja wymaga zgody, a czasem zgoda jest po prostu słabym wyborem.
  • Dane należy zbierać tylko w takim zakresie, jaki jest naprawdę potrzebny do celu.
  • Trzeba z góry ustalić, jak długo dane będą przechowywane i kiedy zostaną usunięte.
  • Osoba, której dane dotyczą, ma realne prawa: dostępu, sprostowania, usunięcia, sprzeciwu i wycofania zgody.
  • Przy większym ryzyku, danych wrażliwych albo monitoringu potrzebne są dodatkowe zabezpieczenia i dokumentacja.

Na jakiej podstawie można legalnie rozpocząć pracę z danymi

W tej części zaczynam od rzeczy najważniejszej: samo posiadanie danych nie wystarcza. Każdy proces musi mieć konkretny cel i jedną z podstaw legalności z art. 6 RODO. W praktyce to właśnie tutaj pojawia się najwięcej pomyłek, bo wiele osób zaczyna od formularza, a dopiero później próbuje dopasować do niego podstawę prawną.

Najprościej patrzeć na to tak: jeśli zbierasz dane, musisz umieć odpowiedzieć, po co to robisz, na jakiej podstawie i czy naprawdę potrzebujesz wszystkich pól. Jeśli którejś z tych odpowiedzi brakuje, proces zwykle jest źle zaprojektowany już na starcie.

Podstawa Kiedy ma sens Na co uważać
Zgoda Gdy osoba rzeczywiście ma wybór i może ją swobodnie odmówić bez negatywnych skutków Musi być dobrowolna, konkretna i odwołalna; nie nadaje się do sytuacji, w których dane są potrzebne z mocy prawa albo do wykonania umowy
Umowa Gdy przetwarzanie jest niezbędne do wykonania umowy lub działań przed jej zawarciem Nie obejmuje wszystkiego, co „przy okazji” byłoby wygodne; trzeba pilnować związku z umową
Obowiązek prawny Gdy przepisy nakazują zbieranie, przechowywanie lub udostępnianie danych Podstawa musi wynikać z prawa, a nie z wewnętrznego uznania administratora
Prawnie uzasadniony interes Gdy administrator lub strona trzecia ma realny, legalny interes, a prawa osoby nie przeważają Wymaga wyważenia interesów; nie wolno traktować jej jako uniwersalnego „koła ratunkowego”
Zadanie publiczne lub ochrona żywotnych interesów Głównie w sektorze publicznym albo w sytuacjach nagłych To podstawa specjalna, a nie wygodny zamiennik dla zwykłych procesów biznesowych

W praktyce szczególnie często widzę jeden błąd: ktoś bierze zgodę „na wszelki wypadek”, choć dane są potrzebne do umowy albo do obowiązku ustawowego. To nie pomaga, tylko komplikuje sprawę, bo zgodę można wycofać, a wtedy trzeba natychmiast ocenić, czy istnieje inna podstawa dalszego działania. Dlatego najpierw wybiera się podstawę, a dopiero potem buduje formularz, komunikaty i obieg dokumentów. Kiedy to jest już ustalone, trzeba dopilnować zasad, które obowiązują cały czas, a nie tylko przy samym zbieraniu danych.

Zasady, które decydują o zgodności całego procesu

RODO nie sprowadza się do jednego podpisu czy checkboxa. Artykuł 5 ustawia cały proces: musi być legalny, rzetelny i przejrzysty. W mojej praktyce właśnie te zasady robią największą różnicę, bo dobrze ustawiony cel, zakres i okres przechowywania często rozstrzygają więcej niż rozbudowane regulaminy.

  • Legalność i przejrzystość - osoba powinna wiedzieć, kto przetwarza dane, w jakim celu i na jakiej podstawie.
  • Ograniczenie celu - nie można później użyć danych do czegoś zupełnie innego bez sprawdzenia, czy nowy cel jest zgodny z pierwotnym.
  • Minimalizacja - zbiera się tylko te dane, które są potrzebne. Nadmiarowe pola w formularzu to częsty, ale bardzo kosztowny nawyk.
  • Prawidłowość - dane trzeba aktualizować, prostować i usuwać, gdy stają się nieaktualne lub błędne.
  • Ograniczenie przechowywania - nie trzyma się danych bez końca; trzeba wskazać okres albo kryterium jego ustalania.
  • Integralność i poufność - dostęp powinien być ograniczony, a zabezpieczenia adekwatne do ryzyka.

Warto też pamiętać o zasadzie rozliczalności: jeśli ktoś pyta, dlaczego dane są przetwarzane właśnie w taki sposób, administrator powinien umieć to pokazać, a nie tylko zadeklarować. UODO zwraca uwagę, że okres przechowywania nie może być pustą formułką, lecz powinien wynikać z celu i obowiązków prawnych. To ważne zwłaszcza tam, gdzie proces trwa latami, a dokumenty krążą między działami bez jasnych reguł. Na tej bazie można dopiero sensownie opisać obowiązki administratora i dokumenty, które trzeba mieć pod ręką.

Diagram sieciowy ilustrujący zabezpieczenia i zarządzanie danymi, w tym ochronę przed wyciekiem, kopie zapasowe i bezpieczny dostęp, kluczowe dla przetwarzania danych osobowych.

Co administrator musi przygotować od pierwszego dnia

Jeżeli ktoś odpowiada za dane, to nie kończy jego roli samo „zbieranie” ich od ludzi. Administrator decyduje o celach i sposobach przetwarzania, a podmiot przetwarzający działa w jego imieniu na podstawie polecenia i umowy. To rozróżnienie jest praktyczne, bo od niego zależy, kto za co odpowiada i jakie dokumenty trzeba mieć.

Obowiązek informacyjny bez prawniczego nadęcia

Osoba, której dane są zbierane, musi dostać jasną informację: kto je przetwarza, po co, na jakiej podstawie, komu mogą zostać przekazane, jak długo będą przechowywane i jakie prawa jej przysługują. Jeśli dane nie pochodzą bezpośrednio od tej osoby, zakres informacji jest podobny, ale sposób przekazania może być inny. W praktyce to nie powinien być ścianowy blok tekstu, tylko zrozumiała instrukcja, która odpowiada na realne pytania.

Umowa powierzenia i kontrola dostawców

Jeżeli zewnętrzna firma obsługuje system kadrowy, wysyła newsletter, hostuje bazę klientów albo prowadzi serwis IT, zwykle nie wystarczy samo zamówienie usługi. Potrzebna jest umowa powierzenia, która określa m.in. przedmiot, czas trwania, charakter i cel przetwarzania oraz obowiązki obu stron. To ważne, bo najwięcej ryzyk nie powstaje w samej organizacji, ale właśnie na styku z dostawcami.

Przeczytaj również: Co to jest tytuł prawny do nieruchomości i jak uniknąć problemów?

Dokumentacja, która naprawdę się przydaje

  • rejestr czynności przetwarzania, który porządkuje procesy i pozwala sprawdzić, co właściwie dzieje się z danymi;
  • rejestr kategorii czynności, jeśli organizacja działa jako podmiot przetwarzający;
  • procedury obsługi wniosków osób, których dane dotyczą;
  • procedura reagowania na naruszenia;
  • zasady nadawania i odbierania uprawnień dostępu;
  • polityka retencji, czyli reguły usuwania i archiwizacji danych.

Do tego dochodzi jeszcze inspektor ochrony danych tam, gdzie jest wymagany albo celowo wyznaczony. W większych organizacjach to nie jest ozdobny tytuł, tylko realny punkt kontrolny dla procesów. Gdy ta warstwa jest ustawiona, trzeba spojrzeć uważniej na procesy bardziej ryzykowne, bo tam najłatwiej o naruszenie prywatności.

Gdy pojawiają się dane wrażliwe albo wyższe ryzyko

Nie każdy zbiór danych niesie takie samo ryzyko. Inaczej patrzy się na zwykły kontakt do klienta, a inaczej na informacje o zdrowiu, biometria, poglądy, przynależność związkową czy dane dotyczące wyroków i naruszeń prawa. Dla takich kategorii obowiązują ostrzejsze reguły, a często potrzebna jest dodatkowa, wyraźna przesłanka z art. 9 RODO lub szczególny przepis prawa.

