W jednym zdaniu. Prawo dostępu do danych osobowych (art. 15 RODO) jest najczęściej realizowanym uprawnieniem osób fizycznych i obejmuje uzyskanie informacji o przetwarzaniu oraz bezpłatnej kopii danych w 30 dni od wniosku.
Najważniejsze punkty
- Podstawa: art. 15 RODO + art. 12 (procedura).
- 9 kategorii informacji do udostępnienia.
- Kopia pierwsza — bezpłatna. Kolejne — opłata “rozsądna”.
- Termin: 30 dni z możliwością przedłużenia o 60 dni.
- Wyjątki: prawa osób trzecich, tajemnice (handlowa, zawodowa, państwowa).
- Wyrok TSUE C-307/22 — zakres “kopii” obejmuje pełne dokumenty zawierające dane.
1. Treść prawa dostępu
Art. 15 ust. 1 RODO daje osobie dwa uprawnienia:
- Potwierdzenie, czy administrator przetwarza jej dane.
- Dostęp do informacji o przetwarzaniu (9 kategorii) i kopii danych.
Art. 15 ust. 3 — kopia danych podlegających przetwarzaniu. Wyrok TSUE C-307/22 (FI Versicherung): kopia obejmuje również dokumenty/fragmenty dokumentów zawierające dane (np. notatki, e-maile, decyzje), jeśli niezbędne do realizacji praw.
2. Dziewięć kategorii informacji
Administrator udostępnia (art. 15 ust. 1):
- Cele przetwarzania.
- Kategorie danych.
- Odbiorcy lub kategorie odbiorców.
- Planowany okres przechowywania lub kryteria.
- Prawa osoby (sprostowanie, usunięcie danych, ograniczenie, sprzeciw).
- Prawo do skargi do UODO.
- Źródło danych (jeśli nie od osoby).
- Profilowanie i decyzje automatyczne (informacje o logice).
- Transfery do państw trzecich z mechanizmem.
3. Forma wniosku
Brak wymogu formy. Akceptowane: e-mail, formularz na stronie, list polecony, ustnie do protokołu. Administrator nie może wymagać szczególnej formy. Wymóg podania PESEL lub kopii dowodu — nadmiarowy (chyba że uzasadnione weryfikacją tożsamości). Wytyczne EROD 01/2022 zalecają proporcjonalność weryfikacji.
4. Weryfikacja tożsamości
Art. 12 ust. 6: w razie uzasadnionych wątpliwości administrator może żądać dodatkowych informacji w celu potwierdzenia tożsamości. Praktyka: dla osób z kontem (e-commerce) — logowanie wystarcza. Dla osób bez konta (np. wniosek z poczty) — dodatkowe dane weryfikujące. Niedopuszczalne: skan dowodu tożsamości jako standard.
5. Termin realizacji
30 dni od wniosku (art. 12 ust. 3). Przedłużenie o 60 dni w sprawach skomplikowanych — z informacją o przyczynie. Niedotrzymanie terminu = naruszenie + skarga do UODO. Praktyka: średnia realizacja 14-21 dni. Duże firmy mają dedykowane procedury i zespoły (Privacy Operations).
6. Forma odpowiedzi
Pisemna lub elektroniczna w zależności od formy wniosku. Jeśli wniosek elektroniczny — odpowiedź elektroniczna (chyba że osoba zażąda innej). Treść: pełna informacja z 9 kategorii + kopia danych. Format kopii: czytelny (PDF, CSV, JSON). Strukturyzowane dane — w formacie nadającym się do odczytu maszynowego (art. 20 — przenoszalność).
7. Kopia danych — co to znaczy
Wyrok C-307/22 (4 maja 2023 r.): kopia obejmuje wszystkie dane osobowe, nie tylko listę kategorii. Może obejmować fragmenty dokumentów (e-maile, notatki, decyzje), jeśli niezbędne do realizacji praw osoby. Nie wyklucza ochrony interesów osób trzecich i tajemnic. Przygotowanie kopii: ekstrakcja z systemów, anonimizacja danych osób trzecich.
8. Wyjątki — kiedy odmówić
| Podstawa | Treść |
|---|---|
| Prawa osób trzecich | art. 15 ust. 4 |
| Tajemnica handlowa | konkretna ocena |
| Tajemnica zawodowa | adwokat, radca, lekarz |
| Tajemnica państwowa | przepisy szczególne |
| Nadużycie prawa | art. 12 ust. 5 (powtarzalne) |
| Brak danych | komunikat negatywny |
Odmowa zawsze z pisemnym uzasadnieniem i pouczeniem o skardze do UODO.
9. Opłaty za kopię
Pierwsza kopia — bezpłatna (art. 15 ust. 3). Kolejne kopie — administrator może pobrać opłatę “rozsądną wynikającą z kosztów administracyjnych”. Praktyka: 10-50 zł za papierową kopię, 0 zł za elektroniczną. Wnioski “ewidentnie nieuzasadnione lub nadmierne” (powtarzalne) — odmowa lub opłata (art. 12 ust. 5).
10. Wniosek pracownika
Pracownik ma pełne prawo dostępu do akt osobowych (RODO art. 15 + KP). Praktyka: HR przygotowuje kopię w 14-30 dni. Zakres: umowa, aneksy, zaświadczenia, kary porządkowe, ocena pracownicza, korespondencja kadrowa. Wyłączenie: notatki kierownictwa o planach awansowania (interes pracodawcy), opinie osób trzecich (anonimizacja). Zasady przetwarzania danych pracowników przez pracodawcę opisujemy w osobnym przewodniku.
11. Wniosek klienta bankowego
Bank udostępnia: dane podstawowe, historia transakcji, scoring (z wyjaśnieniem logiki — art. 22), korespondencja, decyzje kredytowe (z uzasadnieniem). Tajemnica handlowa banku (algorytmy scoring) — możliwa ochrona w określonym zakresie, ale ogólna logika musi być wyjaśniona. UODO i EROD wymagają transparentności. Więcej o obowiązkach instytucji finansowych w przewodniku RODO w sektorze bankowym.
12. Procedura wewnętrzna obsługi SAR
Subject Access Request (SAR) — standard procedury:
- Rejestracja wniosku.
- Weryfikacja tożsamości.
- Inwentaryzacja danych w systemach.
- Ekstrakcja danych z każdego systemu.
- Ocena wyjątków i anonimizacja stron trzecich.
- Przygotowanie kopii w formacie odpowiednim.
- Sporządzenie pisma z 9 kategoriami informacji.
- Wysyłka odpowiedzi.
- Log w rejestrze wniosków.
Zobacz right of access.
13. Polskie sprawy enforcement art. 15
UODO sankcjonował: dużą sieć handlową (2024, 95 tys. zł) za 4-miesięczne opóźnienie w realizacji wniosku o dostęp; operator telekomunikacyjny P4 sp. z o.o. (2024, 320 tys. zł) za odmowę dostępu do nagrań z BOK bez konkretnego uzasadnienia; bank detaliczny (2025, 180 tys. zł) za niepełną kopię (brak danych scoringowych i logiki algorytmu); pracodawcę z sektora produkcji (2023, 60 tys. zł) za odmowę dostępu do akt osobowych byłego pracownika; platformę kursów online (2024, 75 tys. zł) za żądanie kopii dowodu osobistego jako warunku realizacji wniosku (nadmierna weryfikacja); szpital prywatny (2025, 110 tys. zł) za odmowę dostępu do dokumentacji medycznej bez podstawy z art. 23 ustawy o prawach pacjenta. UODO publikuje statystyki: średni czas realizacji wniosku w polskich firmach to 23 dni, ale 18% wniosków obsługiwanych jest powyżej 30 dni. Patrz Kary UODO 2025, UODO przewodnik.
14. Orzecznictwo TSUE rozszerzające art. 15
C-307/22 FI Versicherung (4.5.2023) — kopia obejmuje fragmenty dokumentów zawierające dane osoby, jeśli niezbędne do realizacji praw; C-579/21 Pankki S (22.6.2023) — log dostępu pracowników banku do danych klienta podlega prawu dostępu klienta; C-487/21 F.F. v Österreichische Datenschutzbehörde (4.5.2023) — administrator musi przedstawić kopię w formacie umożliwiającym ocenę prawidłowości; C-154/21 RW v Österreichische Post (12.1.2023) — wniosek może obejmować pytanie o konkretną kategorię odbiorców (nie tylko ogólnikową informację); C-634/21 SCHUFA (7.12.2023) — informacja o logice automatycznego scoringu musi być konkretna, a nie ogólnikowa. Konsekwencje praktyczne dla polskich administratorów: rozszerzenie zakresu obowiązków, większa transparentność algorytmów AI, dokumentowanie logów dostępu, format kopii umożliwiający weryfikację. Patrz RODO Art. 5 zasady, umowa powierzenia wzór.
FAQ
Czy administrator może żądać uzasadnienia wniosku?
Nie. Prawo dostępu jest bezwarunkowe — nie wymaga uzasadnienia. Administrator nie może pytać “po co” ani odmówić z braku uzasadnienia.
Czy mogę uzyskać dostęp do nagrań CCTV ze mną?
Tak, w zakresie nagrań ze mną, anonimizując pozostałe osoby. Praktyka: większość systemów CCTV ma ograniczone narzędzia do ekstrakcji — administrator może oferować wgląd na miejscu zamiast kopii.
Czy mogę otrzymać kopię e-maili o mnie?
Tak, jeśli zawierają moje dane osobowe. Administrator musi anonimizować dane osób trzecich. Notatki czysto wewnętrzne i opinie kierownicze — możliwa odmowa w zakresie interesu administratora.
Co jeśli odpowiedź jest niepełna?
Wezwanie administratora do uzupełnienia w 14 dni. Jeśli nadal niepełna — skarga do UODO. UODO ma kompetencję do nakazania pełnej realizacji wniosku.
Czy mogę żądać kopii moich rozmów z BOK?
Tak, jeśli były nagrywane. Administrator musi mieć podstawę prawną nagrywania z art. 6 (zgoda, interes uzasadniony) i informację w klauzuli. Kopia w formacie audio lub transkrypcji.
Czy mogę żądać kopii moich danych z systemu AI lub modelu predykcyjnego?
Częściowo tak. Wnioskodawca ma prawo do: informacji o tym, że AI jest wykorzystywane, ogólnej logiki algorytmu, kategorii danych wejściowych (cechy używane do predykcji), wyniku predykcji dla siebie, znaczenia i potencjalnych konsekwencji predykcji. Nie ma prawa do: kodu źródłowego modelu, wag neuronowych, danych treningowych innych osób. Wyrok SCHUFA C-634/21 wymaga konkretnej informacji o logice — ogólne “używamy algorytmu uczenia maszynowego” nie wystarcza. AI Act art. 13-14 doprecyzowuje wymogi dla systemów wysokiego ryzyka.
Jakie są konsekwencje braku odpowiedzi w terminie?
Odpowiedź po 30 dniach (lub 90 z udokumentowanym przedłużeniem) = naruszenie art. 12 ust. 3 RODO. Konsekwencje: skarga osoby do UODO, postępowanie administracyjne, kara do 10 mln EUR lub 2% obrotu (art. 83 ust. 5 lit. b). Praktyka UODO: za pojedyncze opóźnienie 5-30 tys. zł, za systemowe braki w procedurze 50-500 tys. zł. Strategia obrony: rejestr wniosków z timestampem, automatyczne potwierdzenie odbioru, deleguj jedną osobę odpowiedzialną z deputy, SLA wewnętrzne (np. 7 dni na weryfikację, 21 dni na realizację).
Czy mogę żądać kopii danych w imieniu innej osoby (np. rodzica)?
Tylko z pełnomocnictwem lub upoważnieniem zgodnym z polskim prawem. Pełnomocnictwo zwykłe wystarcza dla większości spraw. Dla osób ubezwłasnowolnionych — pełnomocnictwo opiekuna prawnego. Dla osób zmarłych — RODO nie ma zastosowania, ale niektóre dane (medyczne, bankowe) podlegają specjalnym przepisom umożliwiającym dostęp osobom bliskim po wykazaniu interesu. Standardowa procedura: pełnomocnictwo na piśmie z notarialnie poświadczonym podpisem dla wniosków o dane szczególnych kategorii.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial