Säilitamise piirang on isikuandmete kaitse üldmääruse (GDPR) artikli 5 lõike 1 punktist e tulenev põhimõte, mille kohaselt tohib isikuandmeid säilitada kujul, mis võimaldab andmesubjekte tuvastada, ainult seni, kuni see on vajalik andmete töötlemise eesmärgi saavutamiseks. Kui eesmärk on täidetud, tuleb andmed kustutada või anonümiseerida. Praktikas tähendab see, et igal töötlemistoimingul peab olema määratud konkreetne säilitustähtaeg, mis tuleneb kas seadusest või töötlemise eesmärgist. GDPR ise ei sätesta konkreetseid tähtaegu – need tulenevad Eesti valdkondlikest seadustest (raamatupidamine, maksundus, tööõigus) ja eesmärgipärasuse hindamisest. See juhend selgitab säilitamise piirangu põhimõtet, toob Eesti säilitustähtajad sektorite kaupa ja selgitab, kuidas ehitada toimivat kustutamiskorda.
Mida säilitamise piirang nõuab?
Põhimõte koosneb kahest osast:
- Tähtaja määramine. Iga töötlemise jaoks tuleb kindlaks määrata säilitustähtaeg või selle arvutamise kriteerium. Ebamäärane “nii kaua kui vaja” ei ole tähtaeg.
- Andmete kustutamine või anonümiseerimine tähtaja saabudes. Andmeid, mida enam ei vajata, ei tohi säilitada juhuks, kui neid kunagi vaja läheb.
Säilitamise piirang on tihedalt seotud teiste artikli 5 põhimõtetega: eesmärgi piirang (andmeid kogutakse kindlaks eesmärgiks) ja andmete minimeerimine (kogutakse ainult vajalikke andmeid). Säilitustähtajad tuleb märkida töötlemise registrisse iga töötlemistoimingu kohta ja avaldada privaatsuspoliitikas.
Säilitustähtajad Eestis sektorite kaupa
Alljärgnev tabel toob levinud säilitustähtajad, mis tulenevad Eesti õigusaktidest. Tegemist on suunava ülevaatega – konkreetsel juhul tuleb kontrollida kehtivat seadust.
| Andmeliik | Säilitustähtaeg | Alus |
|---|---|---|
| Raamatupidamise algdokumendid | 7 aastat | Raamatupidamise seadus |
| Töölepingud ja personalitoimikud | Kuni 10 aastat pärast töösuhte lõppu | Töölepingu seadus, aegumistähtajad |
| Palgaandmed | 7 aastat | Raamatupidamise seadus |
| Maksuarvestuse dokumendid | 7 aastat | Maksukorralduse seadus |
| Kandideerimisandmed (mittevalitud) | Kuni 1 aasta | Eesmärgipärasus, õigustatud huvi |
| Videovalve salvestised | Üldjuhul kuni 1 kuu | Eesmärgipärasus, AKI juhis |
| Turunduslikud kontaktandmed (nõusolek) | Kuni nõusoleku tagasivõtmiseni | Nõusolek, art. 7 |
| Küpsiste ja jälgimise andmed | Vastavalt küpsise elueale, tüüpiliselt kuni 12 kuud | Eesmärgipärasus |
Videovalve salvestiste puhul on AKI seisukoht, et neid ei tohiks üldjuhul säilitada kauem kui üks kuu, kui puudub konkreetne põhjus (näiteks pooleliolev menetlus). Täpsemad juhised leiate AKI veebilehelt.
Aktiivne säilitamine ja arhiveerimine
Praktikas tuleb eristada aktiivset säilitamist ja arhiveerimist. Kui andmeid ei ole enam igapäevaseks tööks vaja, kuid seadus nõuab nende hoidmist (näiteks raamatupidamise algdokumendid), tuleb need viia eraldatud, piiratud juurdepääsuga arhiivi, mitte hoida aktiivses tööandmebaasis. Arhiveeritud andmetele kohaldub endiselt säilitamise piirang – arhiveerimine ei ole tähtajatu säilitamise õigustus, vaid üksnes viis vähendada riski säilitamiskohustuse kestel. Kui ka seaduslik säilitustähtaeg möödub, tuleb andmed ka arhiivist kustutada. See eristus on ka lõimitud andmekaitse (art. 25) osa: piiratud juurdepääs vähendab rikkumise mõju kogu säilitusaja jooksul.
Kuidas ehitada toimivat kustutamiskorda
- Kaardistage töötlemistoimingud. Alustage töötlemise registrist – iga toimingu jaoks määrake säilitustähtaeg ja selle õiguslik alus.
