RODO Artykuły 15–20: Prawa Podmiotów Danych i Termin Odpowiedzi 30 Dni
What you need to know: RODO Artykuły 15–20: Prawa Podmiotów Danych i Termin Odpowiedzi 30 Dni
Osoby fizyczne mają prawo żądać dostępu do swoich danych osobowych, ich sprostowania lub usunięcia — a administrator musi odpowiedzieć w ciągu 30 dni kalendarzowych. Niniejszy przewodnik wyjaśnia każde z praw, co uruchamia obowiązek odpowiedzi i jak prawidłowo dotrzymać terminu.
Osoby fizyczne mają prawo żądać dostępu do swoich danych osobowych, ich sprostowania lub usunięcia — a administrator danych musi odpowiedzieć w ciągu 30 dni kalendarzowych. Są to prawa podmiotów danych wynikające z RODO Artykułów 15–22. Niedotrzymanie terminu lub odmowa udzielenia odpowiedzi może skutkować karą do 10 mln euro lub 2% rocznego obrotu, a także wszczęciem postępowania przez Urząd Ochrony Danych Osobowych (UODO).
Niniejszy przewodnik wyjaśnia zakres każdego prawa, co uruchamia obowiązek administratora i jak prawidłowo przeprowadzić proces odpowiedzi.
Przepis prawa: RODO Artykuł 12 (termin odpowiedzi)
„Administrator podejmuje wszelkie rozsądne działania, by dostarczyć informacji [...] oraz by dokonywać wszelkich komunikatów [...] w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem [...]. Informacji udziela się na piśmie lub w inny sposób, w tym — w stosownych przypadkach — elektronicznie [...]. Administrator bez zbędnej zwłoki — najpóźniej w terminie miesiąca od otrzymania żądania — udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem."
Termin wynosi 30 dni kalendarzowych od otrzymania wniosku, a nie 30 dni roboczych. Wniosek złożony 3 czerwca musi otrzymać odpowiedź do 3 lipca.
Przedłużenie terminu (Artykuł 12(3))
Administrator może przedłużyć termin o kolejne dwa miesiące (łącznie do 90 dni) w przypadku skomplikowanych lub licznych wniosków. Warunek: osoba wnioskująca musi zostać poinformowana o przedłużeniu terminu i jego przyczynach w ciągu pierwszych 30 dni. Brak takiego powiadomienia w terminie pozbawia administratora prawa do skorzystania z przedłużenia.
Pięć podstawowych praw podmiotów danych
Artykuł 15: Prawo dostępu
„Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich."
Prawo dostępu oznacza, że osoba fizyczna może zwrócić się do administratora o potwierdzenie faktu przetwarzania jej danych, a jeżeli tak jest — o dostarczenie ich kopii.
Co administrator musi dostarczyć:
- Potwierdzenie, że dane są (lub nie są) przetwarzane
- Kopię wszystkich przetwarzanych danych osobowych dotyczących wnioskodawcy, w powszechnie stosowanym formacie nadającym się do odczytu maszynowego (CSV, JSON lub PDF)
- Cele przetwarzania
- Kategorie odbiorców danych (podmioty, którym dane są przekazywane)
- Planowany okres przechowywania danych
- Informację o przysługujących prawach: sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych
- Jeżeli dane nie zostały zebrane bezpośrednio od osoby — informację o ich źródle
Koszt: Pierwsza kopia jest bezpłatna. Za kolejne kopie lub w przypadku wniosków oczywiście nieuzasadnionych lub nadmiernych administrator może pobrać opłatę odpowiadającą kosztom administracyjnym.
Przykład: Klient pisze: „Proszę o przesłanie wszystkich moich danych osobowych, które Państwo przetwarzają." Jest to prawidłowy wniosek na podstawie Artykułu 15. Należy odpowiedzieć w terminie 30 dni, dołączając plik do pobrania z danymi oraz pismo wyjaśniające podstawy i cele przetwarzania.
Artykuł 16: Prawo do sprostowania
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych."
Co stanowi nieprawidłowe dane:
- Błędny adres lub numer telefonu
- Błąd literowy w imieniu lub nazwisku
- Nieaktualny pracodawca lub stanowisko
- Daty (np. data urodzenia)
Co nie jest objęte tym prawem:
- Opinie ani oceny administratora, które osoba uważa za niesprawiedliwe (sprostowaniu podlegają fakty, nie oceny)
- Żądanie zmiany danych, które są faktycznie prawidłowe
Obowiązki administratora po dokonaniu sprostowania: Należy powiadomić wszystkich odbiorców, którym dane zostały ujawnione, chyba że okaże się to niemożliwe lub będzie wymagać nieproporcjonalnych działań. Administrator informuje osobę, której dane dotyczą, o tożsamości tych odbiorców na jej żądanie.
Artykuł 17: Prawo do usunięcia danych (prawo do bycia zapomnianym)
„Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe."
Kiedy usunięcie jest obowiązkowe
Administrator ma obowiązek usunąć dane, jeżeli zachodzi jedna z następujących okoliczności:
- Dane nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane
- Osoba cofnęła zgodę, na której opierało się przetwarzanie, i nie ma innej podstawy prawnej
- Osoba wniosła sprzeciw wobec przetwarzania (Artykuł 21) i nie ma nadrzędnych prawnie uzasadnionych podstaw przetwarzania
- Dane były przetwarzane niezgodnie z prawem
- Usunięcie jest wymagane przepisami prawa UE lub prawa krajowego
Kiedy administrator może odmówić usunięcia
Pomimo wniosku o usunięcie administrator może odmówić jego realizacji, jeżeli przetwarzanie jest niezbędne do:
- Wywiązania się z prawnego obowiązku wymagającego przetwarzania (np. przechowywanie faktur przez 5 lat na podstawie Ustawy o rachunkowości, dokumentacja pracownicza wymagana Kodeksem pracy)
- Ustalenia, dochodzenia lub obrony roszczeń prawnych
- Badań naukowych lub historycznych, celów statystycznych w interesie publicznym
- Wykonywania zadań realizowanych w interesie publicznym
Kluczowa zasada: Odmowa musi wskazywać konkretną podstawę prawną. Stwierdzenie „musimy zachować Twoje dane" bez wskazania przepisu prawnego nie jest wystarczającą odpowiedzią i naraża administratora na skargę do UODO.
Przykład częściowej odmowy: Klient żąda usunięcia wszystkich danych. Administrator usuwa dane marketingowe i dane z konta, lecz zachowuje dokumentację transakcji za ostatnie 5 lat, powołując się na obowiązek wynikający z przepisów podatkowych i informując klienta o przyczynie odmowy w tym zakresie.
Artykuł 18: Prawo do ograniczenia przetwarzania
„Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania."
Prawo do ograniczenia przetwarzania oznacza, że administrator oznacza dane jako „zablokowane" i wstrzymuje ich aktywne przetwarzanie — może je jednak nadal przechowywać.
Kiedy przysługuje:
- Osoba kwestionuje prawidłowość danych — na czas niezbędny do weryfikacji prawidłowości przez administratora
- Przetwarzanie jest niezgodne z prawem, lecz osoba sprzeciwia się usunięciu danych i żąda ograniczenia ich wykorzystywania
- Administrator nie potrzebuje już danych, lecz są one niezbędne osobie, której dotyczą, do ustalenia, dochodzenia lub obrony roszczeń
- Osoba wniosła sprzeciw wobec przetwarzania — na czas stwierdzenia, czy prawnie uzasadnione podstawy administratora są nadrzędne
Praktyczne konsekwencje: Administrator może dane przechowywać, lecz zasadniczo nie może ich przetwarzać w żaden inny sposób bez zgody osoby, której dotyczą, z wyjątkiem ustalenia, dochodzenia lub obrony roszczeń albo ochrony praw innej osoby.
Artykuł 20: Prawo do przenoszenia danych
„Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi."
Zakres prawa do przenoszenia:
- Tylko dane, które osoba sama przekazała administratorowi — np. dane wprowadzone w formularzu rejestracyjnym, dane przesłane elektronicznie; nie obejmuje danych wywnioskowanych lub wygenerowanych przez administratora
- Wyłącznie gdy podstawą prawną jest zgoda (Artykuł 6(1)(a)) lub umowa (Artykuł 6(1)(b)) — nie dotyczy przetwarzania opartego na obowiązku prawnym czy uzasadnionym interesie
- Format: CSV, JSON lub inny ustrukturyzowany format nadający się do odczytu maszynowego — nie wystarczy plik PDF ani skan
Osoba ma także prawo żądać bezpośredniego przesłania danych do innego administratora, jeżeli jest to technicznie wykonalne.
Identyfikacja wniosku: każda forma uruchamia obowiązek
Wniosek podmiotu danych może przybrać dowolną formę — nie musi powoływać się na konkretny artykuł RODO ani używać formalnej terminologii prawnej.
Przykłady prawidłowych wniosków, które uruchamiają 30-dniowy termin:
- „Chcę wiedzieć, jakie moje dane posiadacie" (Artykuł 15)
- „Proszę o poprawienie mojego adresu e-mail w Państwa systemach" (Artykuł 16)
- „Chcę, żebyście skasowali moje konto i wszystkie moje dane" (Artykuł 17)
- „Nie chcę, żebyście dalej przetwarzali moje dane do czasu wyjaśnienia tej sprawy" (Artykuł 18)
- „Proszę o dane, które u was podałam, w pliku Excel" (Artykuł 20)
Wszystkie kanały komunikacji: Wnioski złożone przez e-mail, formularz kontaktowy, media społecznościowe, rozmowę telefoniczną, pisemnie — każdy jest prawnie wiążący. Pracownicy obsługi klienta muszą wiedzieć, jak je rozpoznawać i do kogo przekazywać wewnątrz organizacji.
