Timpul de păstrare a datelor personale: cât, cum și de ce contează

Timpul de păstrare a datelor personale: cât, cum și de ce contează

28/04/2025

Într-o lume în care datele circulă și se acumulează rapid, păstrarea lor pe termen nedefinit a devenit o practică riscantă. GDPR nu doar că impune reguli clare privind modul în care colectăm datele, dar stabilește și cât timp avem voie să le păstrăm.

Fie că vorbim despre datele clienților, angajaților, candidaților sau partenerilor de afaceri, este esențial ca fiecare organizație să aibă o politică clară și justificabilă de retenție.

În acest articol explicăm:

  • ce spune GDPR despre timpul de păstrare a datelor,
  • cum se stabilește durata potrivită,
  • ce înseamnă principiul minimizării,
  • și ce riscuri legale și operaționale implică păstrarea excesivă.

Ce spune GDPR despre păstrarea datelor

Articolul 5 alin. (1) lit. e) din GDPR prevede principiul limitării legate de stocare:
„Datele cu caracter personal trebuie păstrate într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depășește perioada necesară pentru scopurile în care sunt prelucrate.”

Cu alte cuvinte:

  • nu există un termen universal de păstrare;
  • durata trebuie corelată strict cu scopul colectării datelor;
  • după încheierea scopului, datele trebuie șterse, anonimizate sau arhivate în condiții stricte.

Exemple concrete de durate de păstrare

CV-uri și candidaturi
6–12 luni de la încheierea procesului de recrutare (doar cu consimțământul candidatului pentru păstrare extinsă)

Documente HR (contracte de muncă, fișe de pontaj, evaluări)
3–50 ani, în funcție de tipul documentului și cerințele Codului Muncii și ale Legii Arhivelor Naționale

Documente financiar-contabile (facturi, contracte comerciale)
5 ani – conform Codului Fiscal și legislației contabile

Datele clienților (emailuri, istoric comenzi, interacțiuni)
până la încheierea relației contractuale + perioada legală de arhivare (în general 3–5 ani)

Date pentru marketing direct
până la retragerea consimțământului sau până când persoana devine inactivă

Cum stabilești durata potrivită

Pentru a defini termene conforme și realiste de păstrare, ia în considerare:

  • Cerințele legale
    Consultă legislația fiscală, muncii, arhivelor și alte reglementări sectoriale.
  • Scopul colectării datelor
    Datele trebuie păstrate doar atât cât este necesar pentru atingerea scopului – nici mai mult, nici mai puțin.
  • Riscurile asociate
    Păstrarea excesivă poate crește riscurile de breșe de securitate, scurgeri de date sau acces neautorizat.
  • Politicile interne
    Include termenele de retenție în:
    • politica de protecție a datelor,
    • registrul de activități de prelucrare (conform art. 30 GDPR),
    • procedurile operaționale ale firmei.
  • Automatizări
    Setează notificări sau procese automate pentru ștergere/anonimizare după expirarea duratei.

Ce înseamnă minimizarea datelor

Un alt principiu fundamental al GDPR este minimizarea datelor (art. 5 alin. (1) lit. c), care înseamnă:
„Datele trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate.”

Aplicat la durată:

  • păstrezi doar datele necesare scopului,
  • stabilești termene clare de păstrare,
  • elimini periodic datele care nu mai au justificare.

Exemplu: Nu păstra CV-uri de acum 5 ani „în caz că poate o să ai nevoie cândva”. Fie ștergi, fie ceri consimțământ reînnoit.

Ce riscuri implică păstrarea excesivă a datelor

  • Sancțiuni GDPR
    ANSPDCP a sancționat deja organizații din România pentru lipsa unei politici clare de retenție.
  • Riscuri de securitate
    Datele păstrate în exces devin țintă pentru atacuri cibernetice sau pot fi accesate neautorizat.
  • Daune reputaționale
    Clienții sau angajații pot reacționa negativ dacă află că datele lor sunt păstrate „la nesfârșit” fără scop clar.
  • Costuri operaționale
    Arhivarea datelor inutile implică resurse IT, spațiu de stocare, timp și bani.

Concluzie

Durata de păstrare a datelor personale nu trebuie tratată superficial. Este un element esențial de conformitate, dar și de bună guvernanță organizațională.

Aplicarea corectă a unei politici de păstrare a datelor aduce beneficii multiple: scade riscurile legale, optimizează procesele interne și transmite profesionalism în fața clienților și partenerilor.

Firmele care știu ce date au, de ce le-au colectat și cât timp le păstrează sunt cele mai bine poziționate în fața oricărei inspecții sau cereri de acces.

Boldshare te poate ajuta să:

  • identifici și documentezi corect termenele de retenție,
  • redactezi o politică adaptată specificului companiei tale,
  • implementezi mecanisme eficiente de ștergere sau arhivare,
  • rămâi în conformitate cu legislația și să eviți riscurile.

Contactează-ne pentru o consultanță GDPR personalizată și eficientă.

Întrebări frecvente (FAQ)

Este legal să păstrez datele clienților „pe termen nelimitat” dacă nu au cerut ștergerea?
Nu. GDPR nu permite păstrarea datelor fără o durată justificată, indiferent dacă persoana vizată a cerut sau nu ștergerea. Operatorul este obligat să stabilească și să documenteze perioada de păstrare.

Pot păstra CV-urile candidaților pentru posturi viitoare?
Doar dacă ai consimțământul explicit și informat al candidatului. În general, durata recomandată este de 6 până la 12 luni. După aceea, fie se șterg, fie se solicită reînnoirea acordului.

Trebuie să informez persoana despre cât timp păstrez datele?
Da. Este o cerință expresă a GDPR (art. 13 și 14). Durata de stocare trebuie inclusă în nota de informare, în mod clar, accesibil și specific pentru fiecare tip de date colectate.

Leave a Comment

Your email address will not be published. Required fields are marked *

*
*