Μία από τις πιο επιτακτικές προβλέψεις του GDPR είναι η απαίτηση (άρθρο 5)  για το χρόνο και τον τρόπο διατήρησης των προσωπικών δεδομένων. Βάσει, λοιπόν αυτής της πρόβλεψης, τα προσωπικά δεδομένα πρέπει να διατηρούνται για το χρονικό διάστημα που είναι αναγκαίο για τους σκοπούς για τους οποίους υπόκεινται σε επεξεργασία. Όχι περισσότερο ή λιγότερο. Για όσο χρονικό διάστημα παραμένουν στις βάσεις δεδομένων μας, ή στα συρτάρια μας, θα πρέπει να διατηρούνται ασφαλή και ακριβή, να μην υποστούν αλλοιώσεις, δηλαδή ή απώλεια.

Χώροι αποθήκευσης των προσωπικών δεδομένων 

Στους χώρους αποθήκευσης συγκαταλέγονται:

• διακομιστές/server
• email
• υπολογιστές (desktop και laptop)
• συσκευές ιδιοκτησίας των εργαζομένων (BYOD)
• δίσκοι αποθήκευσης backup
• φυσικά έντυπα αρχεία
• cloud 
• usb flash drivers

Γενικά, τα προσωπικά δεδομένα θα πρέπει να διατηρούνται μόνο για όσο χρόνο χρειάζεται. Οι περίοδοι διατήρησης μπορεί να διαφέρουν ανάλογα με τον τύπο των δεδομένων που έχουν υποστεί επεξεργασία, τον σκοπό της επεξεργασίας ή άλλους παράγοντες. 

Νομικοί λόγοι 

Έτσι, λοιπόν, θα πρέπει πρώτα  να εξετάσουμε εάν υπάρχουν νομικοί λόγοι για τους οποίους οφείλουμε να διατηρήσουμε τα αρχεία με τα προσωπικά δεδομένα, όπως λόγοι οι οποίοι προκύπτουν από το Εμπορικό, Φορολογικό, Εργατικό Διοικητικό Δίκαιο. Εάν η απάντηση είναι θετική, τότε θα πρέπει να εξετάσουμε αν τηρούμε τις απαραίτητες προϋποθέσεις διατήρησης και αποθήκευσης, καθιερώνοντας

• περιοδικές ανασκοπήσεις των δεδομένων που διατηρούνται

• επαλήθευση των περιόδων διατήρησης για τα δεδομένα, λαμβάνοντας υπόψη τις απαιτήσεις του οργανισμού- επιχείρησης, τον τύπο προσωπικών δεδομένων, το σκοπό της επεξεργασίας, τα υποκειμένων των δεδομένων

Εάν δεν μπορούν να καθοριστούν ακριβείς περίοδοι διατήρησης, ο οργανισμός ή επιχείρηση πρέπει να   προσδιορίσει τα κριτήρια βάσει των οποίων μπορεί να καθοριστεί η περίοδος και τα οποία κριτήρια πρέπει να συνοδεύονται από επαρκή αιτιολογία για την επιλογή της αυτή και να επικαιροποιούνται κατά καιρούς, έπειτα από σχετικό έλεγχο.

Τα δεδομένα πρέπει να διαγραφούν όταν:

• το υποκείμενο των δεδομένων απέσυρε τη συγκατάθεσή του για την επεξεργασία τους

• η σύμβαση έχει εκτελεσθεί ή δεν μπορεί πλέον να εκτελεσθεί. 

• τα δεδομένα δεν είναι πλέον ενημερωμένα.

Όλα τα ανωτέρω τελούν υπό την αίρεση ότι δεν υπάρχει εκ του νόμου απορρέουσα υποχρέωση της επιχείρησης να διατηρεί τα προσωπικά δεδομένα περαιτέρω (πχ υποχρέωση που απορρέει από την φορολογική ή εργατική νομοθεσία)  

Παρόλα αυτά μετά τη λήξη της ισχύουσας περιόδου διατήρησης, τα προσωπικά δεδομένα δεν πρέπει απαραιτήτως να διαγραφούν πλήρως, αρκεί να είναι ανώνυμα τα προσωπικά δεδομένα. Αυτό μπορεί, για παράδειγμα, μπορεί  να επιτευχθεί μέσω:

• της διαγραφής των μοναδικών αναγνωριστικών που επιτρέπουν την κατανομή ενός συνόλου δεδομένων σε ένα μοναδικό άτομο 

• της διαγραφής μεμονωμένων πληροφοριών που προσδιορίζουν το υποκείμενο των δεδομένων (είτε μόνο του είτε σε συνδυασμό με άλλα στοιχεία) ·

• τον διαχωρισμό των προσωπικών δεδομένων από μη αναγνωρίσιμες πληροφορίες (π.χ. έναν αριθμό παραγγελίας από το όνομα και τη διεύθυνση του πελάτη).

Υποχρέωση πληροφόρησης

Εκτός από άλλες υποχρεώσεις πληροφόρησης, στο πλαίσιο της  διατήρησης δεδομένων τα υποκείμενα των δεδομένων (τα φυσικά πρόσωπα, δηλαδή, των οποίων τα δεδομένα γίνονται αντικείμενο επεξεργασίας)  πρέπει να ενημερώνονται για:

• την περίοδο διατήρησης και, εάν δεν μπορεί να παρασχεθεί σταθερή περίοδος διατήρησης, τα κριτήρια που χρησιμοποιούνται για τον καθορισμό της περιόδου αυτής 

• τη νέα περίοδο διατήρησης, εάν ο σκοπός της επεξεργασίας έχει αλλάξει μετά την απόκτηση προσωπικών δεδομένων.

Το κείμενο είναι της Αγγελικής Μητροπούλου. Δικηγόρος (CIPP/E) Λεωφόρος Δημοκρατίας 4-6, Νέο Ψυχικό – Αττική  Τηλ.+302106747361 εσωτ.210, Κιν. +306945691002.  www.gagdpr.com. Η GAG-DPR είναι μια εταιρεία έμπειρων συμβούλων (Νομικών, Οικονομολόγων, Συμβούλων επιχειρήσεων κ.α) που στοχεύει στην παροχή λύσεων κορυφαίας ποιότητας σε επιχειρήσεις & φορείς του Δημοσίου, παρέχοντας υπηρεσίες συμμόρφωσης με την ευρωπαϊκή νομοθεσία για την προστασία προσωπικών δεδομένων και την ασφάλεια στον κυβερνοχώρο.