1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Obowiązki administratora danych po otrzymaniu wniosku o usunięcie danych osobowych
Wyszukiwanie...

Obowiązki administratora danych po otrzymaniu wniosku o usunięcie danych osobowych

Spis treści

W dobie cyfryzacji ochrona danych osobowych stała się jednym z filarów prywatności. Osoby fizyczne mają prawo żądać usunięcia swoich danych, ale to po stronie administratora leży odpowiedzialność za ocenę zasadności takiego żądania. Ten poradnik pomoże Ci – jako administratorowi danych – zrozumieć, jakie kroki należy podjąć po otrzymaniu wniosku, kiedy możesz odmówić jego spełnienia oraz jakie obowiązki informacyjne Cię dotyczą.

Co oznacza prawo do bycia zapomnianym?

Prawo do usunięcia danych osobowych – znane jako „prawo do bycia zapomnianym” – zostało uregulowane w art. 17 ogólnego rozporządzenia o ochronie danych (RODO). Osoba fizyczna może żądać od administratora usunięcia jej danych, jeżeli spełnione są określone przesłanki. Ale samo żądanie to nie wszystko – Twoim obowiązkiem jako administratora jest każdorazowe przeanalizowanie wniosku i odpowiednia reakcja.

Krok 1: Ocena przesłanek do usunięcia danych (art. 17 ust. 1 RODO)

Po otrzymaniu wniosku o usunięcie danych osobowych, pierwszym krokiem jest ocena, czy zachodzi jedna z sześciu przesłanek wymienionych w art. 17 ust. 1 RODO, takich jak:

  • dane nie są już potrzebne do celów, dla których zostały zebrane,
  • osoba cofnęła zgodę i nie ma innej podstawy prawnej,
  • zgłoszono sprzeciw wobec przetwarzania,
  • dane były przetwarzane niezgodnie z prawem,
  • obowiązek usunięcia wynika z przepisów prawa,
  • dane zostały zebrane w związku z usługami społeczeństwa informacyjnego.

Jeśli żadna z nich nie występuje, możesz odmówić spełnienia żądania – ale to nie koniec Twoich obowiązków.

Krok 2: Sprawdzenie przesłanek wyłączających (art. 17 ust. 3 RODO)

Nawet jeśli przesłanka z ust. 1 została spełniona, musisz zbadać, czy nie zachodzi jedna z przesłanek negatywnych, czyli wyjątków przewidzianych w art. 17 ust. 3 RODO. Oto one:

⚖️ 1. Wolność wypowiedzi i informacji

Jeśli dane są przetwarzane w ramach korzystania z prawa do wolności wypowiedzi i informacji – np. w archiwach gazet lub portali internetowych – nie musisz ich usuwać. Przykład:

📰 Wydawnictwo lokalnej gazety otrzymuje żądanie usunięcia danych osoby opisanej w artykule sprzed lat. Jeżeli publikacja była zgodna z prawem i służyła interesowi publicznemu, administrator może odmówić usunięcia danych.

⚖️ 2. Obowiązek prawny lub interes publiczny

Jeżeli przepisy prawa UE lub prawa krajowego wymagają dalszego przetwarzania danych (np. w celu prowadzenia dokumentacji podatkowej lub księgowej), żądanie można odrzucić. Dotyczy to także sytuacji, gdy dane są przetwarzane w interesie publicznym lub w ramach sprawowania władzy publicznej.

⚖️ 3. Zdrowie publiczne

W kontekście pandemii czy chorób zakaźnych, dane mogą być przetwarzane na potrzeby ochrony zdrowia publicznego. Żądania ich usunięcia w takich przypadkach również można odrzucić.

⚖️ 4. Cele archiwalne, naukowe, historyczne lub statystyczne

Jeżeli usunięcie danych uniemożliwiłoby realizację badań lub prowadzenie archiwów publicznych – można je pozostawić. Warunkiem jest jednak wdrożenie środków technicznych i organizacyjnych chroniących dane.

⚖️ 5. Ustalenie, dochodzenie lub obrona roszczeń

Jeśli dane są potrzebne np. do obrony przed pozwem sądowym, nie musisz ich usuwać. Przykład:

⚖️ Przedsiębiorstwo zachowuje dane klienta, który żąda ich usunięcia, ponieważ toczy się wobec niego postępowanie windykacyjne.

Krok 3: Ocena, czy żądanie jest ewidentnie nieuzasadnione lub nadmierne

Zgodnie z art. 12 ust. 5 RODO, administrator nie jest zobowiązany do realizacji żądania, jeżeli:

  • jest ono ewidentnie nieuzasadnione, lub
  • ma nadmierny charakter, szczególnie ze względu na swoją ustawiczność (czyli wielokrotne, powtarzające się w krótkim czasie wnioski tej samej osoby, mimo wcześniejszego rozpatrzenia).

W takiej sytuacji masz dwie możliwości:

  1. Pobranie rozsądnej opłaty – uwzględniającej rzeczywiste koszty administracyjne (np. czas pracy, wysyłka dokumentów).
  2. Odmowa podjęcia działań w związku z żądaniem.

⚠️ Uwaga: To Ty – jako administrator – musisz wykazać, że żądanie jest ewidentnie nieuzasadnione lub nadmierne. Samo twierdzenie nie wystarczy.

Przykład praktyczny

🧑‍💼 Pani Elżbieta przesyła co tydzień identyczne żądanie usunięcia tych samych danych, mimo że administrator już dwukrotnie odpowiedział, że nie ma do tego podstaw. W tej sytuacji administrator może uznać żądania za ustawicznie nadmierne i:

  • zażądać opłaty, np. 30 zł, uwzględniając koszt obsługi,
  • albo odmówić dalszego działania.

Krok 4: Podjęcie decyzji – usunąć dane czy odmówić?

✔ Spełnienie żądania

Jeżeli:

  • spełniona została przynajmniej jedna z przesłanek z art. 17 ust. 1 RODO, i jednocześnie
  • nie zachodzi żadna z przesłanek wyłączających z art. 17 ust. 3 RODO,

to administrator ma obowiązek usunąć dane osobowe.

📌 Pamiętaj, że w przypadku upublicznienia danych osobowych (np. w Internecie), na mocy art. 17 ust. 2 RODO, powinieneś:

  • podjąć rozsądne działania, w tym techniczne,
  • poinformować innych administratorów, aby również usunęli te dane lub linki do nich.

✖ Odmowa spełnienia żądania

Jeśli:

  • nie zachodzi żadna przesłanka z art. 17 ust. 1 RODO, lub
  • zachodzi przesłanka negatywna z art. 17 ust. 3 RODO,

to masz prawo odmówić usunięcia danych.

Krok 5: Obowiązki informacyjne administratora

Bez względu na to, czy spełniasz żądanie, czy odmawiasz jego realizacji – masz obowiązek poinformować osobę, której dane dotyczą, w odpowiednim terminie.

Terminy:

📅 1 miesiąc – podstawowy termin na odpowiedź od dnia otrzymania żądania.

+2 miesiące – możliwe przedłużenie, jeśli żądanie:

  • jest skomplikowane, lub
  • dotyczy wielu wniosków jednocześnie.

W przypadku przedłużenia, w ciągu pierwszego miesiąca musisz poinformować osobę:

  • o przedłużeniu terminu,
  • z podaniem konkretnej przyczyny opóźnienia.

Forma odpowiedzi:

  • Jeśli żądanie było elektroniczne, odpowiedź również powinna być elektroniczna, o ile osoba nie zażądała innej formy.
  • Odpowiedź powinna zawierać:
    • informacje o podjętych działaniach,
    • sposób realizacji (np. jakie dane zostały usunięte),
    • albo przyczyny odmowy, wraz z informacją o prawie do skargi i drodze sądowej.

Krok 6: Realizacja żądania usunięcia danych

Jeśli spełnione są warunki z art. 17 ust. 1 RODO i nie zachodzi żadna przesłanka z ust. 3 – administrator ma obowiązek usunąć dane.

Usunięcie danych oznacza ich trwałe zniszczenie lub anonimizację w taki sposób, aby niemożliwa była identyfikacja osoby, której dane dotyczą.

