Przesłankami legalności przetwarzania danych osobowych przez administratora są istnienie celu przetwarzania danych osobowych oraz istnienie co najmniej jednej podstawy prawnej przetwarzania określonej w przepisach RODO. Po upływie okresu, przez który dane osobowe mogą być przetwarzane, należy je usunąć. Okres ten wyznaczany jest przez cel przetwarzania albo przepis prawa. Może się jednak zdarzyć, że po zakończeniu przetwarzania w jednym celu i na jednej podstawie prawnej dane będą niezbędne administratorowi jeszcze w innym celu. Wówczas może on nie usuwać danych, jeżeli istnieje inna podstawa prawna, na której można oprzeć dalsze przetwarzanie danych.
Na wypadek procesu
Powszechną praktyką wśród administratorów jest przetwarzanie danych osobowych aż do upływu okresu przedawnienia roszczenia, które może być potencjalnie wysunięte przeciwko administratorowi przez podmiot danych. Jest to sytuacja, w której administratora i podmiot danych łączy najpierw jakaś relacja, np. umowa. Przetwarzanie opiera się wówczas na art. 6 ust. 1 lit. b RODO, czyli na tej podstawie, iż dane są niezbędne do zawarcia i wykonania umowy, której stroną jest osoba, której dane dotyczą. Jeżeli umowa się kończy, ta podstawa prawna odpada, co teoretycznie powoduje, iż administrator powinien usunąć dane osobowe kontrahenta, które dotąd przetwarzał w związku z zawartą umową.
Administratorzy często decydują się jednak na dalsze przetwarzanie w oparciu o inną podstawę prawną – art. 6 ust. 1 lit. f ROOD, czyli prawnie uzasadniony interes administratora. Interesem tym jest ustalenie, dochodzenie lub obrona przed ewentualnymi roszczeniami czy też wykazanie prawidłowości wykonania przez administratora swoich obowiązków. Uzasadnia to przetwarzanie danych właśnie do upływu okresu przedawnienia roszczeń.
Kilkukrotnie Prezes Urzędu Ochrony Danych Osobowych zakwestionował jednak to rozwiązanie stosowane przez administratorów.
Przetwarzanie na zapas
Zdaniem Prezesa UODO, jeżeli stosunek prawny ustał, to dalsze przetwarzanie na podstawie prawnie uzasadnionego interesu polegającego na ustaleniu, dochodzeniu lub obrony przed roszczeniami, jest aktualny wyłącznie wtedy, jeżeli istnieje po stronie administratora lub podmiotu danych konkretne roszczenie. Organ nadzorczy stoi bowiem na stanowisku, że w przeciwnym wypadku – tj. kiedy dane przetwarzane są na wypadek sporu, który może wyniknąć w przyszłości – dane przetwarzane są w istocie na zapas, co stoi w sprzeczności z wyrażoną w RODO zasadą minimalizacji.