Prawo do bycia zapomnianym — art. 17 RODO w praktyce

Prawo do usunięcia danych — potocznie zwane prawem do bycia zapomnianym — to jedno z najbardziej znanych i jednocześnie najczęściej błędnie rozumianych praw wynikających z RODO. Wiele osób sądzi, że mogą żądać usunięcia swoich danych w każdej sytuacji, a administrator musi się natychmiast zastosować. Z drugiej strony wiele firm odmawia usunięcia danych bez uzasadnienia lub po prostu nie wie, jak prawidłowo rozpatrzyć żądanie.

Prawda leży pośrodku — art. 17 RODO przyznaje osobom prawo do usunięcia danych, ale prawo to nie jest bezwzględne. Administrator może — a w niektórych przypadkach musi — odmówić usunięcia. Kluczem jest zrozumienie, kiedy żądanie jest zasadne, a kiedy administrator ma podstawę do odmowy.

W tym artykule wyjaśniam, jak prawidłowo realizować prawo do usunięcia danych — z perspektywy osoby żądającej i administratora, z odniesieniami do decyzji UODO, orzecznictwa TSUE i wytycznych EDPB.

Szczegółowy przewodnik po podstawach prawnych znajdziesz w naszym artykule o art. 6 RODO.

Podstawa prawna — art. 17 RODO

Art. 17 ust. 1 RODO stanowi, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a) Dane nie są już niezbędne — dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Przykład: firma zebrała dane klienta w celu realizacji zamówienia. Zamówienie zostało zrealizowane, okres reklamacji upłynął, dokumenty podatkowe zostały zarchiwizowane — dane kontaktowe klienta nie są już potrzebne.

b) Wycofanie zgody — osoba cofnęła zgodę, na której opierało się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania. Przykład: klient wycofał zgodę na newsletter. Jeśli adres e-mail nie jest przetwarzany na żadnej innej podstawie, musi zostać usunięty.

c) Sprzeciw wobec przetwarzania — osoba wniosła skuteczny sprzeciw na mocy art. 21 ust. 1 RODO (sprzeciw wobec przetwarzania opartego na uzasadnionym interesie lub interesie publicznym) i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania. Lub osoba wniosła sprzeciw wobec przetwarzania w celach marketingu bezpośredniego (art. 21 ust. 2) — ten sprzeciw jest bezwzględny.

d) Niezgodne z prawem przetwarzanie — dane osobowe były przetwarzane niezgodnie z prawem. Przykład: firma przetwarzała dane bez jakiejkolwiek podstawy prawnej z art. 6 RODO.

e) Obowiązek prawny — dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie UE lub prawie państwa członkowskiego.

f) Dane dziecka — dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku (art. 8 ust. 1 RODO). Ta przesłanka odzwierciedla szczególną ochronę dzieci w środowisku cyfrowym.

Kiedy administrator MOŻE odmówić — wyjątki z art. 17 ust. 3

Art. 17 ust. 3 RODO przewiduje zamknięty katalog sytuacji, w których administrator może odmówić usunięcia danych:

a) Wolność wypowiedzi i informacji — przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji. Dotyczy to przede wszystkim mediów i dziennikarzy — redakcja nie musi usuwać artykułu zawierającego dane osobowe, jeśli publikacja służy debacie publicznej. Wyjątek ten ma jednak ograniczenia — nie każda publikacja automatycznie kwalifikuje się pod wolność wypowiedzi.

b) Obowiązek prawny — przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego. To najczęściej stosowany wyjątek. Przykłady: dokumentacja podatkowa (Ordynacja podatkowa wymaga przechowywania przez 5 lat), dokumentacja medyczna (ustawa o prawach pacjenta — 20 lat), akta osobowe pracowników (Kodeks pracy — 10 lub 50 lat), dokumentacja AML (ustawa o przeciwdziałaniu praniu pieniędzy — 5 lat).

c) Interes publiczny w dziedzinie zdrowia publicznego — np. monitoring epidemii, bezpieczeństwo produktów leczniczych.

d) Cele archiwalne, badawcze, statystyczne — przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, badań naukowych lub statystycznych, a usunięcie danych uniemożliwiałoby lub poważnie utrudniałoby realizację tych celów.

e) Ustalenie, dochodzenie lub obrona roszczeń — administrator może zachować dane, jeśli są potrzebne do obrony przed roszczeniami lub dochodzenia własnych roszczeń. Przykład: klient żąda usunięcia danych, ale jednocześnie trwa spór prawny z tym klientem. Administrator może odmówić usunięcia do czasu rozstrzygnięcia sporu.

Prawo do bycia zapomnianym a wyszukiwarki — wyrok Google Spain

Prawo do bycia zapomnianym zyskało rozgłos dzięki przełomowemu wyrokowi TSUE w sprawie Google Spain (C-131/12, 2014 r.). TSUE orzekł, że operator wyszukiwarki internetowej jest administratorem danych osobowych i musi realizować żądania usunięcia linków do stron zawierających dane osobowe — jeśli informacje są nieadekwatne, nierelewantne lub nadmierne w stosunku do celów przetwarzania.

Co wyrok oznacza w praktyce:

Osoba może złożyć do Google (lub innej wyszukiwarki) żądanie usunięcia linku, który wyświetla się po wpisaniu jej imienia i nazwiska. Google nie usuwa strony źródłowej — usuwa tylko link z wyników wyszukiwania.

Google musi przeprowadzić test równowagi — czy prawo do prywatności osoby jest nadrzędne wobec prawa publiczności do informacji. W przypadku osób publicznych (polityków, biznesmenów, celebrytów) prawo do informacji częściej przeważa.

W wyroku C-507/17 (Google v. CNIL, 2019 r.) TSUE doprecyzował, że obowiązek usunięcia linków dotyczy co do zasady wersji europejskich wyszukiwarki (google.pl, google.de itp.), nie wersji globalnych — choć administrator musi podjąć środki zniechęcające do obchodzenia geo-blockingu.

Jak prawidłowo rozpatrzyć żądanie usunięcia — procedura krok po kroku

Krok 1: Zidentyfikuj żądanie

Żądanie usunięcia danych nie musi mieć określonej formy — może być złożone e-mailem, pisemnie, ustnie, przez formularz na stronie. Administrator musi rozpoznać, że to jest żądanie z art. 17 RODO, nawet jeśli osoba nie powołuje się wprost na ten przepis. Zdanie „chcę, żebyście usunęli moje dane” to żądanie z art. 17.

Krok 2: Zweryfikuj tożsamość

Administrator musi mieć pewność, że żądanie pochodzi od osoby, której dane dotyczą — nie od osoby trzeciej podszywającej się pod nią. Weryfikacja powinna być proporcjonalna — nie można wymagać od osoby więcej danych niż jest to niezbędne do potwierdzenia tożsamości.

W praktyce: jeśli żądanie przychodzi z adresu e-mail, który jest w bazie — to zazwyczaj wystarczający dowód. Jeśli przychodzi z nieznanego adresu — można poprosić o dodatkowe potwierdzenie (np. podanie danych identyfikujących, które są w bazie).

Krok 3: Oceń, czy żądanie jest zasadne

Sprawdź, czy zachodzi przynajmniej jedna z przesłanek z art. 17 ust. 1 (dane niezbędne, wycofanie zgody, sprzeciw, przetwarzanie niezgodne z prawem itp.).

Następnie sprawdź, czy nie zachodzi wyjątek z art. 17 ust. 3 (obowiązek prawny, wolność wypowiedzi, roszczenia prawne itp.).

Jeśli żądanie jest zasadne i nie zachodzi wyjątek — musisz usunąć dane.

Jeśli zachodzi wyjątek — możesz odmówić, ale musisz poinformować osobę o przyczynie odmowy i o prawie do wniesienia skargi do UODO.

Krok 4: Określ zakres usunięcia

Żądanie usunięcia może dotyczyć wszystkich danych lub tylko ich części. Ponadto, nawet jeśli żądanie jest zasadne w odniesieniu do jednego celu przetwarzania, dane mogą być nadal przetwarzane na innej podstawie w innym celu.

Przykład: klient sklepu internetowego żąda „usunięcia wszystkich danych”. Sklep musi usunąć dane z konta klienta, dane marketingowe, dane behawioralne. Ale może zachować dane z faktur (obowiązek podatkowy — 5 lat), dane niezbędne do obrony przed roszczeniami (okres przedawnienia).

Krok 5: Wykonaj usunięcie

Usunięcie musi być faktyczne — nie wystarczy „deaktywacja” konta czy „ukrycie” danych. Dane muszą zostać trwale usunięte ze wszystkich systemów, kopii zapasowych (w rozsądnym terminie — EDPB akceptuje usuwanie z kopii zapasowych przy następnym cyklu nadpisywania) i nośników.

Jeśli dane zostały udostępnione innym podmiotom (np. procesorom, podprocesorom), administrator musi poinformować ich o żądaniu usunięcia (art. 17 ust. 2 RODO — tzw. „prawo do bycia zapomnianym” w sensie ścisłym). Administrator musi podjąć rozsądne działania, aby poinformować podmioty przetwarzające dane, uwzględniając dostępną technologię i koszt realizacji.

Krok 6: Odpowiedz osobie

Administrator musi poinformować osobę o podjętych działaniach bez zbędnej zwłoki, nie później niż w terminie 1 miesiąca od otrzymania żądania (art. 12 ust. 3 RODO). Termin może być przedłużony o 2 miesiące w przypadku skomplikowanych żądań — ale administrator musi poinformować o przedłużeniu w ciągu pierwszego miesiąca.

Odpowiedź powinna zawierać: informację o usunięciu danych (zakres), informację o danych, które nie zostały usunięte (z uzasadnieniem — np. „dane z faktur są przechowywane na podstawie obowiązku podatkowego”), pouczenie o prawie do wniesienia skargi do UODO.

Krok 7: Udokumentuj

Udokumentuj cały proces: datę otrzymania żądania, sposób weryfikacji tożsamości, analizę przesłanek i wyjątków, podjętą decyzję, datę i zakres usunięcia, treść odpowiedzi do osoby. Dokumentacja jest niezbędna na wypadek kontroli UODO lub skargi osoby.

Prawo do usunięcia w konkretnych scenariuszach

Sklep internetowy

Klient żąda usunięcia konta i danych. Sklep musi usunąć konto użytkownika i dane logowania, dane behawioralne (historia przeglądania, cookies), dane marketingowe (newsletter, profilowanie). Sklep może zachować dane z faktur i dokumentów księgowych (5 lat — obowiązek podatkowy), dane niezbędne do rozpatrywania reklamacji (do upływu terminu gwarancji/rękojmi), dane niezbędne do obrony przed roszczeniami (6 lat — ogólny termin przedawnienia).

Przewodnik RODO dla sklepów internetowych znajdziesz tutaj.

Pracodawca / HR

Były pracownik żąda usunięcia danych. Pracodawca musi usunąć dane wykraczające poza obowiązki prawne (np. zdjęcie ze strony firmowej, dane z systemu benefitów). Pracodawca może zachować akta osobowe (10 lat od końca roku, w którym ustał stosunek pracy — dla pracowników zatrudnionych od 2019 r.), dokumentację podatkową i ZUS (5 lat), dokumenty niezbędne do obrony przed roszczeniami pracowniczymi.

Kandydat po nieudanej rekrutacji żąda usunięcia danych. Pracodawca musi usunąć dane niezwłocznie — chyba że kandydat wyraził zgodę na przetwarzanie danych na potrzeby przyszłych rekrutacji (wtedy przez okres wskazany w zgodzie).

Więcej o RODO w HR przeczytasz w naszym przewodniku.

Podmiot leczniczy

Pacjent żąda usunięcia danych medycznych. Podmiot leczniczy odmawia — dokumentacja medyczna musi być przechowywana przez 20 lat (art. 29 ustawy o prawach pacjenta). Podstawa odmowy: art. 17 ust. 3 lit. b RODO (obowiązek prawny). Pacjent może żądać usunięcia danych wykraczających poza dokumentację medyczną (np. danych marketingowych, danych z programu lojalnościowego przychodni).

Przewodnik RODO w służbie zdrowia znajdziesz tutaj.

Media społecznościowe / platforma internetowa

Użytkownik żąda usunięcia konta i danych. Platforma musi usunąć profil i dane — ale może zachować dane niezbędne do obrony przed roszczeniami (np. w przypadku naruszeń regulaminu). Jeśli użytkownik opublikował treści, które zostały udostępnione innym użytkownikom — sytuacja jest złożona (prawa autorskie, wolność wypowiedzi, prawa osób trzecich).

Wyszukiwarka internetowa

Osoba żąda usunięcia linku z wyników wyszukiwania (Google, Bing). Wyszukiwarka musi przeprowadzić test równowagi: prawo do prywatności vs. prawo publiczności do informacji. Osoby publiczne mają mniejsze szanse na usunięcie linku niż osoby prywatne. Informacje dotyczące przestępstw, korupcji czy zagrożenia bezpieczeństwa publicznego będą trudniejsze do usunięcia.

Usunięcie danych a anonimizacja

Alternatywą dla usunięcia danych może być ich anonimizacja — przekształcenie danych w taki sposób, że nie jest już możliwe zidentyfikowanie osoby. Dane zanonimizowane nie są danymi osobowymi w rozumieniu RODO i mogą być swobodnie przechowywane i przetwarzane.

Anonimizacja musi być nieodwracalna — jeśli dane można ponownie powiązać z osobą (np. przez krzyżowe odwołanie do innych zbiorów), to pseudonimizacja, nie anonimizacja, i nadal podlega RODO.

W praktyce anonimizacja jest stosowana, gdy administrator chce zachować dane do celów statystycznych lub analitycznych, ale nie potrzebuje już danych pozwalających na identyfikację osoby.

Najczęstsze błędy przy realizacji prawa do usunięcia

Automatyczna odmowa — administrator odmawia każdego żądania bez analizy, powołując się ogólnikowo na „przepisy prawa” bez wskazania konkretnego przepisu.

Ignorowanie żądania — administrator nie reaguje na żądanie usunięcia. Brak odpowiedzi w terminie 1 miesiąca to naruszenie RODO.

Pozorne usunięcie — administrator „deaktywuje” konto, ale dane pozostają w systemie. Usunięcie musi być faktyczne.

Nadmiarowe usunięcie — administrator usuwa wszystkie dane, w tym te, które powinien przechowywać na podstawie obowiązku prawnego (np. faktury). To może naruszać przepisy podatkowe.

Brak informacji o częściowej odmowie — administrator usuwa część danych, ale nie informuje osoby, które dane zostały zachowane i dlaczego.

Brak powiadomienia procesorów — administrator usuwa dane u siebie, ale nie informuje procesorów (hosting, CRM, mailing) o konieczności usunięcia.

Brak dokumentacji — administrator nie dokumentuje procesu realizacji żądania, co utrudnia wykazanie zgodności podczas kontroli UODO.

Kary za naruszenie prawa do usunięcia

Art. 17 RODO podlega karom z art. 83 ust. 5 — do 20 mln euro lub 4% rocznego globalnego obrotu. To najwyższy próg kar przewidziany przez RODO — taki sam jak za naruszenie zasad przetwarzania czy praw osób.

Europejskie organy nadzorcze nakładały kary za naruszenia prawa do usunięcia — m.in. za brak usunięcia danych po wycofaniu zgody, za zbyt długie przechowywanie danych bez podstawy prawnej i za brak odpowiedzi na żądanie osoby.

Checklist — realizacja prawa do usunięcia danych

1. Wdróż procedurę obsługi żądań usunięcia — kto je przyjmuje, kto ocenia, kto realizuje?
2. Przeszkol pracowników — szczególnie obsługę klienta, HR i IT — jak rozpoznać żądanie z art. 17.
3. Zweryfikuj tożsamość osoby — proporcjonalnie, bez zbierania nadmiarowych danych.
4. Oceń przesłanki z art. 17 ust. 1 — czy żądanie jest zasadne?
5. Sprawdź wyjątki z art. 17 ust. 3 — czy masz podstawę do odmowy (choćby częściowej)?
6. Określ zakres usunięcia — które dane usunąć, które zachować (i na jakiej podstawie).
7. Usuń dane faktycznie — ze wszystkich systemów, baz danych, kopii zapasowych.
8. Poinformuj procesorów — o konieczności usunięcia danych z ich systemów.
9. Odpowiedz osobie w terminie 1 miesiąca — z informacją o zakresie usunięcia i ewentualnej odmowie z uzasadnieniem.
10. Udokumentuj cały proces — na wypadek kontroli UODO lub skargi.
11. Poinformuj o prawie do skargi do UODO — szczególnie w przypadku odmowy.
12. Regularnie przeglądaj dane — proaktywnie usuwaj dane, których okres przechowywania upłynął, nie czekając na żądania.

Potrzebujesz pomocy z realizacją prawa do usunięcia?

Prawidłowa obsługa żądań usunięcia danych wymaga każdorazowej analizy prawnej — oceny przesłanek, wyjątków, zakresu usunięcia i obowiązków retencyjnych. Błędy mogą skutkować zarówno karą UODO (za brak usunięcia), jak i naruszeniem innych przepisów (za nadmierne usunięcie dokumentacji prawnie wymaganej).

W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont pomagamy firmom wdrożyć procedurę realizacji praw osób — w tym prawa do usunięcia danych — dostosowaną do specyfiki organizacji i sektora.