avocatnet.ro 
Pentru a înțelege de ce este important pentru o firmă să își limiteze perioada de retenție a datelor la ceea ce este necesar, este important să pornim de la faptul că orice prelucrare de date (care înseamnă inclusiv activitatea de stocare și arhivare) trebuie să fie justificată în baza unui temei (de exemplu, există consimțământ pentru prelucrare sau firma are un interes legitim să prelucreze date). Însă această justificare trebuie să existe pe toată perioada în care date personale sunt arhivate de către o firmă. Dacă, între timp, dispare temeiul pentru care datele au fost prelucrate, nu mai există nicio justificare pentru păstrarea datelor.
De exemplu, o firmă trimite oferte comerciale prin mail unei persoane, în baza interesului legitim, în considerarea faptului că acea persoană a cumpărat, de mai multe ori, un anumit tip de produse de la acea firmă. Este rezonabil pentru firmă să considere că persoana în cauză s-ar aștepta la oferte comerciale cu privire la acele tipuri de produse. Între timp, acele produse nu mai sunt comercializate. Într-o asemenea situație, s-ar putea argumenta că persoana nu va mai avea așteptări rezonabile să i se facă oferte comerciale cu privire la produse din altă gamă, total diferite. Retenția datelor nu ar mai fi justificată.
De asemenea, orice prelucrare trebuie să se limiteze strict la ceea ce este necesar („principiul reducerii la minimum a datelor”). Dacă o firmă prelucrează date la un anumit moment, în timp arhivarea lor s-ar putea să nu mai fie necesară, deși, la început, era justificată. De aceea, ele trebuie șterse imediat ce nu mai sunt necesare.
De aici derivă și o altă obligație pentru firme - implementarea unor proceduri tehnice care să le permită ștergerea datelor personale, din momentul în care ele nu mai sunt necesare. Practic, acest lucru ar însemna că arhivarea datelor se va face în funcție de perioada de retenție, lucru care ar facilita identificarea datelor a căror păstrare nu mai este necesară. În plus, ar fi indicată introducerea în registre, pe cât posibil, a perioadei de retenție a datelor prelucrate, pentru a demonstra că au fost luate măsuri concrete pentru păstrarea datelor strict cât este necesar.
Astfel de lucruri au fost reamintite și de către Autoritatea germană pentru protecția datelor, din Berlin. Aceasta a sancționat o companie imobiliară cu 14,5 milioane de euro pentru că nu a ținut cont de nici una din obligațiile menționate mai sus. În același timp, amenda a fost justificată și de faptul că, anterior investigației ce a dus la sancțiunea în cauză, compania mai fusese investigată anterior și i se solicitase să remedieze practicile de retenție, care nu erau în acord cu GDPR. În ciuda acestui lucru, compania nu a remediat aceste aspecte.
Atenție! Deși e vorba de practica unei autorități de protecție a datelor din Germania, această practică este relevantă și pentru România, din cauză că se aplică același cadru legislativ, când vine vorba de protecția datelor. Bineînțeles, chiar dacă este greu să vedem amenzi la fel de ridicate și la noi, sancțiunea prezentată mai sus relevă importanța limitării retenției datelor, în timp, la ceea ce este necesar.
Geo Mihai
Comentarii articol (0)