EROD wskazuje wyzwania utrudniające pełną realizację prawa do usunięcia danych

Europejska Rada Ochrony Danych (EROD) przyjęła sprawozdanie dotyczące działań w ramach Skoordynowanego Egzekwowania Prawa (CEF) dotyczących prawa do usunięcia danych (art. 17 RODO).  Na 2025 wybrano ten temat bowiem jest to jedno z najczęściej wykorzystywanych praw wynikających z RODO, na które organy nadzorcze często otrzymują skargi od osób prywatnych.

Głównymi celami tego skoordynowanego działania są: zapewnienie skutecznego wykonywania prawa do usunięcia danych przez osoby fizyczne w Europie oraz zrozumienie, w jaki sposób administratorzy danych przestrzegają tego prawa w praktyce. Ponadto Europejska Rada Ochrony Danych zidentyfikowała dobre praktyki i najważniejsze związane z tym wyzwania, aby zapewnić dalsze wytyczne w tej kwestii.

W 2025 r. w inicjatywie wzięły udział 32 organy ochrony danych z całej Europy. Dokładniej rzecz ujmując, 9 organów ochrony danych wszczęło nowe formalne postępowania wyjaśniające lub kontynuowało już toczące się postępowania, a 23 organy ochrony danych przeprowadziły działania mające na celu ustalenie stanu faktycznego. W sumie na działania te zareagowało 764 administratorów danych z całej Europy, od małych i średnich przedsiębiorstw (MŚP) po duże firmy działające w wielu różnych branżach i dziedzinach, a także różne rodzaje podmiotów publicznych.

Wyniki tych krajowych działań zostały zebrane i przeanalizowane łącznie, co pozwoliło na podjęcie ukierunkowanych działań następczych zarówno na szczeblu krajowym, jak i unijnym. 

Obszary wymagające poprawy i główne wyzwania

W sprawozdaniu wymieniono zidentyfikowane problemy wraz z szeregiem zaleceń skierowanych do administratorów danych, aby pomóc im w realizacji prawa do usunięcia danych.

Organy ochrony danych zidentyfikowały siedem powtarzających się głównych wyzwań. Wyniki potwierdziły niektóre ustalenia skoordynowanego działania z 2024 r. dotyczącego prawa dostępu, na przykład w odniesieniu do braku odpowiednich wewnętrznych procedur rozpatrywania wniosków lub braku wystarczających informacji przekazywanych osobom fizycznym. Ponadto uczestniczące organy ochrony danych zgłosiły konkretne ustalenia dotyczące stosowania przez niektórych administratorów danych nieefektywnych technik anonimizacji w celu rozpatrywania wniosków o usunięcie danych jako alternatywy dla ich usuwania. Organy ochrony danych odnotowały również niespójne praktyki oraz trudności napotykane przez administratorów danych co do ustalania okresów przechowywania i usuwania danych osobowych w kontekście kopii zapasowych.

Ponadto, ponieważ prawo do usunięcia danych nie jest prawem absolutnym, niektórzy administratorzy mają trudności z oceną i stosowaniem warunków wykonywania tego prawa, w tym z przeprowadzaniem różnych testów równowagi między prawem do usunięcia danych a innymi prawami i wolnościami. 

Działania następcze mające na celu pomoc w zapewnieniu zgodności z przepisami

Na szczeblu krajowym dostępne są obszerne wytyczne, dokumenty i szablony, które mają pomóc administratorom danych w zapewnieniu zgodności z prawem do usunięcia danych oraz pomóc osobom fizycznym w wykonywaniu tego prawa. Zgodnie z celami deklaracji helsińskiej, polegającymi na ułatwieniu zapewnienia zgodności z RODO oraz zapewnieniu spójnej interpretacji i egzekwowania przepisów w całej Europie, obszerne wytyczne i szablony dostępne już na szczeblu krajowym będą w stosownych przypadkach wykorzystywane na szczeblu EROD. 

Kontekst i kolejne kroki

CEF to kluczowe działanie EROD w ramach strategii na lata 2024–2027, mające na celu usprawnienie egzekwowania przepisów i współpracy między organami ochrony danych. W 2023 roku EROD opublikowała sprawozdanie dotyczący swoich pierwszych skoordynowanych działań w zakresie korzystania z usług w chmurze przez sektor publiczny.

W 2024 r. EROD opublikowała również sprawozdanie z wyników drugiego skoordynowanego działania dotyczącego wyznaczania i pozycji inspektorów ochrony danych.

W 2025 r. EROD opublikowała sprawozdanie z trzeciego skoordynowanego działania dotyczącego wdrażania prawa dostępu.

Działanie CEF 2026 będzie dotyczyło obowiązków w zakresie przejrzystości i informacji wynikających z RODO.