OPINII Datele cu caracter personal la ceasul curăţeniei de primăvară

Trăind alături de alţi oameni, zi de zi, nu se poate să nu fi observat faptul că românii şi-au făcut o tradiţie din obiceiul de a strânge orice hârtie cu pretenţie mai mult sau mai puţin oficială.

Ghidându-ne după bunul principiu cum că niciodată nu ştii când îţi trebuie, devenim mici castori constructori, punem document peste document, baze de date culese peste alte baze de date culese până egalăm barajul Jinping I!

Acelaşi lucru se întâmplă în orice business, fie că discutăm despre IMM-uri, fie că ne referim la multinaţionale, cantitatea de date cu caracter personal prelucrată este imensă.

Odată cu alinierea la GDPR va trebui să ne punem următoarea întrebare: Avem, oare, nevoie de toate aceste date? Şi, la pachet cu această întrebare, vine sora ei mai mică, dar care pune în dificultate interlocutorii: cât timp păstrăm datele cu caracter personal?

GDPR oferă următorul răspuns: păs-trăm datele cu caracter personal până când atingem scopul prelucrării aces-tor date. Această regulă reflectă principiul 5 impus prin GDPR şi este în strânsă legătura cu principiile 3 si 4. Astfel, prin stabilirea corectă a perioadei de retenţie a datelor se evită prelucrarea unor date irelevante, incorecte sau neactualizate.

GDPR nu prevede perioade minime sau maxime de retenţie a datelor, însă prin principiile edictate (care trebuie respectate continuu şi simultan) responsabilizează operatorul. Astfel, o bună practică din perspectiva GDPR impune (re)evaluarea periodică a scopului prelucrării, pentru a se evita situaţiile în care prelucrarea continuă deşi scopul a fost atins. De exemplu, în cazul în care scopul prelucrării este reclama sau publicitatea, atunci datele cu caracter personal prelucrate vor fi păstrate pe durata campaniei publicitare.

De asemenea, perioada de retenţie se va stabili şi prin raportare la temeiul legal al prelucrării. În cazurile în care prelucrarea se realizează (şi) în scopul executării unei obligaţii legale, termenele de retenţie sunt în multe situaţii prevăzute prin acte normative. Conformarea GDPR nu poate în niciun caz să conducă la încălcarea altor obligaţii legale, inclusiv cele în materie de arhivare. Astfel, cu titlu de exemplu, statele de plată se păstrează pentru 50 de ani, dosarele de personal 75 de ani, actele contabile între 5 si 10 ani. Similar, există prevederi în domeniul medical, notarial etc.

În lipsa unor prevederi legale exprese, în anumite cazuri este necesar ca datele prelucrate să fie reţinute pentru o perioadă mai lungă, chiar după atingerea scopului iniţial. Ne referim în particular la retenţia datelor pentru protejarea intereselor operatorului, formularea unor apărări în cadrul dosarelor litigioase, în scop probatoriu în cazul unor controale din partea autorităţilor. În aceste cazuri se recomandă stabilirea perioadei de retenţie prin raportare la durata perioadei de prescripţie. De exemplu în domeniul comunicaţiilor electronice, păstrarea datelor abonaţilor legate de trafic, facturare, stabilirea obligaţiilor de plată se va face până la împlinirea a 3 ani de la data scadenţei obligaţiei de plată.

Un alt exemplu vine din zona de resurse umane: rezultatele evaluărilor personalului reprezintă date cu caracter personal. Dacă aceste rezultate stau la baza acordării unor prime, bonusuri, sporuri atunci vor fi păstrate pe o perioadă de 3 ani de la data naşterii dreptului salariatului la acţiune, în cazul în care angajatorul nu a acordat drepturile salariale cuvenite.

Rămâne la latitudinea operatorului să stabilească sau după caz să identifice perioadele de prelucrare şi implicit retenţie a datelor cu caracter personal prin prisma activităţii des-făşurate şi a nevoilor organizatorice specifice.

Principiile şi regulile GDPR se aplică inclusiv în domeniul public. Astfel, structurile MAI care desfăşoară activităţi de prevenire, cercetare şi combatere a infracţiunilor şi de menţinere a ordinii publice, au elaborat o serie de reguli privind păstrarea log-urilor de acces (mai ales codul de identificare al utilizatorului), în sensul că acestea vor fi păstrate timp de 2 ani.

Aşadar, deşi instinctul ne poate îndemna să păstram datele cât mai mult timp, în caz că am putea avea nevoie de acestea la un anumit moment din viitor, alinierea la GDPR ne impune să aerisim arhivele şi să stabilim prin politici şi proceduri interne perioada pentru care sunt păstrate datele cu caracter personal respectând, bineîn-ţeles, termenele prevăzute de legile aplicabile domeniului de activitate al operatorului sau împuternicitului şi, desigur, necesităţile organizaţionale.

În concluzie, odată cu aplicabilitatea GDPR din 25 mai, i-a venit si vremea adevăratei curăţenii de primăvară. Atenţie mare la ce trebuie şters repede de tot, şi ne referim aici la toate datele personale colectate istoric şi păstrate cu încăpăţânare în companie. Ştergere acompaniată de scrierea rapidă a unor politici interne care să prevină adunarea rapidă a următoarelor documente, după fix acelaşi sistem anterior!