Ochrona Danych

Prawo dostępu (art. 15 RODO): wniosek i procedura

Prawo dostępu do danych (art. 15 RODO): zakres, kopia, termin 30 dni, odmowa, kary UODO. Wzór wniosku 2026.

Also available in:Italiano

W jednym zdaniu. Prawo dostępu do danych osobowych (art. 15 RODO) jest najczęściej realizowanym uprawnieniem osób fizycznych i obejmuje uzyskanie informacji o przetwarzaniu oraz bezpłatnej kopii danych w 30 dni od wniosku.

Najważniejsze punkty

  • Podstawa: art. 15 RODO + art. 12 (procedura).
  • 9 kategorii informacji do udostępnienia.
  • Kopia pierwsza — bezpłatna. Kolejne — opłata “rozsądna”.
  • Termin: 30 dni z możliwością przedłużenia o 60 dni.
  • Wyjątki: prawa osób trzecich, tajemnice (handlowa, zawodowa, państwowa).
  • Wyrok TSUE C-307/22 — zakres “kopii” obejmuje pełne dokumenty zawierające dane.

1. Treść prawa dostępu

Art. 15 ust. 1 RODO daje osobie dwa uprawnienia:

  • Potwierdzenie, czy administrator przetwarza jej dane.
  • Dostęp do informacji o przetwarzaniu (9 kategorii) i kopii danych.

Art. 15 ust. 3 — kopia danych podlegających przetwarzaniu. Wyrok TSUE C-307/22 (FI Versicherung): kopia obejmuje również dokumenty/fragmenty dokumentów zawierające dane (np. notatki, e-maile, decyzje), jeśli niezbędne do realizacji praw.

2. Dziewięć kategorii informacji

Administrator udostępnia (art. 15 ust. 1):

  • Cele przetwarzania.
  • Kategorie danych.
  • Odbiorcy lub kategorie odbiorców.
  • Planowany okres przechowywania lub kryteria.
  • Prawa osoby (sprostowanie, usunięcie danych, ograniczenie, sprzeciw).
  • Prawo do skargi do UODO.
  • Źródło danych (jeśli nie od osoby).
  • Profilowanie i decyzje automatyczne (informacje o logice).
  • Transfery do państw trzecich z mechanizmem.

3. Forma wniosku

Brak wymogu formy. Akceptowane: e-mail, formularz na stronie, list polecony, ustnie do protokołu. Administrator nie może wymagać szczególnej formy. Wymóg podania PESEL lub kopii dowodu — nadmiarowy (chyba że uzasadnione weryfikacją tożsamości). Wytyczne EROD 01/2022 zalecają proporcjonalność weryfikacji.

4. Weryfikacja tożsamości

Art. 12 ust. 6: w razie uzasadnionych wątpliwości administrator może żądać dodatkowych informacji w celu potwierdzenia tożsamości. Praktyka: dla osób z kontem (e-commerce) — logowanie wystarcza. Dla osób bez konta (np. wniosek z poczty) — dodatkowe dane weryfikujące. Niedopuszczalne: skan dowodu tożsamości jako standard.

5. Termin realizacji

30 dni od wniosku (art. 12 ust. 3). Przedłużenie o 60 dni w sprawach skomplikowanych — z informacją o przyczynie. Niedotrzymanie terminu = naruszenie + skarga do UODO. Praktyka: średnia realizacja 14-21 dni. Duże firmy mają dedykowane procedury i zespoły (Privacy Operations).

6. Forma odpowiedzi

Pisemna lub elektroniczna w zależności od formy wniosku. Jeśli wniosek elektroniczny — odpowiedź elektroniczna (chyba że osoba zażąda innej). Treść: pełna informacja z 9 kategorii + kopia danych. Format kopii: czytelny (PDF, CSV, JSON). Strukturyzowane dane — w formacie nadającym się do odczytu maszynowego (art. 20 — przenoszalność).

7. Kopia danych — co to znaczy

Wyrok C-307/22 (4 maja 2023 r.): kopia obejmuje wszystkie dane osobowe, nie tylko listę kategorii. Może obejmować fragmenty dokumentów (e-maile, notatki, decyzje), jeśli niezbędne do realizacji praw osoby. Nie wyklucza ochrony interesów osób trzecich i tajemnic. Przygotowanie kopii: ekstrakcja z systemów, anonimizacja danych osób trzecich.

8. Wyjątki — kiedy odmówić

Podstawa Treść
Prawa osób trzecich art. 15 ust. 4
Tajemnica handlowa konkretna ocena
Tajemnica zawodowa adwokat, radca, lekarz
Tajemnica państwowa przepisy szczególne
Nadużycie prawa art. 12 ust. 5 (powtarzalne)
Brak danych komunikat negatywny

Odmowa zawsze z pisemnym uzasadnieniem i pouczeniem o skardze do UODO.

9. Opłaty za kopię

Pierwsza kopia — bezpłatna (art. 15 ust. 3). Kolejne kopie — administrator może pobrać opłatę “rozsądną wynikającą z kosztów administracyjnych”. Praktyka: 10-50 zł za papierową kopię, 0 zł za elektroniczną. Wnioski “ewidentnie nieuzasadnione lub nadmierne” (powtarzalne) — odmowa lub opłata (art. 12 ust. 5).

10. Wniosek pracownika

Pracownik ma pełne prawo dostępu do akt osobowych (RODO art. 15 + KP). Praktyka: HR przygotowuje kopię w 14-30 dni. Zakres: umowa, aneksy, zaświadczenia, kary porządkowe, ocena pracownicza, korespondencja kadrowa. Wyłączenie: notatki kierownictwa o planach awansowania (interes pracodawcy), opinie osób trzecich (anonimizacja). Zasady przetwarzania danych pracowników przez pracodawcę opisujemy w osobnym przewodniku.

11. Wniosek klienta bankowego

Bank udostępnia: dane podstawowe, historia transakcji, scoring (z wyjaśnieniem logiki — art. 22), korespondencja, decyzje kredytowe (z uzasadnieniem). Tajemnica handlowa banku (algorytmy scoring) — możliwa ochrona w określonym zakresie, ale ogólna logika musi być wyjaśniona. UODO i EROD wymagają transparentności. Więcej o obowiązkach instytucji finansowych w przewodniku RODO w sektorze bankowym.

12. Procedura wewnętrzna obsługi SAR

Subject Access Request (SAR) — standard procedury:

  1. Rejestracja wniosku.
  2. Weryfikacja tożsamości.
  3. Inwentaryzacja danych w systemach.
  4. Ekstrakcja danych z każdego systemu.
  5. Ocena wyjątków i anonimizacja stron trzecich.
  6. Przygotowanie kopii w formacie odpowiednim.
  7. Sporządzenie pisma z 9 kategoriami informacji.
  8. Wysyłka odpowiedzi.
  9. Log w rejestrze wniosków.

Zobacz right of access.

13. Polskie sprawy enforcement art. 15

UODO sankcjonował: dużą sieć handlową (2024, 95 tys. zł) za 4-miesięczne opóźnienie w realizacji wniosku o dostęp; operator telekomunikacyjny P4 sp. z o.o. (2024, 320 tys. zł) za odmowę dostępu do nagrań z BOK bez konkretnego uzasadnienia; bank detaliczny (2025, 180 tys. zł) za niepełną kopię (brak danych scoringowych i logiki algorytmu); pracodawcę z sektora produkcji (2023, 60 tys. zł) za odmowę dostępu do akt osobowych byłego pracownika; platformę kursów online (2024, 75 tys. zł) za żądanie kopii dowodu osobistego jako warunku realizacji wniosku (nadmierna weryfikacja); szpital prywatny (2025, 110 tys. zł) za odmowę dostępu do dokumentacji medycznej bez podstawy z art. 23 ustawy o prawach pacjenta. UODO publikuje statystyki: średni czas realizacji wniosku w polskich firmach to 23 dni, ale 18% wniosków obsługiwanych jest powyżej 30 dni. Patrz Kary UODO 2025, UODO przewodnik.

14. Orzecznictwo TSUE rozszerzające art. 15

C-307/22 FI Versicherung (4.5.2023) — kopia obejmuje fragmenty dokumentów zawierające dane osoby, jeśli niezbędne do realizacji praw; C-579/21 Pankki S (22.6.2023) — log dostępu pracowników banku do danych klienta podlega prawu dostępu klienta; C-487/21 F.F. v Österreichische Datenschutzbehörde (4.5.2023) — administrator musi przedstawić kopię w formacie umożliwiającym ocenę prawidłowości; C-154/21 RW v Österreichische Post (12.1.2023) — wniosek może obejmować pytanie o konkretną kategorię odbiorców (nie tylko ogólnikową informację); C-634/21 SCHUFA (7.12.2023) — informacja o logice automatycznego scoringu musi być konkretna, a nie ogólnikowa. Konsekwencje praktyczne dla polskich administratorów: rozszerzenie zakresu obowiązków, większa transparentność algorytmów AI, dokumentowanie logów dostępu, format kopii umożliwiający weryfikację. Patrz RODO Art. 5 zasady, umowa powierzenia wzór.

FAQ

Czy administrator może żądać uzasadnienia wniosku?

Nie. Prawo dostępu jest bezwarunkowe — nie wymaga uzasadnienia. Administrator nie może pytać “po co” ani odmówić z braku uzasadnienia.

Czy mogę uzyskać dostęp do nagrań CCTV ze mną?

Tak, w zakresie nagrań ze mną, anonimizując pozostałe osoby. Praktyka: większość systemów CCTV ma ograniczone narzędzia do ekstrakcji — administrator może oferować wgląd na miejscu zamiast kopii.

Czy mogę otrzymać kopię e-maili o mnie?

Tak, jeśli zawierają moje dane osobowe. Administrator musi anonimizować dane osób trzecich. Notatki czysto wewnętrzne i opinie kierownicze — możliwa odmowa w zakresie interesu administratora.

Co jeśli odpowiedź jest niepełna?

Wezwanie administratora do uzupełnienia w 14 dni. Jeśli nadal niepełna — skarga do UODO. UODO ma kompetencję do nakazania pełnej realizacji wniosku.

Czy mogę żądać kopii moich rozmów z BOK?

Tak, jeśli były nagrywane. Administrator musi mieć podstawę prawną nagrywania z art. 6 (zgoda, interes uzasadniony) i informację w klauzuli. Kopia w formacie audio lub transkrypcji.

Czy mogę żądać kopii moich danych z systemu AI lub modelu predykcyjnego?

Częściowo tak. Wnioskodawca ma prawo do: informacji o tym, że AI jest wykorzystywane, ogólnej logiki algorytmu, kategorii danych wejściowych (cechy używane do predykcji), wyniku predykcji dla siebie, znaczenia i potencjalnych konsekwencji predykcji. Nie ma prawa do: kodu źródłowego modelu, wag neuronowych, danych treningowych innych osób. Wyrok SCHUFA C-634/21 wymaga konkretnej informacji o logice — ogólne “używamy algorytmu uczenia maszynowego” nie wystarcza. AI Act art. 13-14 doprecyzowuje wymogi dla systemów wysokiego ryzyka.

Jakie są konsekwencje braku odpowiedzi w terminie?

Odpowiedź po 30 dniach (lub 90 z udokumentowanym przedłużeniem) = naruszenie art. 12 ust. 3 RODO. Konsekwencje: skarga osoby do UODO, postępowanie administracyjne, kara do 10 mln EUR lub 2% obrotu (art. 83 ust. 5 lit. b). Praktyka UODO: za pojedyncze opóźnienie 5-30 tys. zł, za systemowe braki w procedurze 50-500 tys. zł. Strategia obrony: rejestr wniosków z timestampem, automatyczne potwierdzenie odbioru, deleguj jedną osobę odpowiedzialną z deputy, SLA wewnętrzne (np. 7 dni na weryfikację, 21 dni na realizację).

Czy mogę żądać kopii danych w imieniu innej osoby (np. rodzica)?

Tylko z pełnomocnictwem lub upoważnieniem zgodnym z polskim prawem. Pełnomocnictwo zwykłe wystarcza dla większości spraw. Dla osób ubezwłasnowolnionych — pełnomocnictwo opiekuna prawnego. Dla osób zmarłych — RODO nie ma zastosowania, ale niektóre dane (medyczne, bankowe) podlegają specjalnym przepisom umożliwiającym dostęp osobom bliskim po wykazaniu interesu. Standardowa procedura: pełnomocnictwo na piśmie z notarialnie poświadczonym podpisem dla wniosków o dane szczególnych kategorii.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →