Prawa osób

Prawa osób, których dane dotyczą – katalog uprawnień wynikających z RODO

Aktualizacja: 5 czerwca 2026 Podstawa: Rozporządzenie 2016/679 (RODO) Autor: redakcja Vatalnol.eu
Laptop z dokumentami dotyczącymi regulacji RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – powszechnie znane jako RODO – przyznaje osobom fizycznym szeroki katalog praw w związku z przetwarzaniem ich danych osobowych. Przepisy te zawarte są przede wszystkim w art. 15–22 rozporządzenia i stanowią trzon ochrony jednostki w stosunkach z administratorami danych.

Podstawa prawna: Rozporządzenie (UE) 2016/679, Dz.U. UE L 119 z dnia 4.5.2016, s. 1–88. W Polsce nadzór nad stosowaniem RODO sprawuje Urząd Ochrony Danych Osobowych (UODO) z siedzibą w Warszawie, ul. Stawki 2.

1. Prawo dostępu do danych (art. 15 RODO)

Osoba, której dane dotyczą, ma prawo uzyskać od administratora potwierdzenie, czy przetwarza on jej dane osobowe. Jeśli tak jest, przysługuje jej prawo do bezpłatnej kopii tych danych wraz z informacjami o:

  • celach przetwarzania
  • kategoriach danych
  • odbiorcach lub kategoriach odbiorców, którym dane są lub będą ujawniane
  • planowanym okresie przechowywania lub kryteriach jego ustalenia
  • źródle pozyskania danych (jeżeli nie zostały zebrane bezpośrednio od osoby)
  • fakcie stosowania zautomatyzowanego podejmowania decyzji, w tym profilowania

Za kolejne kopie administrator może pobrać opłatę odpowiadającą kosztom administracyjnym. Żądanie dostępu powinno zostać rozpatrzone bez zbędnej zwłoki, nie później niż w ciągu miesiąca od jego otrzymania. Termin ten można przedłużyć o dwa kolejne miesiące, jeśli żądanie jest szczególnie skomplikowane lub liczba żądań jest duża – administrator musi jednak poinformować o tym wnioskodawcę w ciągu miesiąca od wpłynięcia wniosku.

2. Prawo do sprostowania danych (art. 16 RODO)

Osoba fizyczna może żądać niezwłocznego sprostowania dotyczących jej nieprawidłowych danych osobowych. Uwzględniając cele przetwarzania, ma ona prawo żądać uzupełnienia niekompletnych danych, w tym poprzez przedstawienie dodatkowego oświadczenia.

Prawo to jest szczególnie istotne w sytuacjach, gdy administrator operuje danymi pozyskanymi z wielu źródeł – błędny numer PESEL, pomyłka w adresie czy nieaktualna informacja o zatrudnieniu mogą prowadzić do realnych szkód dla osoby, której dane dotyczą.

3. Prawo do usunięcia danych – „prawo do bycia zapomnianym" (art. 17 RODO)

Na żądanie osoby fizycznej administrator ma obowiązek usunąć jej dane osobowe bez zbędnej zwłoki, jeżeli zachodzi jedna z określonych w przepisach przesłanek:

  • dane nie są już niezbędne do celów, w których zostały zebrane lub przetwarzane
  • osoba cofnęła zgodę, na której opierało się przetwarzanie, i nie ma innej podstawy prawnej
  • osoba wniosła skuteczny sprzeciw wobec przetwarzania
  • dane były przetwarzane niezgodnie z prawem
  • usunięcie jest wymagane do wywiązania się z obowiązku prawnego

Prawo do usunięcia nie ma charakteru absolutnego. Administrator może odmówić realizacji żądania m.in. w przypadku, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym, do ustalenia, dochodzenia lub obrony roszczeń, albo gdy wymagają tego przepisy prawa.

4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Osoba, której dane dotyczą, może żądać ograniczenia przetwarzania w następujących przypadkach:

  1. kwestionuje prawidłowość danych – na okres pozwalający administratorowi sprawdzić ich prawidłowość
  2. przetwarzanie jest niezgodne z prawem, a osoba sprzeciwia się usunięciu danych
  3. administrator nie potrzebuje już danych, ale osoba potrzebuje ich do ustalenia, dochodzenia lub obrony roszczeń
  4. osoba wniosła sprzeciw wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy administratora są nadrzędne

Dane objęte ograniczeniem mogą być przetwarzane wyłącznie za zgodą osoby, której dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego.

5. Prawo do przenoszenia danych (art. 20 RODO)

Osoba fizyczna ma prawo otrzymać dotyczące jej dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Prawo to stosuje się, gdy przetwarzanie odbywa się na podstawie zgody lub umowy i jest realizowane w sposób zautomatyzowany.

Osoba może żądać, by dane zostały przesłane bezpośrednio do innego administratora, jeżeli jest to technicznie możliwe. W praktyce oznacza to np. możliwość przeniesienia historii transakcji bankowych, danych zdrowotnych z jednej przychodni do drugiej, czy historii zamówień między platformami.

6. Prawo do sprzeciwu (art. 21 RODO)

Osoba fizyczna ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania jej danych opartego na art. 6 ust. 1 lit. e lub f RODO (interes publiczny lub uzasadniony interes administratora). Dotyczy to w szczególności profilowania.

W przypadku sprzeciwu administrator nie może dalej przetwarzać danych, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Sprzeciw w celach marketingowych: Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec takiego przetwarzania. Administrator musi wówczas zaprzestać przetwarzania danych w tych celach bez żadnych warunków i wyjątków.

7. Prawa w związku ze zautomatyzowanym podejmowaniem decyzji (art. 22 RODO)

Osoba fizyczna ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa. Prawo to obejmuje m.in. automatyczne odmowy udzielenia kredytu przez algorytmy bankowe bez udziału człowieka.

Jak realizować swoje prawa w Polsce?

Wnioski o realizację praw można składać bezpośrednio do administratora danych. Administrator ma obowiązek odpowiedzieć bez zbędnej zwłoki, co do zasady w ciągu miesiąca. W przypadku bezczynności administratora lub odmowy realizacji wniosku można wnieść skargę do Urzędu Ochrony Danych Osobowych:

  • Adres: ul. Stawki 2, 00-193 Warszawa
  • Strona internetowa: uodo.gov.pl
  • Infolinia UODO: 606-950-000

UODO może nałożyć na administratora administracyjną karę pieniężną do 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa za naruszenie przepisów dotyczących praw osób fizycznych.

Powiązane artykuły

Więcej na temat RODO

Administrator danych

Obowiązki administratora danych – co wynika z art. 24–39 RODO

Rejestr czynności przetwarzania, ocena skutków dla ochrony danych, wyznaczenie inspektora – obowiązki organizacyjne i techniczne administratora.

Czytaj Bezpieczeństwo danych

Pseudonimizacja i szyfrowanie jako środki ochrony danych osobowych

RODO wymienia pseudonimizację i szyfrowanie jako przykładowe środki techniczne. Jak stosować je w praktyce?

Czytaj

Treści zamieszczone na portalu mają charakter wyłącznie informacyjny i edukacyjny. Nie stanowią porady prawnej ani interpretacji przepisów prawa.