Consideraţii asupra informării persoanei vizate cu privire la perioada de stocare a datelor cu caracter personal
Silviu-Dorin Şchiopu - aprilie 2, 20191. Considerații generale
Dreptul la informare, precum celelalte drepturi ale persoanei vizate, este expresia normativă a principiului controlului şi participării acesteia în ceea ce priveşte prelucrarea datelor sale cu caracter personal[1]. De asemenea, dreptul la informare decurge din aplicarea principiilor prelucrării echitabile și transparente[2] a datelor personale, fiind în acelaşi timp un element al responsabilităţii impuse operatorilor în activitatea de prelucrare.
Prin instituirea obligației de informare s-a urmărit crearea cadrului în care persoanei vizate îi sunt furnizate de către operator informaţii, cu privire la existența operațiunii de prelucrare, şi anumite detalii care ţin de aceasta, indiferent dacă datele cu caracter personal au fost sau nu obținute de la persoana vizată.
Obligația operatorului de a furniza respectivele informații nu depinde de o solicitare venită din partea persoanei vizate, ci trebuie respectată proactiv de către operator, indiferent dacă persoana ale cărei date cu caracter personal sunt prelucrate se arată sau nu interesată de aceste informații[3].
Cerința informării persoanelor vizate cu privire la prelucrarea datelor lor cu caracter personal este cu atât mai importantă cu cât cunoașterea existenței prelucrării este o condiție necesară exercitării de către aceste persoane a dreptului lor de acces și de rectificare a datelor prelucrate, precum și a celorlalte drepturi de care beneficiază în contextul prelucrării[4].
2. Informarea persoanei vizate cu privire la perioada de stocare a datelor potrivit Regulamentul (UE) 2016/679[5]
Art. 13 şi 14 din Regulamentul general privind protecția datelor (GDPR) precizează informațiile pe care operatorul este obligat să le furnizeze persoanei vizate, atunci când datele cu caracter personal au fost obținute de la persoana vizată, precum şi când nu au fost obținute direct de la acesta din urmă. Subliniem că, în ambele situații, deși informațiile impuse în sarcina operatorului sunt divizate în două alineate, lista informațiilor este una exhaustivă și obligatorie, operatorul având obligația de a furniza toate aceste informații[6].
În ambele situaţii, operatorul, pentru a asigura o prelucrare echitabilă și transparentă în ceea ce privește persoana vizată, are obligaţia de a o informa și cu privire la perioada pentru care vor fi stocate datele sale cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă [art. 13 alin. (2) lit. a) şi art. 14 alin. (2) lit. a) din GDPR][7].
Această obligaţie decurge din necesitatea de asigura persoanei vizate posibilitatea de a evalua legalitatea prelucrării datelor ale cu caracter personal prin raportare la principiul limitării legate de scop (datele trebuie colectate în scopuri determinate, explicite și legitime și să nu mai fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri) şi la principiul reducerii la minimum a datelor (datele trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate).
Potrivit considerentului (39) „(…)Datele cu caracter personal ar trebui să fie adecvate, relevante și limitate la ceea ce este necesar pentru scopurile în care sunt prelucrate. Aceasta necesită, în special, asigurarea faptului că perioada pentru care datele cu caracter personal sunt stocate este limitată strict la minimum. Datele cu caracter personal ar trebui prelucrate doar dacă scopul prelucrării nu poate fi îndeplinit în mod rezonabil prin alte mijloace. În vederea asigurării faptului că datele cu caracter personal nu sunt păstrate mai mult timp decât este necesar, ar trebui să se stabilească de către operator termene pentru ștergere sau revizuirea periodică (…)”.
De aceea, în cadrul art. 5 din GDPR privind principiile legate de prelucrarea datelor cu caracter personal, alin. (1) lit. e) impune ca datele cu caracter personal să nu fie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care depășește perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Aceasta este expresia principiului limitării legate de stocare, iar, de regulă[8], orice operaţiune de prelucrare a datelor cu caracter personal trebuie să fie conformă acestuia.
Totuşi, datele cu caracter personal pot fi stocate pe perioade mai lungi, în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu art. 89 alin. (1) din GDPR, sub rezerva punerii în aplicare a măsurilor de ordin tehnic și organizatoric adecvate prevăzute în Regulamentul (UE) 2016/679 în vederea garantării drepturilor și libertăților persoanei vizate.
Bineînţeles, posibilitatea de a prelucra datele cu caracter personal pe o perioadă care depășește perioada necesară îndeplinirii scopurilor pentru care au fost iniţial colectate nu exonerează de regulă operatorul de la obligaţia de a informa persoana vizată cu privire la perioada pentru care vor fi stocate datele sale cu caracter personal sau criteriile utilizate pentru a stabili această perioadă, chiar şi atunci când datele sunt prelucrate în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice.
3. Conţinutul informării cu privire la perioada de stocare a datelor potrivit Comitetului European pentru Protecția Datelor
Potrivit Grupului de Lucru Art. 29[9], perioada de stocare sau criteriile pentru a determina durata, după caz, sunt indicate, de regulă, în cadrul unor prevederi legale sau decurg din interpretarea acestora[10].
În privinţa redactării, Grupul de Lucru Art. 29 a subliniat că informarea ar trebui astfel formulată încât să-i permită persoanei vizate a estima, în funcție de situația sa concretă, care va fi perioada de păstrare pentru respectivele date/scopuri, iar, prin urmare, nu este suficient ca operatorul să indice la modul general faptul că datele vor fi păstrate pe perioada necesară scopului legitim al prelucrării.
În plus, atunci când această informaţie este relevantă, operatorul ar trebui să indice diferitele perioade de stocare pentru fiecare categorie de date cu caracter personal în parte şi/sau pentru fiecare scop al prelucrării în parte, inclusiv perioada de arhivare acolo unde este cazul.
Perioada de arhivare poate fi extrasă de operator – în calitate de creator şi deţinător de documente – din nomenclatorul arhivistic prevăzut de Legea Arhivelor Naţionale[11], iar termenele-limită preconizate pentru ștergerea diferitelor categorii de date (perioadele de păstrare) ar trebui să fie disponibile în evidența activităților de prelucrare pe care, în principiu, fiecare operator este obligat să o păstreze[12] şi care reprezintă unul dintre instrumentele prin care operatorii pot să dovedească conformitatea cu prevederile Regulamentului (UE) 2016/679[13].
Reamintim cu această ocazie că, potrivit considerentului (74), „operatorul ar trebui (…) să fie în măsură să demonstreze conformitatea activităților de prelucrare (s.n.) cu prezentul regulament”, iar considerentul (82) precizează că „în vederea demonstrării conformității cu prezentul regulament, operatorul (…) ar trebui să păstreze evidențe ale activităților de prelucrare (s.n.) aflate în responsabilitatea sa”.
4. Executarea obligației de informare de către Google – sancțiunea pronunțată de Commission Nationale de l’Informatique et des Libertés (Franța)
La data de 21 ianuarie, Commission Nationale de l’Informatique et des Libertés (CNIL), autoritatea franceză de control în materia protecției datelor cu caracter personal, a pronunţat o sancţiune pecuniară în cuantum de 50 milioane euro contra societăţii Google LLC[14]. Unul din elementele ce au determinat aplicarea acestei sancţiuni a fost reprezentat de încălcarea obligaţiei de transparenţă care, potrivit CNIL, constituie o garanție fundamentală ce permite persoanelor vizate să mențină controlul asupra datelor lor. De altfel, şi considerentul (7) prevede că persoanele fizice ar trebui să aibă control asupra propriilor date cu caracter personal, iar securitatea juridică și practică pentru aceste persoane ar trebui să fie consolidată.
Referindu-se la informaţiile cuprinse în secţiunea „Cum păstrează Google datele colectate”[15], subsecţiunea „Informațiile păstrate pentru perioade extinse în scopuri limitate”, CNIL a constat că aceasta din urmă nu conţine decât explicaţii foarte generale privind scopul păstrării acestor date şi nu este indicată nicio durată precisă sau criteriile utilizate pentru a stabili această perioadă.
* Acest material a fost prezentat în cadrul Conferinței Europene a Serviciilor Financiare (European Conference on Financial Services – ECFS 2019), organizată în perioada 21-22 martie 2019 la Brașov de către Institutul de Studii Financiare din București, Asociația Centrul de Arbitraj și Mediere în Asigurări (ACAMA) din București şi Societatea Română de Cercetare pentru Afaceri Publice și Private din Târgu-Mureș, în parteneriat cu Universitatea de Medicină, Farmacie, Științe și Tehnologie din Târgu-Mureș şi Universitatea Transilvania din Brașov. Trimiterile web au fost verificate sau/şi accesate ultima dată la 15 martie 2019..
[1] G. Zanfir, Protecţia datelor personale: drepturile persoanei vizate, Ed. C.H. Beck, București, 2015, p. 81.
[2] Pentru analiza celor două principii, se vedea D.-M. Şandru, Principiul echității în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 3/2018, pp. 57-63; D.-M. Şandru, Principiul transparenţei în prelucrarea datelor cu caracter personal, în Pandectele Române nr. 4/2018, pp. 59-67.
[3] A se vedea Agenţia pentru Drepturi Fundamentale a Uniunii Europene, Consiliul Europei, Manual de legislaţie europeană privind protecţia datelor, Luxemburg, Oficiul pentru Publicaţii al Uniunii Europene, 2014, p. 99.
[4] CJUE, hotărârea din 1 octombrie 2015, cauza C‑201/14, Bara și alții, ECLI:EU:C:2015:638, publicată în Repertoriul electronic (Repertoriul general), pct. 33 din considerente.
[5] Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE, publicat în Jurnalul Oficial al Uniunii Europene, L 119 din 4 mai 2016.
[6] A se vedea S. Șandru, Transparența prelucrărilor de date personale, între drept și obligație. O nouă configurare europeană a dreptului de informare, în I. Alexe, N.-D. Ploeșteanu, D.-M. Șandru, Protecţia datelor cu caracter personal. Impactul protecţiei datelor personale asupra mediului de afaceri. Evaluări ale experienţelor româneşti şi noile provocări ale Regulamentului (UE) 2016/679, Ed. Universitară, Bucureşti, 2017, p. 136.
[7] O obligaţie identică de informare există şi în cazul exercitării dreptului de acces în temeiul art. 15 din GDPR. Potrivit art. 15 alin. (1) lit. d) din GDPR: „Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații: (…) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă”.
[8] Sub rezerva derogărilor ce pot fi adoptate de statele membre în temeiul art. 23 din GDPR, atunci când astfel de restricții respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într-o societate democratică.
[9] Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev. 01, adopted on 27 Nevember 2017, as last Revised and Adopted on 11 Aprilie 2018, pp. 38-39, document disponibil la adresa: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025. Succesorul acestuia, Comitetul european pentru protecția datelor (CEPD) şi-a însuşit poziţia Grupului de lucru art. 29. A se vedea European Data Protection Board, Endorsement 1/2018 of GDPR WP29 guidelines by the EDPB, disponibil la adresa: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf.
[10] De exemplu Legea nr. 82/1991 a contabilităţii, republicată în M. Of. nr. 454 din 18 iunie 2008.
[11] A se vedea art. 8 alin. (2) din Legea nr. 16/1996, republicată în M. Of. nr. 293 din 22 aprilie 2014, precum şi Anexa nr. 1 la Instrucţiunile privind activitatea de arhivă la creatorii şi deţinătorii de documente, aprobate de conducerea Arhivelor Naţionale prin Ordinul de zi nr. 217 din 23 mai 1996, document disponibil la adresa: http://arhivelenationale.ro/site/download/acte_normative/Instructiuni-pentru-creatorii-de-arhiva.pdf.
[12] În acest sens a se vedea Article 29 Data Protection Working Party, Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR, 19.04.2018, p. 2, document disponibil la adresa: http://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51422.
[13] În doctrină s-a precizat că obligaţia de notificare la autoritatea de supraveghere a fost înlocuită cu cea de păstrare a evidențelor activităților de prelucrare; a se vedea S. Șandru, Protecția datelor…, op. cit., p. 389.
[14] Commission Nationale de l’Informatique et des Libertés, Délibération de la formation restreinte n° SAN 2019-001 du 21 février 2016 prononçant une sanction pécuniaire à l’encontre de la société Google LLC, disponibilă la adresa: https://www.legifrance.gouv.fr/affichCnil.dooldAction=rechExpCnil&id=CNILTEXT000038032552&fastReqId=210338794
5&fastPos=1.
[15] A se vedea: https://policies.google.com/technologies/retention?hl=ro.
Arhive
- martie 2024
- februarie 2024
- ianuarie 2024
- decembrie 2023
- noiembrie 2023
- octombrie 2023
- septembrie 2023
- august 2023
- iulie 2023
- iunie 2023
- mai 2023
- aprilie 2023
- martie 2023
- februarie 2023
- ianuarie 2023
- decembrie 2022
- noiembrie 2022
- octombrie 2022
- septembrie 2022
- august 2022
- iulie 2022
- iunie 2022
- mai 2022
- aprilie 2022
- martie 2022
- februarie 2022
- ianuarie 2022
- decembrie 2021
- noiembrie 2021
- octombrie 2021
- septembrie 2021
- august 2021
- iulie 2021
- iunie 2021
- mai 2021
- aprilie 2021
- martie 2021
- februarie 2021
- ianuarie 2021
- decembrie 2020
- noiembrie 2020
- octombrie 2020
- septembrie 2020
- august 2020
- iulie 2020
- iunie 2020
- mai 2020
- aprilie 2020
- martie 2020
- februarie 2020
- ianuarie 2020
- decembrie 2019
- noiembrie 2019
- octombrie 2019
- septembrie 2019
- august 2019
- iulie 2019
- iunie 2019
- mai 2019
- aprilie 2019
- martie 2019
- februarie 2019
- ianuarie 2019
- decembrie 2018
- noiembrie 2018
- octombrie 2018
- septembrie 2018
- august 2018
- iulie 2018
- iunie 2018
- mai 2018
- aprilie 2018
- martie 2018
- februarie 2018
- ianuarie 2018
- decembrie 2017
- noiembrie 2017
- octombrie 2017
- septembrie 2017
- august 2017
- iulie 2017
- iunie 2017
- mai 2017
- aprilie 2017
- martie 2017
- februarie 2017
- ianuarie 2017
- decembrie 2016
- noiembrie 2016
- octombrie 2016
- septembrie 2016
- august 2016
- iulie 2016
- iunie 2016
- mai 2016
- aprilie 2016
- martie 2016
- februarie 2016
- ianuarie 2016
- decembrie 2015
- noiembrie 2015
- octombrie 2015
- septembrie 2015
- august 2015
- iulie 2015
- iunie 2015
- mai 2015
- aprilie 2015
- martie 2015
- februarie 2015
- ianuarie 2015
Calendar
L | Ma | Mi | J | V | S | D |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Lasă un răspuns
Trebuie să fii autentificat pentru a publica un comentariu.