W praktyce najwięcej ostrożności wymaga też monitoring, profilowanie, szeroka analityka zachowań oraz procesy, w których dane są przetwarzane na dużą skalę. Nie chodzi o straszenie technologią. Chodzi o to, że im większa możliwość wpływu na prywatność, tym bardziej trzeba sprawdzić, czy środek jest proporcjonalny, a ryzyko odpowiednio ograniczone.

Jeśli proces może powodować wysokie ryzyko naruszenia praw lub wolności, pojawia się ocena skutków dla ochrony danych. To narzędzie, które pomaga przed startem zobaczyć, gdzie proces może się posypać: jakie dane są zbierane, kto ma dostęp, jak długo są trzymane, jakie są zagrożenia i czy da się je zmniejszyć. Dobrze przeprowadzona ocena skutków często oszczędza późniejszych zmian w systemie, formularzach i umowach. To właśnie tam wychodzą najdroższe błędy, więc warto je nazwać zanim pojawi się skarga albo kontrola.

Najczęstsze błędy, które widzę w praktyce

W dokumentach wszystko może wyglądać poprawnie, a i tak proces będzie słaby. Najczęściej problemem nie jest brak świadomości prawa, tylko pośpiech, kopiowanie cudzych wzorów i zbyt szerokie podejście do danych. To szczególnie widać w małych firmach, które chcą działać szybko, ale nie zatrzymują się na podstawowe pytania.

  • Zbieranie zbyt dużej liczby danych - formularz prosi o wszystko, choć połowa pól nie ma związku z celem.
  • Stawianie na zgodę, gdy lepsza byłaby inna podstawa - zgoda bywa odwoływana, więc nie zawsze jest stabilna.
  • Brak jasnego terminu usuwania - dane leżą w systemie „na wszelki wypadek”, choć nie ma już potrzeby ich trzymania.
  • Ogólnikowe informacje dla osób - komunikat jest zbyt prawniczy, żeby ktoś naprawdę zrozumiał, co się dzieje z jego danymi.
  • Brak umów z dostawcami - outsourcing jest, ale odpowiedzialność formalna nie została uporządkowana.
  • Ignorowanie wniosków o dostęp, sprostowanie albo sprzeciw - to zwykle prowadzi do niepotrzebnych sporów.
  • Nieprzygotowanie na incydenty - w chwili naruszenia organizacja dopiero zastanawia się, kto ma reagować i w jakim terminie.

Ja zwykle radzę zacząć od prostego testu: czy każdą informację z formularza da się obronić jednym zdaniem. Jeśli nie, najpewniej trzeba usunąć pole, zmienić cel albo wybrać inną podstawę prawną. Z tego miejsca już tylko krok do praktycznej check-listy wdrożeniowej.

Jak poukładać proces, żeby nie wracać do niego po pierwszym problemie

Najlepiej działa podejście etapowe. Nie zaczynam od formularza, tylko od mapy danych i decyzji: co zbieramy, dlaczego, komu to przekazujemy, jak długo trzymamy i kto odpowiada za każdy etap. Dopiero potem przechodzę do dokumentów, zgód, umów i zabezpieczeń.

  1. Opisz proces - wypisz, skąd dane wpływają, gdzie trafiają i kto ma do nich dostęp.
  2. Wybierz podstawę prawną - dopasowaną do celu, a nie wygodną na siłę.
  3. Ogranicz zakres danych - zostaw tylko te informacje, bez których proces nie zadziała.
  4. Ustal okres przechowywania - najlepiej z konkretnym kryterium usunięcia lub archiwizacji.
  5. Przygotuj obowiązek informacyjny - krótki, zrozumiały i zgodny z faktycznym procesem.
  6. Sprawdź dostawców - podpisz umowy powierzenia i upewnij się, że zabezpieczenia są realne, a nie deklarowane.
  7. Wdróż procedury na wnioski i incydenty - bez tego nawet dobry proces szybko się rozjeżdża.
  8. Przeszkol ludzi - bo większość naruszeń zaczyna się od zwykłego błędu operacyjnego, a nie od wielkiej awarii.

To podejście jest trochę mniej efektowne niż szybkie „wdrożenie RODO”, ale działa lepiej. W praktyce daje też prostszą obronę w razie kontroli albo sporu, bo każdy krok ma swoje uzasadnienie. Kiedy to jest już zrobione, pozostaje regularny przegląd i dyscyplina, bez których nawet dobry start szybko się psuje.

Co warto sprawdzać regularnie, żeby proces nie rozjechał się po czasie

Dobrze ustawiony proces nie broni się sam. Zmienia się system, zmienia się zakres usług, zmieniają się dostawcy, a czasem też sam cel przetwarzania. Dlatego raz przygotowany model trzeba co jakiś czas odświeżać, zamiast zakładać, że dokumenty sprzed kilku lat nadal pasują do rzeczywistości.

Najbardziej praktyczne są trzy nawyki: okresowy przegląd podstaw prawnych, kontrola retencji oraz sprawdzanie, czy wszyscy podwykonawcy nadal działają na tych samych zasadach. Do tego dochodzi szybka reakcja na wnioski osób, których dane dotyczą, i analiza incydentów, nawet drobnych. Jeśli w organizacji widać te elementy, ryzyko zwykle spada bardziej niż po samym „doszlifowaniu” polityk. To najlepszy punkt wyjścia, gdy temat ma być nie tylko zgodny z prawem, ale też po prostu uporządkowany.

FAQ - Najczęstsze pytania

Nie, zgoda nie zawsze jest najlepszym wyborem. Jeśli dane są niezbędne do wykonania umowy lub wynikają z przepisów prawa, lepiej oprzeć się na tych podstawach. Zgodę można wycofać, co często komplikuje procesy biznesowe i urzędowe.

Dane można przechowywać tylko tak długo, jak jest to niezbędne do realizacji celu, dla którego zostały zebrane. Okres ten powinien wynikać z konkretnych przepisów prawa lub jasno określonych i uzasadnionych kryteriów administratora.

Zasada minimalizacji oznacza zbieranie wyłącznie tych danych, które są rzeczywiście niezbędne do osiągnięcia konkretnego celu. Należy unikać zbierania informacji „na zapas” i usuwać nadmiarowe pola z formularzy, jeśli nie są one kluczowe.

Administrator powinien posiadać m.in. rejestr czynności przetwarzania, politykę retencji, procedury obsługi wniosków i naruszeń oraz umowy powierzenia. Kluczowe jest też przygotowanie zrozumiałych klauzul informacyjnych dla osób trzecich.

tagTagi
przetwarzanie danych osobowych
zasady przetwarzania danych osobowych rodo
podstawy prawne przetwarzania danych osobowych
obowiązki administratora danych osobowych
shareUdostępnij artykuł
Autor Kinga Kowalczyk
Kinga Kowalczyk
Jestem Kinga Kowalczyk, specjalizuję się w analizie dokumentów oraz zagadnień prawnych, z ponad pięcioletnim doświadczeniem w tej dziedzinie. Moja praca koncentruje się na dostarczaniu rzetelnych informacji, które pomagają zrozumieć złożoność prawa oraz związanych z nim dokumentów. Dzięki mojej pasji do badania i analizy, staram się uprościć skomplikowane dane, aby były one przystępne dla każdego. W moich artykułach kładę duży nacisk na obiektywizm i dokładność, co pozwala mi budować zaufanie wśród czytelników. Regularnie aktualizuję swoją wiedzę, aby dostarczać najnowsze informacje i analizy, które są istotne w kontekście zmieniających się przepisów prawnych. Moim celem jest wspieranie czytelników w podejmowaniu świadomych decyzji opartych na faktach.
Oceń artykuł
rating-fill
rating-fill
rating-fill
rating-fill
rating-fill
Ocena: 0.00 Liczba głosów: 0

Komentarze(0)

email
email