Limitarea stocării datelor cu caracter personal
9 ianuarie 2019 | Andreea COMAN
Andreea Coman
1. Principiul limitării stocării datelor cu caracter personal este similar celui de-al cincilea principiu (reținerea datelor) din Legea nr. 677/2001 (în prezent abrogată) și presupune ca datele personale să nu fie păstrate mai mult decât este necesar.
2. Cu ce vine în plus Regulamentul (UE) 679/2016 față de reglementarea anterioară? Potrivit principiului enunțat, operatorii ar fi nevoiți să stabilească anumite perioade de stocare (reținere) a datelor personale. Regulamentul nu prevede limite minime sau maxime de păstrare a datelor cu caracter personal, lucru firesc de altfel.
3. Art. 5 „Principii” alin. 1 lit. e) din Regulamentul general privind protecția datelor și de asemenea, art. 5 alin. 4 lit. e) din Convenția pentru protecția persoanelor cu privire la prelucrarea automată a datelor cu caracter personal, cunoscută sub numele de „Convenția 108” stipulează că datele cu caracter personal trebuie să fie păstrate într-o formă care să permită identificarea persoanelor vizate pentru nu mai mult decât este necesar pentru scopurile pentru care sunt prelucrate. Cu alte cuvinte, datele cu caracter personal trebuie să fie păstrate pe perioada necesară îndeplinirii scopurilor în care sunt prelucrate și șterse sau anonimizate atunci când aceste scopuri au fost realizate. În acest scop, operatorul de date cu caracter personal trebuie să stabilească termene limită pentru ștergere sau pentru o revizie periodică pentru a se asigura că datele nu sunt păstrate mai mult timp decât cel necesar (Considerentului 39 din Regulament).
4. În cele mai multe dintre situații, determinarea scopului activităților de prelucrare a datelor cu caracter personal are la bază reglementările europene sau dreptul intern aplicabil unei anumite activități de prelucrare, reglementări care conduc la însăși condițiile generale ale Regulamentului (UE) 679/2016 care reglementează legalitatea prelucrării datelor cu caracter personal (necesitatea executării sau încheierii unui contract, necesitatea îndeplinirii unei obligații legale, interesul legitim al operatorului sau al unei terțe părți ș.a.m.d.). Pot exista și situații în care scopul activităților de prelucrare poate să fie chiar și buna funcționare a activității propriu-zise a operatorului, adică operatorul are un interes legitim să-și desfășoare activitatea, nefiind nevoie să existe neapărat o prevedere legală expresă care să întemeieze o anumită activitate de prelucrare dintre cele la care ne referim.
5. În unele situații legea stabilește în mod expres un anumit termen minimal și obligatoriu de păstrare a diverselor categorii de documente ce conțin date cu caracter personal caz în care operatorii de date nu ar trebui să preîntâmpine dificultăți la stabilirea unor perioade de stocare a datelor. Există însă și situații în care regăsim indicată doar obligația păstrării anumitor categorii de documente sau nu regăsim nicio referire, deși operatorul are un interes legitim în păstrarea lor, ipoteze care ridică dificultăți pentru operatorii de date cu caracter personal.
6. În realitate, termenul limită de păstrare a datelor cu caracter personal este dat de durata oricăruia dintre scopurile activităților de prelucrare, scopuri care se pot schimba/succeda în decursul activității propriu-zise a operatorului. Activitățile ce presupun prelucrarea datelor cu caracter personal nu de puține ori sunt repetitive, astfel încât pare că majoritatea datelor personale, în cele mai multe cazuri, ar putea fi păstrate pe toată durata de existență a operatorului.
7. Înțelesul afirmației „datele cu caracter personal trebuie să fie stocate pentru o perioadă cât mai scurtă”, poate fi înșelător, putând îndemna operatorii de date, din dorința respectării dispozițiilor Regulamentului, să elimine prematur date cu caracter personal prețioase.
8. Care ar fi riscul ne-stabilirii unor perioade de stocare a datelor cu caracter personal? Datele personale păstrate prea mult timp vor deveni inutile, caz în care este puțin probabil să existe o bază legală pentru stocarea lor. Din perspective practice, dezavantajele pot fi reprezentate de costurile suplimentare asociate stocării și asigurării securității datelor personale inutile sau de îngreunare a identificării celor necesare (de exemplu, în cazul formulării de către persoana vizată a unei cereri de acces).
9. Pentru a evita neajunsurile la care ne-am referit o sugestie care poate fi luată în considerare este stabilirea unei cadențe pentru activitatea de analiză a relevanței datelor cu caracter personal colectate și aflate pe diferite paliere de prelucrare. Deși această sugestie pare simplu de pus în practică, în realitate costurile separării datelor inutile de cele inutile, și care, deci, ar trebui șterse, pot să fie destul de mari. Cu alte cuvinte, decelarea datelor în scopul limitării stocării și ștergerii lor poate necesita costuri semnificative.
Avocat Andreea Coman
Managing Associate SĂVESCU & ASOCIAŢII
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
