Prin intermediul seriei de articole GDPR Reminder venim în sprijinul operatorilor de date și reamintim cateva aspecte de interes care fac parte din activitatea de zi cu zi a acestora, dar care încă ridică semne de întrebare în practică și subliniem modalitățile prin care acestea pot fi clarificate prin raportare la reglementările interne deja existente.

Raluca Pușcaș, Alexandra DunăreanuFoto: Filip & Company

La împlinirea a 2 ani de la aplicarea Regulamentului general privind protecția datelor (UE) 2016/679 (“GDPR”), stocarea datelor cu caracter personal nu este o noutate, ci reprezintă o sintagmă des întâlnită, pe care atât operatorii de date, cât și persoanele vizate s-au obișnuit să o întâlnească în documentele care privesc prelucrarea datelor, fiind unul dintre elementele obligatorii care se regăsește în conținutul notelor de informare privind activitățile de prelucrare a datelor.

Deși în acești 2 ani operatorii de date au înțeles și au întreprins demersuri pentru a se conforma cu cerințele GDPR, implementarea acestora a demonstrat aproape de fiecare dată faptul că de la teorie și până la aplicarea în practică trebuie parcurși o serie de pași esențiali fără de care nu poate fi asigurată conformarea cu GDPR.

Acesta este și cazul aplicării principiului limitării legate de stocarea datelor cu caracter personal, caz în care, de cele mai multe ori, operatorii de date s-au confruntat cu dificultati in a indica o durată efectivă de stocare a datelor cu caracter personal prelucrate în scopurile și temeiurile legale pe care aceștia le-au identificat.

Astfel, se poate observa cum în practică se apelează în continuare la utilizarea prevederii conform căreia ”datele sunt prelucrate pe durata necesară îndeplinirii scopurilor pentru care sunt prelucrate datele”, fără a fi precizată o durată anume de stocare la împlinirea căreia persoana vizată să se poată aștepta în mod rezonabil ca datele sale să fi fost șterse din baza de date a operatorului sau, acolo unde este cazul, supuse regulilor privind arhivarea.

Prin raportare la cele de mai sus, aspectul de interes referitor la conformarea cu GDPR nu este acela al prevederii sau modalității de formulare utilizată în documentele de informare pe care operatorul alege să le comunice persoanelor vizate, ci a faptului că în spatele acelor prevederi referitor la ”durata prelucrării” stau neclarități privind modalitatea efectivă de gestionare a datelor la nivel intern, adică stocare, arhivare și în final ștergere a datelor.

Așadar, pentru a se asigura că îndeplinește cerințele limitării legate de stocare prevăzute de GDPR, operatorul de date trebuie să pornească în primul rând de la identificarea și/sau stabilirea perioadei necesare îndeplinirii scopurilor pentru care urmărește a prelucra datele.

Astfel, scopul prelucrării, dar și tipul documentelor în cuprinsul cărora se regăsesc datele sunt printre elementele esențiale care trebuie avute în vedere la determinarea identificării și/sau stabilirii duratei de păstrare a datelor, după cum urmează:

  • Identificarea

Există situații precum cele aferente prelucrărilor specifice gestionării activității de resurse umane, când termenele de păstrare a documentelor și, implicit, a datelor din cuprinsul documentelor sunt prevăzute de legislația aplicabilă (de exemplu, obligativitatea păstrării dosarelor de personal pe o perioadă de 75 de ani de la crearea acestora). Așadar, în acest caz, operatorul va proceda la identificarea respectivelor prevederi legale aplicabile și a termenelor de păstrare a datelor și le va aplica în consecința, îndeplinind astfel si cerințele GDPR.

  • Stabilirea

Pentru situația în care nu există prevederi legale exprese privind durata de prelucrare a datelor, operatorul va proceda la stabilirea la nivel intern a unui termen de prelucrare, având în vedere faptul că prelucrarea pe o durată nedeterminată a datelor nu este în acord cu principiile GDPR. Așadar, pentru a se asigura că datele sunt prelucrate cu garantarea drepturilor și libertăților persoanelor vizate (de exemplu, cu asigurarea exactității, integrității și confidențialității datelor), operatorii pot avea în vedere stabilirea duratei exacte de prelucrare prin redactarea și implementarea unor politici sau proceduri interne.

În plus față de cele de mai sus, o recomandare referitor la mijloace de ghidare concrete în vederea identificării și/sau stabilirii perioadei de păstrare a datelor o reprezintă nomenclatorul arhivistic, document care în cele mai multe cazuri deja există la nivelul companiilor și pe care operatorii de date îl pot utiliza în acest scop.

Nu în ultimul rând, operatorii de date nu trebuie să uite că o bună gestionare a datelor încă de la momentul colectării acestora, îi ajută în mod continuu și cu privire la respectarea tuturor celorlalte principii prevăzute de GDPR, dar mai ales în situații practice, precum gestionarea cererilor de ștergere a datelor pe care le primesc de la persoanele vizate și în raport cu care trebuie să furnizeze un răspuns în termenul limită de 30 de zile.

Astfel, în contextul existenței unor reglementări interne privind stocarea datelor, argumentarea posibilității sau imposibilității de a da curs cererii de ștergere în totalitate a datelor va fi realizată cu ușurință și cu posibilitatea furnizării unor motive fundamentate pe mijloacele de gestionare internă care reflectă și responsabilitatea operatorului în acest sens.

În concluzie, împlinirea a 2 ani de la aplicarea GDPR poate fi văzută de operatorii de date atât prin raportare la faptul că au depus eforturi constante în a se alinia cu cerințele GDPR, dar și ca o nouă oportunitate de a reanaliza consecințele modalităților de implementare la nivel intern de până la acest moment și de a avea în vedere noi aspecte privind îmbunătățirea constantă a acestora.

Articol semnat de Raluca Pușcaș, Partner Filip & Company și Alexandra Dunăreanu, Associate Filip & Company