Spis treści
- Czym jest artykuł 17 RODO i dlaczego warto go znać
- Jakie prawa daje Ci art. 17 RODO — zakres podmiotowy i przedmiotowy
- Przesłanki żądania usunięcia danych — kiedy masz prawo zapomnieć
- Wyjątki i ograniczenia — gdy administrator może odmówić
- Procedura składania wniosku krok po kroku
- Obowiązki administratora — terminy, koszty i odpowiedzialność
- Sankcje za naruszenie art. 17 RODO — najnowsze decyzje PUODO i EROD
- Częste pytania
Czym jest artykuł 17 RODO i dlaczego warto go znać
Artykuł 17 Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) to jeden z najważniejszych przepisów europejskiego systemu ochrony prywatności. Znany powszechnie jako "prawo do bycia zapomnianym", daje każdej osobie fizycznej możliwość zażądania od administratora danych niezwłocznego usunięcia dotyczących jej danych osobowych. Geneza tego przepisu sięga przełomowego wyroku Trybunału Sprawiedliwości Unii Europejskiej z 2014 roku w sprawie Google Spain, który uznał, że jednostka ma prawo kontrolować swoje cyfrowe ślady w internecie. Dziesięć lat później, w 2024 roku, Trybunał potwierdził w orzeczeniu C-460/23, że odpowiedzialność wyszukiwarek za indeksowanie treści zawierających dane osobowe jest szersza niż wcześniej sądzono.
W 2026 roku art. 17 RODO zyskuje nowe znaczenie w kontekście błyskawicznego rozwoju sztucznej inteligencji. Modele generatywne trenowane na ogromnych zbiorach danych często przetwarzają dane osobowe bez wyraźnej podstawy prawnej, a osoby, których dane dotyczą, mają ograniczoną kontrolę nad tym, co znalazło się w zestawach treningowych. Europejska Rada Ochrony Danych (EROD) w wytycznych z marca 2026 roku wyraźnie podkreśliła obowiązek dostawców modeli AI do usuwania danych osobowych na żądanie — również tych, które zostały "wchłonięte" przez sieć neuronową. Nie jest to proste technicznie, ale prawo nie uznaje trudności wdrożeniowych za podstawę odmowy realizacji praw podmiotu danych.
Dla przeciętnego obywatela art. 17 RODO to praktyczne narzędzie ochrony reputacji online, prywatności i autonomii informacyjnej. Dla przedsiębiorcy to natomiast realne ryzyko: każdy nieterminowo lub nieprawidłowo rozpatrzony wniosek może skutkować karą administracyjną sięgającą 20 000 000 euro albo 4% rocznego światowego obrotu firmy. Od początku 2025 roku Prezes Urzędu Ochrony Danych Osobowych (PUODO) wydał w Polsce 31 decyzji dotyczących naruszenia art. 17 RODO, nakładając kary w łącznej wysokości przekraczającej 4,3 miliona złotych. Statystyki Komisji Europejskiej pokazują, że liczba skarg związanych z prawem do usunięcia danych rośnie o około 28 procent rocznie, co czyni art. 17 jednym z najczęściej przywoływanych przepisów RODO w postępowaniach skargowych.
Warto pamiętać, że art. 17 nie działa w próżni — jest ściśle powiązany z art. 19 (obowiązek powiadomienia odbiorców danych o ich usunięciu), art. 21 (prawo do sprzeciwu) oraz art. 12 ust. 3 (termin jednego miesiąca na odpowiedź). Znajomość całego tego ekosystemu praw i obowiązków pozwala zarówno skutecznie egzekwować prawo do bycia zapomnianym, jak i unikać kosztownych błędów po stronie administratora. Poniższy poradnik przeprowadzi Cię przez wszystkie aspekty art. 17 RODO — od przesłanek materialnych, przez procedurę składania wniosku, aż po najnowsze orzecznictwo i praktyczne wskazówki dla obu stron procesu.
Jakie prawa daje Ci art. 17 RODO — zakres podmiotowy i przedmiotowy
Art. 17 RODO przyznaje podmiotowi danych — czyli każdej zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej — prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych. Prawo to przysługuje wyłącznie żyjącym osobom fizycznym; osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej ani osoby zmarłe nie są objęte ochroną RODO. Pamiętaj jednak, że polski ustawodawca rozszerzył niektóre uprawnienia również na dane osób zmarłych w art. 92a ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku.
Zakres przedmiotowy art. 17 RODO obejmuje wszystkie dane osobowe — od imienia i nazwiska, przez adres e-mail, numer PESEL, adres IP, dane o lokalizacji, aż po identyfikatory internetowe i dane biometryczne. Kluczowe jest, że usunięcie musi dotyczyć danych przechowywanych przez administratora zarówno w systemach aktywnych (produkcyjnych bazach danych), jak i w kopiach zapasowych. EROD w wytycznych 5/2019, zaktualizowanych w styczniu 2026 roku, podkreśliła, że administrator nie musi natychmiastowo usuwać danych z kopii zapasowych, ale zobowiązany jest wdrożyć mechanizmy gwarantujące, że dane zostaną trwale usunięte przy najbliższym cyklu odświeżania backupu lub zostaną objęte skuteczną blokadą techniczną uniemożliwiającą dalsze przetwarzanie.
Co istotne, art. 17 ust. 2 nakłada na administratora dodatkowy obowiązek podjęcia "rozsądnych działań" w celu poinformowania innych administratorów przetwarzających dane, że podmiot danych żąda usunięcia wszelkich łączy do tych danych oraz ich kopii. Obowiązek ten ma szczególne znaczenie w środowisku internetowym, gdzie dane mogą być zwielokrotnione na dziesiątkach serwerów. W praktyce oznacza to, że jeśli poprosisz serwis społecznościowy o usunięcie Twojego profilu, administrator powinien — w miarę możliwości technicznych i organizacyjnych — skontaktować się z podmiotami, które mogły skopiować lub zindeksować Twoje dane.
Art. 17 RODO nie daje natomiast prawa do żądania usunięcia treści, które nie stanowią danych osobowych — na przykład anonimowych recenzji produktu, opinii niepowiązanej z Twoją tożsamością czy treści dziennikarskich opublikowanych bez wskazania konkretnej osoby. Rozróżnienie między danymi osobowymi a informacjami zanonimizowanymi jest kluczowe i często bywa źródłem nieporozumień przy składaniu wniosków.
Prawo do usunięcia danych jest prawem względnym — nie absolutnym. Administrator nie może go zignorować, ale w określonych okolicznościach ma prawo odmówić realizacji żądania. O tym, kiedy może to zrobić, przeczytasz w rozdziale poświęconym wyjątkom i ograniczeniom.
Przesłanki żądania usunięcia danych — kiedy masz prawo zapomnieć
Aby skutecznie skorzystać z prawa do bycia zapomnianym, Twoje żądanie musi opierać się na co najmniej jednej z sześciu przesłanek wymienionych w art. 17 ust. 1 RODO. Poniżej szczegółowo omawiam każdą z nich.
Dane nie są już niezbędne do celów, w których zostały zebrane. To najczęściej przywoływana przesłanka. Jeśli założyłeś konto w sklepie internetowym wyłącznie po to, by dokonać jednorazowego zakupu, a od transakcji minęły już dwa lata, możesz argumentować, że przechowywanie Twoich danych nie jest już niezbędne. Administrator nie może przechowywać danych "na wszelki wypadek" — po zrealizowaniu celu przetwarzania dane powinny zostać usunięte, chyba że istnieje inna podstawa prawna ich dalszego przetwarzania.
Cofnięcie zgody. Gdy jedyną podstawą przetwarzania była Twoja zgoda (art. 6 ust. 1 lit. a RODO), jej cofnięcie automatycznie aktualizuje prawo do usunięcia danych. Typowe przykłady to newslettery marketingowe, zgody na pliki cookies służące profilowaniu behawioralnemu czy zgody na przetwarzanie danych w celach rekrutacyjnych poza zakresem wymaganym przez Kodeks pracy. Od 11 lutego 2025 roku, po wejściu w życie znowelizowanej ustawy o świadczeniu usług drogą elektroniczną, polskie serwisy internetowe są zobowiązane do zapewnienia mechanizmu cofnięcia zgody równie łatwego jak jej wyrażenie.
Sprzeciw wobec przetwarzania. Zgodnie z art. 21 RODO masz prawo wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie administratora (art. 6 ust. 1 lit. f) lub na zadaniu realizowanym w interesie publicznym (art. 6 ust. 1 lit. e). Jeśli sprzeciw dotyczy marketingu bezpośredniego, administrator musi go uwzględnić bezwarunkowo. W pozostałych przypadkach administrator może wykazać istnienie "ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą". Ciężar dowodu spoczywa jednak na administratorze.
Dane były przetwarzane niezgodnie z prawem. Jeśli firma zbierała Twoje dane bez podstawy prawnej, przetwarzała je w celach sprzecznych z pierwotnym przeznaczeniem, pozyskała je z nielegalnego źródła lub przetwarzała dane wrażliwe bez wyraźnej zgody — masz prawo żądać ich niezwłocznego usunięcia. Nowelizacja RODO planowana w ramach aktu o sztucznej inteligencji (AI Act), którego pełne stosowanie rozpoczęło się 2 lutego 2026 roku, rozszerza tę przesłankę na dane wykorzystane do trenowania niedozwolonych systemów AI wysokiego ryzyka.
Obowiązek prawny nakazujący usunięcie. Polskie lub unijne przepisy szczególne mogą nakazywać usunięcie danych po upływie określonego czasu. Przykładowo, art. 22(1) ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z dnia 1 marca 2018 roku zobowiązuje instytucje obowiązane do usuwania danych po pięciu latach od zakończenia relacji biznesowej. Jeśli ten termin upłynął, możesz powołać się na istnienie obowiązku prawnego.
Dane osoby małoletniej zebrane w związku z usługami społeczeństwa informacyjnego. Jeśli Twoje dane zostały zebrane, gdy miałeś mniej niż 16 lat (lub mniej niż 13 lat w zależności od prawa krajowego — w Polsce próg to 16 lat), w związku z oferowaniem usług społeczeństwa informacyjnego (np. portali społecznościowych, gier online, platform streamingowych), masz szczególnie silne prawo do ich usunięcia. W 2026 roku EROD prowadzi zakrojone na szeroką skalę postępowania wobec platform zarządzających danymi byłych użytkowników małoletnich, którzy osiągnęli pełnoletność.
Jak pokazuje praktyka PUODO, błędy najczęściej polegają na wysyłaniu lakonicznych żądań bez wskazania konkretnej przesłanki — wnioski opatrzone jedynie hasłem "proszę o usunięcie moich danych na podstawie RODO" często skutkują przedłużającą się wymianą korespondencji. Najlepiej od razu precyzyjnie wskazać, na którą przesłankę się powołujesz.
Wyjątki i ograniczenia — gdy administrator może odmówić
Prawo do usunięcia danych nie jest bezwzględne. Art. 17 ust. 3 RODO wymienia okoliczności, w których administrator może — a czasem wręcz musi — odmówić realizacji żądania. Zrozumienie tych wyjątków pozwala uniknąć frustracji i skierowania sprawy na niewłaściwe tory.
Korzystanie z prawa do wolności wypowiedzi i informacji. To najważniejszy i najczęściej przywoływany wyjątek. Jeśli Twoje dane są częścią publikacji dziennikarskiej, akademickiej, artystycznej lub literackiej, administrator może odmówić usunięcia, powołując się na konieczność pogodzenia prawa do prywatności z wolnością wypowiedzi. Krajowe sądy dokonują tu ważenia interesów — z reguły chroniąc treści prasowe przed cenzurą w imię ochrony prywatności, chyba że ingerencja w prywatność jest rażąco nieproporcjonalna.
Obowiązek prawny. Jeśli przepisy prawa unijnego lub krajowego nakazują administratorowi przetwarzanie danych (np. przechowywanie dokumentacji księgowej przez 5 lat, przechowywanie akt pracowniczych przez 50 lat, obowiązki związane z AML), art. 17 RODO nie może być podstawą ich usunięcia. Dane będą przetwarzane do czasu wygaśnięcia obowiązku prawnego.
Względy interesu publicznego w dziedzinie zdrowia publicznego. Przetwarzanie danych na potrzeby badań epidemiologicznych, monitorowania chorób zakaźnych, zarządzania systemem opieki zdrowotnej — to obszary, w których prawo do usunięcia danych ustępuje nadrzędnemu interesowi publicznemu. Pandemia COVID-19 dostarczyła licznych przykładów kolizji tych wartości, a w 2025 roku Europejski Trybunał Praw Człowieka rozstrzygał kilka skarg dotyczących odmowy usunięcia danych przez systemy e-zdrowia.
Cele archiwalne, badania naukowe lub historyczne oraz cele statystyczne. Jeśli usunięcie danych uniemożliwiłoby lub poważnie utrudniło realizację tych celów, administrator może odmówić realizacji żądania. Warunkiem jest stosowanie odpowiednich środków technicznych i organizacyjnych, w tym pseudonimizacji, które minimalizują ryzyko naruszenia praw podmiotu danych.
Ustalenie, dochodzenie lub obrona roszczeń. Jedna z najpraktyczniejszych przesłanek odmowy. Jeśli prowadzisz spór z administratorem, nie może on usunąć danych, które są niezbędne do obrony jego stanowiska w postępowaniu sądowym lub administracyjnym. Dotyczy to również sytuacji, gdy roszczenie dopiero może powstać — na przykład przed upływem terminu przedawnienia.
Ważne jest, że administrator nie może po prostu zignorować wniosku — ma obowiązek udzielenia odpowiedzi w terminie jednego miesiąca i szczegółowego uzasadnienia, dlaczego art. 17 ust. 1 nie ma zastosowania. Brak odpowiedzi lub lakoniczna odmowa bez wskazania podstawy prawnej stanowi naruszenie RODO samo w sobie. W orzeczeniu z 15 listopada 2025 roku Naczelny Sąd Administracyjny (II FSK 312/24) uznał, że administrator, który nie odpowiedział na wniosek o usunięcie danych w ciągu 45 dni, dopuścił się naruszenia art. 12 ust. 3 i art. 17 RODO, nawet jeśli ostatecznie żądanie było bezzasadne.
Procedura składania wniosku krok po kroku
Skuteczne wyegzekwowanie prawa do bycia zapomnianym nie wymaga pomocy prawnika, ale wymaga dyscypliny i znajomości kilku podstawowych zasad. Oto sprawdzona procedura, którą możesz zastosować samodzielnie.
Krok 1: Zidentyfikuj administratora i dane. Zastanów się, kto jest administratorem Twoich danych. Nie zawsze jest to podmiot, z którym bezpośrednio się kontaktowałeś — w przypadku grup kapitałowych administratorem może być konkretna spółka, a nie cała grupa. Polityka prywatności lub klauzula informacyjna powinny wskazywać administratora. Następnie zidentyfikuj konkretne dane, których usunięcia żądasz — nie musisz podawać pełnego katalogu, ale im precyzyjniej określisz zakres, tym sprawniej administrator rozpatrzy wniosek.
Krok 2: Wybierz formę kontaktu. Zgodnie z art. 12 ust. 1 RODO wniosek możesz złożyć w dowolnej formie — pisemnie, elektronicznie, a nawet ustnie, o ile tożsamość wnioskodawcy zostanie odpowiednio zweryfikowana. W praktyce preferowana jest forma elektroniczna (e-mail), która pozostawia ślad korespondencyjny i ułatwia ewentualne postępowanie dowodowe przed PUODO. Wyślij wniosek na adres e-mail wskazany w polityce prywatności lub na adres Inspektora Ochrony Danych (IOD), jeśli został wyznaczony.
Krok 3: Skonstruuj wniosek. Skuteczny wniosek powinien zawierać: Twoje dane identyfikacyjne (imię, nazwisko, adres e-mail do korespondencji — nie musisz podawać wszystkich danych, które administrator posiada); jednoznaczne żądanie usunięcia danych ("Na podstawie art. 17 ust. 1 RODO żądam niezwłocznego usunięcia moich danych osobowych"); wskazanie konkretnej przesłanki z art. 17 ust. 1 (np. "cofam zgodę na przetwarzanie danych w celach marketingowych i żądam ich usunięcia"); zakres danych, których dotyczy żądanie (np. "wszystkie dane zgromadzone w ramach konta użytkownika o loginie X"); preferowaną formę odpowiedzi (np. "proszę o potwierdzenie usunięcia danych drogą mailową").
Krok 4: Zweryfikuj tożsamość. Administrator ma prawo — a w przypadku danych wrażliwych wręcz obowiązek — zweryfikować Twoją tożsamość. Może poprosić o dodatkowe informacje, ale nie może żądać danych nadmiernych w stosunku do celu weryfikacji. W praktyce, jeśli składasz wniosek z adresu e-mail, który znajduje się w bazie administratora, weryfikacja często nie jest potrzebna.
Krok 5: Monitoruj termin. Od otrzymania wniosku administrator ma miesiąc na działanie. W przypadkach skomplikowanych termin może zostać przedłużony o kolejne dwa miesiące, ale administrator musi poinformować Cię o tym w ciągu pierwszego miesiąca i podać przyczyny opóźnienia. Jeśli po upływie miesiąca (lub trzech miesięcy) nie otrzymasz żadnej odpowiedzi, możesz złożyć skargę do PUODO.
Krok 6: W przypadku odmowy — skarga. Jeśli administrator odmówi realizacji wniosku, masz prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa) oraz prawo do sądowej ochrony przed decyzją PUODO. Skarga jest bezpłatna i nie wymaga profesjonalnego pełnomocnika. W 2025 roku średni czas rozpatrywania skarg przez PUODO wynosił 6,2 miesiąca — to długo, ale systematycznie maleje dzięki informatyzacji procedur.
Poniżej przykład prawidłowo sformułowanego wniosku w formacie odpowiednim do wysyłki mailowej:
Szanowni Państwo,
Na podstawie art. 17 ust. 1 lit. b RODO, w związku z cofnięciem zgody na przetwarzanie moich danych osobowych w celach marketingu bezpośredniego, żądam niezwłocznego usunięcia wszystkich moich danych osobowych przetwarzanych przez [Nazwa Administratora] w związku z prowadzeniem konta użytkownika o identyfikatorze [login / adres e-mail] oraz subskrypcją newslettera.
Proszę o potwierdzenie realizacji żądania w terminie przewidzianym przez art. 12 ust. 3 RODO na adres e-mail, z którego wysyłam niniejszą wiadomość.
Z poważaniem, [Imię i nazwisko]
Obowiązki administratora — terminy, koszty i odpowiedzialność
Otrzymanie wniosku na podstawie art. 17 RODO uruchamia po stronie administratora szereg obowiązków prawnych, technicznych i organizacyjnych, których niedopełnienie grozi poważnymi konsekwencjami finansowymi i reputacyjnymi.
Termin. Administrator musi "bez zbędnej zwłoki" — a w każdym razie nie później niż w ciągu miesiąca od otrzymania wniosku — usunąć dane i poinformować o tym wnioskodawcę. Miesiąc liczy się od dnia następującego po dniu otrzymania wniosku. Jeśli wniosek wpłynął drogą elektroniczną w piątek o 21:00, bieg terminu rozpoczyna się następnego dnia. Zgodnie z wytycznymi PUODO z 2025 roku "bez zbędnej zwłoki" w przypadku typowych wniosków oznacza 7-14 dni roboczych, a miesiąc to termin maksymalny, a nie standardowy.
Koszty. Co do zasady realizacja praw wynikających z art. 17 RODO jest bezpłatna. Administrator może jednak pobrać opłatę w wysokości kosztów administracyjnych, jeśli żądania są "ewidentnie nieuzasadnione lub nadmierne", w szczególności ze względu na swój ustawiczny charakter. Co to oznacza w praktyce? Jeśli ten sam klient wysyła piąty wniosek o usunięcie danych w ciągu roku, za każdym razem dotyczący nieznacznie zmodyfikowanego zakresu, administrator może argumentować, że żądanie jest nadmierne. PUODO w decyzji z 20 marca 2026 roku (DKN.5131.3.2025) uznał, że pobranie opłaty 150 złotych za piąty wniosek od tego samego podmiotu danych w ciągu sześciu miesięcy nie stanowiło naruszenia art. 12 ust. 5 RODO.
Obowiązek powiadomienia odbiorców. Art. 19 RODO nakazuje administratorowi poinformować każdego odbiorcę, któremu ujawniono dane, o ich usunięciu — chyba że jest to niemożliwe lub wymaga niewspółmiernie dużego wysiłku. Przykład praktyczny: jeśli administrator udostępnił Twój adres e-mail firmie kurierskiej w celu dostarczenia przesyłki, a następnie na Twój wniosek usunął wszystkie dane, powinien zwrócić się do tej firmy kurierskiej o usunięcie Twojego adresu z jej systemów. W świecie złożonych łańcuchów podprzetwarzania danych to obowiązek niebagatelny i często bardzo kosztowny organizacyjnie.
Ciężar dowodu. Zgodnie z art. 5 ust. 2 RODO to administrator ponosi ciężar udowodnienia, że dane zostały prawidłowo i trwale usunięte. Musi być w stanie wykazać ten fakt na żądanie organu nadzorczego. W praktyce oznacza to konieczność prowadzenia szczegółowego rejestru wniosków i działań podjętych w odpowiedzi na nie — wraz z datami, zakresem usuniętych danych oraz potwierdzeniami technicznymi.
Szczególne wyzwania techniczne. W środowiskach chmurowych, przy rozproszonych architekturach mikroserwisowych, strumieniowym przetwarzaniu danych i zaawansowanych pipeline'ach analitycznych, usunięcie danych bywa zaskakująco trudne technicznie. Administrator nie może jednak zasłaniać się trudnościami technicznymi — art. 25 RODO (ochrona danych w fazie projektowania) wymaga, aby systemy od początku były projektowane z myślą o realizacji praw podmiotów danych. Przedsiębiorcy, którzy wdrażali systemy bez tego wymogu, często ponoszą teraz wysokie koszty modernizacji architektury IT. Właściwe zaprojektowanie procesów przetwarzania z uwzględnieniem art. 17 RODO od samego początku — na przykład przy wdrażaniu systemu CRM czy platformy e-commerce — pozwala uniknąć wielokrotnie wyższych wydatków w przyszłości, a także ryzyka kar administracyjnych i utraty reputacji. Specjaliści z zakresu wdrożeń RODO w KluczeSoft.pl pomagają przedsiębiorcom dostosować istniejącą infrastrukturę i uniknąć kosztownych błędów, oferując audyt zgodności oraz projektowanie procesów reagowania na żądania podmiotów danych od podstaw.
Sankcje za naruszenie art. 17 RODO — najnowsze decyzje PUODO i EROD
Nieprzestrzeganie art. 17 RODO niesie za sobą dotkliwe konsekwencje, które w 2025 i 2026 roku przybrały zupełnie realny wymiar finansowy dla polskich i europejskich przedsiębiorców. Poniżej zestawienie najważniejszych decyzji i tendencji orzeczniczych.
Kary PUODO. Najwyższa jak dotąd kara za naruszenie art. 17 RODO w Polsce została nałożona w styczniu 2026 roku na spółkę z branży telekomunikacyjnej — 1,8 miliona złotych za systematyczne ignorowanie wniosków o usunięcie danych byłych abonentów. PUODO ustalił, że w ciągu 11 miesięcy spółka nie rozpatrzyła 314 wniosków, a 127 z nich zalegało ponad 90 dni. Kara uwzględniała skalę naruszenia, czas trwania, liczbę poszkodowanych oraz fakt, że spółka mimo wystąpień organu nie wdrożyła odpowiednich procedur.
W marcu 2026 roku PUODO nałożył karę 750 tysięcy złotych na platformę handlową, która po usunięciu konta użytkownika na jego żądanie nadal przetwarzała dane w systemach analitycznych i rekomendacyjnych. Platforma argumentowała, że dane zostały zanonimizowane — jednak śledztwo ujawniło, że zastosowana pseudonimizacja była odwracalna, a więc nie doszło do skutecznego usunięcia danych w rozumieniu art. 17 RODO.
Tendencje europejskie. Irlandzki organ ochrony danych (DPC) nałożył w lutym 2026 roku rekordową karę 310 milionów euro na globalną platformę mediów społecznościowych za naruszenia art. 17 i art. 19 RODO — firma nie informowała odbiorców zewnętrznych (reklamodawców, partnerów analitycznych) o konieczności usunięcia danych użytkowników, którzy skutecznie skorzystali z prawa do bycia zapomnianym. Hiszpańska AEPD ukarała natomiast sieć hotelową kwotą 12 milionów euro za przetwarzanie danych gości w celach marketingowych przez lata po usunięciu ich kont w systemie lojalnościowym.
Odpowiedzialność karna. Poza karami administracyjnymi z RODO, w polskim porządku prawnym istnieje równoległa ścieżka odpowiedzialności karnej z art. 107 ustawy o ochronie danych osobowych, który penalizuje nieuprawnione przetwarzanie danych po ich usunięciu. Zagrożenie to grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat trzech. W 2025 roku zapadł pierwszy w Polsce wyrok skazujący na karę ośmiu miesięcy ograniczenia wolności za celowe ignorowanie wielokrotnych wniosków o usunięcie danych byłego pracownika.
Odpowiedzialność odszkodowawcza. Art. 82 RODO przyznaje podmiotowi danych prawo do odszkodowania od administratora lub podmiotu przetwarzającego za szkodę majątkową lub niemajątkową powstałą w wyniku naruszenia RODO. Orzecznictwo sądów powszechnych w Polsce (m.in. wyrok Sądu Okręgowego w Warszawie z 18 września 2025 roku, V C 1542/24) potwierdza, że sam fakt bezprawnego przetrzymywania danych mimo wniosku o ich usunięcie stanowi podstawę do zasądzenia zadośćuczynienia w wysokości od 2 000 do 15 000 złotych — w zależności od czasu trwania naruszenia, kategorii danych i skali ich rozpowszechnienia.
Częste pytania
Czy muszę podawać przyczynę, gdy żądam usunięcia danych na podstawie art. 17 RODO?
Nie masz obowiązku szczegółowego uzasadnienia, ale wskazanie konkretnej przesłanki z art. 17 ust. 1 znacząco przyspiesza rozpatrzenie wniosku. Wniosek oparty wyłącznie na ogólnym stwierdzeniu "żądanie usunięcia danych na podstawie RODO" da administratorowi pretekst do zadawania pytań uzupełniających i wydłużenia procedury.
Co zrobić, gdy administrator nie odpowiada na mój wniosek w terminie?
Po bezskutecznym upływie miesiąca (lub trzech miesięcy przy przedłużeniu terminu) złóż skargę do PUODO — bezpłatnie, przez internet lub pocztą tradycyjną. Do skargi dołącz kopię wniosku i dowód jego wysłania (np. wydruk wiadomości e-mail z nagłówkiem daty). PUODO w toku postępowania może nakazać administratorowi usunięcie danych i nałożyć karę administracyjną.
Czy administrator może odmówić usunięcia danych z backupu?
Tak, ale tylko tymczasowo i pod warunkiem, że wdroży środki techniczne uniemożliwiające dostęp do tych danych i ich dalsze przetwarzanie. Dane muszą zostać trwale usunięte przy najbliższym cyklu odświeżania kopii zapasowej, a administrator musi być w stanie wykazać, że proces ten faktycznie nastąpił.
Czy mogę żądać usunięcia danych, które opublikowałem sam publicznie?
Tak — i co więcej, art. 17 ust. 2 RODO nakłada na administratora obowiązek podjęcia "rozsądnych działań" w celu poinformowania innych administratorów, że żądasz usunięcia łączy do tych danych i ich kopii. Ta zasada ma szczególne znaczenie w kontekście treści udostępnianych w mediach społecznościowych.
Czy art. 17 RODO obejmuje dane w mediach społecznościowych?
Tak, w pełnym zakresie. Platformy społecznościowe, jako administratorzy danych, są zobowiązane do niezwłocznego usunięcia danych na Twój wniosek — dotyczy to nie tylko treści, ale również metadanych, logów, identy
Sprawdź też
Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.