Limitarea stocarii datelor cu caracter personal
1. Principiul limitarii stocarii datelor cu caracter personal este similar celui de-al cincilea principiu (retinerea datelor) din Legea nr. 677/2001 (in prezent abrogata) si presupune ca datele personale sa nu fie pastrate mai mult decat este necesar.
2. Cu ce vine in plus Regulamentul (UE) 679/2016 fata de reglementarea anterioara? Potrivit principiului enuntat, operatorii ar fi nevoiti sa stabileasca anumite perioade de stocare (retinere) a datelor personale. Regulamentul nu prevede limite minime sau maxime de pastrare a datelor cu caracter personal, lucru firesc de altfel.
3. Art. 5 Principii alin. 1 lit. e) din Regulamentul general privind protectia datelor si de asemenea, art. 5 alin. 4 lit. e) din Conventia pentru protectia persoanelor cu privire la prelucrarea automata a datelor cu caracter personal, cunoscuta sub numele de Conventia 108 stipuleaza ca datele cu caracter personal trebuie sa fie pastrate intr-o forma care sa permita identificarea persoanelor vizate pentru nu mai mult decat este necesar pentru scopurile pentru care sunt prelucrate. Cu alte cuvinte, datele cu caracter personal trebuie sa fie pastrate pe perioada necesara indeplinirii scopurilor in care sunt prelucrate si sterse sau anonimizate atunci cand aceste scopuri au fost realizate. In acest scop, operatorul de date cu caracter personal trebuie sa stabileasca termene limita pentru stergere sau pentru o revizie periodica pentru a se asigura ca datele nu sunt pastrate mai mult timp decat cel necesar (Considerentului 39 din Regulament).
4. In cele mai multe dintre situatii, determinarea scopului activitatilor de prelucrare a datelor cu caracter personal are la baza reglementarile europene sau dreptul intern aplicabil unei anumite activitati de prelucrare, reglementari care conduc la insasi conditiile generale ale Regulamentului (UE) 679/2016 care reglementeaza legalitatea prelucrarii datelor cu caracter personal (necesitatea executarii sau incheierii unui contract, necesitatea indeplinirii unei obligatii legale, interesul legitim al operatorului sau al unei terte parti s.a.m.d.). Pot exista si situatii in care scopul activitatilor de prelucrare poate sa fie chiar si buna functionare a activitatii propriu-zise a operatorului, adica operatorul are un interes legitim sa-si desfasoare activitatea, nefiind nevoie sa existe neaparat o prevedere legala expresa care sa intemeieze o anumita activitate de prelucrare dintre cele la care ne referim.
5. In unele situatii legea stabileste in mod expres un anumit termen minimal si obligatoriu de pastrare a diverselor categorii de documente ce contin date cu caracter personal caz in care operatorii de date nu ar trebui sa preintampine dificultati la stabilirea unor perioade de stocare a datelor. Exista insa si situatii in care regasim indicata doar obligatia pastrarii anumitor categorii de documente sau nu regasim nicio referire, desi operatorul are un interes legitim in pastrarea lor, ipoteze care ridica dificultati pentru operatorii de date cu caracter personal.
6. In realitate, termenul limita de pastrare a datelor cu caracter personal este dat de durata oricaruia dintre scopurile activitatilor de prelucrare, scopuri care se pot schimba/succeda in decursul activitatii propriu-zise a operatorului. Activitatile ce presupun prelucrarea datelor cu caracter personal nu de putine ori sunt repetitive, astfel incat pare ca majoritatea datelor personale, in cele mai multe cazuri, ar putea fi pastrate pe toata durata de existenta a operatorului.
7. Intelesul afirmatiei datele cu caracter personal trebuie sa fie stocate pentru o perioada cat mai scurta , poate fi inselator, putand indemna operatorii de date, din dorinta respectarii dispozitiilor Regulamentului, sa elimine prematur date cu caracter personal pretioase.
8. Care ar fi riscul ne-stabilirii unor perioade de stocare a datelor cu caracter personal? Datele personale pastrate prea mult timp vor deveni inutile, caz in care este putin probabil sa existe o baza legala pentru stocarea lor. Din perspective practice, dezavantajele pot fi reprezentate de costurile suplimentare asociate stocarii si asigurarii securitatii datelor personale inutile sau de ingreunare a identificarii celor necesare (de exemplu, in cazul formularii de catre persoana vizata a unei cereri de acces).
9. Pentru a evita neajunsurile la care ne-am referit o sugestie care poate fi luata in considerare este stabilirea unei cadente pentru activitatea de analiza a relevantei datelor cu caracter personal colectate si aflate pe diferite paliere de prelucrare. Desi aceasta sugestie pare simplu de pus in practica, in realitate costurile separarii datelor inutile de cele inutile, si care, deci, ar trebui sterse, pot sa fie destul de mari. Cu alte cuvinte, decelarea datelor in scopul limitarii stocarii si stergerii lor poate necesita costuri semnificative.
2. Cu ce vine in plus Regulamentul (UE) 679/2016 fata de reglementarea anterioara? Potrivit principiului enuntat, operatorii ar fi nevoiti sa stabileasca anumite perioade de stocare (retinere) a datelor personale. Regulamentul nu prevede limite minime sau maxime de pastrare a datelor cu caracter personal, lucru firesc de altfel.
3. Art. 5 Principii alin. 1 lit. e) din Regulamentul general privind protectia datelor si de asemenea, art. 5 alin. 4 lit. e) din Conventia pentru protectia persoanelor cu privire la prelucrarea automata a datelor cu caracter personal, cunoscuta sub numele de Conventia 108 stipuleaza ca datele cu caracter personal trebuie sa fie pastrate intr-o forma care sa permita identificarea persoanelor vizate pentru nu mai mult decat este necesar pentru scopurile pentru care sunt prelucrate. Cu alte cuvinte, datele cu caracter personal trebuie sa fie pastrate pe perioada necesara indeplinirii scopurilor in care sunt prelucrate si sterse sau anonimizate atunci cand aceste scopuri au fost realizate. In acest scop, operatorul de date cu caracter personal trebuie sa stabileasca termene limita pentru stergere sau pentru o revizie periodica pentru a se asigura ca datele nu sunt pastrate mai mult timp decat cel necesar (Considerentului 39 din Regulament).
4. In cele mai multe dintre situatii, determinarea scopului activitatilor de prelucrare a datelor cu caracter personal are la baza reglementarile europene sau dreptul intern aplicabil unei anumite activitati de prelucrare, reglementari care conduc la insasi conditiile generale ale Regulamentului (UE) 679/2016 care reglementeaza legalitatea prelucrarii datelor cu caracter personal (necesitatea executarii sau incheierii unui contract, necesitatea indeplinirii unei obligatii legale, interesul legitim al operatorului sau al unei terte parti s.a.m.d.). Pot exista si situatii in care scopul activitatilor de prelucrare poate sa fie chiar si buna functionare a activitatii propriu-zise a operatorului, adica operatorul are un interes legitim sa-si desfasoare activitatea, nefiind nevoie sa existe neaparat o prevedere legala expresa care sa intemeieze o anumita activitate de prelucrare dintre cele la care ne referim.
5. In unele situatii legea stabileste in mod expres un anumit termen minimal si obligatoriu de pastrare a diverselor categorii de documente ce contin date cu caracter personal caz in care operatorii de date nu ar trebui sa preintampine dificultati la stabilirea unor perioade de stocare a datelor. Exista insa si situatii in care regasim indicata doar obligatia pastrarii anumitor categorii de documente sau nu regasim nicio referire, desi operatorul are un interes legitim in pastrarea lor, ipoteze care ridica dificultati pentru operatorii de date cu caracter personal.
6. In realitate, termenul limita de pastrare a datelor cu caracter personal este dat de durata oricaruia dintre scopurile activitatilor de prelucrare, scopuri care se pot schimba/succeda in decursul activitatii propriu-zise a operatorului. Activitatile ce presupun prelucrarea datelor cu caracter personal nu de putine ori sunt repetitive, astfel incat pare ca majoritatea datelor personale, in cele mai multe cazuri, ar putea fi pastrate pe toata durata de existenta a operatorului.
7. Intelesul afirmatiei datele cu caracter personal trebuie sa fie stocate pentru o perioada cat mai scurta , poate fi inselator, putand indemna operatorii de date, din dorinta respectarii dispozitiilor Regulamentului, sa elimine prematur date cu caracter personal pretioase.
8. Care ar fi riscul ne-stabilirii unor perioade de stocare a datelor cu caracter personal? Datele personale pastrate prea mult timp vor deveni inutile, caz in care este putin probabil sa existe o baza legala pentru stocarea lor. Din perspective practice, dezavantajele pot fi reprezentate de costurile suplimentare asociate stocarii si asigurarii securitatii datelor personale inutile sau de ingreunare a identificarii celor necesare (de exemplu, in cazul formularii de catre persoana vizata a unei cereri de acces).
9. Pentru a evita neajunsurile la care ne-am referit o sugestie care poate fi luata in considerare este stabilirea unei cadente pentru activitatea de analiza a relevantei datelor cu caracter personal colectate si aflate pe diferite paliere de prelucrare. Desi aceasta sugestie pare simplu de pus in practica, in realitate costurile separarii datelor inutile de cele inutile, si care, deci, ar trebui sterse, pot sa fie destul de mari. Cu alte cuvinte, decelarea datelor in scopul limitarii stocarii si stergerii lor poate necesita costuri semnificative.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Obligatiile persoanelor juridice
31Mai2022
Despre obligatia de informare a persoanelor vizate cu privire la prelucrarea datelor cu caracter personal
de Andrei Savescu
31 Mai 2022
04Apr2022
Despre drepturile operatorilor in confruntarea cu persoanele vizate
de Andrei Savescu
04 Apr 2022
23Feb2022
Problema transparentei in cazul concursurilor pentru ocuparea unor posturi
de Andrei Savescu
23 Feb 2022
09Mar2020
Raspunderea angajatilor in cazul unui data breach, in contextul folosirii tehnologiei mobile
de Alexandra Jivan
09 Mar 2020
03Mar2020
Pastrarea pentru totdeauna a datelor cu caracter personal
de Andrei Savescu
03 Mar 2020
17Mar2019
Completare on-line a formularului privind responsabilul cu protectia datelor
de Laurentiu Petre
17 Mar 2019