Datele cu caracter personal nu pot fi păstrate la nesfârșit. Recomandări pentru companii (Schoenherr și Asociații)

Articol scris de Carla Filip (attorney at law), avocat specializat în protecția datelor cu caracter personal în cadrul Schoenherr și Asociații SCA

Datele cu caracter personal pot fi păstrate doar atâta timp cât este nevoie de ele pentru a atinge scopurile pentru care sunt prelucrate, în conformitate cu principiul limitării stocării datelor, potrivit Regulamentului UE 679/ 2016 (GDPR). Păstrarea lor pentru perioade nelimitate de timp sau doar „pentru orice eventualitate” este, prin urmare, contrară acestui principiu.

În practică, însă, companiile care procesează date cu caracter personal se lovesc de o serie de dificultăți în a stabili termene de stocare concrete sau criterii specifice în acest sens. Gestionarea atentă a acestor aspecte este importantă pentru a asigura conformarea cu prevederile GDPR, evitarea unor potențiale sancțiuni și, în același timp, satisfacerea nevoilor specifice de prelucrare a datelor, la nivelul companiilor.

De ce este importantă stabilirea unor termene de stocare?

Pe lângă respectarea principiului impus de GDPR în ceea ce privește limitarea stocării datelor, termenele de stocare sunt importante și din punct de vedere practic, existența lor permițând totodată și îndeplinirea mai facilă a altor obligații prevăzute de GDPR.

De exemplu, lipsa unor astfel de termene ar putea face dificilă respectarea obligației de informare a persoanelor vizate, prin care trebuie să se asigure furnizarea de informații clare inclusiv cu privire la perioada pentru care vor fi stocate datele cu caracter personal. De asemenea, în cazul în care persoanele vizate își exercită dreptul de acces, un volum mare de date vechi și neactualizate ar putea îngreuna furnizarea de către companie a unei copii complete după datele cu caracter personal deținute în legătură cu persoana respectivă.

În plus, stabilirea unor termene de stocare adecvate are și unele avantaje operaționale, precum creșterea capacității de localizare și extragere eficiente și rapide a datelor, în caz de nevoie. Totodată, se reduce astfel riscul de erori și de potențiale incidente de securitate (de exemplu, prin acces sau dezvăluire neautorizate).

Ce aspecte ar trebui avute în vedere la stabilirea termenelor de stocare?

Este în responsabilitatea fiecărei companii să își stabilească termene de stocare adecvate, în funcție de activitățile și de scopurile specifice de prelucrare. Este important de reținut că termenele de stocare nu trebuie exprimate în mod obligatoriu în ani, luni sau zile. Astfel, atunci când o astfel de formulă nu este posibilă, termenele pot fi definite prin raportare la alte activități sau procese (de exemplu, „până la încheierea procesului de recrutare”).

În plus, pentru stabilirea unor termene de stocare concrete și rezonabile în conformitate cu principiile GDPR pot fi luate în considerare mai multe aspecte, printre care:

• Scopul specific al prelucrării, care reprezintă principalul factor de avut în vedere. Companiile trebuie să stabilească de ce au nevoie în mod precis de datele respective. Atâta timp cât scopul subzistă, există și o justificare pentru prelucrarea, respectiv stocarea, în continuare a datelor.
• Eventuale perioade de stocare obligatorii prevăzute le lege. De exemplu, potrivit Legii contabilității, documentele contabile trebuie păstrate pentru o perioadă de 10 ani, respectiv 5 ani, statele de plată trebuie păstrate pentru o perioadă de 50 de ani.
• Durata relațiilor contractuale care impun prelucrarea datelor. Ca regulă, datele prelucrate în vederea executării unui contract sunt necesare pe întreaga perioadă de valabilitate a contractului. Suplimentar, datele ar mai putea fi necesare și pentru o perioadă de timp ulterioară care poate fi justificată de companie.
• Termenele de prescripție. Companiile se pot raporta și la durata termenelor de prescripție aplicabile, pentru a se asigura că datele vor fi disponibile pentru a putea constata, exercita sau își apăra drepturile în caz de nevoie. În acest caz, va trebui însă pusă în balanță și probabilitatea reală ca un potențial litigiu să existe în viitor.
• Nomenclatorul arhivistic al companiei. Acesta poate fi un punct de plecare important dacă există la nivelul companiei, având în vedere că el include deja termene de arhivare aprobate/ confirmate de Arhivele Naționale.

Recomandări practice   

Este recomandabil ca operatorii de date să aibă în vedere următoarele acțiuni:

• Implementarea unor termene de stocare adecvate pentru toate tipurile de date cu caracter personal prelucrate;
• Implementarea unui proces de actualizare a datelor, pentru a asigura acuratețea și relevanța acestora;
• Stabilirea unor reguli clare privind stocarea datelor, respectiv gestionarea și ștergerea acestora după îndeplinirea termenelor de stocare stabilite;
• Monitorizarea aplicării regulilor implementate, inclusiv prin atribuirea de responsabilități și instruirea personalului relevant;
• Revizuirea periodică a proceselor și regulilor implementate.