Cat timp putem pastra datele. O intrebare fara raspuns direct.

Avem, printre beneficiarii serviciilor noastre, foarte multe persoane care ne adreseaza frecvent aceasta intrebare: Cat putem pastra datele?

Ei bine, regulamentul nu spune clar X sau Y zile, este imposibil sa faca acest lucru daca ne gandim ca fiecare prelucrare de date are particlaritatile ei, fiecare companie, institutie publica sau persoana fizica prelucreaza datele in anumite scopuri si este imposibil sa vina cineva cu o lista clara de perioade de retentie pentru fiecare tip de date si fiecare tip de prelucrare.

Regulamentul GDPR face insa altceva, si anume, ne ghideaza si ne invata cum sa stabilim noi perioadele de retentie si cand este momentul in care trebuie sa luam decizia de a sterge datele.

In regulament gasim urmatoarele mentiuni:

Dreptul la stergerea datelor („dreptul de a fi uitat”)
Persoana vizata are dreptul de a obtine din partea operatorului stergerea datelor cu caracter personal care o privesc, fara intarzieri nejustificate, iar operatorul are obligatia de a sterge datele cu caracter personal fara intarzieri nejustificate in cazul in care se aplica unul dintre urmatoarele motive:
a)datele cu caracter personal nu mai sunt necesare pentru indeplinirea scopurilor pentru care au fost colectate sau prelucrate;
b)persoana vizata isi retrage consimtamantul pe baza caruia are loc prelucrarea, in conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), si nu exista niciun alt temei juridic pentru prelucrarea;
c)persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (1) şi nu exista motive legitime care sa prevaleze in ceea ce priveste prelucrarea sau persoana vizata se opune prelucrarii in temeiul articolului 21 alineatul (2);
d)datele cu caracter personal au fost prelucrate ilegal;
e)datele cu caracter personal trebuie sterse pentru respectarea unei obligatii legale care revine operatorului in temeiul dreptului Uniunii sau al dreptului intern sub incidenta caruia se afla operatorul;
f)datele cu caracter personal au fost colectate in legatura cu oferirea de servicii ale societatii informationale mentionate la articolul 8 alineatul (1).

Un scurt sumar al celor mentionate mai sus, datele se sterg daca:

  • nu mai sunt necesare pentru scopurile pentru care au fost colectate
  • in situatia in care prelucrarea se realiza in baza consimtamantului iar persoana vizata si-a retras consimtamantul
  • in cazul in care persoana vizata se opune prelucrarii
  • prelucrarea este ilegala
  • exista o obligatie legala privind stergerea datelor, care revine operatorului de date
  • sau in situatia in care vorbim de serviciile oferite unui minor, caz in care prelucrarea se realizeaza cu acordul parintelui/tutorelui

Ce este foarte important, este faptul ca, inainte de a purcede la stergerea datelor, operatorul de date are obligatia de a face o verificare minutioasa, ca nu cumva sa existe un alt temei legal care ii obliga sa le pastreze, integral sau partial.

De exemplu, clientul unei banci a ajuns la finalul perioadei contractuale, in evidentele bancii sunt inregistrate datele clientului, dovezile de plata, documente personale, contul clientului, etc. Acum, banca trebuie sa faca o analiza si sa decida ce date sterge si ce date pastreaza.

In mod clar banca trebuie sa inchida contul clientului, sa arhiveze dosarul de creditare, sa faca o segregare a accesul angajatilor la datele clientului, ramanand ca anumite informatii privind tranzactiile clientului sa fie analizate si daca exista o obligatie legala a bancii privind rapoartele contabile, acestea sa poata fi accesate strict de acei angajati care fac acest lucru.

Indicatii pretioase in interpretarea acestor reglementari regasim pe site-ul autoritatii de supraveghere din Anglia ICO, acestia fiind foarte dedicati scopului de a emite clarificari si de a veni in ajutorul nostru, de acolo va impartasim si dumneavoastra:

  • Nu trebuie sa pastrati datele personale mai mult timp decat aveti nevoie.
  • Trebuie sa va ganditi – si sa puteti justifica – cat timp pastrati datele personale. Acest lucru va depinde de scopul urmarit.
  • Aveti nevoie de o politica care sa stabileasca perioade de pastrare standard, ori de cate ori este posibil, pentru a respecta cerintele de documentatie.
  • De asemenea, trebuie sa revizuiti periodic datele pe care le detineti si sa le stergeti sau sa le treceti in anonimat atunci cand nu mai aveti nevoie de ele.
  • Trebuie sa luati in considerare toate provocarile, sau mai bine zis obligatiile, privind pastrarea datelor. Persoanele fizice au dreptul la stergere daca nu mai aveti nevoie de date.
  • Puteti pastra datele cu caracter personal mai mult timp daca le pastrati numai in scopuri de arhivare de interes public, de cercetare stiintifica sau istorica sau in scopuri statistice.

Mai clar de atat, nici ca se putea. Continuam cu un checklist realizat de ICO pe care chiar recomandam sa il aveti in vedere deoarece chiar este folositor. Ei spun ca este indicat sa:

  • Stim ce date cu caracter personal detinem si de ce avem nevoie de ele.
  • Analizam cu atentie si sa putem justifica cat timp pastram datele cu caracter personal.
  • Avem o politica cu perioade de pastrare standard acolo unde este posibil, in conformitate cu obligatiile de privvind documentatia.
  • Ne revizuim periodic informatiile si stergem sau anonimizam datele personale atunci cand nu mai avem nevoie de ele.
  • Avem procese adecvate pentru a respecta cererile de stergerea datelor pimite de la persoanele vizate sub rezerva ”dreptul de a fi uitat”
  • Identificam in mod clar orice date cu caracter personal pe care trebuie sa le pastram in scopuri de arhivare in interes public, de cercetare stiintifica sau istorica sau in scopuri statistice.

Continuam…

Care este principiul limitarii stocarii?

  • Chiar daca colectati si utilizati date cu caracter personal in mod corect si legal, nu le puteti pastra mai mult timp decat aveti de fapt nevoie.
  • Exista legaturi stranse aici cu principiile de minimizare și precizie a datelor.
  • Legislatia GDPR nu stabileste termene specifice pentru diferite tipuri de date. Acest lucru depinde de dumneavoastra, si va depinde de cat timp aveti nevoie de date pentru scopurile specificate.
  • De ce este importanta limitarea perioadei de pastrare?
  • Asigurandu-va ca stergeti sau anonimizati datele personale atunci cand nu mai aveti nevoie, veti reduce riscul ca acestea sa devina irelevante, excesive, inexacte sau sa depasiti termenul de pastrare.
  • In afara de a va ajuta sa respectati principiile de minimizare si exactitate a datelor, acest lucru reduce, de asemenea, riscul de a prelucra datele intr-un mod eronat – in detrimentul tuturor celor implicati.
  • Datele cu caracter personal al caror termen de pastrare a fost depasit nu sunt, prin definitie, necesare. Este putin probabil sa aiba o baza legala pentru retentie.
  • Dintr-o perspectiva mai practica, este ineficient sa tineti mai multe date personale decat aveți nevoie si pot exista costuri inutile asociate cu stocarea si securitatea lor.
  • Retineti ca trebuie sa raspundeti si solicitarilor de acces pentru orice date personale pe care le detineti. Acest lucru poate fi mai dificil daca tineti datele vechi mai mult timp decat aveti nevoie.
  • Trebuie sa va ganditi – si sa puteti justifica – cat timp pastrati datele personale. Acest lucru depinde de scopul pentru care ati colectat datele.

Mai multe aflati pe site-ul autoritatii https://ico.org.uk/

Sursa articol https://ico.org.uk/

Multumim,

Echipa MyBiz GDPR