🎯 Przykład działań:

  • trwałe usunięcie danych z systemów informatycznych,
  • zniszczenie dokumentów papierowych,
  • wycofanie danych z baz marketingowych.

Pamiętaj, że usunięcie powinno obejmować wszystkie miejsca, gdzie dane były przetwarzane, np. kopie zapasowe, systemy CRM, archiwa.

Krok 7: Poinformowanie osoby o spełnieniu żądania

Zgodnie z art. 12 ust. 3 RODO – administrator musi niezwłocznie poinformować osobę, której dane dotyczą, o realizacji jej żądania.

W informacji należy wskazać:

  • które dane zostały usunięte,
  • z jakich systemów lub zasobów,
  • oraz datę wykonania operacji (jeśli możliwe).

📬 Forma komunikatu:
Preferowana forma to taka sama, w jakiej złożono żądanie – czyli najczęściej e-mail. Jeśli osoba zażąda odpowiedzi listownej – należy to uszanować.

Krok 8: Działania wobec innych administratorów (jeśli dane zostały upublicznione)

Jeśli dane osobowe zostały upublicznione (np. na stronie internetowej, w bazie ogłoszeń, mediach społecznościowych) i osoba zażąda ich usunięcia – wówczas wchodzi w grę art. 17 ust. 2 RODO.

🧾 Administrator powinien:

  • podjąć rozsądne działania techniczne i organizacyjne,
  • poinformować innych administratorów danych, którzy przetwarzają te dane,
  • poprosić ich o usunięcie linków, kopii lub replikacji danych.

📌 Zakres działań zależy od:

  • dostępnych technologii,
  • kosztów realizacji,
  • rzeczywistej kontroli nad miejscem publikacji danych (np. własna strona vs serwis zewnętrzny).

Krok 9: Odmowa realizacji żądania i jej skutki

Jeśli zdecydujesz się odmówić usunięcia danych, pamiętaj o kilku obowiązkach:

  1. Poinformuj osobę w terminie 1 miesiąca o:
    • odmowie podjęcia działań,
    • konkretnej podstawie prawnej decyzji (np. interes publiczny, ochrona roszczeń),
    • prawie do wniesienia skargi do organu nadzorczego,
    • oraz prawie do wystąpienia do sądu.
  2. Forma komunikatu:
    Taka sama, jak sposób złożenia żądania – chyba że osoba zażądała innej.
  3. Skutki prawne dla osoby:
    Odmowa spełnienia żądania uprawnia osobę do:
    • wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO),
    • lub wystąpienia do sądu powszechnego przeciwko administratorowi.

Krok 10: Zakończenie procedury

Postępowanie w sprawie realizacji prawa do bycia zapomnianym kończy się:

  • spełnieniem żądania i poinformowaniem osoby – wówczas dalsze kroki nie są wymagane,
  • odmową żądania i poinformowaniem o powodach – co otwiera możliwość dalszych działań ze strony osoby fizycznej (skarga, pozew).

Podsumowanie

Obowiązki administratora po otrzymaniu wniosku o usunięcie danych obejmują:

  • analizę przesłanek pozytywnych i wyłączających,
  • rozważenie, czy żądanie nie jest nadmierne lub nieuzasadnione,
  • podjęcie decyzji: spełnić czy odmówić,
  • realizację usunięcia danych (w tym wobec innych administratorów),
  • obowiązek informacyjny wobec osoby fizycznej,
  • ewentualne przekazanie przyczyn odmowy i wskazanie środków odwoławczych.

Podstawa prawna

  • art. 17 ust. 1–3, art. 12 ust. 3 i 5 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO)
  • art. 89 ust. 1 – RODO
  • art. 77 – RODO (prawo do skargi do organu nadzorczego)

Tematy porad zawartych w poradniku:

  • realizacja prawa do bycia zapomnianym
  • odmowa usunięcia danych osobowych
  • obowiązki administratora danych 2025
  • odpowiedź na wniosek RODO
  • przesłanki odmowy usunięcia danych

Przydatne adresy:

Ostatnia aktualizacja: 01.05.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: