Amenda de 14,5 milioane de euro impusă de autoritatea competentă în materia protecției datelor din Berlin subliniază importanța principiului limitărilor legate de stocare

Autoritatea privind protecția datelor din Berlin a impus o amendă uriașă de 14,5 milioane de euro (aceasta fiind a 5-a amendă ca valoare în Uniunea Europeană și cea mai mare din Germania[1]) unui dezvoltator imobiliar pentru nerespectarea principiilor privind limitările legate de stocare (storage limitation) și asigurarea protecției datelor de la momentul stabilirii mijloacelor de prelucrare (privacy by design).

Mai precis, autoritatea a constatat că societatea stoca date cu caracter personal care nu mai erau necesare scopurilor pentru care acestea au fost prelucrate inițial, prin utilizarea unui sistem de stocare ce nu conținea mecanisme de ștergere a datelor neutilizate. Astfel, autoritatea a menționat că nu este suficient să fie determinate perioade de retenție pentru datele cu caracter personal prelucrate, ci este necesară, în același timp, și implementarea unor mecanisme tehnice care să permită ștergerea sau distrugerea datelor.

Aspectul prezentat în acest caz prezintă o importanță deosebită întrucât societatea a colectat și a prelucrat categorii diferite de date cu caracter personal, inclusiv date sensibile, precum informații privind date legate de situația personală și financiară a chiriașilor, respectiv: date privind asigurarea socială și date de sănătate, date privind situația financiară (extrase bancare, adeverințe de salariu).

Societatea a fost controlată inițial la începutul anului 2017 cu privire la aspectele menționate mai sus, iar măsurile de remediere au fost implementate până în 2019. În baza constatărilor Autorității din 2019, aceste măsuri de remediere nu au fost implementate complet și, în continuare, volume foarte mari de date cu caracter personal erau stocate într-o manieră și pentru perioade de timp necorespunzătoare.

Aspectele semnalate mai sus au fost esențiale în determinarea cuantumului amenzii. Autoritatea a precizat în cadrul comunicatului de presă emis cu această ocazie că o astfel de practică este destul de frecventă, întrucât „cimitirele de date” sunt întâlnite des în activitatea de investigare pe care o derulează.

Acest caz prezintă o importanță deosebită cu privire la aspectele privind arhivarea datelor cu caracter personal și reamintește totodată importanța verificării principiilor privind minimizarea datelor (data minimization) și limitărilor legate de stocare (storage limitation).

Asistența noastră

Principiile privind asigurarea protecției datelor de la momentul stabilirii mijloacelor de prelucrare (data privacy by design) și, respectiv, cel al limitărilor legate de stocare (storage limitation) pot fi dificil de implementat în practică, întrucât solicită atât provocări de ordin juridic, dar și tehnic. În mod specific, stabilirea unor proceduri privind retenția datelor trebuie să ia în considerare specificul regulilor de arhivare în România, duratele existente de stocare și nevoile specifice de business ale societății.