W lutym 2026 roku EDPB opublikowała raport dotyczący prawa do usunięcia danych na podstawie skoordynowanej akcji egzekwowania przepisów (CEF 2025). 32 europejskie organy nadzorcze zbadały 764 administratorów — od małych firm po międzynarodowe korporacje. Wyniki pokazują, że prawo do usunięcia danych nadal sprawia organizacjom poważne trudności.
7 wyzwań wskazanych przez EDPB
1. Brak wewnętrznych procedur obsługi żądań
Wiele organizacji nie ma formalnej procedury obsługi żądań usunięcia. Żądania trafiają na skrzynkę mailową, są przekazywane między działami, a terminy nie są monitorowane. EDPB rekomenduje wdrożenie udokumentowanej procedury z jasno określonymi rolami i terminami. Brak procedury to najczęstsza przyczyna nieterminowej realizacji prawa do usunięcia danych.
2. Niewystarczające informowanie osób
Osoby, których dane dotyczą, często nie wiedzą że mają prawo do usunięcia, jak je złożyć i czego mogą się spodziewać. Administratorzy nie informują o wyniku rozpatrzenia żądania lub informują zbyt późno.
3. Problemy z weryfikacją tożsamości
Administratorzy albo nie weryfikują tożsamości osoby składającej żądanie (ryzyko realizacji żądania od nieuprawnionej osoby), albo wymagają nadmiernych danych do weryfikacji (naruszenie zasady minimalizacji).
4. Niespójna praktyka stosowania wyjątków
Art. 17 ust. 3 RODO zawiera wyjątki, w których administrator może odmówić usunięcia. Raport wskazuje, że administratorzy albo automatycznie odmawiają (powołując się na ogólne „obowiązki prawne” bez weryfikacji), albo automatycznie usuwają (bez sprawdzenia czy zachodzą wyjątki).
5. Trudności z określeniem okresów retencji
Wiele organizacji nie ma jasno zdefiniowanych okresów retencji danych. Bez określonych terminów przechowywania administrator nie jest w stanie ocenić czy dane powinny zostać usunięte.
6. Usuwanie danych z kopii zapasowych
Połowa badanych organów nadzorczych wskazała, że administratorzy nie mają procedur usuwania danych z kopii zapasowych. Część administratorów w ogóle nie usuwa danych z backupów ani nie zapobiega przywracaniu wcześniej usuniętych danych.
7. Anonimizacja jako zamiennik usunięcia
Niektórzy administratorzy stosują techniki anonimizacji zamiast trwałego usunięcia danych. Problem: wiele stosowanych technik to w rzeczywistości pseudonimizacja — dane nadal pozwalają na identyfikację osoby. EDPB pracuje nad wytycznymi dotyczącymi anonimizacji, które wyjaśnią te kwestie.
Jak poprawić realizację prawa do usunięcia danych – rekomendacje EDPB
Raport zawiera rekomendacje dla administratorów:
Wdróż udokumentowaną procedurę obsługi żądań usunięcia — z przypisanymi rolami, terminami i eskalacją.
Informuj osoby o prawie do usunięcia w klauzulach informacyjnych — jasno, konkretnie, ze wskazaniem jak złożyć żądanie.
Weryfikuj tożsamość proporcjonalnie do ryzyka — nie żądaj nadmiernych danych.
Zdefiniuj okresy retencji dla każdej kategorii danych w rejestrze czynności przetwarzania.
Opracuj procedurę usuwania danych z kopii zapasowych.
Nie stosuj anonimizacji jako zamiennika usunięcia — chyba że technika skutecznie uniemożliwia identyfikację.
Prawo do usunięcia danych to jedno z najczęściej egzekwowanych praw RODO — i jedno z najgorzej obsługiwanych. Raport EDPB daje konkretne rekomendacje jak to zmienić.
Źródło: EDPB
Nie — raport nie zmienia przepisów. Zawiera rekomendacje oparte na wynikach kontroli 764 administratorów. Rekomendacje nie są wiążące, ale organy nadzorcze będą się na nie powoływać podczas kontroli.
30 dni od otrzymania żądania. Termin może być przedłużony o 60 dni w skomplikowanych przypadkach — ale musisz poinformować osobę w ciągu pierwszego miesiąca.
W miarę możliwości technicznych — tak. Jeśli kopie są niezmienne, dane powinny być usunięte przy najbliższym cyklu nadpisywania. Udokumentuj podjęte działania.
Tylko jeśli technika skutecznie uniemożliwia identyfikację osoby. Pseudonimizacja (np. hashowanie, tokenizacja) nie wystarczy — dane nadal podlegają RODO.
Raport nie podaje łącznej kwoty. 9 organów nadzorczych wszczęło formalne postępowania, kilka jest w toku. EDPB wskazuje, że wyniki CEF będą podstawą do dalszych kontroli sektorowych w 2026.
Obsługuj żądania usunięcia danych w jednym systemie
iGDPR monitoruje terminy, prowadzi rejestr żądań i dokumentuje realizację — od przyjęcia przez weryfikację tożsamości po potwierdzenie usunięcia.
Testuj teraz — 21 dni bezpłatnie