Produkuję urządzenia grzewcze. Sprzedaję je m.in. w sklepie oraz za pośrednictwem internetu. Udzielam rocznej gwarancji. Dysponuję bazą klientów, a w związku z wejściem w życie RODO wysłałem im informację o przetwarzaniu ich danych osobowych. Jeden z byłych klientów zwrócił się z żądaniem usunięcia danych. Sprzedaż miała miejsce pół roku temu i była to transakcja jednorazowa. Jak powinienem postąpić z takim żądaniem?
W opisywanej sytuacji należy rozróżnić dwie kwestie. Pierwszą są procedury postępowania z żądaniami osób, których dane są przetwarzane. Drugą natomiast – kwestia legalnego przetwarzania ich w okresie następującym po wykonaniu umowy.
Jeżeli osoba, której dane są przetwarzane, zażąda usunięcia swoich danych, to w odpowiedzi administrator danych ma obowiązek udzielenia jej informacji o działaniach podjętych w związku z jej żądaniem bądź o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem. Powinien to uczynić niezwłocznie – nie dłużej jednak niż w terminie miesiąca od otrzymania żądania.
Jeżeli zatem żądanie ocenione zostałoby jako zasadne, to należy w tym czasie dane osobowe usunąć oraz powiadomić o tym fakcie zainteresowanego. Jedynie wyjątkowo termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator powinien poinformować osobę, której dane dotyczą, o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.
Jednak nie zawsze takie żądanie usunięcia danych osobowych musi być spełnione. Nie podlega ono uwzględnieniu, jeżeli administrator legitymuje się przesłanką legalizującą przetwarzanie tych danych. Przesłankami takimi w opisywanej sytuacji mogą być m.in. fakt wykonywania umowy z taką osobą czy też wykonywanie obowiązku prawnego ciążącego na administratorze (np. podatkowego związanego z obowiązkiem przechowywania faktur i paragonów), a także prawnie uzasadniony interes realizowany przez administratora. Pod tym ostatnim pojęciem kryje się np. przetwarzanie danych na cele dochodzenia roszczeń albo obrony przed nimi.
W omawianym przypadku przedsiębiorca ma podstawy, by nie uwzględniać żądania klienta z uwagi na trwający okres gwarancji oraz rękojmi za wady rzeczy (w przypadku ruchomości wynosi on dwa lata). Uzasadnieniem jest wykonywanie obowiązków prawnych ciążących na administratorze danych, a także zabezpieczenie na potrzeby obrony przed ewentualnymi roszczeniami ze strony klienta do czasu ich przedawnienia. Rzecz jasna o przyczynach odmowy należy w odpowiednim terminie poinformować żądającego.