iSecure logo
  • pl
  • en
    • Blog

    Administrator otrzymał żądanie usunięcia danych. Nie zrobił tego – i było to zgodne z RODO. Jak to możliwe?

    Urszula Koc
    Kategorie

    Prędzej czy później każda organizacja spotyka się z żądaniem usunięcia danych. Naturalna reakcja jest zwykle podobna: trzeba sprawdzić, jakie dane mamy, gdzie się znajdują i czy należy je usunąć. Problem w tym, że odpowiedź nie zawsze brzmi „tak”. Samo żądanie nie oznacza jeszcze, że dane powinny zniknąć ze wszystkich systemów i dokumentów. W wielu przypadkach administrator ma podstawę, aby przechowywać dane dalej – i w takiej sytuacji działa zgodnie z RODO.

    Prawo do usunięcia danych nie jest bezwzględne

    RODO przyznaje osobom fizycznym prawo żądania usunięcia danych w określonych sytuacjach, np. wtedy, gdy dane nie są już potrzebne do celu, w którym zostały zebrane, cofnięto zgodę albo wniesiono skuteczny sprzeciw wobec przetwarzania.

    Jednocześnie ten sam przepis przewiduje wyjątki. Administrator nie zawsze musi usuwać dane – może je dalej przechowywać, jeżeli jest to konieczne. Dotyczy to w szczególności dwóch sytuacji:

    • gdy przepisy wymagają przechowywania danych przez określony czas,
    • gdy dane są potrzebne, żeby wykazać, że działania były prawidłowe (np. w razie sporu).

    To oznacza, że samo otrzymanie żądania nie przesądza jeszcze, co należy zrobić z danymi. Najpierw trzeba ocenić sytuację, a dopiero potem zdecydować, czy dane należy usunąć, czy można je dalej przechowywać.

    Obowiązek prawny – kiedy dane muszą zostać

    Są sytuacje, w których przepisy wymagają od organizacji przechowywania danych przez określony czas i nie jest to decyzja uznaniowa. Dotyczy to np. dokumentów księgowych, faktur czy danych przetwarzanych w związku z obowiązkami AML. W takich przypadkach nie można po prostu usunąć wszystkich danych tylko dlatego, że ktoś tego żąda. Takie dane są potrzebne po to, aby w razie kontroli móc wykazać, że organizacja działała prawidłowo. Czasem pozwalają też odtworzyć przebieg transakcji, potwierdzić zawarcie umowy albo wykazać, że zgody zostały zebrane prawidłowo.

    Usunięcie takich danych zbyt wcześnie może pozbawić organizację możliwości wykazania, co się wydarzyło i czy wszystko zostało zrobione zgodnie z prawem. Dlatego RODO dopuszcza ich dalsze przechowywanie – ale tylko w konkretnym celu i przez okres wynikający z przepisów.

    Roszczenia – najczęstszy scenariusz w praktyce

    W wielu przypadkach kluczowe znaczenie ma nie tylko obowiązek prawny, ale możliwość pojawienia się sporu. Jeżeli istnieje realne ryzyko, że ktoś zakwestionuje działania firmy – nawet jeśli formalnie jeszcze nic się nie wydarzyło – dane mogą być dalej przechowywane. Dotyczy to np. sytuacji, w których klient kwestionuje wynik usługi albo decyzję podjętą na podstawie jego danych. Podobnie będzie wtedy, gdy zgłasza reklamację lub zastrzeżenia albo współpraca kończy się w napiętych okolicznościach. W takich przypadkach dane pozwalają odtworzyć, co dokładnie się wydarzyło i czy działania organizacji były prawidłowe. Nie chodzi więc o przechowywanie danych „na wszelki wypadek”, ale o konkretne sytuacje, w których istnieje realne ryzyko sporu i potrzeba jego wyjaśnienia.

    Jedno żądanie, kilka różnych sytuacji

    W praktyce często zdarza się, że dane tej samej osoby są wykorzystywane w różnych celach jednocześnie. Najprostszy przykład to sytuacja, w której ktoś wycofuje zgodę na marketing, ale nadal jest klientem albo był nim jeszcze niedawno.

