1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Prawo do usunięcia danych osobowych (art. 17 RODO) – kiedy i jak możesz z niego skorzystać? [WZÓR]
Wyszukiwanie...

Prawo do usunięcia danych osobowych (art. 17 RODO) – kiedy i jak możesz z niego skorzystać? [WZÓR]

Spis treści

Prawo do żądania usunięcia danych osobowych, znane również jako „prawo do bycia zapomnianym”, to jeden z najważniejszych instrumentów ochrony prywatności wprowadzonych przez RODO. Ma ogromne znaczenie w epoce cyfrowej, gdzie dane krążą w Internecie i mogą być przetwarzane przez dziesiątki podmiotów.

Dzięki art. 17 RODO każda osoba, której dane są przetwarzane, może domagać się od administratora ich niezwłocznego usunięcia. Jednak, jak zobaczysz poniżej, prawo to nie jest absolutne – ma swoje przesłanki oraz wyjątki.

Kiedy możesz żądać usunięcia danych? (art. 17 ust. 1 RODO)

RODO przewiduje sześć sytuacji, w których administrator musi usunąć dane, jeśli wystąpi z takim żądaniem osoba, której dane dotyczą.

1. Dane nie są już potrzebne

Jeśli dane zostały zebrane w określonym celu, a cel ten został osiągnięty, administrator nie ma prawa ich dalej przetwarzać. Wynika to z dwóch zasad:

  • celowości przetwarzania (art. 5 ust. 1 lit. b RODO),
  • ograniczonego okresu przechowywania (art. 5 ust. 1 lit. e RODO).

👉 Przykład 1
Szkoła językowa w Lublinie zbiera dane ucznia (imię, adres e-mail, numer telefonu) do celów organizacji kursu. Po zakończeniu kursu dane te nie są już niezbędne. Jeżeli uczeń poprosi o ich usunięcie, administrator powinien to zrobić.

👉 Przykład 2
Hotel w Gdańsku gromadzi dane gości na potrzeby rezerwacji. Po zrealizowaniu pobytu i rozliczeniu płatności nie ma podstawy do dalszego ich przechowywania (chyba że wynika to z przepisów podatkowych).

2. Cofnięcie zgody

Jeśli dane były przetwarzane na podstawie zgody, osoba, której dotyczą, może ją w każdej chwili cofnąć. Wtedy administrator – o ile nie ma innej podstawy prawnej – musi dane usunąć (art. 6 ust. 1 lit. a oraz art. 9 ust. 2 lit. a RODO).

⚠️ Szczególną uwagę RODO przykłada do sytuacji, gdy zgoda była wyrażona przez dziecko. Motyw 65 RODO podkreśla, że dorosły ma prawo cofnąć zgodę udzieloną w dzieciństwie, nawet jeśli dane od dawna krążą w Internecie.

👉 Przykład
Kuba w wieku 13 lat założył profil w aplikacji muzycznej i zaakceptował regulamin. Jako dorosły chce usunąć swoje dane. Administrator ma obowiązek usunąć profil oraz dane, ponieważ brak zgody oznacza brak prawa do dalszego ich używania.

3. Sprzeciw wobec przetwarzania

RODO przewiduje dwa rodzaje sprzeciwu:

  • sprzeciw z przyczyn związanych ze szczególną sytuacją (art. 21 ust. 1 RODO) – np. ktoś nie zgadza się na wykorzystanie danych w zadaniach publicznych,
  • sprzeciw wobec marketingu bezpośredniego (art. 21 ust. 2 RODO) – w tym przypadku administrator zawszemusi zaprzestać przetwarzania danych.

👉 Przykład 1
Pani Anna korzysta z usług banku w Warszawie. Bank używa jej danych do profilowania ofert. Anna wnosi sprzeciw wobec marketingu. Bank musi natychmiast zaprzestać wykorzystywania jej danych w celach reklamowych.

👉 Przykład 2
Urząd miasta wykorzystuje dane mieszkańców w związku z zadaniami publicznymi. Pan Tomasz wnosi sprzeciw. Urząd może jednak odmówić, jeśli wykaże nadrzędne, prawnie uzasadnione podstawy (np. realizację ustawowych obowiązków).

⚠️ Ważne: To, że administrator nie może przetwarzać danych w jednym celu (np. marketingowym), nie oznacza automatycznego obowiązku ich całkowitego usunięcia, jeśli istnieją inne podstawy prawne (np. księgowe czy prawne).

4. Dane były przetwarzane niezgodnie z prawem

Osoba, której dane dotyczą, może domagać się ich usunięcia, jeżeli uważa, że administrator naruszył prawo. W takiej sytuacji to administrator musi udowodnić, że działa legalnie.

👉 Przykład
Sklep internetowy w Bydgoszczy żąda od klientów skanów dowodu osobistego. To naruszenie zasady minimalizacji danych. Klient może zażądać natychmiastowego usunięcia takich plików.

5. Obowiązek wynikający z prawa

Administrator musi usunąć dane, jeżeli wymaga tego przepis prawa unijnego lub krajowego.

👉 Przykład
Pracodawca z Rzeszowa przechowuje CV kandydatów. Ustawa wskazuje, że po zakończeniu procesu rekrutacji musi je usunąć. Jeśli kandydat złoży wniosek wcześniej – również trzeba je usunąć.

6. Dane zebrane od dziecka w usługach online

Chodzi o sytuacje, w których dane zebrano w związku z usługami społeczeństwa informacyjnego (np. aplikacje, serwisy internetowe). Jeżeli takie dane dotyczą dziecka – mogą być usunięte na jego żądanie lub na żądanie rodziców.

Prawo do „bycia zapomnianym” – co to oznacza?

„Bycie zapomnianym” to rozwinięcie prawa do usunięcia danych. Dotyczy ono sytuacji, w których Twoje dane zostały upublicznione – np. opublikowane na stronie internetowej, w bazie ogłoszeń czy w mediach społecznościowych.

W takim przypadku administrator, poza usunięciem danych ze swoich systemów, ma dodatkowy obowiązek:

  • musi podjąć rozsądne działania, w tym techniczne, aby poinformować innych administratorów, że mają usunąć kopie, linki lub replikacje tych danych.

⚠️ Przykład: Jeżeli Twoje zdjęcie zostało opublikowane przez administratora na stronie internetowej i pojawiło się w wynikach wyszukiwarki Google – administrator musi podjąć działania, aby również wyszukiwarki usunęły linki prowadzące do tego zdjęcia.

Wyrok TSUE w sprawie Google (C-507/17)

Ważne orzeczenie dotyczące „bycia zapomnianym” zapadło 24 września 2019 r. Trybunał Sprawiedliwości UE stwierdził, że:

  • operator wyszukiwarki (np. Google), który uwzględnia wniosek o usunięcie linków, musi je usunąć z wersji wyszukiwarki dostępnych w państwach członkowskich UE,
  • nie ma obowiązku globalnego usuwania linków (np. z wersji .com dostępnej w USA), ale powinien zastosować takie środki, które uniemożliwią lub poważnie zniechęcą użytkowników w UE do dostępu do tych danych.

👉 Oznacza to, że prawo do „bycia zapomnianym” działa w praktyce tylko na terenie UE.

Automatyzm prawa do „bycia zapomnianym”

Jeżeli zgłosisz żądanie usunięcia danych, a dane te były upublicznione, prawo do „bycia zapomnianym” aktualizuje się automatycznie.
Administrator staje się wówczas swoistym „pośrednikiem” – ma obowiązek:

  • wyszukać inne podmioty, które przetwarzają dane,
  • poinformować je o żądaniu,
  • żądać ich usunięcia.

⚠️ Uwaga: Jeżeli nie chcesz, aby administrator informował inne podmioty o Twoim wniosku (np. wrażliwej sytuacji), musisz to wyraźnie zaznaczyć w treści swojego żądania.

Wyjątki od prawa do usunięcia danych (art. 17 ust. 3 RODO)

Prawo do usunięcia danych nie ma charakteru absolutnego. W pewnych sytuacjach administrator nie musi realizować żądania. Dotyczy to przypadków, gdy dalsze przetwarzanie jest niezbędne:

  1. Do korzystania z prawa do wolności wypowiedzi i informacji.
    Przykład: gazeta nie musi usuwać artykułu zawierającego dane osoby, jeśli wynika to z prawa do wolności prasy.
  2. Do wywiązania się z obowiązku prawnego (wynikającego z prawa UE lub krajowego) lub do wykonania zadania realizowanego w interesie publicznym.
    Przykład: przepisy podatkowe nakazują przechowywanie faktur przez 5 lat – przedsiębiorca nie może ich wcześniej usunąć.
  3. Ze względów interesu publicznego w dziedzinie zdrowia publicznego (art. 9 ust. 2 lit. h i i oraz art. 9 ust. 3 RODO).
    Przykład: dane pacjentów przechowywane w systemach epidemiologicznych.
  4. Do celów archiwalnych, naukowych, historycznych lub statystycznych (art. 89 ust. 1 RODO).
    Przykład: archiwa państwowe czy instytuty badawcze mogą przechowywać dane dla celów historycznych.
  5. Do ustalenia, dochodzenia lub obrony roszczeń.
    Przykład: bank nie usunie danych klienta, jeśli są potrzebne w związku z postępowaniem sądowym dotyczącym spłaty kredytu.

Wyrok TSUE w sprawie Manni (C-398/15)

Ciekawą ilustracją ograniczeń prawa do usunięcia danych jest sprawa Manni przeciwko włoskiemu rejestrowi spółek.
Obywatel Włoch domagał się usunięcia danych o pełnieniu funkcji w spółce z rejestru handlowego.

TSUE (wyrok z 9 marca 2017 r.) orzekł, że:

  • rejestry spółek pełnią ważną rolę w interesie publicznym,
  • dane osobowe o zarządzających i likwidatorach muszą pozostać dostępne,
  • możliwe jest jednak ograniczenie dostępu do takich danych (np. tylko dla określonych osób lub instytucji), zamiast ich całkowitego usunięcia.

👉 To ważny sygnał – nie zawsze prawo jednostki do ochrony danych przeważa nad interesem publicznym.

Obowiązki administratora przy częściowym usuwaniu danych

Jeżeli osoba domaga się usunięcia wszystkich danych, ale administrator ma obowiązek zachować część z nich (np. do celów podatkowych), powinien:

  • usunąć te dane, które może,
  • zachować tylko te, których usunięcie byłoby niezgodne z prawem,
  • poinformować osobę o przyczynach częściowej odmowy.

Jak skorzystać z prawa do usunięcia danych osobowych w praktyce?

Jak złożyć wniosek o usunięcie danych?

👉 Wniosek o usunięcie danych możesz złożyć:

  • w formie papierowej (np. listem poleconym),
  • mailowo – na adres administratora wskazany w polityce prywatności,
  • poprzez formularz kontaktowy (jeśli administrator go udostępnia).

Wniosek powinien zawierać:

  1. Dane identyfikujące Ciebie jako osobę, której dane dotyczą (np. imię, adres e-mail).
  2. Wskazanie, których danych dotyczy żądanie.
  3. Podstawę prawną – art. 17 RODO.
  4. Żądanie jednoznaczne: usunięcia danych, a jeśli były upublicznione – również powiadomienia innych administratorów („prawo do bycia zapomnianym”).
  5. Datę i podpis (w przypadku wniosku papierowego).

📄 Przykładowa formuła:
„Na podstawie art. 17 RODO żądam niezwłocznego usunięcia moich danych osobowych [wskazać, jakich danych]. Wnoszę także o poinformowanie mnie o realizacji wniosku. W przypadku upublicznienia danych – żądam podjęcia działań zgodnie z art. 17 ust. 2 RODO.”

Terminy odpowiedzi administratora

Administrator ma obowiązek:

  • udzielić odpowiedzi w ciągu miesiąca od otrzymania żądania,
  • termin może być przedłużony maksymalnie do 3 miesięcy, ale administrator musi uzasadnić to opóźnienie i powiadomić Cię o tym w ciągu pierwszego miesiąca.

Co, jeśli administrator odmówi usunięcia danych?

Administrator może odmówić tylko w sytuacjach opisanych w art. 17 ust. 3 RODO (np. obowiązek przechowywania faktur, interes publiczny).

Jeżeli odmówi:

  1. Musi podać konkretną przyczynę odmowy.
  2. Powinien zrobić to najpóźniej w terminie miesiąca od otrzymania wniosku.
  3. Masz wtedy prawo:
    • złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (PUODO),
    • wnieść sprawę do sądu cywilnego.

Częściowe usunięcie danych

Jeśli administrator ma obowiązek przechowywać część Twoich danych (np. w związku z podatkami), powinien usunąć wszystkie pozostałe informacje, a tylko te niezbędne – pozostawić.

👉 Przykład
Pani Katarzyna żąda usunięcia danych po zakończeniu umowy z firmą ubezpieczeniową. Firma usuwa numer telefonu, adres e-mail i dane profilowe, ale pozostawia informacje konieczne do rozliczeń podatkowych i roszczeń.

Dlaczego warto korzystać z prawa do usunięcia danych?

  • Chronisz prywatność – szczególnie w Internecie, gdzie informacje mogą być wykorzystywane bez Twojej wiedzy.
  • Unikasz nadużyć – np. niechcianego marketingu czy profilowania.
  • Zyskujesz kontrolę nad swoimi danymi.

Podsumowanie – kluczowe wnioski

✔ Prawo do usunięcia danych (art. 17 ust. 1 RODO) pozwala żądać usunięcia danych, gdy np. są zbędne, zgoda została cofnięta, dane są przetwarzane niezgodnie z prawem, albo gdy przysługuje Ci sprzeciw.
✔ Prawo do „bycia zapomnianym” (art. 17 ust. 2 RODO) działa w przypadku danych upublicznionych i wymaga od administratora dodatkowych działań wobec innych podmiotów.
✔ Prawo to nie jest absolutne – administrator może odmówić, jeśli istnieją ważne przesłanki z art. 17 ust. 3 RODO (m.in. obowiązek prawny, interes publiczny, badania naukowe, roszczenia).
✔ Wniosek najlepiej składać na piśmie, powołując się wprost na art. 17 RODO.
✔ Administrator ma obowiązek odpowiedzieć w ciągu miesiąca. W przypadku odmowy – możesz zwrócić się do PUODO lub do sądu.

Podstawa prawna

  • art. 5 ust. 1 lit. b i e, art. 6 ust. 1 lit. a, art. 8 ust. 1, art. 9 ust. 2 lit. h-i, art. 9 ust. 3, art. 17, art. 21, art. 89 ust. 1 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)

Tematy porad zawartych w poradniku

  • prawo do bycia zapomnianym RODO
  • wniosek o usunięcie danych osobowych
  • kiedy administrator musi usunąć dane
  • wyjątki od prawa do usunięcia danych
  • terminy odpowiedzi administratora RODO

Przydatne linki urzędowe

Ostatnia aktualizacja: 01.11.2025

Pliki do pobrania:

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: