Czy administrator zawsze musi zrealizować żądanie usunięcia danych osobowych klienta?
2020-02-14
– Do prowadzonego przeze mnie sklepu internetowego zwrócił się klient, który po dokonanej transakcji zażądał usunięcia wszystkich jego danych. Choćby z punktu widzenia przepisów podatkowych dane tego klienta nie mogą być usunięte. Jak właściwie się zachować wobec takiego żądania? – pyta pani Dominika.
Prawo do usunięcia danych nie ma charakteru absolutnego i w pewnych wypadkach jego realizacja jest wyłączona. Okoliczności uzasadniające odmowę zrealizowania żądania określa art. 17 ust. 3 RODO. Zgodnie z przywołanym przepisem „ust. 1 i 2 (przewidują prawo żądania od administratora niezwłocznego usunięcia danych) nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:
a) do korzystania z prawa do wolności wypowiedzi i informacji;
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;
d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub
e) do ustalenia, dochodzenia lub obrony roszczeń.
W sytuacji opisanej przez czytelniczkę należy odmówić realizacji żądania z uwagi na zaistnienie okoliczności wyłączających prawo do usunięcia danych, w tym konkretnym przypadku wynikających z art. 17 ust. 3 lit. b) RODO. Administrator, przechowując dane klienta m.in. w wystawionych fakturach, wywiązuje się w ten sposób z obowiązków wynikających z przepisów prawa – art. 32 § 1 w zw. z art. 70 § 1 i 86 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa oraz art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości. Uzasadnione jest zatem przetwarzanie danych klientów na potrzeby rozliczeń podatkowych przez okres pięciu lat. Usunięcie danych mogłoby uniemożliwić realizację zadań publicznych lub stałoby w sprzeczności z przepisami nakazującymi przetwarzanie danych.
podstawa prawna: art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. Urz. UE L z 2016 r., nr 119/1
podstawa prawna: art. 32 § 1 w zw. z art. 70 § 1 i 86 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa Dz.U.2019.900 z dnia 14.05.2019
podstawa prawna: art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości tekst jednolity: Dz.U.2019.351 z dnia 22.02.2019
Odpowiedź ukazała się w dzienniku „Rzeczpospolita”
