Bewaartermijnen onder GDPR: Interessante beslissing van de Oostenrijkse GBA

We meldden de voorbije weken al in enkele berichten hoe de andere EU-lidstaten aan de slag gaan met de praktische implementatie van de GDPR in hun eigen recht.  Heel wat specifieke punten uit de GDPR blijven immers in praktijk onduidelijk en zeker voor bedrijven die in verschillende lidstaten actief zijn is het van belang om op de hoogte te zijn van de verschillende interpretaties die hier en daar het licht zien. 

We proberen u dus op onze kantoorblog op de hoogte te houden van de evoluties en interessante beslissingen doorheen gans Europa.

Bewaartermijnen

Eén van de punten die in de GDPR onduidelijk blijft is de vraag naar bewaartermijnen.  Artikel 5, I,e) GDPR bepaalt dat gegevens niet langer bewaard mogen worden dan “voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is“.

Alleen zeggen noch de GDPR, noch het nationale recht van de meeste lidstaten wat zulks in concreto dan betekent.  De vraag hoe lang gegevens bewaard mogen worden zorgt dan ook voor behoorlijk wat onduidelijkheid en onzekerheid bij verwerkingsverantwoordelijken.

Een en ander stelt niet zoveel vragen als het gaat om data die bewaard moeten worden op basis van een wettelijke bepaling.  Als het boekhoudrecht zegt dat boekhoudkundige stukken 7 of 10 jaar bewaard moeten worden, dan is dat meteen ook de rechtvaardiging die nodig is onder artikel 5, I, e) GDPR.  Ook bij gegevens die nodig zijn om een lopende overeenkomst uit te voeren stellen zich weinig vragen.  Zolang de overeenkomst loopt of zolang bepaalde verbintenissen uit de overeenkomst doorlopen (bijvoorbeeld garantiebepalingen) kunnen gegevens bewaard worden.

De onzekerheid komt vooral naar boven als het gaat om persoonsgegevens die niet wettelijk verplicht bewaard moeten worden of die niet noodzakelijk zijn om een lopende overeenkomst uit te voeren: Hoe lang mag ik prospectiegegevens bewaren?  Hoe lang mag ik voormalige klanten blijven opnemen in mijn marketing database? Hoe lang kan ik gegevens van ex-personeelsleden of van sollicitanten bewaren?  …

Een en ander is alles behalve duidelijk in de meeste gevallen en, met uitzondering van de vraag naar sollicitantengegevens waarvoor wél een advies van de voormalige WP 29 bestaat, is het vruchteloos zoeken naar houvast vanuit de overheid.

Interessante geschil uit Oostenrijk

Interessant is daarom een recente beslissing van de Oostenrijkse gegevensbeschermingsautoriteit.  Deze moest afgelopen zomer beslissen hoe lang een telecomoperator zogenaamde ‘stamgegevens’ mag bijhouden – dat wil zeggen gegevens die nodig zijn voor het bewijs van de overeenkomst van de telecomoperator met zijn abonnees.

In casu had de telecomoperator de stamgegevens van de abonnee tien jaar lang bewaard op basis van artikel 207, lid 2, van de Oostenrijkse Federale Fiscale Code. De tweede zin van dat artikel 207, lid 2, bevat een verjaringstermijn. In geval van belastingontduiking, kan de belastingdienst bepalen hoeveel belasting zal worden geheven binnen een periode van tien jaar vanaf het kalenderjaar waarin het strafbare feit zich heeft voorgedaan.

Volgens de gegevensbeschermingsautoriteit echter is het bewaren van gegevens onder de verjaringstermijn in artikel 207, lid 2, niet in overeenstemming met de GDPR, omdat dat artikel geen wettelijke verplichting bevat om gegevens te bewaren. Er is wél een wettelijk voorziene bewaarplicht in artikel 132 van dezelfde code om bepaalde boeken en bescheiden gedurende zeven jaar te bewaren en de bewaartermijn zou dus, voor zover die uit de wet voortvloeit, beperkt moeten zijn tot tot zeven jaar.

Specifiek in deze contest is dat de Oostenrijkse Telecommunicatiewet gegevensopslag alleen toestaat voor duidelijk bepaalde doeleinden (bijv. de naleving van een wettelijke verplichting) en jezelf indekken tegen fraudeonderzoek is dus geen wettelijke verplichting, volgens de Oostenrijkse overheid.

Interessant, maar betwistbaar

Een interessante beslissing, die alvast een houvast biedt aan  ondernemingen om op zoek te gaan naar bewaartermijnen in een context waarbij de wet zelf de bewaring van gegevens oplegt.

Ons inziens echter is de Oostenrijkse beslissing toch bijzonder streng en voor ernstige kritiek vatbaar.  Artikel 5, I,e) GDPR bepaalt immers zoals hoger al aangegeven dat gegevens niet langer bewaard mogen worden dan “voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is“.  Het is ons inziens perfect legitiem om als bedrijf voorp te stellen dat bewijs leveren in het kader van potentiële fraudeonderzoeken een doeleinde is voor verwerking dat in overeenstemming kan zijn met de vereisten van de GDPR en waarvoor het bijhouden van data noodzakelijk is.

De vraag stelt zich in dat geval niet wat de wettelijk opgelegde bewaartermijn is, maar wel welke de periode is waarbinnen dergelijk fraudeonderzoek kan verwacht worden.  In de geest van de GDPR is het perfect verantwoordbaar om gegevens voor die termijn te bewaren (voor zover zij enkel met dat doel worden bewaard en niet voor andere doeleinden worden verwerkt, vanzelfsprekend)

Duidelijke overheidsrichtlijnen in Oostenrijk

In tegenstelling tot België had Oostenrijk overigens al veel langer en ook voor de GDPR in werking trad zeer duidelijke richtlijnen over dataretentie.

Het Oostenrijkse “Standaard- en modeldecreet 2004” bepaalde immers reeds lang gegeden maximale bewaartermijnen voor verschillende datagroepen. Hoewel dit decreet op 25 mei 2018 verliep door de inwerkingtreding van de GDPR, zijn de bewaartermijnen nog steeds van toepassing als best practice in Oostenrijk.

Samengevat zegt het betreffende decreet dat gegevens bewaard kunnen worden tot:

• bij beëindiging van de zakelijke relatie;
• bij het aflopen van garantie- of garantieclaims (meestal twee jaar);
• bij het verstrijken van een specifieke wettelijke bewaarperiode (gewoonlijk zeven jaar voor boekhoudkundige gegevens); of
• bij het sluiten van een juridisch geschil waarbij de gegevens als bewijsmateriaal nodig zijn.

Een en ander is zeker nuttig als leidraad op de achtergrond, maar jammer genoeg geeft het geen antwoord op de vraag naar bewaartermijnen in een prospectie- of marketingcontext.  Die situatie valt immers niet onder een van bovenstaande bullet points en hiervoor blijft het ad hoc zoeken naar een verantwoordbare termijn, waarbij de onderneming er steeds goed aan doet om extra restrictief te zijn voor zichzelf én om zichzelf omwille van de verantswoordingsplicht die de basis van de GDPR vormt zéér goed te documenteren over het waarom van haar beslissing om data gedurende een bepaalde termijn te bewaren.

Vragen over GDPR of databescherming in de EU en daarbuiten?

Neem gerust vrijblijvend contact op met ons team op info@siriuslegal.be of op 0032 2 721 13 00