    W takim przypadku nie ma jednej prostej odpowiedzi i nie trzeba podejmować decyzji „wszystko albo nic”. Trzeba rozdzielić poszczególne cele przetwarzania i ocenić je osobno.

    Może się więc okazać, że dane wykorzystywane do marketingu powinny zostać usunięte, ale dane potrzebne do rozliczeń albo ewentualnego sporu mogą być dalej przechowywane. Takie podejście jest zgodne z zasadą minimalizacji, czyli przetwarzania tylko tych danych, które są rzeczywiście potrzebne.

    Najczęstszy problem: brak odpowiedzi

    Wbrew pozorom największym ryzykiem nie jest sama odmowa usunięcia danych. Problem zaczyna się wtedy, gdy administrator nie analizuje sytuacji, nie potrafi uzasadnić swojej decyzji albo po prostu nie odpowiada na wniosek. Każde żądanie trzeba obsłużyć – nawet jeśli kończy się odmową. Ważne jest nie tylko to, jaka decyzja została podjęta, ale także czy została jasno wyjaśniona.

    Dobrze przygotowana odpowiedź często kończy sprawę i znacząco ogranicza ryzyko dalszego sporu.

    Jak podejść do tego w praktyce

    Żądanie usunięcia danych nie jest jednorazową czynnością, tylko procesem, który trzeba przejść krok po kroku. Warto najpierw sprawdzić, czy dane rzeczywiście znajdują się w systemach. Następnie trzeba ustalić, w jakich celach są przetwarzane i ocenić, czy istnieje obowiązek ich dalszego przechowywania albo ryzyko sporu. Dopiero na tej podstawie można zdecydować, czy dane należy usunąć, czy tylko ograniczyć ich przetwarzanie.

    W wielu przypadkach właściwym rozwiązaniem nie jest całkowite usunięcie danych, ale ograniczenie ich przetwarzania – np. do archiwum wykorzystywanego wyłącznie na potrzeby ewentualnych sporów.

    Podsumowanie

    Żądanie usunięcia danych nie oznacza automatycznie, że dane powinny zniknąć ze wszystkich systemów i dokumentów. RODO nie polega na automatycznym kasowaniu danych, ale na świadomej ocenie sytuacji i umiejętności uzasadnienia swojej decyzji. W praktyce kluczowe jest więc nie tylko to, czy dane zostały usunięte, ale przede wszystkim to, czy decyzję o ich pozostawieniu albo usunięciu da się jasno uzasadnić.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maria Lothamer

    KSeF po 1 lutego 2026 r. – pierwsze błędy, nowe ryzyka i co to oznacza dla RODO

    1 lutego 2026 r. najwięksi przedsiębiorcy zostali objęci obowiązkiem wystawiania faktur wyłącznie przez Krajowy System e-Faktur (KSeF). Choć system był zapowiadany od wielu miesięcy, a firmy miały czas na przygotowanie, pierwsze tygodnie funkcjonowania przyniosły szereg problemów technicznych i organizacyjnych. Co istotne – część z nich ma bezpośrednie konsekwencje w obszarze ochrony danych osobowych i zgodności z RODO. Poniżej […]

    Czytaj więcej
    Michał Sztąberek

    Obowiązek informacyjny

    Dopełnienie obowiązku informacyjnego to jedno z najistotniejszych zadań jakie musi realizować administrator względem osób, których dane będzie przetwarzać. To także prawdziwe utrapienie działów marketingowych, bo – jak mówią ich przedstawiciele – „tego tekstu jest tak dużo, że nikt nam nie kliknie”. Gorzej jak za brakiem klauzuli informacyjnej idzie brak wiedzy, że taki obowiązek w ogóle […]

    Czytaj więcej
    Bartosz Migas

    Badanie pracowników na obecność koronawirusa zgodne z RODO – COVID-19

    Pandemia COVID-19 nie odpuszcza, dlatego też wielu pracodawców, chcąc chronić życie i zdrowie swoich pracowników, decyduje się na zorganizowanie badań pod kątem zakażenia koronawirusem.  Czy pracodawca może zobowiązać pracownika do udziału w takich badaniach? Czy może pozyskać wyniki po badaniu? Poniższa infografika odpowiada na te i inne pytania, które pomogą pracodawcom w bieżącej działalności. Zwłaszcza […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki