Consideraţii asupra informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal
Silviu-Dorin Şchiopu - aprilie 2, 2019Astfel, CNIL a considerat că o informare de tipul: „Uneori, cerințele comerciale și legale ne obligă să păstrăm anumite informații, în scopuri specifice, pentru o perioadă extinsă. De exemplu, când Google procesează o plată pentru dvs. sau când faceți o plată către Google, vom păstra datele respective pentru perioade mai lungi de timp, după cum este necesar pentru scopurile fiscale sau contabile. Printre motivele pentru care este posibil să păstrăm anumite date pentru perioade mai lungi de timp se numără: securitatea și prevenirea fraudei și abuzurilor, ținerea evidenței financiare, respectarea cerințelor legale sau reglementărilor, asigurarea continuității serviciilor noastre, comunicările directe cu Google”[16], încalcă obligaţia de transparenţă prevăzută de art. 13 din GDPR ce priveşte informațiile care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată.
Un aspect interesant este acela că, în urmă cu aproape 13 ani, CNIL a recomandat operatoriilor de date cu caracter personal ca, în cadrul mijloacelor de arhivare electronică, să stabilească proceduri apte a gestiona perioadele distincte de păstrare în funcţie de categoriile de date pe care le colectează şi să fie în măsură a efectua, după caz, orice eliminare sau distrugere selectivă a datelor[17].
Această recomandare ne aminteşte de considerentul (78) potrivit căruia „pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii (data protection by design) și cel al protecției implicite a datelor (data protection by default)” şi anticipează conținutul art. 25 alin. (2) din GDPR care prevede că operatorul are obligaţia de a pune „în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării”, iar această obligație se aplică inclusiv perioadei de stocare a datelor colectate.
Deci, ab initio, operatorul ar trebui să cunoască şi să comunice persoanei vizate perioada determinată pentru care va prelucra datele cu caracter personal sau cel puţin să poată indica criteriile utilizate pentru a stabili această perioadă, astfel încât persoana vizată să poată estima, în funcție de situația sa concretă, care va fi perioada de păstrare pentru respectivele date, ceea ce Google evident că nu a făcut.
5. Executarea obligației de informare de către unele societăți de asigurare din România
În continuare vom prezenta câteva extrase[18] privind perioada de stocare a datelor cu caracter personal din notele de informare prin care unele societăţi de asigurare au înţeles să-şi execute obligaţia de transparență prevăzută de Regulamentul general privind protecția datelor.
a) „Datele personale vor fi prelucrate cel puțin pe durata de valabilitate a contractului de asigurare, precum şi ulterior, pe durata necesară executării obligațiilor contractuale de către oricare dintre părți. Datele personale vor fi stocate atât timp cât este necesar pentru scopurile menționate mai sus sau pe perioada de timp prevăzuta de dispozițiile legale generale precum şi cele aplicabile în materie de asigurări (s.n.), în acord cu Nomenclatorul Arhivistic aplicabil la nivelul (…)”[19] (actualizată la 31 iulie 2018);
b) „Datele personale vor fi prelucrate cel puțin pe durata de valabilitate a contractului de asigurare, precum și ulterior, pe durata necesară executării obligațiilor contractuale de către oricare dintre părți. Datele personale vor fi stocate atât timp cât este necesar pentru scopurile menționate mai sus sau pe perioada de timp prevăzută de dispozițiile legale generale, precum și cele aplicabile în materie de asigurări (s.n.), în acord cu Nomenclatorul Arhivistic aplicabil la nivelul (…)”[20] (actualizată în septembrie 2018);
c) „Datele personale vor fi păstrate pe toată durata contractului de asigurare. Ulterior încetării contractului, datele personale vor fi păstrate pentru perioada necesară apărării în instanţă sau în faţa altor autorităţi publice a drepturilor şi intereselor asiguratorului (perioadă stabilită în funcţie de modul de calcul al termenelor de prescripţie a dreptului la acţiune). De asemenea, datele personale pot fi păstrate pe perioada legală necesară arhivării lor”[21] (fără dată privind ultima actualizare);
d) „Datele cu caracter personal vor fi păstrate pentru o perioada de maxim 1 an, în cazul în care nu se încheie contract de asigurare, respectiv, pe o perioadă de 10 ani după încetarea relației de asigurare. Perioada păstrării este în relație directă cu îndeplinirea scopurilor menționate mai sus sau pentru îndeplinirea unor obligații legale din domeniul asigurărilor sau a oricăror alte obligații legale (arhivare etc.). În cazul unor litigii, datele vor fi păstrate pentru perioada necesară finalizării litigiului. În cazul prelucrării datelor în scop de marketing, datele personale colectate vor fi păstrate pe perioada derulării contractelor de asigurare la care se adaugă 1 an”[22] (actualizată la 6 august 2018);
e) „Datele personale vor fi păstrate pentru perioada de timp prevăzută de dispoziţiile legale specifice în materie de asigurări şi atât timp cât rămân necesare pentru scopurile menţionate mai sus (s.n.)”[23] (actualizată la 21 mai 2018);
f) „Datele dumneavoastră cu caracter personal colectate pentru încheierea contractului de asigurare, pentru executarea acestuia, inclusiv pentru acordarea de despăgubiri, vor fi reținute în baza de date (…), pentru faza de ofertare 60 de zile de la data emiterii ofertei şi după încheierea contractului, pe perioada în care dvs. sunteţi contractant (…), client, beneficiar al despăgubirii (inclusiv terţ de contract, în condițiile în care efectele contractului se produc față de dvs.), la care se va adaugă perioada de timp în care datele sunt necesare pentru exercitarea de către (…) a drepturilor rezultând din contractul/contractele de asigurare şi pentru îndeplinirea obligațiilor rezultând din legislaţie şi din reglementările interne privitoare la stocare (s.n.)”[24] (actualizată în mai 2018);
g) „Datele dvs. cu caracter personal sunt stocate pe perioada necesară pentru a respecta diversele obligații legale sau reglementare. În cazul contractelor de asigurare, dosarele clienţilor sunt păstrate de regulă 10 ani de la expirarea poliţei sau de la ultima operaţiune pe dosarul respectiv (oricare dintre acestea intervine mai târziu), iar în cazul ofertelor neurmate de încheierea unui contract de asigurare datele sunt păstrate de regulă maxim 2 luni. La expirarea termenului de păstrare, datele vor fi şterse”[25] (actualizată la 20 mai 2018);
h) „Pentru a determina perioada pentru care vor fi prelucrate datele, luăm în calcul durata contractuală până la expirarea obligaţiilor contractuale şi termenele de arhivare (s.n.)”[26] (fără dată privind ultima actualizare).
Fără a intra într-o analiză de detaliu a fiecărei note de informare, cu mici excepţii[27], este vădită absenţa transparenţei, atât prin raportare la modul în care este reglementată obligaţia de informare privind perioada de stocare a datelor cu caracter personal, cât şi faţă de Orientările Grupului de Lucru Art. 29 privind transparența în temeiul Regulamentului 2016/679. Precum în cazul Google, în principiu, nu avem decât explicaţii foarte generale privind scopul păstrării acestor date şi nu este indicată nicio durată precisă sau criteriile utilizate pentru a stabili această perioadă.
Simpla trimitere la perioada de timp necesară îndeplinirii scopurilor prelucrării sau la obligaţiile legale ale operatorului nu poate constitui enunţarea unui criteriu privind stabilirea perioadei de stocare a datelor cu caracter personal, iar în cazul datelor colectate direct de la persoana vizată nu operează excepţia prevăzută de art. 14 alin. (5) lit. c) din GDPR, potrivit căruia obligaţia de informare nu există în situaţia în care obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate. În plus, menţionarea nomenclatoarelor arhivistice apare ca fiind ad pompam et ostentationem în condiţiile în care accesarea acestora nu este posibilă din locul consultării notei de informare.
S-ar putea argumenta că, potrivit art. 13 alin. (4) și art. 14 alin. (5) lit. a) din GDPR, operatorul nu are obligația de a informa persoana vizată în măsura în care persoana vizată deține deja informațiile respective, însă Grupului de Lucru Art. 29 a precizat că principiul responsabilității impune operatorilor să demonstreze și să documenteze ce informații deja deține persoana vizată, când și cum le-au primit, astfel că proba cade în sarcina exclusivă a operatorului de date cu caracter personal[28].
6. În loc de concluzii
Cele nouă luni de aplicare a Regulamentului general privind protecția datelor în cazul societăţilor de asigurare nu pot stârni decât nedumerirea celor care s-au aplecat asupra acestui act normativ, cel puțin în privința informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal. Opacitatea informării se datorează unei deficiențe în implementarea unor aspecte ale Regulamentului (UE) 2016/679, precum Registrul de evidență a activităților de prelucrare sau decurge dintr-o înțelegere superficială a modului în care legiuitorul european a reglementat conținutul informării privind prelucrarea datelor cu caracter personal?
Bibliografie:
– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016;
– Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicată în M. Of. nr 651 din 26 iulie 2018;
– Legea nr. 16 din 2 aprilie 1996 a Arhivelor Naţionale, republicată în M. Of. nr. 293 din 22 aprilie 2014;
– Instrucţiunile privind activitatea de arhivă la creatorii şi deţinătorii de documente, aprobate de conducerea Arhivelor Naţionale prin Ordinul de zi nr. 217 din 23 mai 1996, document, disponibil la adresa: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf;
– Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, document, disponibil la adresa: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025;
– European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, document disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.p
df;
– Agenţia pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislaţie europeană privind protecţia datelor, Luxemburg, Oficiul pentru Publicaţii al Uniunii Europene, 2014;
– Commission Nationale de l’Informatique et des Libertés, Délibération n°2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel, document disponibil la adresa: https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957;
– CNIL, Délibération de la formation restreinte n° SAN 2019-001 du 21 février 2016 prononçant une sanction pécuniaire à l’encontre de la société Google LLC, document disponibil la adresa: https://www.legifrance.gouv.fr/affichCnil.dooldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1;
– D.-M. Şandru, Principiul echităţii în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018;
– D.-M. Şandru, Principiul transparenţei în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018;
– S. Șandru, Protecția datelor personale și viața privată, Ed. Hamangiu, Bucureşti, 2016;
– S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, Bucureşti, 2017;
– G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015.
[16] Ibidem.
[17] A se vedea Commission Nationale de l’Informatique et des Libertés, Délibération n°2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel, document disponibil la adresa: https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957.
[18] Citatele nu sunt întru totul fidele, întrucât acolo unde a fost necesar am adăugat diacriticele lipsă.
[19] Notificare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.allianztiriac.ro/v_1533050823972/media/GDPR-notificarea-privind-prelucrarea-datelor/Notificare_privind_prelucrarea_datelor_personale_PF.PDF. Pagina https://www.allianztiriac.ro/gdpr-notificare-prelucrare-date-caracter-personal/ a fost actualizată la data de 20 februarie 2019, însă fără modificarea conținutului informării privind perioada de stocare.
[20] Informare cu privire la prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.asirom.ro/resources/user_doc/F226_informare%20DCP_20180523.pdf.
[21] Notă de informare privind prelucrarea datelor cu caracter personal, disponibilă la adresa: https://www.bcrasigviata.ro/resources/user_doc/Nota%20de%20informare%20prelucrare%20date.pdf.
[22] Notă de informare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://cityinsurance.ro/wp-content/uploads/2018/07/1_Nota%20de%20informare.pdf.
[23] Notificare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.euroins.ro/notificare-privind-protectia-datelor,316.html.
[24] Informare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.generali.ro/wp-content/uploads/2018/05/Informare-privind-prelucrarea-datelor-cu-caracter-personal.pdf.
[25] Notă de informare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.groupama.ro/politica-de-confidentialitate.
[26] Prelucrarea datelor personale, document disponibil la adresa: https://www.nn.ro/prelucrare-date.
[27] A se vedea exemplele de la lit. d), f), g) care, deşi indică unele perioade de stocare, totuşi nu precizează perioada de arhivare şi nici nu disting între perioadele de stocare aferente fiecărei categorii de date cu caracter personal în parte şi/sau pentru fiecare scop al prelucrării în parte.
[28] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018, p. 27.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.