Consideraţii asupra informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal

1. Considerații generale

Dreptul la informare, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului și participării acesteia în ceea ce privește prelucrarea datelor sale cu caracter personal[1]. De asemenea, dreptul la informare decurge din aplicarea principiilor prelucrării echitabile și transparente[2] a datelor personale, fiind în același timp un element al responsabilității impuse operatorilor în activitatea de prelucrare.

Prin instituirea obligației de informare s-a urmărit crearea cadrului în care persoanei vizate îi sunt furnizate de către operator informații, cu privire la existența operațiunii de prelucrare, și anumite detalii care țin de aceasta, indiferent dacă datele cu caracter personal au fost sau nu obținute de la persoana vizată.

Obligația operatorului de a furniza respectivele informații nu depinde de o solicitare venită din partea persoanei vizate, ci trebuie respectată proactiv de către operator, indiferent dacă persoana ale cărei date cu caracter personal sunt prelucrate se arată sau nu interesată de aceste informații[3].

Cerința informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal este cu atât mai importantă cu cât cunoașterea existenței prelucrării este o condiție necesară exercitării de către aceste persoane a dreptului lor de acces și de rectificare a datelor prelucrate, precum și a celorlalte drepturi de care beneficiază în contextul prelucrării[4].

2. Informarea persoanei vizate cu privire la perioada de stocare a datelor potrivit Regulamentul (UE) 2016/679[5]

Art. 13 și 14 din Regulamentul general privind protecția datelor (GDPR) precizează informațiile pe care operatorul este obligat să le furnizeze persoanei vizate, atunci când datele cu caracter personal au fost obținute de la persoana vizată, precum și când nu au fost obținute direct de la acesta din urmă. Subliniem că, în ambele situații, deși informațiile impuse în sarcina operatorului sunt divizate în două alineate, lista informațiilor este una exhaustivă și obligatorie, operatorul având obligația de a furniza toate aceste informații[6].

În ambele situații, operatorul, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, are obligația de a o informa și cu privire la perioada pentru care vor fi stocate datele sale cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă [art. 13 alin. (2) lit. a) și art. 14 alin. (2) lit. a) din GDPR][7].

Această obligație decurge din necesitatea de asigura persoanei vizate posibilitatea de a evalua legalitatea prelucrării datelor ale cu caracter personal prin raportare la principiul limitării legate de scop (datele trebuie colectate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri) și la principiul reducerii la minimum a datelor (datele trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate).

Potrivit considerentului (39) „(…)Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuirea periodică (…)”.

De aceea, în cadrul art. 5 din GDPR privind principiile legate de prelucrarea datelor cu caracter personal, alin. (1) lit. e) impune ca datele cu caracter personal să nu fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Aceasta este expresia principiului limitării legate de stocare, iar, de regulă[8], orice operațiune de prelucrare a datelor cu caracter personal trebuie să fie conformă acestuia.

Totuși, datele cu caracter personal pot fi stocate pe perioade mai lungi, în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu art. 89 alin. (1) din GDPR, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în Regulamentul (UE) 2016/679 în vederea garantării drepturilor și libertăților persoanei vizate.

Bineînțeles, posibilitatea de a prelucra datele cu caracter personal pe o perioadă care depășește perioada necesară îndeplinirii scopurilor pentru care au fost inițial colectate nu exonerează de regulă operatorul de la obligația de a informa persoana vizată cu privire la perioada pentru care vor fi stocate datele sale cu caracter personal sau criteriile utilizate pentru a stabili această perioadă, chiar și atunci când datele sunt prelucrate în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.

3. Conținutul informării cu privire la perioada de stocare a datelor potrivit Comitetului European pentru Protecția Datelor

Potrivit Grupului de Lucru Art. 29[9], perioada de stocare sau criteriile pentru a determina durata, după caz, sunt indicate, de regulă, în cadrul unor prevederi legale sau decurg din interpretarea acestora[10].

În privința redactării, Grupul de Lucru Art. 29 a subliniat că informarea ar trebui astfel formulată încât să-i permită persoanei vizate a estima, în funcție de situația sa concretă, care va fi perioada de păstrare pentru respectivele date/scopuri, iar, prin urmare, nu este suficient ca operatorul să indice la modul general faptul că datele vor fi păstrate pe perioada necesară scopului legitim al prelucrării.

În plus, atunci când această informație este relevantă, operatorul ar trebui să indice diferitele perioade de stocare pentru fiecare categorie de date cu caracter personal în parte și/sau pentru fiecare scop al prelucrării în parte, inclusiv perioada de arhivare acolo unde este cazul.

Perioada de arhivare poate fi extrasă de operator – în calitate de creator și deținător de documente – din nomenclatorul arhivistic prevăzut de Legea Arhivelor Naționale[11], iar termenele-limită preconizate pentru ștergerea diferitelor categorii de date (perioadele de păstrare) ar trebui să fie disponibile în evidența activităților de prelucrare pe care, în principiu, fiecare operator este obligat să o păstreze[12] și care reprezintă unul dintre instrumentele prin care operatorii pot să dovedească conformitatea cu prevederile Regulamentului (UE) 2016/679[13].

Reamintim cu această ocazie că, potrivit considerentului (74), „operatorul ar trebui (…) să fie în măsură să demonstreze conformitatea activităților de prelucrare (s.n.) cu prezentul regulament”, iar considerentul (82) precizează că „în vederea demonstrării conformității cu prezentul regulament, operatorul (…) ar trebui să păstreze evidențe ale activităților de prelucrare (s.n.) aflate în responsabilitatea sa”.

4. Executarea obligației de informare de către Google – sancțiunea pronunțată de Commission Nationale de l’Informatique et des Libertés (Franța)

La data de 21 ianuarie, Commission Nationale de l’Informatique et des Libertés (CNIL), autoritatea franceză de control în materia protecției datelor cu caracter personal, a pronunțat o sancțiune pecuniară în cuantum de 50 milioane euro contra societății Google LLC[14]. Unul din elementele ce au determinat aplicarea acestei sancțiuni a fost reprezentat de încălcarea obligației de transparență care, potrivit CNIL, constituie o garanție fundamentală ce permite persoanelor vizate să mențină controlul asupra datelor lor. De altfel, și considerentul (7) prevede că persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru aceste persoane ar trebui să fie consolidată.

Referindu-se la informațiile cuprinse în secțiunea „Cum păstrează Google datele colectate”[15], subsecțiunea „Informațiile păstrate pentru perioade extinse în scopuri limitate”, CNIL a constat că aceasta din urmă nu conține decât explicații foarte generale privind scopul păstrării acestor date și nu este indicată nicio durată precisă sau criteriile utilizate pentru a stabili această perioadă.

DOWNLOAD FULL ARTICLE


* Acest material a fost prezentat în cadrul Conferinței Europene a Serviciilor Financiare (European Conference on Financial Services – ECFS 2019), organizată în perioada 21-22 martie 2019 la Brașov de către Institutul de Studii Financiare din București, Asociația Centrul de Arbitraj și Mediere în Asigurări (ACAMA) din București și Societatea Română de Cercetare pentru Afaceri Publice și Private din Târgu-Mureș, în parteneriat cu Universitatea de Medicină, Farmacie, Științe și Tehnologie din Târgu-Mureș și Universitatea Transilvania din Brașov. Trimiterile web au fost verificate sau/și accesate ultima dată la 15 martie 2019..

[1] G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015, p. 81.

[2] Pentru analiza celor două principii, se vedea D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018, pp. 57-63; D.-M. Șandru, Principiul transparenței în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018, pp. 59-67.

[3] A se vedea Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg, Oficiul pentru Publicații al Uniunii Europene, 2014, p. 99.

[4] CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara și alții, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), pct. 33 din considerente.

[5] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.

[6] A se vedea S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017, p. 136.

[7] O obligație identică de informare există și în cazul exercitării dreptului de acces în temeiul art. 15 din GDPR. Potrivit art. 15 alin. (1) lit. d) din GDPR: „Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații: (…) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă”.

[8] Sub rezerva derogărilor ce pot fi adoptate de statele membre în temeiul art. 23 din GDPR, atunci când astfel de restricții respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică.

[9] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, pp. 38-39, document disponibil la adresa: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025. Succesorul acestuia, Comitetul european pentru protecția datelor (CEPD) și-a însușit poziția Grupului de lucru art. 29. A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.

[10] De exemplu Legea nr. 82/1991 a contabilității, republicată în M. Of. nr. 454 din 18 iunie 2008.

[11] A se vedea art. 8 alin. (2) din Legea nr. 16/1996, republicată în M. Of. nr. 293 din 22 aprilie 2014, precum și Anexa nr. 1 la Instrucțiunile privind activitatea de arhivă la creatorii și deținătorii de documente, aprobate de conducerea Arhivelor Naționale prin Ordinul de zi nr. 217 din 23 mai 1996, document disponibil la adresa: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf.

[12] În acest sens a se vedea Article 29 Data Protection Working Party, Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR, 19.04.2018, p. 2, document disponibil la adresa: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51422.

[13] În doctrină s-a precizat că obligația de notificare la autoritatea de supraveghere a fost înlocuită cu cea de păstrare a evidențelor activităților de prelucrare; a se vedea S. Șandru, Protecția datelor…, op. cit., p. 389.

[14] Commission Nationale de l’Informatique et des Libertés, Délibération de la formation restreinte n° SAN 2019-001 du 21 février 2016 prononçant une sanction pécuniaire à l’encontre de la société Google LLC, disponibilă la adresa: https://www.legifrance.gouv.fr/affichCnil.dooldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=210338794
5&fastPos=1.

[15] A se vedea: https://policies.google.com/technologies/retention?hl=ro.

Considerații asupra informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal was last modified: iulie 8th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii