Începând cu 25 mai 2018, momentul din care se va aplica Regulamentul nr. 679/2016 privind protecția datelor cu caracter personal, topicul timpului de păstrare a datelor cu caracter personal va avea impact mult mai mare asupra tuturor organizațiilor ce cad sub incidența acestuia. De ce? Datorită stricteții Uniunii Europene și a Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Astfel cum ne arată Regulamentul, termenul de păstrare a datele cu caracter personal va fi direct proporțional cu perioada strict necesară îndeplinirii scopurilor pentru care datele respective au fost colectate și sunt prelucrate. Cu toate acestea, sunt prevăzute situații care exced termenul general, și anume prelucrarea exclusiv în scopul arhivării în interes public, în scop de cercetare științifică sau istorică sau în scopuri statistice. În legătură cu prelucrarea exclusiv în scopul arhivării în interes public, acesta se va putea face cu condiția existenței unor garanții corespunzătoare pentru drepturile și libertățile persoanelor vizate. Astfel, este necesar a se institui măsuri de natură organizatorică și tehnică în vederea asigurării respectării principiului reducerii la minim a datelor, în sensul că operatorul va trebui să păstreze doar acele date care ii sunt de strictă necesitate.
Implementează GDPR și evită amenzile!
Pentru a se asigura de faptul că datele cu caracter personal nu vor fi păstrate mai mult timp decât ar fi necesar și legal conform scopului pentru care au fost colectate și temeiurilor prelucrării, este recomandat ca operatorul să stabilească pentru fiecare categorie de date prelucrate termene de păstrare, de revizuire și de ștergere și să întocmească în acest sens o Politică de păstrare/retenție.
De asemenea, persoana ale cărei date personale sunt prelucrate are dreptul de ,,a fi uitată’’. În situația în care păstrarea datelor sale încalcă legislația sub incidența căruia operatorul intră, iar acesta nu va avea un temei pentru continuarea păstrării datelor, va trebui sa acționeze în sensul ștergerii din baza sa de date a informațiilor ce privesc respectiva persoană (ex. angajatorul anterior).
Astfel, organizația va putea păstra datele cu caracter personal doar în scopurile pentru care acestea au fost colectate pentru o periodă care să nu exceadă îndeplinirea acestora.
Andreea-Roxana Șutu
Consilier juridic/Consilier GDPR
Universitatea ,,Ștefan cel Mare” din Suceava