Articol publicat pe site-ul BURSA On Line, ediția din 22.05.2018
OPINII
Datele cu caracter personal la ceasul curățeniei de primăvară
click aici
Mirela Săvulescu, Human capital expert (stânga), Avocat Anca Zegrean, Head of Labor Practice, Biriș Goran(dreapta)
     Trăind alături de alți oameni, zi de zi, nu se poate să nu fi observat faptul că românii și-au făcut o tradiție din obiceiul de a strânge orice hârtie cu pretenție mai mult sau mai puțin oficială.

     Ghidându-ne după bunul principiu cum că niciodată nu știi când îți trebuie, devenim mici castori constructori, punem document peste document, baze de date culese peste alte baze de date culese până egalăm barajul Jinping I!

     Același lucru se întâmplă în orice business, fie că discutăm despre IMM-uri, fie că ne referim la multinaționale, cantitatea de date cu caracter personal prelucrată este imensă.

     Odată cu alinierea la GDPR va trebui să ne punem următoarea întrebare: Avem, oare, nevoie de toate aceste date? Și, la pachet cu această întrebare, vine sora ei mai mică, dar care pune în dificultate interlocutorii: cât timp păstrăm datele cu caracter personal?

     GDPR oferă următorul răspuns: păs-trăm datele cu caracter personal până când atingem scopul prelucrării aces-tor date. Această regulă reflectă principiul 5 impus prin GDPR și este în strânsă legătura cu principiile 3 si 4. Astfel, prin stabilirea corectă a perioadei de retenție a datelor se evită prelucrarea unor date irelevante, incorecte sau neactualizate.

     GDPR nu prevede perioade minime sau maxime de retenție a datelor, însă prin principiile edictate (care trebuie respectate continuu și simultan) responsabilizează operatorul. Astfel, o bună practică din perspectiva GDPR impune (re)evaluarea periodică a scopului prelucrării, pentru a se evita situațiile în care prelucrarea continuă deși scopul a fost atins. De exemplu, în cazul în care scopul prelucrării este reclama sau publicitatea, atunci datele cu caracter personal prelucrate vor fi păstrate pe durata campaniei publicitare.

     De asemenea, perioada de retenție se va stabili și prin raportare la temeiul legal al prelucrării. În cazurile în care prelucrarea se realizează (și) în scopul executării unei obligații legale, termenele de retenție sunt în multe situații prevăzute prin acte normative. Conformarea GDPR nu poate în niciun caz să conducă la încălcarea altor obligații legale, inclusiv cele în materie de arhivare. Astfel, cu titlu de exemplu, statele de plată se păstrează pentru 50 de ani, dosarele de personal 75 de ani, actele contabile între 5 si 10 ani. Similar, există prevederi în domeniul medical, notarial etc.

     În lipsa unor prevederi legale exprese, în anumite cazuri este necesar ca datele prelucrate să fie reținute pentru o perioadă mai lungă, chiar după atingerea scopului inițial. Ne referim în particular la retenția datelor pentru protejarea intereselor operatorului, formularea unor apărări în cadrul dosarelor litigioase, în scop probatoriu în cazul unor controale din partea autorităților. În aceste cazuri se recomandă stabilirea perioadei de retenție prin raportare la durata perioadei de prescripție. De exemplu în domeniul comunicațiilor electronice, păstrarea datelor abonaților legate de trafic, facturare, stabilirea obligațiilor de plată se va face până la împlinirea a 3 ani de la data scadenței obligației de plată.

     Un alt exemplu vine din zona de resurse umane: rezultatele evaluărilor personalului reprezintă date cu caracter personal. Dacă aceste rezultate stau la baza acordării unor prime, bonusuri, sporuri atunci vor fi păstrate pe o perioadă de 3 ani de la data nașterii dreptului salariatului la acțiune, în cazul în care angajatorul nu a acordat drepturile salariale cuvenite.

     Rămâne la latitudinea operatorului să stabilească sau după caz să identifice perioadele de prelucrare și implicit retenție a datelor cu caracter personal prin prisma activității des-fășurate și a nevoilor organizatorice specifice.

     Principiile și regulile GDPR se aplică inclusiv în domeniul public. Astfel, structurile MAI care desfășoară activități de prevenire, cercetare și combatere a infracțiunilor și de menținere a ordinii publice, au elaborat o serie de reguli privind păstrarea log-urilor de acces (mai ales codul de identificare al utilizatorului), în sensul că acestea vor fi păstrate timp de 2 ani.

     Așadar, deși instinctul ne poate îndemna să păstram datele cât mai mult timp, în caz că am putea avea nevoie de acestea la un anumit moment din viitor, alinierea la GDPR ne impune să aerisim arhivele și să stabilim prin politici și proceduri interne perioada pentru care sunt păstrate datele cu caracter personal respectând, bineîn-țeles, termenele prevăzute de legile aplicabile domeniului de activitate al operatorului sau împuternicitului și, desigur, necesitățile organizaționale.

     În concluzie, odată cu aplicabilitatea GDPR din 25 mai, i-a venit si vremea adevăratei curățenii de primăvară. Atenție mare la ce trebuie șters repede de tot, și ne referim aici la toate datele personale colectate istoric și păstrate cu încăpățânare în companie. Ștergere acompaniată de scrierea rapidă a unor politici interne care să prevină adunarea rapidă a următoarelor documente, după fix același sistem anterior! 
MIRELA SĂVULESCU și ANCA ZEGREAN
 

 

.