- Eristage juriidiline kohustus ja eesmärgipärasus. Osa tähtaegu on seadusest kohustuslikud (raamatupidamine), teised tulenevad töötlemise eesmärgist (kandideerimisandmed).
- Määrake kustutamise vallandaja. Tähtaeg võib alata sündmusest (töösuhte lõpp) või fikseeritud kuupäevast.
- Automatiseerige kustutamine. Käsitsi kustutamine unustatakse; seadke süsteemidesse automaatsed kustutusreeglid või perioodilised ülevaatused.
- Dokumenteerige kustutamine. Talletage, millal ja millised andmed kustutati – see on vastutuse tõendamise osa.
Säilitustähtaegade lõppemine käivitab sageli ka kustutamise õiguse automaatse täitmise ning on seotud rikkumiste käsitlemise korraga, sest vananenud, kuid säilitatud andmed suurendavad rikkumise mõju. Tööriist nagu Legiscope seob säilitustähtajad registri töötlemistoimingutega ja tuletab kustutamise tähtaegu meelde.
Levinud vead
- Ebamäärased tähtajad. “Nii kaua kui vajalik” ei ole tähtaeg – märkige konkreetsed perioodid.
- Andmete lõputu säilitamine “igaks juhuks”. See rikub nii säilitamise piirangut kui ka andmete minimeerimist.
- Kustutamise unustamine. Tähtaja määramine ilma kustutamise täitmiseta ei täida põhimõtet.
- Ühtse tähtaja kohaldamine kõigile andmetele. Eri andmeliikidel on erinevad tähtajad – palgaandmed 7 aastat, kandideerimisandmed kuni aasta.
- Varukoopiate unustamine. Kustutamiskord peab hõlmama ka varukoopiaid ja logisid.
Säilitustähtaegade poliitika koostamine
Üksikute tähtaegade teadmisest ei piisa – organisatsioon vajab säilitustähtaegade poliitikat (retention policy), mis koondab kõik tähtajad ühte dokumenti ja seob need konkreetsete kustutamisreeglitega. Poliitika koostamine algab töötlemise registrist: iga töötlemistoimingu jaoks määratakse säilitustähtaeg ja selle õiguslik alus. Seejärel rühmitatakse andmed säilituskategooriatesse, sest paljudel andmeliikidel on sama tähtaeg (näiteks kõik raamatupidamisega seotud dokumendid seitse aastat).
Poliitika peab eristama kolme liiki tähtaegu. Esiteks seadusest tulenevad kohustuslikud tähtajad, mille jooksul andmeid ei tohi kustutada (raamatupidamise algdokumendid, maksuarvestus). Teiseks eesmärgipärasusest tulenevad tähtajad, mille määrab töötlemise eesmärk (kandideerimisandmed, klienditugi). Kolmandaks tähtajad, mis on seotud võimalike õigusnõuete aegumisega – näiteks lepingulisi vaidlusi puudutavaid andmeid võib olla põhjendatud säilitada üldise aegumistähtaja lõpuni.
Iga tähtaja juurde tuleb määrata kustutamise vallandaja ja meetod. Vallandaja võib olla sündmus (töösuhte lõpp, konto sulgemine) või fikseeritud kuupäev. Meetod on kas automaatne kustutamine süsteemis või perioodiline käsitsi ülevaatus. Käsitsi kustutamine unustatakse peaaegu alati, mistõttu automatiseerimine on eelistatud. Poliitika peab hõlmama ka varukoopiaid ja logisid, mitte üksnes tootmissüsteemi.
Lõpuks tuleb säilitustähtajad avaldada privaatsuspoliitikas ja märkida töötlemise registrisse, sest artikkel 13 nõuab andmesubjekti teavitamist säilitustähtajast või selle määramise kriteeriumist. Poliitika ei ole ühekordne dokument: seda tuleb üle vaadata, kui muutuvad seadused, tekivad uued töötlemistoimingud või muutuvad äriprotsessid. Tööriist nagu Legiscope seob poliitika registri toimingutega ja tuletab kustutamise tähtaegu automaatselt meelde.
Anonümiseerimine kui alternatiiv kustutamisele
Säilitamise piirang ei nõua alati andmete täielikku hävitamist – üks lubatud alternatiiv on anonümiseerimine. Kui andmed anonümiseeritakse pöördumatult nii, et ühtki isikut ei ole enam võimalik tuvastada, ei ole tegemist enam isikuandmetega ja GDPR neile ei kohaldu. See võimaldab organisatsioonil säilitada näiteks statistilist või analüütilist väärtust ka pärast säilitustähtaja lõppu, kaotamata seejuures üksikisikute andmeid.
Oluline on eristada anonümiseerimist ja pseudonümiseerimist. Pseudonümiseeritud andmed – näiteks andmed, kus nimi on asendatud koodiga, kuid koodivõti on säilinud – jäävad isikuandmeteks, sest isik on ikkagi tuvastatav. Pseudonümiseerimine on väärtuslik turvameede (art. 32) ja lõimitud andmekaitse vahend, kuid see ei vabasta säilitamise piirangust. Ainult tõeline, pöördumatu anonümiseerimine viib andmed GDPR-i kohaldamisalast välja.
Anonümiseerimine peab olema tehniliselt usaldusväärne. Näiline anonümiseerimine, mille puhul isikut on täiendavate andmete abil siiski võimalik tuvastada, ei ole piisav ja andmed jäävad isikuandmeteks. Praktikas tuleb hinnata taasidentifitseerimise riski, arvestades kõiki mõistlikult kättesaadavaid vahendeid. Kui anonümiseerimine on põhjendatult teostatav, on see sageli parem lahendus kui andmete kustutamine, sest see säilitab organisatsioonile analüütilise väärtuse ja vähendab samal ajal riski. Anonümiseerimise otsus tuleb dokumenteerida ja siduda töötlemise registriga.
Korduma kippuvad küsimused
Kas säilitustähtaja lõppedes tuleb andmed kohe kustutada?
Andmed tuleb kustutada või anonümiseerida põhjendamatu viivituseta pärast tähtaja saabumist. Praktikas on mõistlik kasutada automaatseid kustutusreegleid või perioodilisi (näiteks kord kvartalis toimuvaid) ülevaatusi, mis tagavad tähtaja ületanud andmete õigeaegse kustutamise. Oluline on, et tähtaja ületanud andmeid ei säilitataks süstemaatiliselt ilma aluseta.
Kas videovalve salvestisi tohib säilitada kauem kui üks kuu?
Üldjuhul mitte. AKI seisukoht on, et videovalve salvestisi ei tohiks säilitada kauem kui vaja, tavaliselt kuni üks kuu, kui puudub konkreetne põhjus pikemaks säilitamiseks – näiteks pooleliolev süüteo- või kahjunõudemenetlus. Pikem säilitamine ilma konkreetse eesmärgita rikub säilitamise piirangut ja andmete minimeerimise põhimõtet.
Kui kaua tohib isikuandmeid säilitada?
Ainult seni, kuni see on vajalik töötlemise eesmärgi saavutamiseks. Konkreetne tähtaeg tuleneb kas seadusest (näiteks raamatupidamise algdokumendid 7 aastat) või töötlemise eesmärgist. Kui eesmärk on täidetud ja seadus säilitamist ei nõua, tuleb andmed kustutada või anonümiseerida.
Kas võib säilitada andmeid “igaks juhuks” tulevaseks kasutuseks?
Ei. Andmete säilitamine ilma konkreetse eesmärgi ja määratud tähtajata rikub säilitamise piirangut ja andmete minimeerimise põhimõtet. Kui andmeid võidakse tulevikus vaja minna, tuleb see vajadus konkreetselt põhjendada ja tähtaeg määrata.
Kas anonümiseeritud andmeid tohib säilitada tähtajatult?
Jah. Korralikult anonümiseeritud andmed ei ole enam isikuandmed ja GDPR neile ei kohaldu, mistõttu neid tohib säilitada tähtajatult näiteks statistika jaoks. Oluline on, et anonümiseerimine oleks pöördumatu – pseudonümiseeritud andmed jäävad isikuandmeteks ja alluvad säilitamise piirangule.
Kokkuvõte
Säilitamise piirang nõuab, et isikuandmeid hoitaks ainult seni, kuni see on eesmärgi saavutamiseks vajalik, ning pärast seda kustutataks või anonümiseeritaks. Igal töötlemisel peab olema konkreetne, seadusest või eesmärgist tulenev säilitustähtaeg – Eestis näiteks raamatupidamise algdokumentidel seitse aastat, videovalve salvestistel üldjuhul üks kuu. Ehitage toimiv kustutamiskord: kaardistage tähtajad registris, eristage juriidiline kohustus ja eesmärgipärasus, automatiseerige kustutamine ja dokumenteerige see. Säilitamise piirang on otseselt seotud kustutamise õigusega ja rikkumiste mõju vähendamisega – vananenud andmed, mida ei kustutata, on nii vastavusrisk kui ka turvarisk.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial