RODO

Procedura RODO dotycząca praw osób których dane są przetwarzane

Procedura realizacji praw podmiotów danych: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia i sprzeciwu. Zawiera terminy i wzory odpowiedzi.

DOCX aktualizacja: 17 maja 2026 Wymaga konta
Dla kogo IOD, działy prawne, HR, zarząd
Zakres RODO

INSTRUKCJA WYPEŁNIENIA

Do czego służy: To wewnętrzna procedura organizacji opisująca, jak rozpatrywać wnioski osób korzystających ze swoich praw z RODO (dostęp do danych, kopia danych, sprostowanie, usunięcie, ograniczenie, sprzeciw, przenoszenie, cofnięcie zgody, niepodleganie zautomatyzowanej decyzji). Określa terminy, sposób weryfikacji tożsamości wnioskodawcy, kiedy można odmówić lub pobrać opłatę oraz kto odpowiada za realizację.

Kiedy się go używa: Na co dzień przy obsłudze wniosków osób, których dane dotyczą. Dokument wdraża się jako część dokumentacji RODO. Kluczowy termin: odpowiedź bez zbędnej zwłoki, nie później niż w ciągu miesiąca od otrzymania wniosku (z możliwością przedłużenia o kolejne dwa miesiące - art. 12 ust. 3 RODO).

Podstawa prawna: art. 12-22 RODO oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych. Stan prawny: 2025/2026 r.

Jak wypełnić - krok po kroku:

  1. “Podmiot” - w całym dokumencie oznacza Twoją organizację. Możesz raz zdefiniować na początku: Podmiot oznacza [ nazwa, adres, NIP ].
  2. Role “Specjalista RODO” i “IOD” - jeśli organizacja nie ma tych ról, wskaż, kto realnie wykonuje te zadania (np. wyznaczony pracownik, właściciel firmy). Procedura zakłada akceptację IOD w niektórych decyzjach - jeśli nie ma IOD, decyzje podejmuje kierownictwo lub osoba wyznaczona.
  3. Sekcja “Hasło” (pkt 14) - we wzorze źródłowym była mowa o haśle 12-znakowym; pozostaw jako wewnętrzny standard bezpieczeństwa, możesz dostosować długość/zasady do swojej polityki haseł.
  4. Załącznik nr 1 (pkt 29) - to wzór odpowiedzi na wnioski; dołącz go do Procedury.
  5. Data obowiązywania (ostatni punkt) - wpisz datę wejścia Procedury w życie.
  6. Formularz wniosku (pkt 18) - opracuj i opublikuj wzór formularza na stronie internetowej; w procedurze pozostaw odwołanie.

Na co uważać / typowe błędy:

  • Termin miesiąca liczy się od otrzymania wniosku, nie od potwierdzenia tożsamości - nie zwlekaj z weryfikacją.
  • Wniosek można złożyć w dowolnej formie (ustnie, mailem, pismem) - każda osoba w organizacji ma obowiązek przyjąć wniosek, nawet jeśli nie złożono go “dedykowaną ścieżką”.
  • Realizacja praw jest co do zasady bezpłatna; opłatę lub odmowę stosuje się wyjątkowo (żądania ewidentnie nieuzasadnione lub nadmierne) i trzeba to uzasadnić.
  • Przy przekazywaniu danych (kopia, przeniesienie) zadbaj o bezpieczeństwo przesyłki (szyfrowanie, hasło przekazane inną drogą).
  • Odmowa realizacji prawa musi zawierać pouczenie o skardze do PUODO.
  • Nie zostawiaj pustych pól - uzupełnij albo usuń.

WZÓR

Procedura RODO dotycząca realizacji praw osób, których dane są przetwarzane

Podmiot: [ ……………….. ] (wpisz: pełną nazwę organizacji, adres siedziby, NIP; dalej zwana “Podmiotem”)

  1. Podmiot informuje każdą osobę, której Dane Osobowe przetwarza, o prawach RODO opisanych w pkt 2.

  2. Każda osoba, której Dane Osobowe dotyczą, posiada następujące prawa:

  1. prawo do cofnięcia zgody - może cofnąć wyrażoną zgodę w każdym momencie i bez podawania przyczyny; cofnięcie nie wpływa na zgodność z prawem przetwarzania dokonanego przed cofnięciem (art. 7 RODO);

  2. prawo dostępu - może żądać potwierdzenia, czy jej dane są przetwarzane, a jeżeli tak - dostępu do nich, ich kopii oraz informacji o celach przetwarzania, kategoriach danych, odbiorcach lub kategoriach odbiorców, okresie przechowywania lub kryteriach jego ustalania, przysługujących prawach, możliwości skargi do organu nadzorczego, źródle danych (jeżeli nie zebrano ich od osoby) oraz o zautomatyzowanym podejmowaniu decyzji i profilowaniu (art. 15 RODO);

  3. prawo do sprostowania - może żądać niezwłocznego sprostowania danych nieprawidłowych, nieaktualnych lub uzupełnienia niekompletnych (art. 16 RODO);

  4. prawo do usunięcia danych (do bycia zapomnianym) - może żądać usunięcia danych; jeżeli osoba wyraziła zgodę na przetwarzanie, żądanie usunięcia wywołuje skutek taki jak cofnięcie zgody (art. 17 RODO);

  5. prawo do ograniczenia przetwarzania - może żądać ograniczenia przetwarzania, tj. zaprzestania przetwarzania z wyjątkiem przechowywania (art. 18 RODO), gdy:

  1. kwestionuje prawidłowość danych - na okres weryfikacji ich prawidłowości,

  2. kwestionuje zgodność z prawem przetwarzania,

  3. Podmiot nie potrzebuje już danych, ale są one potrzebne osobie do ustalenia, dochodzenia lub obrony roszczeń,

  4. wniosła sprzeciw wobec przetwarzania - do czasu rozstrzygnięcia jego zasadności;

  1. prawo do wniesienia sprzeciwu - może wnieść sprzeciw wobec przetwarzania danych w prawnie uzasadnionych celach Podmiotu, w tym wobec profilowania (art. 21 RODO);

  2. prawo do przenoszenia danych - może otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane, które dostarczyła Podmiotowi, lub żądać przesłania ich wskazanemu administratorowi, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany (art. 20 RODO);

  3. prawo do niepodlegania zautomatyzowanej decyzji - nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołującej skutki prawne lub podobnie istotnie wpływającej na osobę (art. 22 RODO).

  1. Realizację praw osób koordynuje Specjalista RODO, kierując poszczególne wnioski do odpowiednich kierowników (w szczególności IT) celem przygotowania materiału do odpowiedzi lub realizacji prawa.

  2. Warunki realizacji oraz wyłączenia poszczególnych praw opisuje poniższa tabela:

Lp. Prawo (podstawa) Warunki realizacji Wyłączenia od realizacji
1 Dostęp do informacji o przetwarzaniu (art. 15 ust. 1 RODO) Gdy zapytanie dotyczy: potwierdzenia przetwarzania, celów, kategorii danych, odbiorców (w tym w państwach trzecich), okresów retencji, informacji o prawach i o skardze do organu nadzorczego, źródła danych, zautomatyzowanego podejmowania decyzji, stosowanych zabezpieczeń przy transferze 1) wniosek dotyczy informacji nieobjętych wykazem; 2) ujawnienie informacji wpłynęłoby negatywnie na prawa lub wolności innych osób
2 Otrzymanie kopii Danych Osobowych (art. 15 ust. 3 RODO) Kopia danych podlegających przetwarzaniu (pierwsza bezpłatna) Druga i kolejna kopia: 1) Podmiot ustalił opłatę i wezwał do jej uiszczenia, lecz osoba jej nie uiściła; 2) udostępnienie kopii wpłynęłoby negatywnie na prawa i wolności innych
3 Sprostowanie (art. 16 RODO) 1) osoba podaje dane inne niż posiadane przez Podmiot; 2) oświadcza, że dane są nieaktualne lub nieprawdziwe; 3) oświadcza, że dane są niekompletne, a Podmiot ma cel i podstawę do przetwarzania danych dodatkowych 1) osoba podaje zakres danych nieprzetwarzany przez Podmiot i Podmiot nie ma celu ani podstawy do ich przetwarzania; 2) do zmiany niezbędne jest oświadczenie, którego osoba - mimo poinformowania - nie przedstawiła
4 Usunięcie / bycie zapomnianym (art. 17 RODO) 1) Podmiot nie ma już celu przetwarzania; 2) brak ważnej podstawy prawnej (np. cofnięto zgodę lub skutecznie wniesiono sprzeciw); 3) usunięcie nakazują przepisy; 4) przy danych upublicznionych - usunięcie linków i kopii 1) Podmiot ma nadal ważny cel i podstawę prawną; 2) przetwarzanie niezbędne do ustalenia, dochodzenia lub obrony roszczeń; 3) niezbędne do korzystania z prawa do wolności wypowiedzi i informacji; 4) usunięcie wszystkich linków niemożliwe mimo rozsądnych działań
5 Ograniczenie przetwarzania (art. 18 RODO) 1) osoba kwestionuje prawidłowość danych - na okres weryfikacji; 2) przetwarzanie niezgodne z prawem, a osoba sprzeciwia się usunięciu, żądając ograniczenia; 3) Podmiot nie potrzebuje już danych, ale są potrzebne osobie do roszczeń; 4) wniesiono sprzeciw - do czasu rozstrzygnięcia Jeżeli ograniczenie wnioskowane jest wraz z usunięciem, sprzeciwem lub cofnięciem zgody, a weryfikacja trwa krócej niż 5 dni - można od razu zrealizować wniosek główny
6 Powiadomienie o sprostowaniu/usunięciu/ograniczeniu (art. 19 RODO) Poinformowanie odbiorców o sprostowaniu, usunięciu lub ograniczeniu ujawnionych danych; poinformowanie osoby o odbiorcach na jej wniosek Jeżeli poinformowanie odbiorców jest niemożliwe lub wymaga niewspółmiernie dużego wysiłku
7 Przenoszenie danych (art. 20 RODO) Łącznie: 1) dane przetwarzane na podstawie zgody lub umowy; 2) przetwarzane w sposób zautomatyzowany; 3) dostarczone przez osobę lub wynikające z jej aktywności 1) niespełnienie któregokolwiek warunku (dane wytworzone przez Podmiot, przetwarzane na podstawie uzasadnionego interesu lub przepisów, nieprzetwarzane elektronicznie); 2) negatywny wpływ na prawa i wolności innych; 3) brak możliwości bezpiecznego przekazania danych wskazanemu administratorowi - prawo realizuje się wobec osoby; 4) wskazany administrator odmawia przyjęcia danych - prawo realizuje się wobec osoby
8 Sprzeciw (art. 21 RODO) 1) dane przetwarzane na podstawie uzasadnionego interesu w celach marketingowych; 2) dane przetwarzane na podstawie uzasadnionego interesu w innym celu, osoba wskazała szczególną sytuację, a z ponownej oceny wynika, że interesy Podmiotu nie są nadrzędne Jeżeli dane przetwarzane są w celu innym niż marketing i Podmiot podtrzymuje ocenę, że jego uzasadniony interes ma pierwszeństwo przed prawami i wolnościami osoby
9 Niepodleganie zautomatyzowanej decyzji (art. 22 RODO) Decyzja łącznie: 1) podejmowana wyłącznie automatycznie (bez realnego udziału człowieka); 2) wywołuje skutki prawne lub podobnie istotnie wpływa na osobę 1) decyzja niezbędna do zawarcia lub wykonania umowy; 2) dozwolona prawem UE lub państwa członkowskiego przewidującym właściwe środki ochrony; 3) oparta na wyraźnej zgodzie osoby. Przy danych szczególnych kategorii wyłączenie tylko na podstawie wyraźnej zgody lub ważnego interesu publicznego

  1. Jeżeli Specjalista RODO ma wątpliwości co do zakresu realizacji wniosku, kieruje zapytanie do IOD.

  2. Na każdy wniosek udziela się odpowiedzi bez zbędnej zwłoki, nie później niż w ciągu miesiąca od jego otrzymania. Specjalista RODO może - po akceptacji IOD - przedłużyć ten termin, informując o tym osobę.

  3. Przedłużenie terminu może nastąpić maksymalnie o dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań złożonych przez tę osobę.

  4. W ciągu miesiąca od złożenia wniosku Specjalista RODO informuje osobę o: realizacji prawa albo odmowie realizacji wraz z przyczyną oraz pouczeniem o możliwości skargi do PUODO i podstawowymi danymi kontaktowymi PUODO, albo o przedłużeniu terminu wraz z przyczyną.

  5. Każdy wniosek interpretuje się zgodnie z rzeczywistym życzeniem osoby, niezależnie od jego literalnego brzmienia. W razie wątpliwości Specjalista RODO kontaktuje się z osobą celem ich wyjaśnienia.

  6. Każdy kontakt z osobą odbywa się zgodnie z zasadą przejrzystości i w celu ułatwienia realizacji jej praw.

  7. Kontakt odbywa się: na etapie wyjaśniania wniosku - najszybszym dostępnym sposobem; na etapie realizacji wniosku - pisemnie, chyba że osoba kontaktuje się elektronicznie i nie zastrzegła innej formy - wówczas elektronicznie.

  8. Przy realizacji praw wiążących się z ujawnieniem Danych Osobowych (w szczególności kopia i przeniesienie danych) Specjalista RODO zapewnia odpowiednie zabezpieczenie danych podczas przekazywania (tajemnica korespondencji, szyfrowanie danych lub nośnika).

  9. Jeżeli osoba kontaktuje się elektronicznie lub wnosi o odpowiedź mailową, Specjalista RODO zabezpiecza Dane Osobowe indywidualnym hasłem.

  10. Hasło stanowi co najmniej dwunastoznakowy ciąg i jest przekazywane osobie inną ścieżką komunikacji niż e-mail. (Długość i zasady tworzenia hasła można dostosować do polityki bezpieczeństwa organizacji.)

  11. W tym samym mailu można przekazać instrukcję konstrukcji hasła bez podawania samego hasła (np. że hasło to numer PESEL i drugie imię pisane wielką literą bez znaku rozdzielającego).

  12. Specjalista RODO, po akceptacji IOD, może nałożyć opłatę za realizację prawa, jeżeli:

  1. osoba złożyła drugi lub kolejny wniosek o kopię Danych Osobowych - w wysokości administracyjnych kosztów wydania kopii;

  2. żądanie jest ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na ustawiczny charakter - w wysokości administracyjnych kosztów obsługi żądania.

  1. Specjalista RODO, po akceptacji IOD, może odmówić realizacji prawa, jeżeli:

  1. wniosek przekracza zakres praw RODO zgodnie z tabelą powyżej;

  2. Podmiot nałożył opłatę i poinformował o tym osobę, lecz osoba jej nie uiściła;

  3. żądania są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na ustawiczny charakter.

  1. Specjalista RODO opracowuje aktualny wzór formularza wniosku o prawa RODO i zamieszcza go na stronie internetowej Podmiotu oraz w innych miejscach, w których osoby mogą oczekiwać jego otrzymania, wraz z instrukcją składania.

  2. Niezależnie od formularza i dedykowanej ścieżki, jeżeli osoba odmawia złożenia wniosku tą ścieżką, każda osoba upoważniona ma obowiązek przyjąć wniosek.

  3. Pracownik, któremu złożono wniosek, odnotowuje datę jego złożenia i przekazuje go kierownikowi. Jeżeli wniosek złożono ustnie (osobiście lub telefonicznie), pracownik odbiera imię i nazwisko oraz co najmniej jedną daną kontaktową (telefon, e-mail, adres) oraz treść żądania, utrwala te informacje i niezwłocznie przekazuje kierownikowi lub Specjaliście RODO.

  4. Kierownik, któremu przekazano wniosek, niezwłocznie przekazuje go Specjaliście RODO.

  5. Specjalista RODO ma obowiązek potwierdzić tożsamość osoby wnioskującej przed realizacją wniosku, z użyciem danych osobowych przetwarzanych przez Podmiot o tej osobie.

  6. Potwierdzenie tożsamości może być:

  1. uproszczone - potwierdzenie imienia i nazwiska osoby wnioskującej;

  2. pełne - potwierdzenie imienia i nazwiska oraz weryfikacja przez zadanie pytań z zakresu tego, kim osoba jest (np. PESEL, adres, e-mail kontaktowy) oraz co posiada (np. z jakich usług korzysta).

  1. Potwierdzenie uproszczone może być stosowane wobec wniosków o: prawo do bycia zapomnianym, cofnięcie zgody, sprzeciw, informację, ograniczenie przetwarzania.

  2. Potwierdzenie pełne jest obowiązkowe wobec wniosków o: dostęp do danych, otrzymanie kopii danych, przeniesienie danych, sprostowanie.

  3. Jeżeli prawo ma zostać zrealizowane przez wysłanie informacji lub danych na posiadany już wcześniej adres (tradycyjny lub elektroniczny) osoby, można ograniczyć się do potwierdzenia uproszczonego.

  4. Jeżeli osoba składa taki sam wniosek o to samo prawo przed upływem 6 miesięcy od rozpatrzenia poprzedniego, a okoliczności przetwarzania się nie zmieniły, Specjalista RODO może odmówić realizacji, informując o braku zmian, albo nałożyć rozsądną opłatę uwzględniającą koszty administracyjne.

  5. Ogólny wzór odpowiedzi na wnioski stanowi załącznik nr 1 do Procedury.

  6. Niniejsza Procedura RODO obowiązuje od [ ……………….. ] (wpisz: datę wejścia w życie).

Zatwierdził (kierownictwo Podmiotu): [ ……………….. ] (wpisz: imię, nazwisko, funkcja, data, podpis osoby uprawnionej do reprezentacji)

Załącznik nr 1 - ogólny wzór odpowiedzi na wnioski o realizację praw RODO.

🔒
Czytaj dalej po zalogowaniu

Pełny dostęp do dokumentu jest bezpłatny dla zarejestrowanych użytkowników BizNews Academy.

Zaloguj się lub załóż konto

Rejestracja jest bezpłatna i zajmuje 30 sekund.

Bezpłatny dla konta BizNews
Zaloguj się, aby pobrać Zapytaj o szczegóły

Dokumenty premium są bezpłatne dla zalogowanych użytkowników.

BizNews Academy · Biblioteka premium · biznewsacademy.pl
Fedaris sp. z o.o. · ul. Długa 29, 00-238 Warszawa