Henkilötietojen säilytysaika

 
henkilötietojen säilytysaika - laki - gdpr - tietosuoja
 

Villy Lindfelt, juristi
villy.lindfelt@lakius.fi
044 2358 211
Varaa maksuton alkukartoitus >

Henkilötietojen säilytysaika

Miten kauan henkilötietoja saa säilyttää? Vaikka henkilötietoja kerättäisiin ja käsiteltäisiin hyväksyttäviin tarkoituksiin ja täysin laillisin perustein, ei henkilötietoja voi säilyttää pidempään kuin on tarpeen tai laki sallii. Tässä kirjoituksessa käsitellään henkilötietojen säilyttämisaikaan liittyviä, rekisterinpitäjiä koskevia määräyksiä ja velvoitteita.

Lyhyesti:

  1. Henkilötietoja ei saa säilyttää pidempään kuin on tarpeen eikä määräämättömiä aikoja. Käsittelyn tarkoitus on ratkaiseva kriteeri säilytysaikojen määrittämisessä.

  2. Henkilötietojen säilytysaika tai sen määräytymisen peruste tulee määritellä ja siitä tulee informoida rekisteröityjä (tietosuojaselosteella).

  3. Henkilötietojen säilytysajan tulisi olla mahdollisimman lyhyt, mutta ei silti liian lyhyt. Pidemmät säilytysajat ovat mahdollisia vain käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten.

  4. On kyettävä perustelemaan miksi tietty säilytysaika on tarpeen sekä pystyttävä esittämään säilytysajan syyt ja lailliset perusteet.

  5. Tietosuoja-asetus ei määritä henkilötiedoille säilytysaikoja, rekisterinpitäjän tulee itse ne määrittää. Säilytysaikoja saattaa olla kuitenkin johdettavissa muista laeista.

  6. Koska henkilötietojen käsittelyn tulee olla aina laillista, on henkilötietojen säilyttäminenkin mahdollista vain niin kauan, kun sille on olemassa vähintään yksi tietosuoja-asetuksessa mainittu laillinen käsittelyperuste.

  7. Tarpeeton tieto poistetaan tai anonymisoidaan. Epäatarkka tieto korjataan tai poistetaan.

  8. Tiedon säilyttämiseen voi vaikuttaa myös rekisteröidyn oikeuksien käyttäminen, kuten suostumuksen peruuttaminen tai pyyntö poistaa rekisteröityä koskevat henkilötiedot.

  9. Tietojen säilytysajat sekä menettelyt tietojen poistamiseksi, anonymisoimiseksi ja päivittämiseksi on hyvä dokumentoida.

  10. Hallussa olevia henkilötietoja tulee aika ajoin auditoida, jotta tarpeettomat tiedot tulee säännöllisin väliajoin poistetuksi tai anonymisoiduksi. Mahdollisuuksien mukaan prosessia voidaan automatisoida.

Säilytyksen rajoittamisen periaate

EU:n yleisen tietosuoja-asetuksen mukainen säilytyksen rajoittamisen periaate edellyttää, että henkilötietoja säilytetään muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Henkilötietojen käsittelyn tarkoitus on siten ratkaiseva kriteeri määritettäessä kuinka kauan henkilötietoja voidaan säilyttää. Esimerkiksi jos henkilötietoja kerättäisiin rekisteröidyn jäsenyyden hallinnoimiseksi, tulisi henkilötiedot poistaa jäsenyyden päättyessä, jos tietojen säilyttämiselle pidempään ei ole laillista perustetta.

Rekisterinpitäjän on lisäksi pystyttävä perustelemaan, miksi tietty säilytysaika on tarpeen tiettyä tarkoitusta ja kyseessä olevia henkilötietoja varten, sekä pystyttävä esittämään säilytysajan syyt ja lailliset perusteet.

Henkilötiedon säilytysajan määrittämisellä on läheinen liityntä myös kahteen muuhun tietosuojaperiaatteeseen – tietojen minimoinnin ja täsmällisyyden periaatteisiin. Niiden mukaan vain tarpeellista ja olennaista henkilötietoa tulisi kerätä. Henkilötietojen tulisi myös olla täsmällisiä ja tarvittaessa päivitettyjä. Epätarkat ja virheelliset henkilötiedot tulee poistaa tai oikaista.

Sisäänrakennettu ja oletusarvoinen tietosuoja

Säilytyksen rajoittamisperiaate on osa tietosuoja-asetuksen lähtökohtana olevaa sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta, jonka mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.

Sisäänrakennetun ja oletusarvoisen tietosuojan säilytyksen rajoittamista koskevia keskeisiä tekijöitä ovat seuraavat:

  • poistaminen ja anonymisointi – rekisterinpitäjällä on oltava selkeät sisäiset menettelyt ja

    toiminnot henkilötietojen poistamista ja/tai anonymisointia varten.

  • anonymisoinnin/poistamisen tehokkuus – rekisterinpitäjän on varmistettava, ettei

    anonymisoitujen tietojen perusteella voida tunnistaa henkilöitä uudelleen tai ettei poistettuja

    tietoja voida palauttaa. Rekisterinpitäjän on testattava, onko tämä mahdollista.

  • automatisointi – tiettyjen henkilötietojen poistaminen on automatisoitava.

  • säilytyskriteerit – rekisterinpitäjän on määritettävä, mitkä tiedot ovat tarpeen tarkoituksen

    kannalta ja kauanko niitä on säilytettävä.

  • perustelut – rekisterinpitäjän on pystyttävä perustelemaan, miksi säilytysaika on tarpeen

    tarkoitusta ja kyseessä olevia henkilötietoja varten, sekä pystyttävä esittämään säilytysajan

    syyt ja lailliset perusteet.

  • säilytyskäytäntöjen valvonta – rekisterinpitäjän on valvottava sisäisiä säilytyskäytäntöjä ja

    tehtävä testejä, joilla varmistetaan, noudattaako organisaatio näitä käytäntöjä.

  • varmuuskopiot/lokit – rekisterinpitäjien on määritettävä, mitkä henkilötiedot ovat tarpeen

    varmuuskopioita ja lokeja varten ja kauanko niitä on säilytettävä.

  • tiedon kulku – rekisterinpitäjän on valvottava henkilötietojen kulkua ja niiden jäljennösten

    säilyttämistä sekä pyrittävä rajoittamaan niiden ”väliaikaista” säilyttämistä.

Velvollisuus määrittää säilytysaika ja siitä informoiminen

EU:n yleinen tietosuoja-asetus edellyttää, että henkilötiedoille tulee määritellä säilytysaika tai sen määräytymisen perusteet, josta tulee myös informoida rekisteröityjä. (Informointi toteutetaan yleensä tietosuojaselostessa). Lisäksi säilytysajan tulisi olla mahdollisimman lyhyt. Pidemmät säilytysajat ovat lähtökohtaisesti mahdollisia vain, jos henkilötietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten.

Vaikka tietosuoja-asetus edellyttää, että henkilötietojen säilytysaika tai sen määräytymisen peruste tulisi määrittää, ei tietosuoja-asetuksessa ole säännöksiä nimenomaisista säilytysajoista erityyppisille henkilötiedoille. Tämä tehtävä jää rekisterinpitäjän vastuulle ja riippuu siitä, kuinka kauan tietoja tarvitaan niihin tarkoituksiin, joita varten rekisterinpitäjä kerää ja käsittelee tiettjä henkilötietoja.

Lainmukainen käsittelyperuste

Kaikki henkilötietojen käsittely rekisterinpitäjänä edellyttää aina laillista käsittelyperustetta. Ilman sitä ei ole oikeutta käsitellä henkilötietoja. Lailliset käsittelyperusteet on lueteltu tyhjentävästi tietosuoja-asetuksessa. Koska henkilötietojen käsittelyn tulee olla aina laillista, on henkilötietojen säilyttäminenkin mahdollista vain niin kauan, kun sille on olemassa vähintään yksi tietosuoja-asetuksessa mainittu laillinen käsittelyperuste. Laillisella käsittelyperusteella onkin olennainen merkitys henkilötietojen säilytysajan määrittämisessä.

Esimerkki: Yksi lainmukaisista käsittelyperusteista on suostumus. Henkilötietoja saa käsitellä, jos rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn. Jos rekisteröity peruuttaa suostumuksensa (johon hänellä on oikeus), tulee henkilötiedot poistaa, mikäli tietojen säilyttämiselle suostumuksen peruuttamisen jälkeen ei ole olemassa muuta laillista käsittelyperustetta.

Lakeihin perustuvat säilytysajat

Henkilötietojen yksi laillinen käsittelyperuste on lakisääteinen velvoite. Henkilötietoja saa käsitellä, jos se on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Lisäksi arkaluontoisia henkilötietoja (kuten terveystiedot ja ammattiyhdistysjäsenyys) saa käsitellä, jos käsittely on tarpeen rekisterinpitäjän velvoitteiden noudattamiseksi työoikeuden, sosiaaliturvan ja sosiaalisen suojelun alalla, siltä osin kuin se sallitaan lainsäädännössä tai työehtosopimuksessa.

Lakisääteinen velvoite voi toimia joidenkin henkilötietojen säilytysajan määrittäjänä. Tietojen säilyttämisen määräaikoja on säädetty muun muassa kirjanpito-, vero- ja työsuhdetta koskevissa laeissa. Joidenkin henkilötietojen säilytysaika voi myös perustua kanneaikoihin ja niiden vanhentumiseen – tietoja voidaan tarvita esimerkiksi oikeudellisen vaateen esittämiseksi tai sellaiseen vastaamiseksi.

Tiedon ikä ja laatu

Tietosuoja-asetuksen tietosuojaperiaatteisiin kuuluvan täsmällisyysperiaatteen mukaan henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Kaikki mahdolliset kohtuulliset toimenpiteet tulee tällöin toteuttaa sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Niinpä joissain tapauksissa pelkkä henkilötiedon ikä (esim. vanha tieto, jota ei ole tarkistettu), voi olla peruste tiedon poistamiseen.

Tarpeeton tieto

Kun tieto muuttuu tarpeettomaksi, tulee se joko poistaa tai anonymisoida. Sitä edellyttää jo edellä mainittu säilytyksen rajoittamisen periaatekin. Anonymisointi tarkoittaa, että tieto muutetaan pysyvästi sellaiseksi, että henkilö ei ole enää tunnistettavissa tiedon perusteella.

Rekisteröidyn oikeuksien täyttäminen

Tietosuojalainsäädäntö takaa tietttyjä oikeuksia rekisteröidyille omien henkilötietojensa suhteen. Rekisteröidyllä on oikeus esimerkiksi peruuttaa antamansa suostumus ja oikeus pyytää, että rekisterinpitäjä poistaa hallussaan olevat rekisteröityä koskevat henkilötiedot. Jos henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin ja jos käsittelylle ei ole enää muuta laillista perustetta, tulee tiedot poistaa rekisteröidyn pyynnön mukaisesti.

Milloin henkilötiedot tulee poistaa

Kaikilla henkilötiedoilla ei ole samat säilytysajat. Edellä sanotun perusteella henkilötietojen poistaminen, ainakin jossain määrin, tulee harkittavaksi esimerkiksi seuraavissa tilanteissa:

  1. Rekisteröity peruuttaa suostumuksensa (käsittelyn perustuessa suostumukseen, eikä enää muuta käsittelyperustetta);

  2. Rekisteröity pyytää tietojensa poistamista (eikä perustetta jatkaa käsittelyä);

  3. Sopimussuhde päättyy (eikä näköpiirissä että syntyisi uusi sopimus);

  4. Tieto on virheellistä tai vanhentunutta;

  5. Tietoa ei tarvita enää alkuperäiseen tarkoitukseensa;

  6. Tiedon säilyttämistä ohjannut lakisääteinen säilytysaika on ylitetty; ja/tai

  7. Määräaika oikeudellisten vaateiden esittämiseksi on ylitetty.

henkilöTietojen ennenaikainen poistaminen

Henkilötietojen säilytysajan tulisi olla mahdollisimman lyhyt, mutta ei liian lyhyt. Jos tieto on tarpeen tiettyä tarkoitusta varten tai esimerkiksi laki velvoittaa säilyttämään tietoa määrätyn ajan, tietoa tulee säilyttää. Ennenaikainen poistaminen voi tietyssä tilanteessa täyttää jopa tietosuojaloukkauksen tunnusmerkistön. Tästä syystä tulee varoa myös liiallisia toimenpiteitä tietojen poistamisessa ja anonymisoimisessa.

Dokumentointi ja säännölliset auditoinnit

Henkilötietojen säilytyskäytännöt ja määräajat on hyvä dokumentoida. Pienellä organisaatiolla tämä tarkoittaa minimissään niitä tietoja henkilötietojen säilytysajoista tai niiden määräytymisen peruteista, joista rekisteröityjä tulee informoida tietosuojaselosteessa. Erillisen dokumentoinnin etuna on kuitenkin se, että sillä kyetään täyttämään tietosuoja-asetukseen liittyvää osoitusvelvollisuutta. Muilta osin asiakirjaan tai rekisteriin on hyvä kirjata säilytettävien henkilötietojen kategoriat, mihin tarkoituksiin kutakin tietoa tarvitaan ja kauanko tietoja säilytetään. Siitä huolimatta, että henkilötietojen säilytysajat olisi dokumentoituna, tulee varsinaiset henkilötiedotkin säännöllisesti auditoida, jotta tarpeettomat tiedot tulevat poistetuksi tai anonymisoiduksi ja vastaavasti myös virheelliset tiedot poistetuksi tai korjatuksi.


Lue lisää, miten voimme auttaa tietosuojaan liittyvissä asioissa.
Katso myös
palvelupakettimme tietosuojadokumentaation laadintaan.


henkilötietojen säilytysaika - laki - tietosuoja - gdpr