TL;DR — szybki wybór strategii

Manualnie: lista 47 polskich serwisów + szablony GDPR (czas: ~20h jednorazowo) Automatycznie: Incogni ~50 PLN/mc — robi to za ciebie dla 200+ brokerów (ale tylko zagranicznych) Prewencyjnie: aliasy email (SimpleLogin, Firefox Relay) + dedykowany numer (eSIM) → nowe konta nie trafiają już do brokerów Edukacyjnie: HaveIBeenPwned co kwartał + Google Alert na swoje imię + nazwisko

Statystyki wycieków danych w Polsce 2025 pokazują, że średni Polak ma swoje dane (email, telefon, czasem PESEL) u 5-8 brokerów danych. To nie hipoteza — to weryfikowalne na haveibeenpwned.com w 30 sekund. Dane są kupowane i sprzedawane między pośrednikami; nie kontrolujesz tego, ale możesz to wszystko cofnąć dzięki RODO art. 17.

Ten przewodnik jest praktyczny, nie prawniczy. Pokazujemy krok po kroku, co zrobić, ile to zajmie i kiedy automatyzacja ma sens.

1. RODO art. 17 — co konkretnie ci daje

Art. 17 ust. 1 RODO mówi, że administrator danych jest zobowiązany do niezwłocznego usunięcia twoich danych osobowych, jeśli zachodzi jedna z sześciu przesłanek:

  1. dane nie są już niezbędne do celów, dla których zostały zebrane,
  2. cofasz zgodę i nie ma innej podstawy prawnej do przetwarzania,
  3. wnoszysz sprzeciw wobec przetwarzania (art. 21),
  4. dane były przetwarzane niezgodnie z prawem,
  5. dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego,
  6. dane były zebrane od dziecka poniżej 16 lat bez zgody opiekuna.

Najczęściej używasz przesłanki 1 lub 2: „Założyłem konto w Allegro 5 lat temu, nie używam go od 3 lat, cofnąłem zgodę na newsletter — usuńcie moje dane.”

Termin: 30 dni od otrzymania żądania (art. 12 ust. 3). Może być przedłużony o 60 dni, ale administrator musi cię o tym pisemnie poinformować.

Wyjątki (art. 17 ust. 3) — kiedy administrator może odmówić:

  • dane potrzebne do wykonania obowiązku prawnego (banki — AML, urzędy — KPA),
  • ważny interes publiczny w obszarze zdrowia (NFZ),
  • archiwizacja w interesie publicznym, naukowym, historycznym, statystycznym,
  • ustalenie, dochodzenie lub obrona roszczeń (np. nie usuniesz danych dłużnika z BIK).

W praktyce: 80% twoich kont (e-commerce, social media, newslettery, aplikacje) podlega bezwzględnie art. 17 i muszą usunąć dane.

2. Mapa twoich danych w 2026

2.1 Brokerzy danych (zagraniczni, scrapują też polskie dane)

To firmy, które agregują dane z setek źródeł publicznych, mediów społecznościowych i wycieków. Większość ma siedzibę w USA, ale działa też w UE — czyli podlegają RODO.

  • Spokeo, Whitepages, BeenVerified — agregatory osobowe (imię, adres, telefon)
  • Apollo.io, Hunter.io, RocketReach, Lusha — B2B databases (LinkedIn → email + telefon)
  • PeopleDataLabs, FullContact, Pipl — cross-source enrichment dla firm
  • PimEyes, Clearview AI — face search engines (uploadujesz zdjęcie, znajduje gdzie jest publicznie)
  • Acxiom, Experian, Equifax — credit + lifestyle data
  • Radaris, Intelius, MyLife — public records aggregators

Każdemu z nich możesz wysłać żądanie RODO. Każdy ma na stronie „Data Subject Rights” lub „Privacy Request” formularz. Zajmie ci to po 5-15 minut na każdego.

2.2 Polskie serwisy z twoimi PII

Lista serwisów, które typowy polski user ma — i które trzeba przeczyścić, jeśli już ich nie używasz. Skupić się głównie na tych, gdzie podałeś PESEL, numer karty albo numer telefonu:

E-commerce z PESEL/karta: Allegro, OLX, Vinted, eBay PL, AliExpress, Amazon PL, Empik, x-kom, Komputronik, Media Expert, RTV Euro AGD, Decathlon, Lidl Plus, Biedronka Stocznia.

Travel & food: Booking.com, Airbnb, Pyszne.pl, Glovo, Wolt, Bolt Food, Uber Eats, Skyscanner, Travelminit.

Państwowe (najczęściej nie usuniesz, ale możesz wymagać minimalizacji): mObywatel, ePUAP, ZUS PUE, NFZ, e-Urząd.

Banki + fintech (5-letni AML retention): mBank, PKO BP, Santander, ING, Pekao, Millennium, Alior Bank, Citi, Twisto, Zen.com, Allegro Pay, BLIK Pay Later, Revolut, N26, Wise.

Telekomy: Orange, Play, T-Mobile, Plus, Netia, Vectra, UPC.

Streaming + media: Netflix, HBO Max, Disney+, Player.pl, IPLA, TVP VOD, Spotify, Tidal, Apple Music.

Zdrowie: ZnanyLekarz, Doz, Doktor.com, Medicover, Lux Med, Allianz Direct.

Praca: GoldenLine, Pracuj.pl, Rocket Jobs, Indeed PL, JustJoin.it.

Inne: Ceneo, Skąpiec, Nokaut, Smyk, Ikea, Decathlon Premium, Pies w domu, Trójmiasto.pl.

Łącznie: 47 serwisów, gdzie typowy 35-latek ma konto. Pełna lista z linkami do „delete account” page znajduje się tutaj.

3. Jak usunąć — szablony i procedury

3.1 Szablon żądania RODO po polsku

Do: [adres email administratora — zwykle iod@nazwa-firmy.pl lub kontakt@]
Temat: Żądanie usunięcia danych osobowych — RODO art. 17

Dzień dobry,

Na podstawie art. 17 ust. 1 RODO żądam niezwłocznego usunięcia
wszystkich moich danych osobowych przetwarzanych w państwa systemach.

Moje dane identyfikacyjne:
- Imię i nazwisko: Jan Kowalski
- Adres email użyty do rejestracji: jan.kowalski@example.pl
- Ostatnie 4 cyfry telefonu (dla weryfikacji): 1234

Podstawa prawna: art. 17 ust. 1 lit. a RODO — dane nie są już
niezbędne do celów, dla których zostały zebrane (konto nieaktywne
od X lat).

Oczekiwany termin: 30 dni (art. 12 ust. 3 RODO).

Proszę o potwierdzenie usunięcia danych poprzez email zwrotny na
adres: jan.kowalski@example.pl

Pozdrawiam,
Jan Kowalski
[opcjonalnie: data, miejscowość]

Krytyczne: użyj dokładnie tego adresu email, którego użyłeś do rejestracji. Inaczej administrator powie „nie znajdujemy konta” i zacznie od nowa proces weryfikacji.

3.2 Szablon dla brokerów USA (CCPA + GDPR claim)

Subject: Data Deletion Request — CCPA §1798.105 + GDPR Article 17

To Whom It May Concern,

I am a resident of Poland (European Union) and request the deletion
of all my personal data from your systems and any data brokers
you have shared it with, pursuant to:

- GDPR Article 17 (Right to Erasure) — applicable to all my data
  processed in the EU,
- CCPA §1798.105 — applicable if you process data on California
  residents (in which case my non-residency does not exclude me
  from voluntary deletion).

Identifiers:
- Full name: Jan Kowalski
- Email addresses: jan.kowalski@example.pl, [other emails if any]
- Phone (last 4): 1234
- Approximate location: Warsaw, Poland

Requested timeline: 45 days from receipt of this request.

Please confirm deletion in writing to: jan.kowalski@example.pl

If you do not comply within 45 days, I will file a complaint with:
- Polish Data Protection Authority (UODO),
- California Attorney General (if you process CA data).

Best regards,
Jan Kowalski

3.3 Eskalacja — UODO

Po 30 dniach bez odpowiedzi (lub odmowie), wyślij ponownie z dopiskiem „przypomnienie + planowana skarga UODO za 14 dni jeśli brak odpowiedzi”. Większość firm reaguje na ten tekst. Jeśli nie:

UODO przyjmuje skargi przez:

W skardze załącz: kopie korespondencji, datę pierwszego żądania, datę przypomnienia, aktualną sytuację. UODO ma 90 dni na rozpoznanie.

Statystyki UODO 2025: ~70% skarg kończy się decyzją na korzyść skarżącego. Najczęstsza sankcja dla mniejszych firm to upomnienie + obowiązek usunięcia danych. Dla większych — kara finansowa (10 tys. - 5 mln PLN).

4. Automatyzacja — Incogni

Incogni (część Surfshark group) to płatna usługa, która automatyzuje proces wysyłania żądań RODO/CCPA do 200+ brokerów danych. Działa na zasadzie power of attorney — udzielasz im pełnomocnictwa, oni piszą i ślą żądania w twoim imieniu.

Co robi dobrze:

  • pisze żądania do 200+ brokerów (Spokeo, BeenVerified, Whitepages, Apollo.io, etc.) — ręcznie zajęłoby 20+ godzin,
  • powtarza żądania co ~3 miesiące (bo brokerzy często „re-ingestują” dane z innych źródeł),
  • pokazuje dashboard ze statusem każdego żądania,
  • działa pod RODO i CCPA jednocześnie.

Czego nie robi:

  • nie usuwa z polskich serwisów (Allegro, OLX, mBank) — tu musisz sam,
  • nie usuwa z państwowych rejestrów (PESEL, ZUS),
  • działa tylko podczas aktywnej subskrypcji — jak przestaniesz płacić, brokerzy mogą cię „re-ingestować”.

Cena: ~50 PLN/mc (12-miesięczny plan), 60% recurring commission. Sens ekonomiczny: jeśli twój czas wart jest >50 PLN/h, Incogni się opłaca po 3 miesiącach.

Więcej o samym procesie usuwania danych krok po kroku: jak usunąć swoje dane z internetu.

5. Prewencja — żeby twoje dane nie trafiały już do brokerów

5.1 Aliasy email

Zamiast podawać jan.kowalski@gmail.com w każdym sklepie, używasz dynamicznego aliasu (olx-2024-xj4@simplelogin.com) który forwarduje na twój prawdziwy email. Jeśli serwis cię spamuje albo wycieknie — wyłączasz alias bez wpływu na inne.

Najlepsze opcje:

  • SimpleLogin (Proton) — 5 USD/mc lub w pakiecie Proton Plus, nieskończone aliasy, własna domena, cyberowi-friendly
  • Firefox Relay (Mozilla) — 1 USD/mc, 5 nieskończonych aliasów, dłuższe domeny (mozmail.com)
  • AnonAddy — open-source, self-hosted opcja
  • DuckDuckGo Email Protection — darmowy, ale tylko dla osób z DDG App

Strategia: mailing/newslettery → alias jednorazowy. E-commerce → alias per kategoria (sklepy elektroniczne, sklepy modowe, food delivery). Banki + ważne usługi → twój prawdziwy email z 2FA.

5.2 Numer drugorzędny (eSIM)

Wiele serwisów wymaga numeru telefonu — i prawie zawsze trafia do brokera. Rozwiązanie: prepaid eSIM jako „burner number”.

Tanio: Plus, Orange L2P, T-Mobile Frequenta. Doładowanie 5 PLN co miesiąc utrzymuje numer aktywny. Total: 60 PLN/rok.

Zaawansowanie: Aero (eSIM-only operator) — możesz zmieniać kraj wirtualnie. Praktyczne, jeśli rejestrujesz się w usługach ograniczonych geograficznie.

Czego unikać: bezpłatne aplikacje typu „TextNow”, „2ndLine” — większość blokuje banki i SMS od polskich serwisów.

5.3 Karty wirtualne

Kupowanie online u nieznanego sprzedawcy = ryzyko. Karta wirtualna (jednorazowa) eliminuje to ryzyko.

  • Revolut — wirtualne karty jednorazowe i miesięczne, w darmowym planie 5/mc
  • Curve — agreguje wszystkie twoje karty pod jedną Curve card, kontrolujesz spending per merchant
  • Wise — multi-currency, świetne kursy, generuje wirtualne karty USD/EUR
  • mBank, PKO BP — w aplikacji generują wirtualne karty (gorsze UX, ale zero dodatkowych kont)

6. Plan działania na pierwszy weekend

Realistycznie nie zrobisz wszystkiego na raz. Sekwencja na pierwszy weekend (4-6h pracy):

Sobota rano (1h):

  1. Zarejestruj się na haveibeenpwned.com — dowiedz się, w ilu wyciekach jest twój email
  2. Załóż konto w SimpleLogin lub Firefox Relay
  3. Zacznij używać aliasów dla nowych rejestracji

Sobota popołudnie (2h): 4. Lista mentalna 10 najważniejszych serwisów, z których chcesz usunąć konto (te, których nie używasz od roku+) 5. Wyślij szablon RODO do każdego z nich (kopiuj-wklej, zmień tylko nazwę firmy) 6. Zarchiwizuj wysłane emaile w folder „RODO requests” — żeby śledzić odpowiedzi

Niedziela (1h): 7. Zarejestruj się na Incogni (jeśli stać cię na 50 PLN/mc) — startuje automatycznie usuwanie z 200+ brokerów USA 8. Włącz Google Alert na swoje imię + nazwisko (alerts.google.com) — dostaniesz email gdy ktoś o tobie napisze 9. Zaplanuj follow-up na 30 dni (kalendarz) — sprawdzisz, kto odpowiedział, kto nie

Co miesiąc (15 min): 10. Sprawdź haveibeenpwned (czy nowe wycieki) 11. Przejrzyj Incogni dashboard 12. Wyślij przypomnienia/skargi UODO dla serwisów, które ignorowały twoje pierwsze żądanie

Po roku zauważysz różnicę: mniej spam emaili, mniej cold call telefonów, mniej phishingu. To jest praca, którą warto wykonać.

Polecane narzędzia

  • Proton Mail — Szyfrowany e-mail end-to-end z jurysdykcji szwajcarskiej. Polski interface, własna domena, alias SimpleLogin w pakiecie.

Powyższe linki to linki afiliacyjne — kliknięcie nie zwiększa ceny, a redakcja otrzymuje niewielką prowizję, która finansuje niezależne testy. Polityka afiliacji.

Zobacz też