Säilytyksen rajoittaminen tarkoittaa, että henkilötietoja saa säilyttää vain niin kauan kuin on tarpeen niihin tarkoituksiin, joita varten ne kerättiin. Periaate on kirjattu yleisen tietosuoja-asetuksen (GDPR) 5 artiklan 1 kohdan e alakohtaan. Kun säilytysaika päättyy, tiedot on poistettava tai anonymisoitava. Säilytyksen rajoittaminen on yksi GDPR:n perusperiaatteista, ja sen rikkominen on itsenäisesti sanktioitava teko – “tietoja on kertynyt vain varmuuden vuoksi” ei ole hyväksyttävä peruste. Tässä oppaassa käydään läpi, kuinka kauan tietoja saa säilyttää, miten säilytysajat määritetään ja miten periaate viedään käytäntöön.
Mitä säilytyksen rajoittaminen tarkoittaa?
5 artiklan 1 kohdan e alakohdan mukaan henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa, vain niin kauan kuin on tarpeen tietojenkäsittelyn tarkoituksiin. Periaatteessa on kolme ydinajatusta:
- Tarpeellisuus ratkaisee. Säilytysaika ei ole vapaasti valittavissa, vaan se johdetaan käsittelyn tarkoituksesta. Kun tarkoitus on täyttynyt, säilyttämiselle ei enää ole perustetta.
- Tunnistettavuus on rajaava tekijä. Jos tietoja tarvitaan tilastointiin tai analytiikkaan, ne voidaan anonymisoida, jolloin ne eivät enää ole henkilötietoja eikä säilytysaika rajoita niitä. Pelkkä pseudonymisointi ei riitä – pseudonymisoidut tiedot ovat edelleen henkilötietoja.
- Poikkeukset ovat kapeita. Tietoja saa säilyttää pidempään vain arkistointia yleisen edun vuoksi, tieteellistä tai historiallista tutkimusta taikka tilastointia varten, ja silloinkin asianmukaisin suojatoimin.
Periaate kytkeytyy suoraan oikeuteen tulla unohdetuksi: kun säilytysaika päättyy, tiedot on poistettava riippumatta siitä, esittääkö rekisteröity poistopyyntöä. Säilytyksen rajoittaminen on siis proaktiivinen velvoite, ei vain reaktio pyyntöihin. Tämä ennakoiva luonne erottaa säilytyksen rajoittamisen monista muista velvoitteista: se edellyttää toimimista oma-aloitteisesti, ei vasta pyynnön saapuessa, mikä tekee automatisoidusta poistosta käytännössä välttämättömän.
Miten säilytysaika määritetään?
GDPR ei anna yleisiä säilytysaikoja, koska ne riippuvat käsittelyn tarkoituksesta ja sovellettavasta muusta lainsäädännöstä. Säilytysaika määritetään kolmivaiheisesti.
Ensin tunnista tarkoitus. Jokaisella käsittelytoimella on oma tarkoituksensa ja siten oma säilytysaikansa. Rekrytointitietoja, asiakassopimuksia ja markkinointilupia säilytetään eri aikoja. Tarkoitukset löytyvät käsittelytoimien selosteesta.
Toiseksi tarkista lakisääteiset velvoitteet. Monella alalla laki määrää vähimmäissäilytysajan. Kirjanpitolaki edellyttää kirjanpitoaineiston säilyttämistä, työlainsäädäntö palkka- ja työaikatietojen säilyttämistä ja verolainsäädäntö omat aikansa. Nämä lakisääteiset ajat asettavat säilytyksen alarajan – tietoja ei saa poistaa ennen niiden päättymistä.
Kolmanneksi määritä loppupää. Kun tarkoitus on täyttynyt eikä lakisääteistä velvoitetta enää ole, määritä poistoajankohta. Esimerkiksi mahdollisiin oikeudellisiin vaateisiin varautuminen (vanhentumisaika) voi oikeuttaa säilyttämään sopimustietoja tietyn ajan sopimussuhteen päättymisen jälkeen – mutta tämäkin aika on perusteltava, ei valittava mielivaltaisesti.
Tulos on säilytysaikataulukko (retention schedule), joka listaa jokaisen tietoryhmän säilytysajan ja sen perusteen. Tämä taulukko on osoitusvelvollisuuden keskeinen väline.
Käytäntöön vieminen
Periaate ei toteudu itsestään. Käytännössä tarvitaan neljä asiaa:
- Säilytysaikataulukko kaikille tietoryhmille, kytkettynä käsittelytoimien selosteeseen.
- Automaattinen poisto tai anonymisointi järjestelmätasolla. Manuaalinen poisto unohtuu – rakenna poisto osaksi järjestelmien elinkaarta jo sisäänrakennetun tietosuojan periaatteen mukaisesti.
- Läpinäkyvyys. Säilytysajat on ilmoitettava rekisteröidyille tietosuojaselosteessa (13–14 artikla) ja kerrottava tarvittaessa tarkastuspyynnön yhteydessä.
- Säännöllinen katselmointi. Säilytysajat vanhenevat, kun lainsäädäntö tai toimintatavat muuttuvat. Katselmoi taulukko vähintään vuosittain.
Legiscopen kaltainen ratkaisu kytkee säilytysajat käsittelytoimiin ja muistuttaa poistoista, jolloin periaate toteutuu automaattisesti eikä tietoja jää kertymään “varmuuden vuoksi”.
Periaatteen rikkominen johtaa todellisiin seuraamuksiin. Hampurin osavaltion tietosuojaviranomainen määräsi vuonna 2020 H&M:lle 35,3 miljoonan euron sakon muun muassa siksi, että yhtiö säilytti työntekijöistään laajoja, tarpeettomia ja arkaluonteisia tietoja ilman perusteltua säilytysaikaa. Tapaus osoittaa, että ylimitoitettu ja määrittelemätön säilytys on itsenäisesti sanktioitava rikkomus, ei tekninen pikkuseikka. Tietosuojavaltuutetun toimisto käsittelee tietojen minimointia ja säilytystä tietosuojan periaatteita koskevalla sivustollaan, ja lakiteksti löytyy GDPR:n 5 artiklasta EUR-Lexissä sekä tietosuojalaista (1050/2018).
Anonymisointi vai pseudonymisointi?
Säilytysajan päättyessä on kaksi vaihtoehtoa: poistaa tiedot tai anonymisoida ne. Näiden ero on olennainen, ja se sekoitetaan usein pseudonymisointiin.
Anonymisointi tarkoittaa, että tiedot muutetaan peruuttamattomasti muotoon, josta henkilöä ei enää voi tunnistaa – ei edes lisätietoja yhdistämällä. Anonymisoidut tiedot eivät ole henkilötietoja, joten GDPR ei sovellu niihin eikä säilytysajan rajoitus koske niitä. Aito anonymisointi on kuitenkin teknisesti vaativaa: pelkkä nimen poistaminen ei riitä, jos henkilö on tunnistettavissa muiden kenttien yhdistelmästä.
Pseudonymisointi tarkoittaa, että tunnistetiedot korvataan tunnisteella (esimerkiksi koodilla), mutta yhteys henkilöön voidaan palauttaa erikseen säilytetyn avaimen avulla. Pseudonymisoidut tiedot ovat edelleen henkilötietoja, ja säilytysajan rajoitus koskee niitä täysimääräisesti. Pseudonymisointi on hyvä tietoturvatoimi ja pienentää riskiä, mutta se ei täytä säilytyksen rajoittamista säilytysajan päättyessä.
Käytännön sääntö: kun säilytysaika päättyy, joko poista tiedot tai anonymisoi ne aidosti. Pelkkä pseudonymisointi ei riitä.
Anonymisoinnin vaativuutta ei kannata aliarvioida. Aidosti anonyymin aineiston tuottaminen edellyttää, että yksittäistä henkilöä ei voi tunnistaa suoraan eikä epäsuorasti – ei myöskään yhdistämällä aineistoa muihin saatavilla oleviin tietoihin. Pieni aineisto, jossa on harvinaisia yhdistelmiä (esimerkiksi tietyn ammatin harjoittaja tietyllä paikkakunnalla tiettynä ikänä), voi olla tunnistettavissa, vaikka nimet olisi poistettu. Siksi anonymisointi vaatii usein aineiston yleistämistä tai karkeistamista, ei pelkkää tunnistetietojen poistoa. Käytännön ratkaisu monissa organisaatioissa on kaksitasoinen: aktiivikäytössä olevat tiedot poistetaan säilytysajan päättyessä, kun taas analytiikkaa ja raportointia varten tarvittavat tiedot anonymisoidaan aidosti jo aiemmin, jolloin ne eivät enää kuulu GDPR:n soveltamisalaan. Näin liiketoiminta saa tarvitsemansa tilastotiedon ilman, että henkilötietoja kertyy tarpeettomasti.
Säilytysaikataulukon rakentaminen
Säilytysaikataulukko (retention schedule) on säilytyksen rajoittamisen tärkein työkalu. Se listaa jokaisen tietoryhmän säilytysajan ja sen perusteen. Rakenna taulukko kolmesta sarakkeesta: tietoryhmä / käsittelytoimi, säilytysaika ja peruste (lakisääteinen velvoite, vanhentumisaika tai käsittelyn tarkoitus). Esimerkiksi rekrytointitiedot säilytetään usein rekrytoinnin ajan ja lyhyen mahdollisiin syrjintävaateisiin varautuvan ajan, kun taas kirjanpitoaineistolla on lakisääteinen säilytysaika. Toinen tyypillinen esimerkki on kameravalvonta-aineisto, jonka säilytysaika on usein vain muutamia viikkoja, sekä asiakaspalvelun puhelutallenteet, joiden säilytys perustuu tarkoitukseen ja on tyypillisesti lyhyt. Kun jokaiselle tietoryhmälle on määritelty perusteltu aika, säilytys ei ole enää mielivaltaista vaan dokumentoitua ja puolustettavissa olevaa. Taulukko toimii samalla tarkistuslistana, jonka avulla varmistetaan, ettei mikään tietoryhmä jää ilman määriteltyä loppupäätä.
Kytke taulukko käsittelytoimien selosteeseen, josta säilytysaika kirjataan omaksi kentäkseen. Näin taulukko ei ole erillinen dokumentti vaan osa elävää tietosuojaohjelmaa. Legiscopen kaltainen ratkaisu kytkee säilytysajat käsittelytoimiin ja muistuttaa poistoista automaattisesti, jolloin manuaalinen unohtaminen ei jää riskiksi.
Usein kysytyt kysymykset
Kuinka kauan henkilötietoja saa säilyttää?
Vain niin kauan kuin on tarpeen siihen tarkoitukseen, jota varten ne kerättiin. GDPR ei anna kiinteitä aikoja, vaan säilytysaika johdetaan käsittelyn tarkoituksesta ja lakisääteisistä velvoitteista. Kun tarkoitus on täyttynyt eikä velvoitetta enää ole, tiedot on poistettava tai anonymisoitava.
Riittääkö tietojen pseudonymisointi säilytysajan päättyessä?
Ei. Pseudonymisoidut tiedot ovat edelleen henkilötietoja, koska rekisteröity on tunnistettavissa lisätietojen avulla. Säilytyksen rajoittamisen täyttää vasta anonymisointi, jonka jälkeen tiedot eivät ole enää palautettavissa henkilöön – tai tietojen poisto.
Voiko tietoja säilyttää “varmuuden vuoksi”?
Ei. Säilyttäminen edellyttää aina perusteltua tarkoitusta tai lakisääteistä velvoitetta. Määrittelemätön “voi vielä tarvita” ei ole hyväksyttävä peruste, ja tarpeettomien tietojen kertyminen on 5 artiklan periaatteen vastaista.
Mitkä lait asettavat säilytysvelvoitteita Suomessa?
Muun muassa kirjanpitolaki (kirjanpitoaineisto), työsopimuslaki ja työaikalaki (palkka- ja työaikatiedot) sekä verolainsäädäntö. Nämä asettavat vähimmäissäilytysajan, jonka aikana tietoja ei saa poistaa. Lakisääteinen velvoite on samalla peruste, jonka nojalla poistopyynnöstä voi kieltäytyä kyseisten tietojen osalta.
Voiko henkilötietoja säilyttää arkistointia tai tutkimusta varten?
Voi. 5 artiklan 1 kohdan e alakohta sallii pidemmän säilytyksen, kun tietoja käsitellään yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta taikka tilastointia varten, edellyttäen asianmukaisia suojatoimia (89 artikla) kuten tietojen minimointia ja pseudonymisointia. Poikkeus ei oikeuta säilyttämään kaikkea, vaan vain sitä, mikä on kyseisen tarkoituksen kannalta tarpeen.
Kuka määrittää säilytysajat organisaatiossa?
Rekisterinpitäjä. Käytännössä säilytysajat määritetään yhdessä liiketoiminnan, lakiasiain ja tietosuojavastaavan kanssa, koska ne perustuvat sekä käsittelyn tarkoitukseen että lakisääteisiin velvoitteisiin. Tulos kirjataan säilytysaikataulukkoon ja käsittelytoimien selosteeseen.
Mitä tapahtuu, jos säilytysaikoja ei ole määritelty?
Määrittelemättömät säilytysajat johtavat tietojen kertymiseen, mikä on 5 artiklan periaatteen vastaista ja itsenäisesti sanktioitavaa. Ilman määriteltyjä aikoja et myöskään pysty vastaamaan tarkastuspyyntöihin säilytysajan osalta etkä toteuttamaan poistoja järjestelmällisesti. Säilytysaikataulukko on siksi tietosuojaohjelman perusedellytys.
Yhteenveto
Säilytyksen rajoittaminen on GDPR 5 artiklan perusperiaate: henkilötietoja saa säilyttää vain niin kauan kuin on tarpeen, ja säilytysajan päätyttyä ne on poistettava tai anonymisoitava. Säilytysaika ei ole vapaasti valittavissa vaan johdetaan käsittelyn tarkoituksesta ja lakisääteisistä velvoitteista. Rakenna säilytysaikataulukko, automatisoi poisto, ilmoita ajat läpinäkyvästi ja katselmoi säännöllisesti. Periaate kytkeytyy suoraan oikeuteen tulla unohdetuksi ja sisäänrakennettuun tietosuojaan – hoida ne yhtenä kokonaisuutena, niin tietoja ei jää kertymään.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial