GDPR, cadrul legal european unic în materie de protecție a datelor personale, prevede că datele pot fi păstrate numai atât timp cât sunt necesare scopurilor pentru care sunt prelucrate.
Concret, regulamentul prevede că datele personale trebuie „păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele”.
Asta înseamnă că firmele sunt libere să stabilească singure perioadele pentru care păstrează datele personale, însă acestea trebuie să fie cât mai mici. Practic, firmele trebuie să stabilească termene exacte pentru ștergerea datelor sau pentru revizuirea lor periodică, pentru a analiza dacă prelucrarea mai este necesară sau nu.
„Ori de câte ori se realizează o operațiune de prelucrare, trebuie menționată foarte clar perioada pentru care se vor stoca datele în cauză, iar această perioadă nu trebuie să fie mai mare decât perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. (...) GDPR nu cuprinde, în textul său, perioade pentru care trebuie stocate datele în anumite tipuri de prelucrare”, a spus Alin Popescu, avocat cu o experiență extinsă în pregătirea pentru implementarea GDPR.
Specialistul spune că firma trebuie să stabilească perioadele de prelucrare:
- ori prin analiza practică a situației (de exemplu, e-mail-urile persoanelor fizice, ce sunt prelucrate pentru trimiterea de oferte comerciale, nu pot fi păstrate zeci de ani dacă abonații nu reacționează niciodată la comunicările primite);
- ori prin respectarea unor obligații legale ce impun anumite termene de păstrare a unor documente prin care sunt prelucrate date (de exemplu, documentele financiar-contabile precum ordinul de deplasare, decontul de cheltuieli sau chitanța trebuie păstrate cinci ani, iar statele de salarii trebuie păstrate 50 de ani).
E bine să existe o politică internă de retenție a datelor
O politică internă privind retenția datelor personale prelucrate este una dintre politicile necesare oricărei companii care prelucrează date, în procesul de conformare la obligațiile impuse de GDPR.
Conform autorității britanice din domeniul protecției datelor personale (ICO), printr-o asemenea politică trebuie stabilite, oriunde este posibil, perioade-standard de retenție pentru categoriile diferite de informații prelucrate.
„Politicile de retenție sau programele de retenție enumeră tipurile de înregistrări sau informații pe care le dețineți, pentru ce le folosiți și cât timp intenționați să le păstrați. Ele vă ajută să stabiliți și să documentați perioadele-standard de păstrare pentru diferite categorii de date personale”, au explicat reprezentanții ICO. Aceștia au subliniat că este bine ca firma să aibă un sistem prin care se asigură că perioadele sunt respectate efectiv de angajați.
De ce este important ca datele personale să fie păstrate pentru perioade limitate? „Asigurându-vă că ștergeți sau anonimizați datele personale atunci când nu mai aveți nevoie de acestea, se reduce riscul ca acestea să devină irelevante, excesive, inexacte sau depășite. Pe lângă faptul că vă ajută să respectați principiile de minimizare a datelor și acuratețe, acest lucru reduce și riscul de a utiliza astfel de date în mod eronat - în detrimentul tuturor celor vizați”, au punctat oficialii ICO.
În plus, dacă e să luăm în calcul partea practică, ICO spune că este ineficient să păstrezi mai multe date decât ai nevoie, mai ales dacă există costuri aferente (arhivare și securitate) care devin astfel inutile.
Referitor la ce trebuie făcut cu datele personale care nu mai sunt necesare firmei, răspunsul este ștergerea sau anonimizarea. În primul caz, asta înseamnă inclusiv distrugerea datelor păstrate offline (chiar dacă ele nu mai sunt păstrate online, tot prelucrare se numește dacă sunt păstrate offline). În al doilea caz, anonimizarea înseamnă pur și simplu aducerea datelor într-o formă ce nu mai permite identificarea persoanelor fizice.
Deși se pot folosi sisteme automate pentru ștergerea datelor personale, autoritatea irlandeză din domeniul protecției datelor recomandă ca firma să numească un salariat care să se asigure că datele inutile sunt șterse periodic.