1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Przetwarzanie danych na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c RODO)
Wyszukiwanie...

Przetwarzanie danych na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c RODO)

Spis treści

Jednym z najważniejszych, a często niedocenianych fundamentów legalnego przetwarzania danych osobowych jest art. 6 ust. 1 lit. c RODO. To właśnie on pozwala administratorowi na gromadzenie i wykorzystywanie danych, gdy jest to konieczne do wypełnienia obowiązku wynikającego z prawa.

Ta przesłanka dotyczy nie tylko organów publicznych, ale także ogromnej liczby przedsiębiorców, którzy z mocy przepisów muszą prowadzić dokumentację pracowniczą, odprowadzać podatki czy realizować obowiązki wynikające z prawa pracy.

Kiedy można powołać się na art. 6 ust. 1 lit. c RODO?

Aby administrator mógł legalnie przetwarzać dane na tej podstawie, muszą być spełnione dwa warunki łącznie:

  1. Istnieje obowiązek prawny nałożony na administratora, wynikający z przepisu prawa.
  2. Przetwarzanie danych jest niezbędne do wykonania tego obowiązku.

Źródła obowiązków prawnych

Obowiązki mogą wynikać zarówno z prawa krajowego, jak i unijnego.
Na gruncie prawa krajowego źródłami obowiązków są m.in.:

  • Konstytucja RP,
  • ustawy,
  • ratyfikowane umowy międzynarodowe,
  • rozporządzenia,
  • akty prawa miejscowego.

📌 Ważne: art. 6 ust. 1 lit. c RODO nie działa samodzielnie. Administrator zawsze musi wskazać konkretny przepis prawa, który nakłada na niego dany obowiązek.

Przykłady zastosowania w praktyce

1. Pracodawca a obowiązki wobec pracowników

Firma budowlana zatrudnia pracowników. Musi gromadzić ich dane osobowe, aby:

  • odprowadzać zaliczki na podatek dochodowy,
  • zgłaszać ich do ubezpieczeń społecznych,
  • prowadzić akta osobowe.

Tu podstawą przetwarzania jest art. 6 ust. 1 lit. c RODO w połączeniu z przepisami prawa pracy, ustawy o systemie ubezpieczeń społecznych i ustaw podatkowych.

2. Instytucje finansowe

Banki i instytucje płatnicze mają obowiązek stosowania przepisów ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. W tym celu muszą gromadzić i weryfikować dane swoich klientów.
Podstawa prawna: art. 6 ust. 1 lit. c RODO + przepisy ustawy AML.

3. Podatki i rachunkowość

Każdy przedsiębiorca ma obowiązek przechowywania dokumentacji księgowej i podatkowej (np. faktur). Przetwarzanie danych osobowych zawartych w tych dokumentach odbywa się na podstawie art. 6 ust. 1 lit. c RODO + odpowiednich przepisów podatkowych i ustawy o rachunkowości.

Niezbędność przetwarzania – co to oznacza?

Nie wystarczy, że jakiś przepis nakłada na administratora obowiązek. Trzeba jeszcze zbadać, czy dane osobowe są rzeczywiście potrzebne do jego realizacji.

  • Jeśli przepis prawa sam określa zakres danych – administrator musi się do niego stosować (np. obowiązkowe dane w deklaracjach podatkowych).
  • Jeśli przepisy nie są precyzyjne – administrator musi dokonać samodzielnej oceny, które dane są niezbędne, by wykonać ciążący na nim obowiązek.

Przykład 4 – dokumentacja podatkowa

Przedsiębiorca prowadzący sklep internetowy przechowuje faktury zawierające dane klientów, ponieważ przepisy podatkowe nakładają obowiązek dokumentowania sprzedaży.
➡️ Zakres danych określają przepisy – administrator nie może gromadzić więcej informacji niż to konieczne.

Najczęstsze błędy przedsiębiorców

Mimo że art. 6 ust. 1 lit. c RODO jest jedną z najczęściej stosowanych podstaw prawnych przetwarzania danych, w praktyce wielu administratorów popełnia powtarzające się błędy:

  1. Brak wskazania konkretnego przepisu prawa
    • Błąd: przedsiębiorca twierdzi, że przetwarza dane „na podstawie obowiązku prawnego”, ale nie wskazuje, jaki to obowiązek i z którego aktu prawnego wynika.
    • Prawidłowo: administrator powinien jasno wskazać podstawę – np. art. 22 § 1 Kodeksu pracy, art. 74 ust. 2 ustawy o rachunkowości czy art. 35 ustawy o PIT.
  2. Zbyt szerokie gromadzenie danych
    • Błąd: pracodawca zbiera dodatkowe dane osobowe od pracowników, mimo że przepisy prawa tego nie wymagają.
    • Prawidłowo: przetwarzane powinny być tylko te dane, które są niezbędne do realizacji obowiązku prawnego.
  3. Żądanie zgody, gdy wystarczy obowiązek prawny
    • Błąd: firmy wymagają od pracowników zgody na przetwarzanie danych do celów podatkowych czy ZUS.
    • Prawidłowo: zgoda w takich sytuacjach jest zbędna i myląca – podstawą jest art. 6 ust. 1 lit. c RODO + właściwy przepis prawa.

Dodatkowe przykłady zastosowania w praktyce

🏥 Sektor medyczny
Placówka medyczna ma obowiązek prowadzenia dokumentacji medycznej pacjentów i przechowywania jej przez określony czas (wynika to m.in. z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).
➡️ Podstawa: art. 6 ust. 1 lit. c RODO + przepisy ustawy medycznej.

🏛 Organy administracji publicznej
Urząd gminy prowadzi ewidencję ludności i wydaje dowody osobiste. Tu także podstawą przetwarzania danych nie jest zgoda, lecz obowiązek ustawowy wynikający z ustawy o ewidencji ludności.

📚 Szkoły i uczelnie
Szkoła przechowuje dane uczniów w dzienniku elektronicznym, a uczelnia dane studentów w celu realizacji obowiązków wynikających z ustawy Prawo o szkolnictwie wyższym.

Podsumowanie – kluczowe zasady dla przedsiębiorcy

  • Art. 6 ust. 1 lit. c RODO pozwala na przetwarzanie danych tylko wtedy, gdy istnieje konkretny obowiązek prawny nałożony na administratora.
  • Obowiązek ten może wynikać z prawa unijnego lub krajowego – w tym Konstytucji, ustaw, rozporządzeń, a także aktów prawa miejscowego.
  • Administrator zawsze powinien wskazać konkretny przepis prawa jako podstawę przetwarzania.
  • Zakres danych powinien być ograniczony do tego, co jest niezbędne do realizacji obowiązku.
  • W takich przypadkach nie należy zbierać zgody – mogłoby to wprowadzać osoby w błąd co do rzeczywistej podstawy przetwarzania.

Podstawa prawna

  • art. 6 ust. 1 lit. c – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
  • art. 22 § 1 – Kodeks pracy
  • art. 74 ust. 2 – Ustawa z dnia 29 września 1994 r. o rachunkowości
  • przepisy ustaw podatkowych (np. ustawa o PIT, ustawa o VAT)
  • ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych

Tematy porad zawartych w poradniku

  • obowiązek prawny RODO art. 6 ust. 1 lit. c
  • przetwarzanie danych pracowników RODO
  • dokumentacja księgowa i podatkowa a RODO
  • przykłady obowiązku prawnego w RODO

Przydatne linki do urzędowych źródeł

📌 Kategoria: Prawo
📌 Podkategoria: Ochrona danych osobowych (RODO)

Ostatnia aktualizacja: 22.10.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: