Daca in anumite situatii raspunsul este simplu, insasi legislatia cuprinzand dispozitii exprese in acest sens, de cele mai multe ori raspunsul nu este foarte exact, rezultand din interpretarea dispozitiilor legale, sau fiind lasat la aprecierea operatorului in functie de scopul prelucrarii datelor.

Notiunea de stocare este definita de Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date (“Legea 677/2001”) ca fiind acea operatiune de prelucrarea a datelor cu caracter personal ce consta in pastrarea, pe orice fel de suport, a datelor cu caracter personal culese. Cu alte cuvinte, orice tip de “pastrare” a datelor cu caracter personal, fie ca aceasta se realizeaza in format print (documente) sau in format digital, reprezinta o operatiune de stocare.

Regula generala, instituita de Legea 677/2001, este aceea ca stocarea datelor trebuie realizata strict pe perioada necesara atingerii scopurilor in care datele au fost colectate si in care vor fi ulterior prelucrate, aceasta fiind regula ce urmeaza a fi avuta in vedere de orice operator de date atunci cand dispozitiile legale nu prevad un alt termen de stocare a datelor, fie el expres sau determinat in functie de anumite circumstante.

Cu titlu de exemplu, indicam urmatoarele situatii:

  • cand scopul prelucrarii este resurse umane, datele ar putea fi prelucrate/stocate pentru perioada derularii raporturilor de munca;
  • cand scopul prelucrarii este reclama, marketing si publicitate, datele ar putea fi prelucrate/stocate pe perioada derularii campaniior publicitare;
  • cand scopul prelucrarii este acela de furnizarea de servicii de sanatate, datele ar putea fi prelucrate/stocate pentru perioada cat subiectul are calitatea de pacient;
  • cand scopul prelucrarii este legat de servicii financiare-bancare, datele ar putea fi prelucrate/stocate pentru perioada cat subiectul are calitatea de client.

Din practica Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (“ANSPDCP”) se accepta faptul ca datele cu caracter personal pot fi prelucrate/stocate chiar si dupa incetarea calitatii subiectului de angajat, pacient, client etc., pe perioada necesara valorificarii drepturilor si obligatiilor partilor, rezultate din raporturile contractuale, de regula pe perioada termenului de prescriptie.

De asemenea, este indicat a se tine seama si de dispozitiile legale ce reglementeaza arhivarea documentelor si care pot impune termene mult mai lungi pentru pastrarea documentelor, unele dintre acestea continand si date cu caracter personal. Spre exemplu, evidentele contabile si financiare precum si documentele justificative relevante vor trebui pastrate pentru o perioada de 10 ani, incepand cu finalul exercitiului financiar pentru care acestea au fost intocmite.

Regula stocarii strict pe perioada necesara atingerii scopurilor in care datele au fost colectate se aplica si operatiunilor de stocare efectuate in cadrul activitatilor de prevenire, cercetare si reprimare a infractiunilor si de mentinere a ordinii publice, precum si a altor activitati desfasurate in domeniul dreptului penal, in limitele si cu restrictiile stabilite de lege.

Mai mult, Legea nr. 238/ 2009 privind reglementarea prelucrarii datelor cu caracter personal de catre structurile/unitatile Ministerului Administratiei si Internelor in activitatile de prevenire, cercetare si combatere a infractiunilor, precum si de mentinere si asigurare a ordinii publice (“Legea 238/2009”) prevede faptul ca structurile/unitatile M.A.I. care desfasoara activitati de prevenire, cercetare si combatere a infractiunilor si de mentinere a ordinii publice au obligatia de a elabora reguli, daca acestea nu sunt stabilite prin prevederi legale exprese, cu privire la termenele de stocare a datelor cu caracter personal pe care le prelucreaza. Spre exemplu, in Instructiunile avand nr. 27 din 2010 elaborate de M.A.I se prevede faptul ca log-urile de acces care contin, printre altele, codul de identificare al utilizatorului (acesta fiind o data cu caracter personal), se pastreaza cel putin 2 ani, in functie de necesitatea asigurarii disponibilitatii datelor pentru operator, corelat cu importanta si volumul de date stocate. La acoperirea capacitatii de stocare, logurile vor fi transferate si pastrate pe suport amovibil in conditiile prevazute pentru copiile de siguranta.

Dupa cum mentionam, sunt situatii in care termenele de stocare a datelor sunt prevazute expres de diverse acte normative.

Astfel, in sectorul comunicatiilor electronice, Legea nr. 506/2004 privind prelucrarea datelor cu carcater personal si protectia vietii private in sectorul comunicatiilor electronice (“Legea 506/2004”) prevede, faptul ca prelucrarea datelor de trafic, inclusiv stocarea, efectuata in scopul facturarii abonatilor sau al stabilirii obligatiilor de plata pentru interconectare, este permisa doar pana la implinirea unui termen de 3 ani de la data scadentei obligatiei de plata corespunzatoare. In scopul comercializarii serviciilor sau a furnizarii de servicii cu valoare adaugata, furnizorul unui serviciu de comunicatii electronice poate prelucra datele de trafic, prin urmare, le poate si stoca, pentru perioada necesara comercializarii sau furnizarii acestor servicii si numai cu consimtamantul expres al abonatului care poate fi oricand retras. 

In ceea ce priveste stocarea datelor obtinute prin intermediul sistemelor de supraveghere video, potrivit Deciziei nr. 52/2012 privind prelucrarea datelor cu caracter personal prin utilizarea mijloacelor de supraveghere video, durata acestei stocari trebuie sa fie proportionala cu scopul
pentru care se prelucreaza datele, dar nu mai mare de 30 de zile, cu exceptia situatiilor expres reglementate de lege sau a cazurilor temeinic justificate.

OUG nr. 77/2009 privind organizarea si exploatarea jocurilor de noroc prevede faptul ca, pentru jocurile de noroc la distanta, este obligatorie, printre altele, localizarea geografica a adresei IP a jucatorului care va trebui stocata pentru o perioada de minim 5 ani de la data colectarii.

Decizia nr. 105 din 2007 cu privire la prelucrarile de date cu caracter personal efectuate in sisteme de evidenta de tipul birourilor de credit emisa de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal prevede anumite termene pentru stocarea datelor cu caracter personal ale solicitantilor de credite, respectiv: (i) 6 luni de la data transmiterii datelor catre biroul de credit ale celor care renunta la cererea de credit sau a caror cerere a fost respinsa; (ii)  nu mai mult de 4 ani de la data achitarii ultimei rate restante sau de la data ultimei actualizari transmise, pentru datele negative, dar si pentru cele pozitive.

La expirarea termenelor de prelucrare/stocare, stabilite, dupa caz, de operator sau de dispozitiile legale, datele cu caracter personal trebuie sterge, distruse sau transformate in date anonime in masura in care urmeaza a fi prelucrate in continuare in scopuri statistice, de cercetare istorica sau stiintifica.