Prawo dostępu do danych w praktyce instytucji i organizacji
Co tak naprawdę oznacza „dostęp do danych”
Prawo dostępu do danych z art. 15 RODO oznacza, że osoba fizyczna może zażądać od administratora informacji, czy jej dane są przetwarzane, a jeśli tak – ma prawo do:
uzyskania szczegółowych informacji o tym przetwarzaniu (cele, kategorie danych, odbiorcy itd.),
otrzymania kopii danych osobowych jej dotyczących.
Nie jest to jednak prawo do „otwarcia wszystkich szafek z dokumentami” ani do wglądu w każdy wewnętrzny dokument, notatkę czy mail, gdzie osoba jest chociaż wspomniana. Prawo dostępu nie zamienia administratora w darmowe biuro kserowania całej korespondencji, tylko nakłada obowiązek przekazania danych osobowych w rozsądnym, uzasadnionym zakresie.
W praktyce, gdy pojawia się wniosek o dostęp do danych, trzeba odpowiedzieć na dwa pytania:
Czy wiemy, o kogo chodzi i czy potrafimy tę osobę zidentyfikować w naszych systemach?
Jakie konkretne dane osobowe i informacje o ich przetwarzaniu powinniśmy tej osobie pokazać?
Im szybciej organizacja nauczy się myśleć o „prawie dostępu” jako o prawie do informacji o przetwarzaniu + kopii danych, tym mniej chaosu przy kolejnych wnioskach. To pomaga uniknąć skrajności typu: „wyślijmy wszystko, żeby się nie czepiali” albo „dajmy tylko ogólne informacje, bo szkoda czasu na szczegóły”.
Kiedy wniosek jest wnioskiem z art. 15 RODO
Nie każdy e‑mail od klienta czy interesanta jest wnioskiem o dostęp do danych. Jednocześnie wiele wniosków z art. 15 RODO nie zawiera słowa „RODO”, więc trzeba je „łapać” po treści, nie po nagłówku.
Przede wszystkim, żądanie dostępu do danych osobowych mamy wtedy, gdy osoba pisze coś w stylu:
„Proszę o informację, jakie dane na mój temat Państwo przetwarzają”,
„Chcę otrzymać kopię wszystkich danych, jakie posiadacie na mój temat”,
„Proszę o wskazanie, komu przekazaliście moje dane i w jakim celu je wykorzystujecie”,
„Proszę o wydruk/plik z moimi danymi z systemu …”.
To, że wniosek jest złożony nieformalnie, np. w wiadomości na Facebooku albo ustnie przy okienku, nie odbiera mu mocy. RODO nie wymaga specjalnego formularza. Administrator powinien mieć procedurę, jak taki wniosek „przechwycić” i skierować na właściwą ścieżkę – nawet jeśli zaczyna się od: „Hej, napiszcie mi, co o mnie wiecie”.
Z drugiej strony, nie każdy kontakt będzie wnioskiem z art. 15 RODO. Przykłady, które zwykle nie są wnioskiem o dostęp do danych:
„Kiedy dostanę przesyłkę?” – to raczej zwykła obsługa klienta (choć oczywiście pracownik będzie musiał zerknąć w dane zamówienia).
„Proszę zmienić mój adres e‑mail w systemie” – to realizacja prawa do sprostowania lub aktualizacji danych.
„Proszę o usunięcie moich danych” – to wniosek z art. 17 RODO (prawo do bycia zapomnianym), nie z art. 15.
Granica czasem bywa cienka. Jeśli osoba w jednym mailu pisze „Proszę o usunięcie moich danych, a wcześniej przesłać mi kopię wszystkiego, co o mnie macie”, mamy do czynienia z dwoma różnymi prawami i obie części trzeba obsłużyć: najpierw dostęp, potem ewentualne usunięcie.
Jak rozpoznać wniosek, gdy brak słowa „RODO”
Największy praktyczny problem to wnioski, które przychodzą „przy okazji” – do działu obsługi klienta, na skrzynkę ogólną, do sekretariatu, a nawet jako odpowiedź na newsletter. Kluczowe jest przeszkolenie zespołów, by wychwytywały charakterystyczne zwroty:
„jakie dane na mój temat…”,
„chcę zobaczyć, co macie zapisane…”,
„proszę o przesłanie wszystkich informacji dotyczących mojej osoby…”.
W takich sytuacjach wystarczy proste, wewnętrzne pytanie: czy człowiek ewidentnie chce zobaczyć swoje dane / informacje o ich przetwarzaniu? Jeśli tak, trzeba potraktować to jako potencjalny wniosek o dostęp i uruchomić procedurę RODO, a nie odpisywać na szybko „dane mamy w systemie, wszystko jest ok”.
Dobrym nawykiem jest ustalenie prostej zasady: jeżeli pracownik ma wątpliwości, czy dana prośba jest wnioskiem RODO, konsultuje to z IOD lub osobą odpowiedzialną za ochronę danych. Lepiej raz za dużo potraktować wiadomość jak wniosek z art. 15, niż przeoczyć prawdziwe żądanie dostępu.
Prawo do informacji i do kopii, a nie do „wszystkiego, co macie w systemach”
Osoba składająca wniosek często używa sformułowań w rodzaju: „chcę kopię całej mojej dokumentacji”, „wszystkie dane z systemów” lub „wszystko, co macie na mój temat”. Administrator ma wtedy dwie równoległe powinności:
zapewnić realizację prawa do dostępu,
zachować proporcjonalność i ochronę innych osób, tajemnic i informacji wewnętrznych.
RODO mówi o „kopii danych osobowych” – nie o kopii każdego dokumentu. Kopia może przyjąć różne formy:
zestawienie danych w pliku PDF lub CSV,
wydruk danych z systemu,
zestawienie w tabeli, które zbiera dane z kilku systemów.
Nie trzeba (i często wręcz nie wolno) przekazywać pełnych treści maili, całych raportów, notatek służbowych, jeśli zawierają dane innych osób albo informacje chronione tajemnicą przedsiębiorstwa. Z tych dokumentów trzeba „wyjąć” dane osobowe wnioskodawcy albo przekazać je w formie streszczenia, wypisu lub w zanonimizowanej postaci.
Zamiast obiecywać w piśmie „kopię całej dokumentacji”, lepiej wyjaśnić, że osoba otrzymuje kopię danych osobowych jej dotyczących oraz informacje o ich przetwarzaniu, przy jednoczesnym poszanowaniu praw i wolności innych osób. Taki komunikat jest zgodny z RODO i nie tworzy u wnioskodawcy nierealnych oczekiwań.
Źródło: Pexels | Autor: Kindel Media
Obowiązki administratora – co jest wymagane, a co tylko „ładnie mieć”
Zakres odpowiedzi i informacje, które trzeba przekazać
Przy wniosku o dostęp do danych administrator musi przekazać zarówno dane, jak i informacje o przetwarzaniu. To dwa różne elementy odpowiedzi.
Obowiązkowy zakres informacji o przetwarzaniu obejmuje w szczególności:
potwierdzenie, czy dane są przetwarzane,
cele przetwarzania (np. realizacja umowy, obsługa reklamacji, marketing),
kategorie odnośnych danych osobowych (np. dane kontaktowe, dane identyfikacyjne, dane dotyczące płatności),
odbiorców lub kategorie odbiorców, którym dane zostały lub zostaną ujawnione (np. firmy kurierskie, biuro rachunkowe, dostawca systemu mailingowego),
planowany okres przechowywania danych lub kryteria jego ustalania,
informacje o prawach osoby (sprostowanie, usunięcie, ograniczenie, sprzeciw, skarga do PUODO itd.),
informację o źródle danych, jeśli nie zostały zebrane bezpośrednio od osoby,
informację o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, jeśli ma miejsce.
Wszystkie te informacje trzeba przedstawić w konkretnym odniesieniu do sytuacji wnioskodawcy. Nie wystarczy przekleić klauzuli informacyjnej sprzed pięciu lat, która „w ogólnym zarysie” opisuje przetwarzanie. Osoba powinna dostać jasny obraz: jakie jej dane zostały zebrane, jak są wykorzystywane i komu przekazywane.
Oprócz informacji o przetwarzaniu trzeba przekazać samą kopię danych osobowych. Mogą to być:
dane z systemu CRM,
dane z systemu kadrowo‑płacowego,
zapisy logów (np. historia logowań, zgód),
historia zamówień powiązana z danymi identyfikacyjnymi.
Minimum prawne nie wyklucza dodatkowych działań „ładnie mieć”, np. dołączenia krótkiego wyjaśnienia, skąd taki format danych, czy dlaczego pewne fragmenty zostały zanonimizowane. Z punktu widzenia komunikacji to często ratuje organizację przed długą wymianą maili i nieporozumieniami.
Różnica między informacją o przetwarzaniu a kopią danych
Wielu administratorów myli te dwa poziomy. Tymczasem:
Informacja o przetwarzaniu – to opis: po co, jak długo, na jakiej podstawie i komu przekazujemy dane.
Kopia danych – to faktyczne dane osobowe w formie, którą osoba może odczytać, zachować i ewentualnie wykorzystać.
Sama kopia danych bez wyjaśnień rodzi pytania: „Skąd macie to wszystko?”, „Dlaczego to przetwarzacie?”, „Kto jeszcze to widzi?”. Z kolei sama informacja bez danych wyglądających jak konkretna „kopiowalna” treść jest naruszeniem art. 15 – osoba nie dostała realnego wglądu w swoje dane.
Bezpieczne podejście to przygotowanie odpowiedzi z dwoma wyraźnymi częściami:
Część opisowa – wszystkie wymagane informacje z art. 15 ust. 1 RODO.
Część danych – załącznik (plik lub wydruk) z kopiami danych osobowych.
Dzięki takiej strukturze łatwiej zachować spójność i udowodnić przed organem nadzorczym, że prawo dostępu zostało wykonane w pełnym zakresie.
Terminy i forma odpowiedzi
Prawo dostępu do danych wiąże się z konkretnymi terminami. Termin na odpowiedź RODO to co do zasady 1 miesiąc od otrzymania wniosku. To nie jest „miesiąc roboczy” ani „30 dni roboczych” – liczymy miesiąc kalendarzowy zgodnie z zasadami prawa cywilnego.
W wyjątkowo skomplikowanych sprawach termin można przedłużyć maksymalnie o kolejne 2 miesiące. Trzeba jednak spełnić dwa warunki:
uzasadnić to stopniem skomplikowania wniosku lub liczbą wniosków,
poinformować osobę o przedłużeniu jeszcze w pierwszym miesiącu, wskazując przyczynę opóźnienia.
Brak odpowiedzi w terminie to jedna z najczęstszych przyczyn skarg do PUODO. Sam fakt, że „jeszcze zbieramy dane od kilku działów”, organowi nie wystarczy, jeśli nie uprzedzono o wydłużeniu terminu. Dobrą praktyką jest wysłanie krótkiej, formalnej informacji o przedłużeniu (nawet mailem), z jasnym wskazaniem nowej daty odpowiedzi.
Co do formy odpowiedzi, administrator powinien ją dostosować do:
formy złożenia wniosku (jeżeli to możliwe – ta sama forma),
oczekiwań osoby,
ryzyka związanego z przesłaniem danych.
Najczęściej odpowiedź trafia:
mailem (np. jako zaszyfrowany załącznik),
listem poleconym,
do panelu klienta (z powiadomieniem e‑mail/SMS).
