1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Zgoda na przetwarzanie danych osobowych zgodnie z RODO – praktyczny przewodnik dla przedsiębiorców
Wyszukiwanie...

Zgoda na przetwarzanie danych osobowych zgodnie z RODO – praktyczny przewodnik dla przedsiębiorców

Spis treści

Zgoda podmiotu danych osobowych to jedna z podstaw przetwarzania przewidzianych w art. 6 RODO. Choć w wielu sytuacjach jest stosowana rutynowo, przedsiębiorcy często nie zdają sobie sprawy z wymogów, jakie musi spełniać, by była ważna i skuteczna. Właśnie błędne formułowanie zgody jest jednym z najczęściej stwierdzanych naruszeń podczas kontroli UODO.

W tym poradniku wyjaśniam krok po kroku, czym w świetle RODO jest zgoda, jakie warunki musi spełniać, w jakich przypadkach nie powinna być podstawą przetwarzania, a także jak prawidłowo ją formułować i dokumentować.

Czym jest zgoda w rozumieniu RODO?

Zgodnie z art. 4 pkt 11 RODO:
„zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Z tej definicji wynikają cztery podstawowe warunki ważności zgody:

  1. Dobrowolność – zgoda nie może być wymuszona.
  2. Konkretność – musi jasno określać cel i zakres przetwarzania.
  3. Świadomość – osoba musi znać kontekst, zakres i skutki wyrażenia zgody.
  4. Jednoznaczność – zgoda musi być wyrażona poprzez aktywne działanie.

Dobrowolność zgody – fundament ochrony danych

Dobrowolność oznacza, że osoba ma rzeczywistą możliwość wyboru, czy chce udzielić zgody, czy nie.

Co to oznacza w praktyce?

  • wykonanie umowy nie może być uzależnione od wyrażenia dodatkowej zgody, która nie jest konieczna do realizacji usługi,
  • osoba powinna mieć możliwość odmowy bez ponoszenia negatywnych konsekwencji,
  • zgoda musi być możliwa do wycofania w każdej chwili, w równie prosty sposób, jak została udzielona.

Wpływ nierównowagi sił ⚠️

Na kwestię dobrowolności wpływa także relacja między administratorem a osobą, której dane dotyczą.

  • Jeśli administratorem jest organ publiczny – trudno mówić o pełnej swobodzie wyrażenia zgody.
  • Jeśli administratorem jest pracodawca – pracownik może czuć się zobowiązany do wyrażenia zgody, nawet jeśli nie jest to konieczne.

Dlatego w takich sytuacjach co do zasady nie powinno się opierać przetwarzania danych na zgodzie – należy rozważyć inną podstawę prawną (np. obowiązek prawny, uzasadniony interes).

Przykład 1 – aplikacja mobilna

Firma z Krakowa stworzyła aplikację do edycji zdjęć. Aby z niej korzystać, użytkownik musi zaakceptować zgodę na przetwarzanie danych lokalizacyjnych w celu personalizacji reklam.

Problem:
Dane lokalizacyjne nie są niezbędne do świadczenia usługi edycji zdjęć. Wymóg udzielenia takiej zgody narusza zasadę dobrowolności.

Przykład 2 – usługa przewozu osób

Firma przewozowa z Warszawy świadczy usługi transportowe. Aplikacja wymaga dostępu do lokalizacji, aby określić miejsce odbioru pasażera.

Tu zgoda na lokalizację jest uzasadniona i dobrowolna, bo dane są niezbędne do wykonania usługi.

Konkretność zgody – precyzyjny cel i zakres 📌

RODO wymaga, aby zgoda była jednoznacznie powiązana z konkretnym celem przetwarzania. Zgoda nie może być ogólna czy blankietowa.

Jak tego unikać?

  • Nie wystarczy sformułowanie: „Wyrażam zgodę na przetwarzanie danych w celach marketingowych i innych zgodnych z prawem”.
  • Administrator musi wskazać konkretne czynności przetwarzania oraz ich cel, np.:
    „Wyrażam zgodę na przetwarzanie mojego adresu e-mail w celu wysyłki newslettera z ofertami sklepu internetowego XYZ”.

📖 Motyw 32 RODO wyraźnie stanowi:
„Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu (…). Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.”

Odrębna zgoda na różne cele

Orzecznictwo sądów administracyjnych w Polsce potwierdza, że:
jeśli zgoda ma dotyczyć różnych kwestii, powinna być wyrażona odrębnie dla każdej z nich.

Przykład poprawny:

  • Osobne pole wyboru zgody na newsletter,
  • Osobne pole wyboru zgody na profilowanie reklam,
  • Osobne pole wyboru zgody na udostępnienie danych partnerom handlowym.

Świadoma zgoda – pełna informacja dla osoby, której dane dotyczą 📄

Świadomość zgody oznacza, że osoba, od której zbierane są dane, musi otrzymać wszystkie istotne informacje zanimwyrazi zgodę.

Administrator ma obowiązek poinformować m.in.:

  • kto jest administratorem danych,
  • w jakim celu dane będą przetwarzane,
  • jakie dane obejmuje zgoda,
  • jaki jest kontekst przetwarzania (np. czy dane będą przekazywane innym podmiotom),
  • jakie prawa przysługują osobie, w tym prawo do wycofania zgody.

To jest element zasady przejrzystości – osoba musi wiedzieć, co dzieje się z jej danymi, aby faktycznie miała nad nimi kontrolę.

Jednoznaczna zgoda – aktywne działanie osoby ✔

RODO wymaga, aby zgoda była wynikiem wyraźnego działania.

Co jest prawidłowe?

  • zaznaczenie checkboxa,
  • kliknięcie przycisku „Wyrażam zgodę”,
  • świadomy wybór ustawień w aplikacji.

Co jest zakazane?

  • domyślnie zaznaczone pola,
  • mechanizmy opt-out,
  • traktowanie samego korzystania ze strony jako zgody.

Trybunał Sprawiedliwości UE w wyroku z 1 października 2019 r. (C-673/17) jednoznacznie podkreślił, że zgoda musi wynikać z aktywnego działania – samo bierne zachowanie użytkownika nie wystarczy.

Ważne ⚠️

Wyrażenie zgody musi być odrębną czynnością – nie może być ukryte w długim regulaminie czy łączone z innymi postanowieniami.

Przykład:
❌ Źle: „Akceptuję regulamin i wyrażam zgodę na przetwarzanie danych w celach marketingowych”.
✔ Dobrze: dwa osobne pola – jedno do akceptacji regulaminu, drugie do wyrażenia zgody marketingowej.

Forma i treść zgody – jak powinna wyglądać?

RODO nie narzuca jednej formy zgody, ale wynikające z przepisów wymagania sprawiają, że musi być:

  • jasna i prosta – sformułowana zwykłym językiem,
  • łatwo dostępna – bez konieczności przechodzenia przez kilka stron czy pobierania specjalnego oprogramowania,
  • wyraźnie oddzielona od innych treści, np. warunków świadczenia usług.

Przykład błędnej zgody:
„Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z ustawą i regulaminem”.
– takie sformułowanie nie mówi, w jakim celu i jakie dane będą przetwarzane.

Przykład poprawnej zgody:
„Wyrażam zgodę na przetwarzanie mojego adresu e-mail w celu przesyłania newslettera z ofertami sklepu internetowego XYZ”.

Zasada rozliczalności – obowiązek administratora 📌

Administrator nie tylko musi prawidłowo pozyskać zgodę, ale także być w stanie to udowodnić.

Art. 7 ust. 1 RODO stanowi:
„Administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.”

W praktyce oznacza to konieczność:

  • przechowywania potwierdzeń zgody (np. zapisów w systemie, logów, e-maili),
  • umożliwienia szybkiego wykazania podczas kontroli UODO, że zgoda była dobrowolna, konkretna, świadoma i jednoznaczna.

Wycofanie zgody – prawa osoby, której dane dotyczą 🔄

Prawo do wycofania zgody jest jednym z najważniejszych uprawnień w RODO.

Art. 7 ust. 3 zdanie drugie RODO mówi:
„Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.”

Kluczowe zasady:

  • wycofanie musi być tak samo łatwe jak udzielenie zgody,
  • nie można wymagać formy trudniejszej (np. pisemnej), jeśli zgoda była udzielona online,
  • administrator musi poinformować o tym prawie zanim zgoda zostanie wyrażona,
  • administrator nie ma prawa pytać o przyczyny wycofania zgody – takie działanie jest sprzeczne z zasadą zgodności z prawem, przejrzystości i rzetelności.

Przykład 1 – elektroniczne wycofanie zgody

Użytkownik zapisał się na newsletter sklepu internetowego, zaznaczając checkbox w formularzu. Administrator musi zapewnić możliwość wypisania się poprzez kliknięcie linku w każdej wiadomości e-mail. Nie można wymagać wysłania listu poleconego czy rozmowy telefonicznej.

Przykład 2 – nadużycie administratora

Firma usługowa wymaga, aby osoba wycofująca zgodę napisała, dlaczego rezygnuje. To działanie jest bezprawne i narusza art. 5 ust. 1 lit. a RODO (zasada zgodności z prawem, przejrzystości i rzetelności).

Wskazówki praktyczne – jak wdrożyć zgodę zgodnie z RODO?

Europejska Rada Ochrony Danych przygotowała wytyczne dotyczące stosowania zgody na gruncie RODO. Zawierają one praktyczne przykłady i dobre praktyki, które mogą pomóc przedsiębiorcom w formułowaniu właściwych klauzul.

Przykłady z praktyki przedsiębiorców

🧑‍💻 Przykład 1 – sklep internetowy
Sklep z elektroniką umożliwia klientowi:

  • zaakceptowanie regulaminu (niezbędne do zawarcia umowy),
  • odrębne wyrażenie zgody na otrzymywanie newslettera,
  • odrębne wyrażenie zgody na profilowanie pod kątem ofert promocyjnych.

Klient może kupić produkt bez zaznaczenia dwóch ostatnich zgód. Takie rozwiązanie spełnia wymogi RODO, bo zgody są dobrowolne, konkretne i rozdzielone.

📱 Przykład 2 – aplikacja mobilna fitness
Aplikacja do monitorowania aktywności wymaga dostępu do lokalizacji, aby mierzyć dystans biegowy. To jest zgodne z RODO – lokalizacja jest niezbędna do działania aplikacji.

Jednak ta sama aplikacja dodatkowo wymaga zgody na przekazywanie lokalizacji firmom reklamowym, bez możliwości korzystania z aplikacji bez tej zgody. To narusza zasadę dobrowolności – użytkownik nie powinien być zmuszony do przetwarzania danych w celach marketingowych, jeśli nie jest to konieczne do świadczenia usługi.

🏢 Przykład 3 – relacja pracodawca – pracownik
Pracodawca prosi pracowników o zgodę na przetwarzanie danych dotyczących zdrowia w celu monitorowania absencji chorobowej. Takie działanie jest nieprawidłowe, bo w tej relacji występuje nierównowaga sił, a dane o zdrowiu podlegają szczególnej ochronie. Podstawą prawną powinien być przepis prawa pracy, a nie zgoda.

Podsumowanie – najważniejsze zasady zgody RODO

  • Dobrowolność – zgoda nie może być wymuszona ani uzależniona od świadczenia usługi, jeśli dane nie są do niej niezbędne.
  • Konkretność – każda zgoda musi być powiązana z jasno określonym celem i zakresem.
  • Świadomość – osoba musi otrzymać wszystkie kluczowe informacje przed wyrażeniem zgody.
  • Jednoznaczność – zgoda wymaga aktywnego działania (np. zaznaczenia checkboxa).
  • Łatwość wycofania – rezygnacja ze zgody musi być tak prosta, jak jej udzielenie.
  • Rozliczalność – administrator musi być w stanie wykazać, że zgoda została prawidłowo uzyskana.

👉 Zgoda to ważna, ale nie zawsze najlepsza podstawa przetwarzania danych. W niektórych sytuacjach lepiej oprzeć się na innej przesłance z art. 6 RODO (np. obowiązku prawnego czy uzasadnionym interesie).

Podstawa prawna

  • art. 4 pkt 11, art. 6 ust. 1 lit. a, art. 7 ust. 1–3 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
  • motyw 32 – RODO
  • art. 5 ust. 1 lit. a – RODO
  • wyrok Trybunału Sprawiedliwości UE z dnia 1.10.2019 r., C-673/17

Tematy porad zawartych w poradniku

  • zgoda na przetwarzanie danych osobowych RODO
  • warunki ważnej zgody RODO 2025
  • wycofanie zgody na dane osobowe
  • przykłady prawidłowej i wadliwej zgody

Przydatne linki do urzędowych źródeł

Ostatnia aktualizacja: 21.10.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: