Consideraţii asupra informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal

Astfel, CNIL a considerat că o informare de tipul: „Uneori, cerințele comerciale și legale ne obligă să păstrăm anumite informații, în scopuri specifice, pentru o perioadă extinsă. De exemplu, când Google procesează o plată pentru dvs. sau când faceți o plată către Google, vom păstra datele respective pentru perioade mai lungi de timp, după cum este necesar pentru scopurile fiscale sau contabile. Printre motivele pentru care este posibil să păstrăm anumite date pentru perioade mai lungi de timp se numără: securitatea și prevenirea fraudei și abuzurilor, ținerea evidenței financiare, respectarea cerințelor legale sau reglementărilor, asigurarea continuității serviciilor noastre, comunicările directe cu Google[16], încalcă obligația de transparență prevăzută de art. 13 din GDPR ce privește informațiile care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată.

Un aspect interesant este acela că, în urmă cu aproape 13 ani, CNIL a recomandat operatoriilor de date cu caracter personal ca, în cadrul mijloacelor de arhivare electronică, să stabilească proceduri apte a gestiona perioadele distincte de păstrare în funcție de categoriile de date pe care le colectează și să fie în măsură a efectua, după caz, orice eliminare sau distrugere selectivă a datelor[17].

Această recomandare ne amintește de considerentul (78) potrivit căruia „pentru a fi în măsură să demonstreze conformitatea cu prezentul regulament, operatorul ar trebui să adopte politici interne și să pună în aplicare măsuri care să respecte în special principiul protecției datelor începând cu momentul conceperii (data protection by design) și cel al protecției implicite a datelor (data protection by default)” și anticipează conținutul art. 25 alin. (2) din GDPR care prevede că operatorul are obligația de a pune „în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării”, iar această obligație se aplică inclusiv perioadei de stocare a datelor colectate.

Deci, ab initio, operatorul ar trebui să cunoască și să comunice persoanei vizate perioada determinată pentru care va prelucra datele cu caracter personal sau cel puțin să poată indica criteriile utilizate pentru a stabili această perioadă, astfel încât persoana vizată să poată estima, în funcție de situația sa concretă, care va fi perioada de păstrare pentru respectivele date, ceea ce Google evident că nu a făcut.

5. Executarea obligației de informare de către unele societăți de asigurare din România

În continuare vom prezenta câteva extrase[18] privind perioada de stocare a datelor cu caracter personal din notele de informare prin care unele societăți de asigurare au înțeles să-și execute obligația de transparență prevăzută de Regulamentul general privind protecția datelor.

a) „Datele personale vor fi prelucrate cel puțin pe durata de valabilitate a contractului de asigurare, precum și ulterior, pe durata necesară executării obligațiilor contractuale de către oricare dintre părți. Datele personale vor fi stocate atât timp cât este necesar pentru scopurile menționate mai sus sau pe perioada de timp prevăzuta de dispozițiile legale generale precum și cele aplicabile în materie de asigurări (s.n.), în acord cu Nomenclatorul Arhivistic aplicabil la nivelul (…)”[19] (actualizată la 31 iulie 2018);

b) „Datele personale vor fi prelucrate cel puțin pe durata de valabilitate a contractului de asigurare, precum și ulterior, pe durata necesară executării obligațiilor contractuale de către oricare dintre părți. Datele personale vor fi stocate atât timp cât este necesar pentru scopurile menționate mai sus sau pe perioada de timp prevăzută de dispozițiile legale generale, precum și cele aplicabile în materie de asigurări (s.n.), în acord cu Nomenclatorul Arhivistic aplicabil la nivelul (…)”[20] (actualizată în septembrie 2018);

c) „Datele personale vor fi păstrate pe toată durata contractului de asigurare. Ulterior încetării contractului, datele personale vor fi păstrate pentru perioada necesară apărării în instanță sau în fața altor autorități publice a drepturilor și intereselor asiguratorului (perioadă stabilită în funcție de modul de calcul al termenelor de prescripție a dreptului la acțiune). De asemenea, datele personale pot fi păstrate pe perioada legală necesară arhivării lor[21] (fără dată privind ultima actualizare);

d) „Datele cu caracter personal vor fi păstrate pentru o perioada de maxim 1 an, în cazul în care nu se încheie contract de asigurare, respectiv, pe o perioadă de 10 ani după încetarea relației de asigurare. Perioada păstrării este în relație directă cu îndeplinirea scopurilor menționate mai sus sau pentru îndeplinirea unor obligații legale din domeniul asigurărilor sau a oricăror alte obligații legale (arhivare etc.). În cazul unor litigii, datele vor fi păstrate pentru perioada necesară finalizării litigiului. În cazul prelucrării datelor în scop de marketing, datele personale colectate vor fi păstrate pe perioada derulării contractelor de asigurare la care se adaugă 1 an”[22] (actualizată la 6 august 2018);

e) „Datele personale vor fi păstrate pentru perioada de timp prevăzută de dispozițiile legale specifice în materie de asigurări și atât timp cât rămân necesare pentru scopurile menționate mai sus (s.n.)”[23] (actualizată la 21 mai 2018);

f) „Datele dumneavoastră cu caracter personal colectate pentru încheierea contractului de asigurare, pentru executarea acestuia, inclusiv pentru acordarea de despăgubiri, vor fi reținute în baza de date (…), pentru faza de ofertare 60 de zile de la data emiterii ofertei și după încheierea contractului, pe perioada în care dvs. sunteți contractant (…), client, beneficiar al despăgubirii (inclusiv terț de contract, în condițiile în care efectele contractului se produc față de dvs.), la care se va adaugă perioada de timp în care datele sunt necesare pentru exercitarea de către (…) a drepturilor rezultând din contractul/contractele de asigurare și pentru îndeplinirea obligațiilor rezultând din legislație și din reglementările interne privitoare la stocare (s.n.)”[24] (actualizată în mai 2018);

g) „Datele dvs. cu caracter personal sunt stocate pe perioada necesară pentru a respecta diversele obligații legale sau reglementare. În cazul contractelor de asigurare, dosarele clienților sunt păstrate de regulă 10 ani de la expirarea poliței sau de la ultima operațiune pe dosarul respectiv (oricare dintre acestea intervine mai târziu), iar în cazul ofertelor neurmate de încheierea unui contract de asigurare datele sunt păstrate de regulă maxim 2 luni. La expirarea termenului de păstrare, datele vor fi șterse”[25] (actualizată la 20 mai 2018);

h) „Pentru a determina perioada pentru care vor fi prelucrate datele, luăm în calcul durata contractuală până la expirarea obligațiilor contractuale și termenele de arhivare (s.n.)”[26] (fără dată privind ultima actualizare).

Fără a intra într-o analiză de detaliu a fiecărei note de informare, cu mici excepții[27], este vădită absența transparenței, atât prin raportare la modul în care este reglementată obligația de informare privind perioada de stocare a datelor cu caracter personal, cât și față de Orientările Grupului de Lucru Art. 29 privind transparența în temeiul Regulamentului 2016/679. Precum în cazul Google, în principiu, nu avem decât explicații foarte generale privind scopul păstrării acestor date și nu este indicată nicio durată precisă sau criteriile utilizate pentru a stabili această perioadă.

Simpla trimitere la perioada de timp necesară îndeplinirii scopurilor prelucrării sau la obligațiile legale ale operatorului nu poate constitui enunțarea unui criteriu privind stabilirea perioadei de stocare a datelor cu caracter personal, iar în cazul datelor colectate direct de la persoana vizată nu operează excepția prevăzută de art. 14 alin. (5) lit. c) din GDPR, potrivit căruia obligația de informare nu există în situația în care obținerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidența căruia intră operatorul și care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate. În plus, menționarea nomenclatoarelor arhivistice apare ca fiind ad pompam et ostentationem în condițiile în care accesarea acestora nu este posibilă din locul consultării notei de informare.

S-ar putea argumenta că, potrivit art. 13 alin. (4) și art. 14 alin. (5) lit. a) din GDPR, operatorul nu are obligația de a informa persoana vizată în măsura în care persoana vizată deține deja informațiile respective, însă Grupului de Lucru Art. 29 a precizat că principiul responsabilității impune operatorilor să demonstreze și să documenteze ce informații deja deține persoana vizată, când și cum le-au primit, astfel că proba cade în sarcina exclusivă a operatorului de date cu caracter personal[28].

6. În loc de concluzii

Cele nouă luni de aplicare a Regulamentului general privind protecția datelor în cazul societăților de asigurare nu pot stârni decât nedumerirea celor care s-au aplecat asupra acestui act normativ, cel puțin în privința informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal. Opacitatea informării se datorează unei deficiențe în implementarea unor aspecte ale Regulamentului (UE) 2016/679, precum Registrul de evidență a activităților de prelucrare sau decurge dintr-o înțelegere superficială a modului în care legiuitorul european a reglementat conținutul informării privind prelucrarea datelor cu caracter personal?

Bibliografie:

– Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016;

– Legea nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), publicată în M. Of. nr 651 din 26 iulie 2018;

– Legea nr. 16 din 2 aprilie 1996 a Arhivelor Naționale, republicată în M. Of. nr. 293 din 22 aprilie 2014;

– Instrucțiunile privind activitatea de arhivă la creatorii și deținătorii de documente, aprobate de conducerea Arhivelor Naționale prin Ordinul de zi nr. 217 din 23 mai 1996, document, disponibil la adresa: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf;

– Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, document, disponibil la adresa: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025;

– European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, document disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.p
df;

– Agenția pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislație europeană privind protecția datelor, Luxemburg, Oficiul pentru Publicații al Uniunii Europene, 2014;

– Commission Nationale de l’Informatique et des Libertés, Délibération n°2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel, document disponibil la adresa: https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957;

– CNIL, Délibération de la formation restreinte n° SAN 2019-001 du 21 février 2016 prononçant une sanction pécuniaire à l’encontre de la société Google LLC, document disponibil la adresa: https://www.legifrance.gouv.fr/affichCnil.dooldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=2103387945&fastPos=1;

– D.-M. Șandru, Principiul echității în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018;

– D.-M. Șandru, Principiul transparenței în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018;

– S. Șandru, Protecția datelor personale și viața privată, Ed. Hamangiu, București, 2016;

– S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecția datelor cu caracter personal. Impactul protecției datelor personale asupra mediului de afaceri. Evaluări ale experiențelor românești și noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, București, 2017;

– G. Zanfir, Protecția datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015.


[16] Ibidem.

[17] A se vedea Commission Nationale de l’Informatique et des Libertés, Délibération n°2005-213 du 11 octobre 2005 portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel, document disponibil la adresa: https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000017651957.

[18] Citatele nu sunt întru totul fidele, întrucât acolo unde a fost necesar am adăugat diacriticele lipsă.

[19] Notificare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.allianztiriac.ro/v_1533050823972/media/GDPR-notificarea-privind-prelucrarea-datelor/Notificare_privind_prelucrarea_datelor_personale_PF.PDF. Pagina https://www.allianztiriac.ro/gdpr-notificare-prelucrare-date-caracter-personal/ a fost actualizată la data de 20 februarie 2019, însă fără modificarea conținutului informării privind perioada de stocare.

[20] Informare cu privire la prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.asirom.ro/resources/user_doc/F226_informare%20DCP_20180523.pdf.

[21] Notă de informare privind prelucrarea datelor cu caracter personal, disponibilă la adresa: https://www.bcrasigviata.ro/resources/user_doc/Nota%20de%20informare%20prelucrare%20date.pdf.

[22] Notă de informare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://cityinsurance.ro/wp-content/uploads/2018/07/1_Nota%20de%20informare.pdf.

[23] Notificare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.euroins.ro/notificare-privind-protectia-datelor,316.html.

[24] Informare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.generali.ro/wp-content/uploads/2018/05/Informare-privind-prelucrarea-datelor-cu-caracter-personal.pdf.

[25] Notă de informare privind prelucrarea datelor cu caracter personal, document disponibil la adresa: https://www.groupama.ro/politica-de-confidentialitate.

[26] Prelucrarea datelor personale, document disponibil la adresa: https://www.nn.ro/prelucrare-date.

[27] A se vedea exemplele de la lit. d), f), g) care, deși indică unele perioade de stocare, totuși nu precizează perioada de arhivare și nici nu disting între perioadele de stocare aferente fiecărei categorii de date cu caracter personal în parte și/sau pentru fiecare scop al prelucrării în parte.

[28] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, adopted on 29 November 2017, as last revised on 11 April 2018, p. 27.

Considerații asupra informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal was last modified: iulie 8th, 2019 by Silviu-Dorin Șchiopu

Numai utilizatorii autentificați pot scrie comentarii