Przekazywanie kopii danych na otwarty, niezabezpieczony załącznik do e‑maila zamykanego hasłem „1234” to proszenie się o kłopoty. Przy wyborze formy zawsze opłaca się zadać pytanie: co się stanie, jeśli ta wiadomość trafi do niewłaściwej osoby? Jeśli odpowiedź brzmi „będzie bardzo źle”, warto użyć bezpieczniejszego kanału lub przynajmniej porządnego szyfrowania.
Historia z życia: „Załączamy dane” i nic więcej
Przykład z praktyki: organizacja otrzymała wniosek o dostęp do danych od byłego pracownika. W odpowiedzi wysłano mu mailem plik z danymi kadrowymi i historią czasu pracy. W treści wiadomości znalazło się tylko jedno zdanie: „W załączeniu przesyłamy kopię Pana danych osobowych”. Bez żadnych dodatkowych informacji, bez powołania podstawy prawnej, bez wskazania odbiorców danych czy okresów przechowywania.
Były pracownik, niezbyt zadowolony z rozstania, złożył skargę do PUODO, twierdząc, że otrzymał jedynie „jakiegoś Excela”, ale nie wie, co firma z jego danymi robi, komu je przekazała i jak długo będzie trzymać dokumentację. Organ nadzorczy przyznał mu rację w tym zakresie – administrator co prawda wysłał kopię danych, ale nie zrealizował obowiązku informacyjnego z art. 15. Konieczne było ponowne udzielenie pełnej odpowiedzi.
Koszt dla organizacji? Czas, nerwy, korespondencja z urzędem i konieczność przejrzenia procedur. Wszystko dlatego, że ktoś uznał, że „załączamy dane” to wystarczająca odpowiedź. Włączenie do wzoru odpowiedzi stałych elementów informacyjnych sprawia, że takie sytuacje po prostu nie powstają.
Źródło: Pexels | Autor: Kindel Media
Procedura „krok po kroku” – od wpływu wniosku do wysyłki odpowiedzi
Przyjęcie i rejestracja wniosku
Wniosek o dostęp do danych może wpłynąć różnymi kanałami:
na skrzynkę ogólną („biuro@…”),
na adres konkretnego pracownika,
przez formularz kontaktowy,
Identyfikacja wnioskodawcy i weryfikacja tożsamości
Po odnotowaniu wpływu trzeba odpowiedzieć sobie na jedno pytanie: czy wiemy, komu odpowiadamy? Jeśli nie, reszta procedury stoi na glinianych nogach.
Przy wnioskach składanych osobiście sprawa jest prosta – można poprosić o dokument tożsamości do wglądu (bez kserowania czy skanowania „na wszelki wypadek”). Schody zaczynają się przy kanałach zdalnych.
odpowiedź wyłącznie na adres e‑mail, który już jest w systemie i został zweryfikowany wcześniej (np. przy zakładaniu konta),
prośba o podanie dodatkowych informacji, które ma tylko dana osoba (np. numer klienta + ostatnie 4 cyfry PESEL + kwota ostatniej faktury),
zalogowanie do panelu klienta i złożenie wniosku „z wnętrza” konta,
kontakt telefoniczny lub wideo z dodatkową weryfikacją (w branżach wrażliwych, np. medycznej czy finansowej).
Granica jest prosta: zakres weryfikacji musi być adekwatny do ryzyka. Dla newslettera wystarczy dużo mniej niż dla danych medycznych. Żądanie skanu dowodu przy każdym wniosku o dostęp do danych zwykle będzie przesadą – i piękną okazją, żeby naruszyć zasadę minimalizacji.
Jeśli administrator ma uzasadnione wątpliwości, może odmówić spełnienia wniosku do czasu potwierdzenia tożsamości. W takim przypadku trzeba jasno wyjaśnić osobie, jakie dane lub dokumenty są potrzebne i dlaczego.
Doprecyzowanie wniosku – kiedy i jak o nie poprosić
Część wniosków brzmi: „proszę o wszystkie dane, jakie Państwo o mnie posiadają”. To w zasadzie klasyka gatunku i nie wymaga negocjacji – taki wniosek jest wystarczająco precyzyjny.
Problem pojawia się, gdy osoba:
żąda danych z okresu, którego już się nie przetwarza („od 1990 roku, kiedy pierwszy raz do Państwa napisałem”),
mówi ogólnie o „wszelkiej korespondencji o mnie”, nie wskazując, o jaką relację chodzi (klient, pracownik, kandydat),
łączy prawo dostępu z innymi prawami („proszę o dostęp, usunięcie i odszkodowanie w jednej odpowiedzi”).
W takich sytuacjach można zwrócić się o doprecyzowanie zakresu, ale ostrożnie – tak, żeby nie zostało to odebrane jako utrudnianie prawa. Bezpieczna formuła to krótka wiadomość z propozycją zawężenia zakresu „dla ułatwienia”, z jasnym wskazaniem, że brak doprecyzowania nie wstrzyma całkowicie realizacji wniosku:
„Możemy przygotować informacje o wszystkich przetwarzanych danych. Dla szybszej realizacji prosimy jednak o wskazanie, czy chodzi głównie o dane z procesu rekrutacji, czy także o historię korespondencji z działem obsługi klienta”.
Art. 12 ust. 6 RODO pozwala żądać doprecyzowania tylko wtedy, gdy administrator przetwarza bardzo dużą ilość informacji dotyczących osoby. Nie można więc robić z doprecyzowania standardowego „progu wejścia” dla każdego wniosku.
Zebranie danych z systemów – kto, skąd i w jakim zakresie
Kiedy wiadomo już, kto pyta i o co, przychodzi czas na najmniej widowiskową, ale kluczową część: techniczne zebranie danych.
W praktyce najczęściej rozsyła się krótką notatkę lub zadanie do wybranych jednostek organizacyjnych z jasnym poleceniem:
kogo dotyczy wniosek,
jakiego okresu dotyczy,
jakie systemy trzeba sprawdzić (CRM, kadry, system reklamacji, monitoring, helpdesk itd.),
w jakim formacie mają być zwrócone dane.
Przy bardziej złożonych organizacjach warto mieć mapę systemów lub choćby prostą listę: rodzaj danych – system – właściciel biznesowy. Bez tego „polowanie na dane” zamienia się w wymianę maili z cyklu: „to chyba ma dział X”, „nie, my tylko widzimy podgląd” i tak przez kilka tygodni.
Typowe problemy na tym etapie:
działy przesyłają więcej danych niż trzeba (w tym dane osób trzecich, poufne notatki, komentarze wewnętrzne),
brak spójnego formatu (jeden system generuje PDF, drugi CSV, trzeci tylko zrzut ekranu),
fragmenty historii są w archiwach lub backupach, do których nie ma prostego dostępu.
Wewnętrzna instrukcja powinna tłumaczyć, że dział przesyła surowe dane do osoby odpowiedzialnej za RODO (IOD/koordynator), a nie bezpośrednio do wnioskodawcy. To ta osoba sortuje, anonimizuje i decyduje, co dokładnie trafi do odpowiedzi.
Selekcja, anonimizacja i minimalizacja danych
Po zebraniu danych trzeba z nich zrobić uporządkowany zestaw. Tutaj przydaje się chłodna głowa i znajomość zasady minimalizacji.
Kluczowe pytania przy selekcji:
czy dana informacja jest danymi osobowymi wnioskodawcy (albo informacją o ich przetwarzaniu)?
czy przekazanie jej wprost nie naruszy praw innych osób (np. współpracowników, sygnalistów, klientów)?
czy możemy tę informację przekazać po anonimizacji, pseudonimizacji lub w formie streszczenia?
Przykład: szef działu sprzedaży wysyła notatkę „Jan Kowalski – trudny klient, nie polecam rabatu”. Czy to dane osobowe Jana? Tak. Czy można mu przesłać całą notatkę? Raczej nie, bo zawiera też ocenę pracownika (sposób opisania sytuacji, ewentualne odniesienia do innych osób). Rozsądne rozwiązanie to przekazanie w odpowiedzi informacji o dokonywaniu ocen i decyzji dotyczących rabatów, z opisem kryteriów, zamiast „surowych” maili między pracownikami.
Przy anonimizacji trzeba zadbać, by:
była nieodwracalna (ukrycie inicjału współpracownika zamiast pełnego nazwiska, usunięcie numerów telefonów, maili),
nie pozbawiała informacji sensu (po zanonimizowaniu ma się nadal dać odczytać, czego dotyczyła sprawa),
była odnotowana – kto, kiedy i w jakim zakresie ją wykonał.
Zbyt gorliwa anonimizacja bywa kusząca („wytnijmy wszystko, będzie spokój”), ale może doprowadzić do sytuacji, w której osoba nie zrozumie, jakie decyzje wobec niej podejmowano. A to już prosta droga do zarzutu pozornego wykonania prawa dostępu.
Przygotowanie części opisowej odpowiedzi
Dane są wybrane, zanonimizowane, zebrane w sensowną całość. Teraz trzeba do nich dołożyć opis przetwarzania „uszyty” pod konkretną osobę.
W praktyce dobrze działa półszablonowe podejście:
stałe bloki – np. opis praw osoby, informacja o organie nadzorczym, standardowe kategorie odbiorców,
elementy zmienne – konkretne podstawy prawne przetwarzania dla tej osoby, okresy przechowywania danych w danej relacji (klient, pracownik, kandydat).
W tej części odpowiedzi powinno się znaleźć co najmniej:
jasne potwierdzenie, czy dane są przetwarzane,
wskazanie wszystkich głównych celów przetwarzania w odniesieniu do tej osoby,
podstawy prawne (np. art. 6 ust. 1 lit. b RODO – umowa, lit. c – obowiązki prawne, lit. f – prawnie uzasadniony interes),
kategorie odbiorców – z przykładami podmiotów (np. „dostawcy systemu mailingowego – obecnie: XYZ Sp. z o.o.”),
informacja, jak długo dane będą przechowywane, w podziale na grupy danych (np. dane fakturowe, dane logowania, dane zgód marketingowych),
wskazanie praw osoby, najlepiej z krótkim, ludzkim objaśnieniem (np. co oznacza „ograniczenie przetwarzania” w konkretnej relacji).
Odpowiedź nie musi cytować całego RODO. Dużo lepiej sprawdza się prosty język, np. zamiast „ma Pani prawo żądania ograniczenia przetwarzania danych” – „może Pani poprosić, abyśmy tymczasowo nie używali części Pani danych, np. na czas rozpatrywania zastrzeżeń”.
Wysyłka odpowiedzi i dokumentowanie realizacji
Gotową odpowiedź – opis plus załączniki – trzeba wysłać kanałem uznanym za bezpieczny. Przy elektronicznej formie rozsądne minimum to:
zaszyfrowany plik (np. PDF z hasłem),
hasło przekazane osobnym kanałem (SMS, inny e‑mail, telefon),
informacja dla osoby, jak otworzyć plik i co zrobić, jeśli ma z tym trudność.
Jeśli odpowiedź trafia pocztą, warto użyć listu poleconego, a przy szczególnie wrażliwych danych – odbioru osobistego za pokwitowaniem. Danych z wniosku nie przekazuje się „na recepcję w kopercie bez nazwiska”, nawet jeśli to tylko mały klub fitness.
Równolegle trzeba zadbać o ślad wewnętrzny:
datę otrzymania wniosku,
datę i formę odpowiedzi,
krótką wzmiankę o zakresie przekazanych danych (bez załączania całej treści odpowiedzi do rejestru),
informację o ewentualnym przedłużeniu terminu i jego przyczynie.
Taka dokumentacja przydaje się nie tylko w razie kontroli. Często po kilku miesiącach ta sama osoba składa kolejny wniosek, powołując się na brak odpowiedzi. Wtedy dobrze mieć coś więcej niż wspomnienie, że „chyba wysyłaliśmy maila”.
Obsługa ponownych wniosków i nadmiernej częstotliwości
RODO dopuszcza sytuację, w której administrator może pobierać opłatę lub odmówić działania w przypadku oczywiście nieuzasadnionych lub nadmiernych żądań – w szczególności o powtarzalnym charakterze (art. 12 ust. 5).
Przykładowa sytuacja z praktyki: osoba raz w miesiącu żąda pełnej kopii wszystkich danych, mimo że jej relacja z organizacją jest stała, a przetwarzanie praktycznie się nie zmienia. Przez kilka miesięcy administrator wysyłał obszerne zestawienia, aż w końcu przestało to być wykonalne.
Rozsądne podejście obejmuje:
sprawdzenie, czy od ostatniej odpowiedzi zaszła istotna zmiana w przetwarzaniu (nowa usługa, nowi odbiorcy, nowa podstawa prawna),
porównanie zakresu poprzednich odpowiedzi z nowym wnioskiem,
dobrze udokumentowaną decyzję, czy żądanie jest nadmierne.
Jeżeli administrator uzna, że kolejne żądanie jest ewidentnie nadmierne, może:
albo pobrać opłatę uwzględniającą administracyjne koszty przygotowania odpowiedzi,
albo odmówić podjęcia działań.
Obie opcje wymagają jasnego wyjaśnienia powodów i poinformowania osoby o prawie wniesienia skargi do PUODO. Krótkie „uznaliśmy, że przesada” nie wystarczy, nawet jeśli z perspektywy działu RODO to bardzo trafna diagnoza.
Źródło: Pexels | Autor: cottonbro studio
Gotowy wzór odpowiedzi na wniosek o dostęp do danych
Założenia do wzoru
Poniżej przykładowy szkielet odpowiedzi, który można dostosować do realiów organizacji. Nie jest to magiczna formuła, którą wystarczy skopiować i wkleić – wymaga uzupełnienia o konkrety: nazwę administratora, cele przetwarzania, odbiorców danych i okresy przechowywania.
Wzór zakłada sytuację, w której:
administrator potwierdza przetwarzanie danych osoby,
przekazuje kopię danych w załączniku (np. PDF/CSV),
nie występuje szczególna podstawa odmowy ani ograniczenia prawa dostępu.
Przykładowa treść pisma – część opisowa
<p>[miejscowość], [data]</p>
<p>[Imię i nazwisko osoby / oznaczenie]<br>
[adres e-mail lub adres korespondencyjny]</p>
<p>Dotyczy: odpowiedź na wniosek o dostęp do danych osobowych z dnia [data wniosku]</p>
<p>Szanowna Pani / Szanowny Panie,</p>
<p>Administrator danych</p>
<p>Administratorem Pani/Pana danych osobowych jest [pełna nazwa administratora, adres siedziby, dane kontaktowe].</p>
<p>Potwierdzenie przetwarzania danych</p>
<p>Potwierdzamy, że przetwarzamy Pani/Pana dane osobowe w związku z:</p>
<ul>
<li>[np. zawartą z nami umową o świadczenie usług z dnia ...],</li>
<li>[np. rejestracją konta w serwisie ...],</li>
<li>[np. kierowanymi do nas zapytaniami/złożoną reklamacją z dnia ...].</li>
</ul>
<p>Cele i podstawy prawne przetwarzania</p>
<p>Pani/Pana dane osobowe przetwarzamy w następujących celach i na następujących podstawach prawnych:</p>
<ul>
<li>w celu realizacji zawartej umowy – na podstawie art. 6 ust. 1 lit.
Przykładowa treść pisma – ciąg dalszy części opisowej
1 lit. b RODO (niezbędność do wykonania umowy lub podjęcia działań na Pani/Pana żądanie przed jej zawarciem),</li>
<li>w celu realizacji obowiązków prawnych ciążących na administratorze (np. wynikających z przepisów podatkowych, rachunkowych, prawa pracy) – na podstawie art. 6 ust. 1 lit. c RODO,</li>
<li>w celu ustalania, dochodzenia lub obrony przed roszczeniami – na podstawie art. 6 ust. 1 lit. f RODO, jako nasz prawnie uzasadniony interes,</li>
<li>[opcjonalnie] w celach marketingu bezpośredniego naszych produktów i usług – na podstawie art. 6 ust. 1 lit. f RODO lub Pani/Pana zgody (art. 6 ust. 1 lit. a RODO), jeśli została udzielona,</li>
<li>[opcjonalnie] w celu prowadzenia rekrutacji i ewentualnego zawarcia umowy o pracę lub umowy cywilnoprawnej – na podstawie przepisów prawa pracy oraz art. 6 ust. 1 lit. b i f RODO.</li>
</ul>
<p>Kategorie przetwarzanych danych</p>
<p>W związku z powyższymi celami przetwarzamy następujące główne kategorie Pani/Pana danych osobowych:</p>
<ul>
<li>dane identyfikacyjne (np. imię, nazwisko, PESEL/NIP, dane z dokumentu tożsamości – jeśli zostały nam przekazane),</li>
<li>dane kontaktowe (np. adres zamieszkania, adres e‑mail, numer telefonu),</li>
<li>dane dotyczące zawartych umów i świadczonych usług (np. numery umów, historia usług, informacje o płatnościach),</li>
<li>dane dotyczące korespondencji i kontaktów z nami (np. treść zgłoszeń, reklamacji, zapytań, notatki z rozmów, jeśli są sporządzane),</li>
<li>dane techniczne związane z korzystaniem z naszych systemów (np. logi systemowe, identyfikatory sesji, dane o sposobie logowania),</li>
<li>[opcjonalnie] dane dotyczące zgód marketingowych i preferencji (np. informacja, czy zgoda została wyrażona, kiedy, w jakim zakresie, kiedy została cofnięta).</li>
</ul>
<p>Odbiorcy danych</p>
<p>Pani/Pana dane mogą być przekazywane następującym kategoriom odbiorców:</p>
<ul>
<li>podmiotom przetwarzającym dane na nasze zlecenie, takim jak dostawcy systemów informatycznych, firmom świadczącym usługi hostingowe, serwisom mailingowym, firmom archiwizującym dokumenty – obecnie są to w szczególności: [np. ABC Sp. z o.o., XYZ S.A.],</li>
<li>podmiotom świadczącym dla nas usługi doradcze i pomocnicze (np. biura rachunkowe, kancelarie prawne), w zakresie, w jakim jest to niezbędne do realizacji danego celu,</li>
<li>bankom i operatorom płatności – w związku z realizacją płatności za nasze usługi,</li>
<li>operatorom pocztowym i firmom kurierskim – w zakresie niezbędnym do doręczenia korespondencji lub przesyłek,</li>
<li>organom publicznym i innym podmiotom uprawnionym do uzyskania danych na podstawie przepisów prawa (np. sądy, organy ścigania, organy nadzorcze), gdy wystąpią z odpowiednim żądaniem,</li>
<li>[opcjonalnie] naszym partnerom biznesowym w zakresie marketingu, jeśli wyraził(a) Pani/Pan na to odrębną zgodę.</li>
</ul>
<p>Przekazywanie danych poza EOG</p>
<p>Co do zasady nie przekazujemy Pani/Pana danych osobowych poza Europejski Obszar Gospodarczy (EOG). Jeśli jednak korzystamy z usług dostawców, których serwery znajdują się poza EOG (np. niektóre narzędzia informatyczne), przekazanie danych następuje wyłącznie:</p>
<ul>
<li>do państw, w stosunku do których Komisja Europejska wydała decyzję stwierdzającą odpowiedni poziom ochrony danych,</li>
<li>lub na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską oraz z zastosowaniem dodatkowych zabezpieczeń.</li>
</ul>
<p>Okres przechowywania danych</p>
<p>Pani/Pana dane osobowe będą przechowywane przez okres niezbędny do realizacji wskazanych celów, przy czym:</p>
<ul>
<li>dane związane z wykonywaniem umowy – przez czas obowiązywania umowy, a następnie przez okres przedawnienia roszczeń wynikających z tej umowy (co do zasady przez [np. 3, 6] lat od zakończenia współpracy),</li>
<li>dokumenty księgowe i podatkowe – przez okres wymagany przez przepisy prawa (obecnie co najmniej 5 lat od końca roku podatkowego),</li>
<li>dane przetwarzane na podstawie zgody – do czasu cofnięcia zgody lub osiągnięcia celu, dla którego została udzielona,</li>
<li>dane związane z dochodzeniem roszczeń i obroną przed nimi – do czasu przedawnienia tych roszczeń,</li>
<li>[opcjonalnie] dane kandydatów do pracy – przez czas trwania rekrutacji, a w przypadku zgody na przyszłe rekrutacje – nie dłużej niż [np. 12 miesięcy] od jej zakończenia.</li>
</ul>
<p>Prawa przysługujące osobie, której dane dotyczą</p>
<p>W związku z przetwarzaniem przez nas Pani/Pana danych osobowych przysługują Pani/Panu następujące prawa:</p>
<ul>
<li>prawo dostępu do danych – czyli uzyskania informacji, jakie dane przetwarzamy, w jakich celach, a także otrzymania ich kopii,</li>
<li>prawo sprostowania danych – jeśli zauważy Pani/Pan, że dane są nieprawidłowe lub niekompletne, może Pani/Pan poprosić o ich poprawienie lub uzupełnienie,</li>
<li>prawo usunięcia danych („prawo do bycia zapomnianym”) – w sytuacjach przewidzianych w art. 17 RODO, np. gdy dane nie są już potrzebne do celów, w których były zebrane, lub gdy zgoda została cofnięta i nie mamy innej podstawy prawnej przetwarzania,</li>
<li>prawo ograniczenia przetwarzania – może Pani/Pan żądać, abyśmy tymczasowo nie używali określonych danych, np. na czas rozpatrywania sprzeciwu lub weryfikacji ich prawidłowości,</li>
<li>prawo wniesienia sprzeciwu wobec przetwarzania danych – w sytuacji, gdy przetwarzamy dane na podstawie naszego prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), w tym wobec przetwarzania na potrzeby marketingu bezpośredniego,</li>
<li>prawo do przenoszenia danych – w zakresie danych przetwarzanych na podstawie zgody lub umowy oraz w sposób zautomatyzowany, może Pani/Pan otrzymać te dane w ustrukturyzowanym formacie oraz zlecić ich przekazanie innemu administratorowi, jeśli jest to technicznie możliwe,</li>
<li>prawo cofnięcia zgody – w zakresie, w jakim przetwarzamy dane na podstawie zgody, może ją Pani/Pan w każdej chwili wycofać, co nie wpływa na zgodność z prawem przetwarzania przed cofnięciem zgody,</li>
<li>prawo wniesienia skargi do organu nadzorczego – jeśli uzna Pani/Pan, że przetwarzamy dane niezgodnie z przepisami.</li>
</ul>
<p>Organ nadzorczy</p>
<p>Organem nadzorczym właściwym w sprawach ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Dane kontaktowe PUODO:</p>
<ul>
<li>adres: ul. Stawki 2, 00-193 Warszawa,</li>
<li>strona internetowa: https://uodo.gov.pl.</li>
</ul>
<p>Kopia danych</p>
<p>Kopia Pani/Pana danych osobowych, zgodnie z art. 15 ust. 3 RODO, znajduje się w załączniku do niniejszej odpowiedzi w formacie [np. PDF/CSV].</p>
<p>Jeżeli ma Pani/Pan pytania dotyczące treści odpowiedzi lub przekazanych danych, prosimy o kontakt na adres: [adres e‑mail / numer telefonu].</p>
<p>Z poważaniem,</p>
<p>[imię i nazwisko osoby podpisującej]<br>
[stanowisko służbowe]<br>
[dane administratora]</p>
Załącznik – przykładowa struktura kopii danych
Sama „kopia danych” rzadko kiedy jest jednym plikiem tekstowym. Częściej to sensownie opisany pakiet załączników. Dobrze, jeśli osoba, która je otrzyma, nie musi bawić się w archeologa danych.
Przykładowy układ załączników:
Załącznik nr 1 – dane podstawowe (PDF/CSV):
imię, nazwisko, dodatkowe identyfikatory,
adresy korespondencyjne i zamieszkania,
dane kontaktowe,
podstawowe informacje o relacji z administratorem (np. status klienta, data pierwszej umowy).
Załącznik nr 2 – historia relacji / umów (PDF/CSV):
lista umów (numery, daty zawarcia i zakończenia),
główne parametry usług (bez wchodzenia w tajemnicę przedsiębiorstwa),
status płatności, rozliczenia, korekty.
Załącznik nr 3 – komunikacja (PDF):
wyciąg z systemu CRM: daty kontaktów, kanał (e‑mail, telefon, formularz),
streszczenia zgłoszeń/reklamacji,
odpowiedzi udzielone przez organizację.
Załącznik nr 4 – dane techniczne / logi (CSV):
daty i godziny logowań,
informacja o udanych/nieudanych próbach logowania,
id sesji, ewentualne skrócone IP (jeśli można je udostępnić bez naruszania praw innych osób).
Załącznik nr 5 – zgody i preferencje (PDF/CSV):
historia udzielonych i cofniętych zgód (z datą, kanałem, zakresem),
aktualne ustawienia marketingowe,
informacja o sprzeciwach, ograniczeniach przetwarzania, jeśli były zgłaszane.
W praktyce przydaje się krótka „instrukcja czytania” załączników – choćby jedno zdanie w mailu: które pliki zawierają jakie dane i w jakim formacie. Mniej telefonów z pytaniem „a gdzie jest to, o co prosiłem?” to zawsze małe zwycięstwo działu RODO.
Prawo dostępu do danych w praktyce instytucji i organizacji
Na papierze prawo dostępu wygląda prosto. W realnej organizacji szybko dochodzą do głosu systemy legacy, mało precyzyjne procesy i ludzkie przyzwyczajenia („tak zawsze robiliśmy”). Dobrze ustawiony proces prawa dostępu często obnaża wszystkie te miejsca na raz.
Różne typy organizacji – różne wyzwania
Innych problemów doświadcza mała fundacja, innych bank czy globalny software house. Schemat danych bywa podobny (dane kontaktowe, umowy, logi), ale różni się skala, rozproszenie systemów i liczba osób „dokładających się” do przetwarzania.
Małe firmy i NGO – zwykle kilka systemów (poczta, arkusze, prosty CRM), duża rola „pamięci” pracowników. Wyzwanie: odnalezienie wszystkich kanałów, gdzie „w praktyce” lądują dane (arkusze prywatne, notatniki, komunikatory).
Średnie organizacje – więcej systemów (CRM, ERP, helpdesk, marketing automation), częściowa integracja. Wyzwanie: sensowne pogrupowanie danych i takie opisanie ich w odpowiedzi, żeby osoba nie dostała 20 plików o podobnych nazwach.
Duże podmioty regulowane (banki, ubezpieczenia, medycyna) – silne wymogi prawne, sporo wyjątków od prawa dostępu, rygorystyczne bezpieczeństwo. Wyzwanie: utrzymanie równowagi między przejrzystością a obowiązkami zawodowej tajemnicy.
Jedna wspólna rzecz: im bardziej „chaotycznie” organizacja przetwarza dane na co dzień, tym drożej kosztuje każdy wniosek o dostęp. W pewnym momencie to przestaje być tylko temat RODO, a zaczyna być temat efektywności działania.
Standardowe kanały wpływu wniosków
Wniosek o dostęp może przyjść praktycznie każdym kanałem, którym organizacja komunikuje się z otoczeniem. Z punktu widzenia przepisów forma pisemna lub elektroniczna w zupełności wystarczy – nie ma wymogu „formularza RODO z podpisem notarialnym”.
Najczęstsze źródła:
formularz kontaktowy na stronie („proszę przesłać wszystkie informacje, jakie o mnie posiadacie”),
wiadomość e‑mail na ogólny adres typu biuro@, kontakt@,
bezpośredni mail do konkretnej osoby (opiekun handlowy, rekruter, trener),
Najczęściej zadawane pytania (FAQ)
Co dokładnie oznacza „dostęp do danych” w rozumieniu RODO?
Prawo dostępu do danych z art. 15 RODO to prawo osoby do uzyskania informacji, czy jej dane są przetwarzane, a jeśli tak – do otrzymania szczegółowych informacji o tym przetwarzaniu oraz kopii swoich danych osobowych. Chodzi m.in. o cele przetwarzania, kategorie danych, odbiorców, okres przechowywania czy źródło danych.
Nie jest to prawo do wglądu w każdą notatkę służbową czy cały firmowy system. Administrator ma przekazać dane osobowe dotyczące wnioskodawcy i informacje o ich przetwarzaniu w rozsądnym zakresie, z poszanowaniem tajemnic i praw innych osób, a nie „zrzut wszystkiego, co się da”.
Jak rozpoznać, że e‑mail klienta to wniosek o dostęp do danych z art. 15 RODO?
O wniosku z art. 15 RODO mówimy wtedy, gdy z treści wiadomości wynika, że osoba chce zobaczyć swoje dane lub informacje o ich przetwarzaniu. Typowe sformułowania to np.: „jakie dane na mój temat Państwo przetwarzają?”, „proszę o przesłanie wszystkich danych, które o mnie posiadacie”, „komu przekazaliście moje dane?”.
Nie ma znaczenia, czy padło słowo „RODO” ani gdzie wniosek został złożony – może to być e‑mail, wiadomość na Facebooku, a nawet prośba przy okienku. Jeśli pracownik ma wątpliwość, czy to już wniosek o dostęp, lepiej potraktować go jak wniosek z art. 15 i skonsultować z IOD, niż udawać, że to tylko zwykła korespondencja.
Czy osoba ma prawo do kopii całej dokumentacji, czy tylko do „kopii danych osobowych”?
RODO daje prawo do kopii danych osobowych, a nie do kopii wszystkich dokumentów, w których te dane się pojawiają. Kopia może mieć formę np. zestawienia danych w PDF/CSV, wydruku z systemu czy tabeli zbierającej dane z kilku rejestrów. Kluczowe jest to, żeby osoba dostała swoje dane, a nie cały firmowy „archiwum X”.
Pełne treści maili, całe raporty czy notatki służbowe zwykle nie muszą (a czasem nie mogą) być ujawniane, jeśli zawierają dane innych osób albo informacje chronione tajemnicą. W takich dokumentach należy albo wyodrębnić dane wnioskodawcy, albo przekazać je w formie wypisu, streszczenia czy po anonimizacji pozostałych treści.
Jakie informacje administrator musi podać w odpowiedzi na wniosek o dostęp do danych?
Administrator musi przekazać dwie rzeczy: informacje o przetwarzaniu oraz kopię danych. Obowiązkowy zakres informacji obejmuje w szczególności:
potwierdzenie, czy dane są przetwarzane,
cele przetwarzania i kategorie danych,
odbiorców lub kategorie odbiorców danych,
okres przechowywania lub kryteria jego ustalenia,
informacje o prawach osoby (sprostowanie, usunięcie, sprzeciw itd.),
źródło danych, jeśli nie zebrano ich bezpośrednio od osoby,
informacje o zautomatyzowanym podejmowaniu decyzji i profilowaniu – jeśli występuje.
Te informacje trzeba odnieść konkretnie do danej osoby, a nie kopiować starej, ogólnej klauzuli informacyjnej. W praktyce dobra odpowiedź pozwala wnioskodawcy zrozumieć, jakie jego dane są u administratora, po co, jak długo i komu są ujawniane.
Czy zwykłe pytanie klienta, np. „kiedy dostanę przesyłkę?”, to już wniosek z art. 15 RODO?
Nie. Pytania typowo „obsługowe”, takie jak: „kiedy będzie przesyłka?” czy „proszę zmienić mój adres e‑mail”, co do zasady nie są wnioskami o dostęp do danych. To odpowiednio obsługa klienta albo realizacja innego prawa, np. sprostowania danych.
Sytuacja zmienia się, gdy w jednej wiadomości pojawia się np. „proszę o usunięcie moich danych, a wcześniej przesłać mi kopię wszystkiego, co o mnie macie”. Wtedy mamy dwa odrębne żądania: dostęp do danych (art. 15) i usunięcie (art. 17) – i obie części należy obsłużyć, w odpowiedniej kolejności.
W jakiej formie można przekazać kopię danych osobowych w odpowiedzi na wniosek?
RODO nie narzuca jednego formatu, ale wymaga, by dane były przekazane w sposób zrozumiały i dostępny dla osoby. W praktyce najczęściej stosuje się:
pliki PDF lub CSV z danymi wyeksportowanymi z systemu,
wydruki z systemu (np. z CRM, systemu kadrowego),
zestawienia tabelaryczne łączące dane z kilku systemów.
Dobrym zwyczajem jest krótkie wyjaśnienie, co przedstawia dany plik lub wydruk, zwłaszcza gdy format jest mało intuicyjny (np. techniczne logi). Oszczędza to obu stronom kilku rund maili z pytaniem „a co to za kolumna?”.
Co jeśli w dokumentach z danymi wnioskodawcy są też dane innych osób?
W takiej sytuacji administrator musi pogodzić prawo dostępu wnioskodawcy z ochroną praw i wolności innych osób. Zwykle robi się to przez:
anonimizację danych innych osób (np. zaczernienie nazwisk, usunięcie adresów),
przygotowanie wypisu lub streszczenia dokumentu, który zawiera tylko dane wnioskodawcy,
przekazanie samych danych wnioskodawcy w odseparowanej formie, bez reszty treści.
Przykładowo, w zgłoszeniu reklamacyjnym pracownika mogą być także dane przełożonych i świadków. Zamiast wysyłać całą notatkę, administrator może przekazać wyciąg z informacjami dotyczącymi samego wnioskodawcy, a pozostałe elementy zanonimizować. Dzięki temu wilk (RODO) jest syty i owca (pozostali uczestnicy sprawy) cała.