Weryfikacja tożsamości
Przed udzieleniem odpowiedzi administrator może potwierdzić tożsamość wnioskodawcy, jeżeli ma uzasadnione wątpliwości. Artykuł 12(6) dopuszcza żądanie dodatkowych informacji potrzebnych do potwierdzenia tożsamości.
Zasada proporcjonalności: Weryfikacja musi być proporcjonalna do wrażliwości danych. Nie należy żądać kopii dowodu osobistego w przypadku każdego wniosku o dostęp. W razie wątpliwości lepiej udzielić odpowiedzi mniej szczegółowej niż odmawiać.
Czas poświęcony na weryfikację tożsamości nie zatrzymuje biegu 30-dniowego terminu.
Krok po kroku: proces odpowiedzi na wniosek
Krok 1: Zarejestrowanie wniosku (niezwłocznie)
Odnotować datę wpływu wniosku — od niej biegnie 30-dniowy termin. Potwierdzić odbiór wniosku do wnioskodawcy. Przekazać wniosek do właściwej osoby w organizacji (IOD, dział prawny, IOD).
Krok 2: Weryfikacja tożsamości (0–5 dni)
Jeżeli tożsamość wnioskodawcy jest znana i pewna — pominąć ten krok. Jeżeli zachodzą uzasadnione wątpliwości — poprosić o niezbędne informacje identyfikacyjne proporcjonalne do wrażliwości danych.
Krok 3: Ocena wniosku (5–10 dni)
Ustalić rodzaj prawa, do którego realizacji dąży wnioskodawca. Ocenić, czy wniosek jest oczywistym nadużyciem (oczywiście nieuzasadniony lub nadmierny). Zidentyfikować wszelkie podstawy do odmowy lub ograniczenia realizacji prawa.
Krok 4: Zebranie danych lub realizacja żądania (10–25 dni)
W przypadku Artykułu 15: zebrać wszystkie dane osobowe dotyczące wnioskodawcy we wszystkich systemach (CRM, bazy danych, logi, e-maile, pliki papierowe). W przypadku Artykułów 16–18: dokonać sprostowania, usunięcia lub ograniczenia przetwarzania.
Krok 5: Sporządzenie odpowiedzi (25–28 dni)
Przygotować odpowiedź na piśmie (w formie elektronicznej lub papierowej, stosownie do preferencji wnioskodawcy). Językowo dostosować treść do odbiorcy — odpowiedź musi być napisana zrozumiałym językiem.
Krok 6: Wysyłka odpowiedzi (do 30 dni)
Przesłać odpowiedź w terminie. Odnotować datę wysyłki w rejestrze wniosków. Jeżeli termin nie może być dotrzymany — powiadomić wnioskodawcę w ciągu pierwszych 30 dni o przedłużeniu i jego przyczynach.
Wzory odpowiedzi
Akceptacja wniosku o usunięcie danych (Artykuł 17)
Szanowna Pani / Szanowny Panie [Imię Nazwisko],
Potwierdzamy otrzymanie Pani/Pana wniosku o usunięcie danych osobowych złożonego dnia [data].
Zgodnie z Artykułem 17 Rozporządzenia (UE) 2016/679 (RODO) zrealizowaliśmy Pani/Pana wniosek i usunęliśmy następujące dane osobowe z naszych systemów: [lista kategorii danych].
Dane zostały usunięte w dniu [data]. Poinformowaliśmy również podmioty, którym Pani/Pana dane zostały przekazane, o obowiązku ich usunięcia.
Z poważaniem, [Imię Nazwisko, stanowisko]
Częściowa odmowa realizacji wniosku o usunięcie (Artykuł 17(3))
Szanowna Pani / Szanowny Panie [Imię Nazwisko],
Potwierdzamy otrzymanie Pani/Pana wniosku o usunięcie danych osobowych złożonego dnia [data].
Zrealizowaliśmy wniosek w części dotyczącej: [lista danych usuniętych, np. danych konta, danych marketingowych].
Nie możemy natomiast usunąć następujących danych: [lista danych zachowanych], ponieważ ich przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego ciążącego na administratorze, wynikającego z [konkretny przepis, np. art. 74 Ustawy o rachunkowości, który nakazuje przechowywanie dokumentów finansowych przez okres 5 lat od zakończenia roku obrotowego].
Dane te zostaną usunięte po upływie wskazanego okresu przechowywania, tj. [data].
Przysługuje Pani/Panu prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, w przypadku uznania, że przetwarzanie danych osobowych narusza przepisy RODO.
Z poważaniem, [Imię Nazwisko, stanowisko]
Typowe błędy
Błąd 1: Żądanie, aby wniosek był złożony na specjalnym formularzu RODO nie przewiduje obowiązku korzystania z formularza. Utrudnianie złożenia wniosku przez wymaganie szczególnej formy może zostać uznane za naruszenie Artykułu 12(2).
Błąd 2: Liczenie terminu w dniach roboczych zamiast kalendarzowych 30-dniowy termin biegnie w dniach kalendarzowych. Weekendy i dni wolne od pracy nie wstrzymują jego biegu.
Błąd 3: Brak odpowiedzi w przypadku odmowy Administrator musi odpowiedzieć w terminie 30 dni nawet wtedy, gdy odmawia realizacji wniosku. Musi wskazać przyczynę odmowy i pouczyć o prawie do złożenia skargi do UODO.
Błąd 4: Niepowiadamianie o przedłużeniu terminu Brak powiadomienia o przedłużeniu w ciągu pierwszych 30 dni pozbawia prawa do skorzystania z przedłużenia. Naruszenie terminu jest wtedy automatyczne.
Błąd 5: Nieobjęcie poszukiwaniem danych wszystkich systemów Administratorzy często przeszukują tylko główny CRM i pomijają archiwa e-mailowe, pliki papierowe, systemy tworzenia kopii zapasowych lub narzędzia firm trzecich. Odpowiedź niekompletna naraża na skargę.
Błąd 6: Pobieranie opłaty za pierwszą kopię Pierwsza kopia danych w odpowiedzi na wniosek z Artykułu 15 jest bezpłatna. Naliczanie opłaty stanowi naruszenie.
Lista kontrolna gotowości systemów
- [ ] Rejestr wniosków podmiotów danych z datami wpływu i upływu terminów
- [ ] Wewnętrzna ścieżka eskalacji i wyznaczona osoba odpowiedzialna za obsługę wniosków
- [ ] Procedura weryfikacji tożsamości proporcjonalna do wrażliwości danych
- [ ] Pełna mapa danych osobowych przetwarzanych w organizacji (wszystkie systemy, w tym zewnętrzne)
- [ ] Wzory odpowiedzi na typowe wnioski (dostęp, usunięcie, sprostowanie, przenoszenie)
- [ ] Pracownicy obsługi klienta przeszkoleni w rozpoznawaniu i przekazywaniu wniosków
- [ ] Procedura powiadamiania zewnętrznych odbiorców danych o sprostowaniach i usunięciach (Artykuł 19)
- [ ] Udokumentowane podstawy prawne dla danych przechowywanych po złożeniu wniosku o usunięcie
- [ ] Proces przeglądu zasadności wyjątków od prawa do usunięcia
Najważniejsze wnioski
RODO Artykuły 15–20 przyznają osobom fizycznym szerokie prawa do kontroli nad własnymi danymi osobowymi. Administrator ma obowiązek odpowiedzieć na każdy wniosek w ciągu 30 dni kalendarzowych — niezależnie od jego formy i kanału komunikacji. Odmowa jest dopuszczalna wyłącznie na podstawie konkretnego przepisu prawa i musi być wyraźnie uzasadniona. Brak odpowiedzi lub jej opóźnienie skutkuje nie tylko potencjalną karą finansową, lecz przede wszystkim prawem osoby do złożenia skargi do UODO, co uruchamia postępowanie nadzorcze.
Solidna obsługa wniosków podmiotów danych wymaga nie tylko znajomości przepisów, lecz przede wszystkim sprawnych procedur wewnętrznych: kompletnej mapy danych, jasnej ścieżki eskalacji, przeszkolonych pracowników i gotowych wzorów odpowiedzi.
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W sprawach dotyczących konkretnego stanu faktycznego należy skonsultować się z kwalifikowanym prawnikiem specjalizującym się w ochronie danych osobowych.
Key takeaways: RODO Artykuły 15–20: Prawa Podmiotów Danych i Termin Odpowiedzi 30 Dni
This article covers: Przepis prawa: RODO Artykuł 12 (termin odpowiedzi), Pięć podstawowych praw podmiotów danych, Identyfikacja wniosku: każda forma uruchamia obowiązek.
- Przepis prawa: RODO Artykuł 12 (termin odpowiedzi)
- Pięć podstawowych praw podmiotów danych
- Identyfikacja wniosku: każda forma uruchamia obowiązek
- Weryfikacja tożsamości
- Krok po kroku: proces odpowiedzi na wniosek
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.