16 kwietnia, 2026
Prawo do zapomnienia a prywatność online
Prawo do bycia zapomnianym, określane w RODO jako prawo do usunięcia danych, stanowi jedno z podstawowych uprawnień przysługujących osobie, której dane dotyczą. Jego konstrukcja wynika bezpośrednio z art. 17 RODO, który określa zarówno przesłanki obligujące administratora do usunięcia danych, jak i wyjątki wyłączające ten obowiązek.
Przepis ten ma charakter kompleksowy i obejmuje trzy zasadnicze obszary: prawo do żądania usunięcia danych, obowiązki administratora w przypadku ich upublicznienia oraz sytuacje, w których prawo to nie znajduje zastosowania.
Podstawy ochrony danych osobowych
Głównym źródłem wskazanego uprawnienia jest art. 17 Ogólnego rozporządzenia o ochronie danych (RODO), który w sposób kompleksowy reguluje prawo do usunięcia danych osobowych, określane również jako „prawo do bycia zapomnianym”.
Kiedy można żądać usunięcia danych?
Zgodnie z art. 17 ust. 1 RODO prawo do żądania usunięcia danych osobowych przysługuje wówczas, gdy zrealizowana zostanie co najmniej jedna z przesłanek wskazanych w tym przepisie. Każda z nich ma charakter samodzielny i w przypadku jej ziszczenia administrator jest zobowiązany do niezwłocznego usunięcia danych.
1. Dane nie są już niezbędne
Uprawnienie to powstaje w sytuacji, w której cel, dla którego dane zostały zebrane, został osiągnięty albo przestał istnieć, co powoduje brak dalszej podstawy do ich przetwarzania.
2. Cofnięcie zgody
Prawo do usunięcia danych aktualizuje się również wtedy, gdy osoba, której dane dotyczą, wycofała zgodę stanowiącą podstawę przetwarzania, a administrator nie dysponuje żadną inną podstawą prawną umożliwiającą dalsze przetwarzanie.
3. Wniesienie sprzeciwu
Obowiązek usunięcia danych powstaje także w przypadku wniesienia skutecznego sprzeciwu wobec przetwarzania, jeżeli po stronie administratora nie istnieją nadrzędne, prawnie uzasadnione podstawy uzasadniające dalsze przetwarzanie danych.
4. Przetwarzanie niezgodne z prawem
Usunięcie danych jest wymagane, gdy ich przetwarzanie narusza przepisy RODO, w szczególności gdy odbywa się bez podstawy prawnej lub z naruszeniem zasad przetwarzania danych osobowych.
5. Obowiązek prawny
Administrator jest zobowiązany do usunięcia danych, jeżeli taki obowiązek wynika z przepisów prawa Unii lub prawa krajowego, któremu podlega.
6. Dane dziecka w usługach społeczeństwa informacyjnego
Prawo do usunięcia danych przysługuje również wtedy, gdy dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku, co podlega szczególnej ochronie.
Obowiązki administratora
W przypadku skutecznego zgłoszenia przez osobę, której dane dotyczą, żądania usunięcia danych osobowych, na administratorze spoczywa obowiązek podjęcia dwóch zasadniczych czynności wynikających z art. 17 RODO.
1. Usunięcie danych
Administrator jest zobowiązany do niezwłocznego usunięcia danych osobowych ze swoich systemów, przy czym obowiązek ten ma charakter natychmiastowy i obejmuje wszystkie środki przetwarzania, w których dane są przechowywane.
2. Poinformowanie innych administratorów (tzw. „echo”)
Jeżeli dane osobowe zostały uprzednio upublicznione, administrator ma obowiązek podjąć „rozsądne działania”, w tym środki techniczne, zmierzające do poinformowania innych administratorów przetwarzających te dane o zgłoszonym żądaniu ich usunięcia. Obejmuje to konieczność doprowadzenia do usunięcia łączy prowadzących do danych, kopii tych danych oraz ich replikacji.
jeśli dane zostały upublicznione, administrator musi podjąć “rozsądne działania”, aby poinformować innych administratorów przetwarzających te dane o żądaniu usunięcia (tzw. “echo”).
Wyjątki od prawa do bycia zapomnianym
Prawo do usunięcia danych nie ma charakteru absolutnego. Zgodnie z art. 17 ust. 3 RODO przewidziano zamknięty katalog sytuacji, w których administrator może odmówić realizacji żądania usunięcia danych, ponieważ dalsze przetwarzanie jest prawnie uzasadnione. Wyjątki te znajdują zastosowanie wówczas, gdy przetwarzanie danych jest niezbędne:
do korzystania z prawa do wolności wypowiedzi i informacji, co obejmuje w szczególności działalność o charakterze informacyjnym, publicystycznym lub dziennikarskim;
do wywiązania się z obowiązku prawnego, w tym obowiązków wynikających z prawa Unii lub prawa państwa członkowskiego, takich jak obowiązek przechowywania dokumentacji podatkowej lub innej dokumentacji wymaganej przepisami;
ze względu na interes publiczny w dziedzinie zdrowia, w szczególności w zakresie ochrony zdrowia publicznego, zgodnie z przepisami dotyczącymi przetwarzania danych szczególnych kategorii;
do celów archiwalnych, naukowych, historycznych lub statystycznych, jeżeli usunięcie danych mogłoby uniemożliwić lub poważnie utrudnić realizację tych celów;
do ustalenia, dochodzenia lub obrony roszczeń, zarówno w postępowaniu sądowym, jak i pozasądowym.
Podsumowanie
Prawo do bycia zapomnianym stanowi jedno z podstawowych uprawnień w zakresie ochrony danych osobowych. Umożliwia osobie, której dane dotyczą, żądanie ich usunięcia w sytuacjach przewidzianych przepisami, a na administratorze nakłada obowiązek niezwłocznego podjęcia stosownych działań.
Jednocześnie uprawnienie to podlega ograniczeniom, ponieważ przewidziano zamknięty katalog wyjątków, w których dalsze przetwarzanie danych jest dopuszczalne. Skuteczne stosowanie tego prawa wymaga każdorazowej oceny przesłanek jego realizacji oraz ustalenia, czy nie zachodzą okoliczności wyłączające obowiązek usunięcia danych.
W przypadku zainteresowania wsparciem prawnym w zakresie realizacji prawa do bycia zapomnianym oraz innych uprawnień wynikających z ochrony danych osobowych zapraszamy do kontaktu.
Zobacz inne artykuły, które mogą Cię zainteresować
