Każdy obywatel Unii Europejskiej ma fundamentalne uprawnienie, które może radykalnie zmienić jego relację z firmami przetwarzającymi dane osobowe. Art 15 RODO, czyli prawo dostępu przysługujące osobie, której dane dotyczą, to nie tylko teoretyczny mechanizm kontroli — to realne narzędzie, które w 2026 roku zyskuje coraz większe znaczenie praktyczne. Użytkownicy masowo odkrywają, że mogą żądać od administratorów pełnej kopii danych oraz szczegółowych informacji o celach i podstawach ich przetwarzania. Organy nadzorcze, w tym polski Prezes Urzędu Ochrony Danych Osobowych, nieustannie podkreślają, że prawo dostępu stanowi jeden z filarów transparentności, a jego egzekwowanie daje realną siłę negocjacyjną konsumentom. W niniejszym poradniku wyczerpująco omawiamy, czym dokładnie jest art 15 RODO według stanu prawnego na pierwsze półrocze 2026 roku, jakie obowiązki nakłada na administratorów, jak skutecznie składać wnioski oraz co zrobić, gdy odpowiedź firmy jest niepełna lub opóźniona. Znajdziesz tu również autentyczne case studies, analizę najświeższych decyzji Prezesa UODO oraz praktyczne wskazówki — zarówno dla osób fizycznych, jak i dla przedsiębiorców pragnących działać zgodnie z prawem i uniknąć dotkliwych kar finansowych.
Dlaczego art 15 RODO jest fundamentem transparentności
U podstaw ogólnego rozporządzenia o ochronie danych leży zasada mówiąca, że każda osoba fizyczna ma nieskrępowane prawo wiedzieć, kto, w jakim celu i na jakiej podstawie przetwarza jej dane. Artykuł 15 stanowi konkretyzację tej idei. W przeciwieństwie do innych uprawnień — na przykład prawa do sprostowania (art. 16) czy prawa do usunięcia danych (art. 17) — prawo dostępu nie wymaga od wnioskodawcy wykazywania żadnych szczególnych przesłanek. Wystarczy, że podmiot danych złoży wniosek, a administrator ma obowiązek udzielić odpowiedzi.
W 2026 roku transparentność przetwarzania nie jest już tylko postulatem. Europejska Rada Ochrony Danych opublikowała w styczniu 2026 zaktualizowane wytyczne nr 01/2022 (wersja 3.0) dotyczące praw podmiotów danych, precyzując między innymi zakres obowiązków informacyjnych administratora odpowiadającego na żądanie dostępu. Wytyczne te podkreślają, że art 15 RODO nie można interpretować zawężająco — prawo dostępu obejmuje nie tylko same dane (kopię), ale także metadane, logi dostępu, profile decyzyjne oraz informacje o zautomatyzowanych procesach decyzyjnych. Ta zmiana jakościowa oznacza, że firma, która na przykład stosuje scoring kredytowy oparty na sztucznej inteligencji, nie może już zasłaniać się tajemnicą przedsiębiorstwa — musi ujawnić logikę stojącą za decyzją algorytmiczną.
Praktyczną ilustrację tej tendencji stanowi kara nałożona przez Prezesa UODO w marcu 2026 na dużą sieć handlową — 2,8 miliona złotych za zwodzenie klienta, który przez osiem miesięcy bezskutecznie domagał się kopii swojego profilu zakupowego i informacji, jakie kategorie danych zasiliły personalizowane oferty promocyjne. Administrator argumentował, że ujawnienie reguł segmentacji naraziłoby go na straty konkurencyjne. PUODO uznał jednak, że prawo jednostki do transparentności ma pierwszeństwo przed interesem ekonomicznym przedsiębiorcy.
Co konkretnie obejmuje prawo dostępu przysługujące osobie, której dane dotyczą
Artykuł 15 RODO składa się z czterech ustępów. Ustęp 1 przyznaje podmiotowi danych prawo do uzyskania potwierdzenia, czy jego dane są przetwarzane, a jeżeli tak — do dostępu do nich oraz do następujących informacji: cele przetwarzania, kategorie danych, odbiorcy (lub kategorie odbiorców), którym dane zostały lub zostaną ujawnione, przewidywany okres przechowywania (lub kryteria jego ustalania), informacja o prawie do sprostowania, usunięcia, ograniczenia przetwarzania i sprzeciwu, prawo do skargi do organu nadzorczego, źródło danych (jeżeli nie pochodzą od podmiotu) oraz informacja o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu. Ustęp 2 dotyczy przekazywania danych do państw trzecich i odpowiednich zabezpieczeń. Ustęp 3 nakazuje wydanie kopii danych podlegających przetwarzaniu, a ustęp 4 chroni prawa i wolności innych osób przy realizacji tego obowiązku.
Kluczowa zmiana interpretacyjna w 2026 roku dotyczy pojęcia „kopia danych”. Przez pierwsze lata obowiązywania RODO wielu administratorów uważało, że wystarczy wyeksportować tabelę bazy danych w formacie .csv i wysłać mailem. Obecnie wiadomo, że kopia musi być kompletna, zrozumiała dla przeciętnego odbiorcy oraz obejmować nie tylko dane wprowadzone bezpośrednio przez podmiot (np. formularze rejestracyjne), ale również dane wygenerowane w trakcie korzystania z usługi (logi, historia transakcji, nagrania rozmów, dane telemetryczne). W przypadku gdy przetwarzanie opiera się na profilowaniu, administrator powinien przedstawić nie tylko wynik profilowania, ale i zestaw cech, które wpłynęły na ten wynik, wraz z ich wagą — czytelnie, a nie w formie surowego modelu matematycznego.
Wniosek o dostęp do danych — jak napisać i gdzie wysłać
Złożenie wniosku o dostęp do danych jest czynnością prostą, niewymagającą pomocy prawnika. Nie istnieje żaden urzędowy formularz, a RODO nie narzuca konkretnej formy — wniosek można złożyć ustnie, pisemnie, mailowo, przez formularz kontaktowy na stronie internetowej, a nawet za pośrednictwem mediów społecznościowych, o ile administrator oficjalnie prowadzi tam kanał komunikacji. W praktyce najbardziej efektywną formą pozostaje wiadomość e-mail wysłana na adres inspektora ochrony danych (IOD) lub na adres ogólny firmy ze wskazaniem, że sprawa dotyczy ochrony danych osobowych.
Aby wniosek został rozpatrzony sprawnie, powinien zawierać: dane identyfikujące wnioskodawcę (imię, nazwisko, a jeśli to konieczne do jednoznacznej identyfikacji — także dodatkowe informacje, np. login do serwisu lub numer klienta), jasne określenie, czego dotyczy żądanie (czyli wskazanie art 15 RODO lub sformułowania „wnoszę o dostęp do moich danych osobowych”), a także preferowaną formę odpowiedzi (np. e-mail, konto w serwisie, list polecony). Należy unikać dołączania nadmiarowych danych wrażliwych — numery PESEL czy skany dowodów osobistych mogą być żądane tylko wtedy, gdy administrator ma uzasadnione wątpliwości co do tożsamości wnioskodawcy i nie ma innej, mniej inwazyjnej metody weryfikacji.
Zgodnie z art. 12 ust. 3 RODO, odpowiedź powinna zostać udzielona bez zbędnej zwłoki, nie później niż w ciągu miesiąca. W przypadku skomplikowanych żądań lub dużej liczby wniosków termin ten może ulec przedłużeniu o kolejne dwa miesiące, jednak administrator musi poinformować o tym wnioskodawcę w ciągu pierwszego miesiąca, podając przyczyny opóźnienia. Praktyka lat 2024–2026 wskazuje, że opóźnienia bez rzetelnego wyjaśnienia są najczęstszą przyczyną skarg do Prezesa UODO.
Reakcja administratora — obowiązki, pułapki, sankcje
Administrator danych staje przed kilkoma zadaniami po otrzymaniu wniosku. Po pierwsze, musi zweryfikować tożsamość wnioskodawcy bez nadmiernego przedłużania procedury i bez pozyskiwania danych niepotrzebnych do tej weryfikacji. Po drugie, powinien zebrać wszystkie dane podmiotu rozproszone w systemach informatycznych organizacji — często jest to najtrudniejszy krok techniczny, wymagający współpracy działów IT, marketingu, HR, sprzedaży i obsługi klienta. Po trzecie, musi ocenić, czy udostępnienie kopii nie naruszy praw i wolności innych osób (np. poprzez ujawnienie danych osobowych innych klientów w logach czatu). Po czwarte, odpowiedź musi być przekazana w formacie powszechnie używanym, nadającym się do odczytu maszynowego (najczęściej PDF, CSV, JSON), o ile wnioskodawca nie zażąda inaczej.
Najczęściej popełniane błędy przez administratorów to: ignorowanie wniosków złożonych przez niestandardowe kanały (np. Messenger), brak odpowiedzi w terminie, przesyłanie danych w formacie nieczytelnym (np. zrzuty ekranu baz SQL bez legendy), pomijanie danych pochodnych (np. ocen punktowych generowanych przez CRM) oraz bezpodstawne odmowy z powołaniem się na „niewspółmierny wysiłek”. Ten ostatni argument został ostatecznie zdyskredytowany wyrokiem Trybunału Sprawiedliwości Unii Europejskiej z października 2025 roku (sprawa C-487/23), który orzekł, że koszty ani nakład pracy nie mogą stanowić ogólnej podstawy odmowy realizacji prawa dostępu. W wyjątkowych sytuacjach nadużycia prawa (tzw. żądania oczywiście nieuzasadnione lub nadmierne) administrator może pobrać opłatę lub odmówić działania, ale ciężar dowodu spoczywa wówczas wyłącznie na nim.
Sankcje finansowe za naruszenie art 15 RODO są realne i wysokie. W samym tylko 2025 roku Prezes UODO nałożył kary w 17 sprawach dotyczących nieprawidłowej realizacji prawa dostępu, na łączną kwotę przekraczającą 11 milionów złotych. Do najgłośniejszych należała kara 3,2 miliona złotych na bank za nieujawnienie scoringu behawioralnego klientowi, który utracił zdolność kredytową na skutek decyzji algorytmicznej.
Art 15 RODO a nowe technologie — AI, biometria i dane behawioralne
Rok 2026 przynosi nowe wyzwania związane z zastosowaniem sztucznej inteligencji w przetwarzaniu danych. Coraz więcej firm korzysta z modeli LLM do analizy zachowań klientów, generatywnej personalizacji treści czy automatycznej moderacji treści. Europejska Rada Ochrony Danych w przywołanych już wytycznych nr 01/2022 wersja 3.0 jednoznacznie wskazuje, że jeśli AI przetwarza dane osobowe (np. prompt zawierający imię, nazwisko, historię transakcji), to na administratorze ciąży obowiązek ujawnienia tego faktu oraz dostarczenia kopii tych danych — nawet jeżeli trafiły one do modelu w formie embeddingu.
Podobnie rozszerza się interpretacja w zakresie danych biometrycznych i behawioralnych. Jeżeli firma stosuje rozpoznawanie twarzy (np. w celu kontroli dostępu do budynku), analizę sentymentu w nagraniach rozmów telefonicznych czy śledzenie ruchu gałek ocznych na stronie internetowej, wnioskodawca ma prawo nie tylko wiedzieć o tym, ale także otrzymać rzeczywistą kopię zebranych danych biometrycznych — w praktyce oznacza to plik z wzorcem biometrycznym oraz raport wskazujący, jakie decyzje na jego podstawie podjęto.
Nowością 2026 roku jest też obowiązek wynikający z Data Act (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854), które od września 2025 roku nakazuje producentom urządzeń IoT udostępnianie danych generowanych przez te urządzenia ich użytkownikom. Choć Data Act dotyczy danych niesosobowych i przemysłowych, to w praktyce ogromna część danych z urządzeń inteligentnego domu (asystenci głosowi, inteligentne liczniki, wearables) ma charakter danych osobowych i podlega równocześnie reżimowi art 15 RODO. Oznacza to, że użytkownik może zażądać od producenta inteligentnego głośnika pełnej kopii wszystkich nagrań i interakcji — a takich żądań w Europie przybywa lawinowo.
Co robić, gdy odpowiedź na wniosek jest niepełna — ścieżka egzekwowania praw
Pierwszym krokiem po otrzymaniu niekompletnej odpowiedzi jest ponowny kontakt z administratorem — tym razem bardziej precyzyjny, z wyszczególnieniem brakujących elementów. W praktyce około 35% sporów udaje się rozwiązać na tym etapie. Jeżeli to nie przyniesie efektu, wnioskodawcy przysługuje skarga do Prezesa Urzędu Ochrony Danych Osobowych. Skargę można wnieść w formie pisemnej, osobiście w siedzibie urzędu, pocztą lub elektronicznie przez platformę ePUAP. Wzór skargi dostępny jest na stronie internetowej UODO, jednak nie jest obowiązkowy — pismo sporządzone samodzielnie ma taką samą moc prawną.
Prezes UODO po rozpatrzeniu skargi może wydać decyzję nakazującą administratorowi udzielenie dostępu w określonym terminie, a w razie stwierdzenia naruszenia — nałożyć administracyjną karę pieniężną. Od decyzji PUODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie. Warto pamiętać, że równolegle podmiot danych może dochodzić odszkodowania na drodze cywilnej na podstawie art. 82 RODO. Wyrok Sądu Apelacyjnego w Warszawie z grudnia 2025 roku (sygn. akt V ACa 321/25) zasądził 5 000 złotych zadośćuczynienia za przewlekłe uniemożliwianie dostępu do danych, uznając, że naruszenie to wywołało u powoda poczucie bezsilności i niepewności co do zakresu inwigilacji przez administratora.
Dla firm świadomych ryzyka prawno-finansowego, a jednocześnie nieposiadających wewnętrznych narzędzi do automatyzacji odpowiedzi na żądania RODO, kluczowe staje się wdrożenie dedykowanego oprogramowania klasy SAR (Subject Access Request) Management. W tym miejscu warto zwrócić uwagę, że platforma dostępna w ofercie kluczesoft.pl umożliwia pełną automatyzację zbierania, anonimizacji i bezpiecznego dostarczania kopii danych podmiotom — skracając średni czas odpowiedzi z kilku tygodni do poniżej 72 godzin.
Najgłośniejsze sprawy 2025 i 2026 — lekcje dla rynku
Analiza najważniejszych decyzji z ostatnich 18 miesięcy dostarcza cennych wskazówek. W czerwcu 2025 roku irlandzki DPC (Data Protection Commission) nałożył 8 milionów euro kary na europejską centralę globalnej platformy mediów społecznościowych za niedostarczenie kompletnych logów targetowania reklam. Organ uznał, że raport w formacie Excel z trzema kolumnami (data, typ reklamy, ID kampanii) nie wyczerpuje obowiązku z art 15 — firma powinna była ujawnić szczegółowe parametry targetowania, w tym listę cech demograficznych i behawioralnych wykorzystanych do wyświetlenia konkretnych reklam wnioskodawcy.
Z kolei w lutym 2026 roku polski Prezes UODO ukarał popularną aplikację lojalnościową (300 000 złotych) za odmowę wydania kopii danych z argumentacją, że „firma stosuje model SaaS i nie ma bezpośredniego dostępu do bazy danych”. PUODO nie zgodził się z tą linią obrony, wskazując, że administrator w rozumieniu RODO ponosi pełną odpowiedzialność za dane przetwarzane przez podmioty przetwarzające (np. dostawców chmurowych) i nie może przerzucać odpowiedzialności na podwykonawców. Wyrok ten ma istotne znaczenie systemowe w świecie, w którym większość firm opiera infrastrukturę IT na zewnętrznych dostawcach chmurowych.
Obu sprawom przyświeca ten sam wniosek: sądy i organy nadzorcze oczekują od administratorów proaktywnego podejścia, dobrej woli i rzeczywistej transparentności — formalistyczne spełnienie minimalnych wymogów przestaje wystarczać.
Perspektywy na lata 2026–2027 — co planuje unijny ustawodawca
Proces legislacyjny w Unii Europejskiej nie zwalnia. W pierwszym kwartale 2026 Komisja Europejska przedstawiła propozycję tzw. Omnibus Simplification Package, który zawiera między innymi zmiany w RODO dotyczące małych i średnich przedsiębiorstw. Wbrew obawom środowisk przedsiębiorców, proponowane modyfikacje nie osłabiają prawa dostępu — rozszerzają natomiast możliwość składania wniosków w formie ustandaryzowanej, poprzez panele użytkownika zintegrowane z usługami cyfrowymi. Pomysł polega na tym, aby wkrótce każdy obywatel UE mógł kliknąć przycisk „pokaż moje dane” w aplikacji i otrzymać pełną kopię — bez pisania maili i ręcznej weryfikacji tożsamości.
Równolegle trwają prace nad rozporządzeniem ePrivacy, które po latach impasu ma zostać uchwalone w drugiej połowie 2026 roku. Jego zapisy wzmocnią prawa dostępu w kontekście metadanych komunikacyjnych — operatorzy telekomunikacyjni i dostawcy usług OTT będą musieli udostępniać szczegółowe logi połączeń i lokalizacji na żądanie abonenta w trybie analogicznym do art 15 RODO. To ważna zmiana dla konsumentów, którzy dotychczas napotykali mur milczenia, pytając operatorów o szczegóły profilowania na potrzeby marketingu bezpośredniego.
Dodatkowego znaczenia nabiera planowane rozporządzenie w sprawie odpowiedzialności za sztuczną inteligencję, które wprowadzi odwrócony ciężar dowodu w sprawach cywilnych dotyczących szkód wyrządzonych przez AI. W praktyce oznacza to, że osoba, której algorytm odmówi kredytu lub ubezpieczenia, nie będzie musiała sama udowadniać błędu systemu — wystarczy, że wykaże szkodę i prawdopodobieństwo związku przyczynowego, a to administrator będzie musiał bronić prawidłowości swojego modelu. Prawo dostępu z art 15 RODO stanie się więc jeszcze potężniejszym narzędziem — umożliwi zebranie materiału dowodowego niezbędnego do podważenia decyzji algorytmicznych przed sądem.
Częste pytania
Czy wniosek o dostęp do danych na podstawie art 15 RODO jest płatny?
Co do zasady nie — pierwsza kopia danych jest bezpłatna. Opłata może zostać pobrana wyłącznie za kolejne kopie lub gdy żądanie jest ewidentnie nieuzasadnione albo nadmierne (np. dwudziesty wniosek tego samego podmiotu w ciągu miesiąca). Wysokość opłaty musi odpowiadać rzeczywistym kosztom administracyjnym.
Ile czasu ma administrator na odpowiedź?
Standardowo — do jednego miesiąca. W uzasadnionych przypadkach (skomplikowane żądanie, duża liczba wniosków) termin może zostać przedłużony o kolejne dwa miesiące, ale administrator musi poinformować wnioskodawcę o przedłużeniu i jego przyczynach w ciągu pierwszego miesiąca. Odpowiedź udzielona po terminie bez wyjaśnienia stanowi naruszenie RODO.
Czy art 15 RODO dotyczy również danych pracowniczych?
Tak. Każdy pracownik może złożyć do pracodawcy wniosek o dostęp do swoich danych osobowych, w tym do ocen okresowych, zapisów monitoringu, logów dostępu do systemów IT, korespondencji służbowej oraz danych zebranych w procesie rekrutacyjnym.
Czy mogę zażądać usunięcia danych razem z wnioskiem o dostęp?
Możesz, ale prawnie są to dwa odrębne żądania. Wniosek o dostęp (art 15 RODO) i wniosek o usunięcie (art 17 RODO) mogą zostać zawarte w jednym piśmie, a administrator powinien rozpatrzyć je niezależnie. Pamiętaj, że dostęp nie gwarantuje automatycznego usunięcia — prawo do bycia zapomnianym podlega odrębnym przesłankom.
Co zrobić, gdy administrator twierdzi, że nie przetwarza moich danych, a ja wiem, że je ma?
Warto najpierw poprosić o wyjaśnienie, na jakiej podstawie administrator stwierdza brak danych, i wskazać konkretne okoliczności świadczące o przetwarzaniu (np. fakt otrzymywania newslettera, zrzuty ekranu konta użytkownika). Jeśli to nie pomoże, pozostaje skarga do Prezesa UODO, który ma uprawnienia do przeprowadzenia kontroli i zweryfikowania prawdziwości twierdzeń administratora.
Czy firma zagraniczna musi odpowiadać na mój polski wniosek?
Jeżeli firma oferuje towary lub usługi osobom w Polsce albo monitoruje ich zachowanie (np. przez targetowanie reklam, analitykę internetową), to podlega jurysdykcji RODO i ma obowiązek odpowiedzieć — również w języku polskim, jeżeli obsługuje polskich klientów.
Czy mogę wyznaczyć pełnomocnika do złożenia wniosku?
Tak. Każda osoba fizyczna może działać przez pełnomocnika. Pełnomocnictwo może być udzielone w dowolnej formie (pisemnej, elektronicznej), a administrator może żądać jego przedstawienia przed udzieleniem odpowiedzi. Organizacje pozarządowe zajmujące się ochroną praw konsumentów często oferują pomoc w takich sprawach.
Jakie kategorie danych najczęściej pomijają administratorzy w odpowiedziach?
Dane wygenerowane automatycznie: logi serwerów, metadane plików, historia lokalizacji, dane z czatów i chatbotów, wyniki scoringu i profilowania, dane biometryczne przetwarzane w tle, nagrania rozmów oraz dane przechowywane w systemach archiwalnych i kopiach zapasowych.
Czy odpowiedź na wniosek musi być w formacie nadającym się do odczytu maszynowego?
Art 15 ust. 3 RODO mówi o kopii w „powszechnie używanym formacie elektronicznym”, co w praktyce oznacza plik, który można otworzyć bez specjalistycznego oprogramowania: PDF, CSV, JSON, XML. Niedopuszczalne są formaty wymagające niszowych, kosztownych aplikacji.
Czy prawo dostępu przysługuje tylko osobom fizycznym?
Zgodnie z definicją z art. 4 pkt 1 RODO, osobą, której dane dotyczą, jest wyłącznie osoba fizyczna. Firmy, fundacje i inne podmioty prawne nie mają prawa dostępu na podstawie RODO — chyba że dane dotyczą osób fizycznych związanych z tym podmiotem (np. pracowników), a wniosek składają one we własnym imieniu.
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.