Tietosuoja-asetus määrää, että organisaatiossa saadaan säilyttää henkilötietoja vain sen ajan, joka on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Tämä tarkoittaa sitä, että kaikille henkilötiedoille täytyy olla tuon käyttötarkoituksen mukaan määritelty ajanjakso, jolloin niitä tarvitaan, ja jonka päätyttyä tiedot pitää pystyä poistamaan.
Vuoden 2024 alussa esiin tullut eduskunnan kanslian henkilöstöstä tehtyjä turvallisuusselvityksiä koskenut tapaus ilmentää sitä, että pelkkä väärä tai tietosuojasäännösten vastainen henkilötietojen säilyttäminenkin voi olla rangaistavaa (Eduskunnan kanslian turvallisuusosaston virkamies pidätettiin virasta – yli 1 000 henkilön tietosuojaa loukattu | Kotimaa | Yle). Tietosuojavaltuutetun Verkkokauppa.com Oyj:lle maaliskuussa 2024 määräämä 856 000 euron seuraamusmaksu perustui pääosin siihen, että yritys ei ollut määritellyt, kuinka kauan se säilyttää asiakastilien tietoja (Henkilötietojen säilytys tietosuojavaltuutetun uusimman päätöksen valossa – Lawder). Helsingin hallinto-oikeus piti helmikuussa 2025 antamallaan päätöksellä seuraamusmaksun voimassa, mutta alensi sen 792 000 euroon (Hallinto-oikeus: Verkkokauppa.com säilöi asiakastietoja väärin | HS.fi).
Nämä tapaukset osoittavat, että yritysten on kiinnitettävä erityistä huomiota henkilötietojen asianmukaiseen säilytykseen ja niiden poistamiseen liittyvien käytäntöjen kehittämiseen. Näitä asioita tullaan varmasti jatkossa korostamaan myös tietosuojaviranomaisten tarkastustoiminnassa.
Mitä tietojen säilytyksessä tulee siis ottaa huomioon?
Henkilötietojen säilytyksessä huomioitavat olennaiset perusvaatimukset, jotka jokaisen henkilötietoja käsittelevän organisaation tulee ottaa osaksi liiketoimintaansa, perustuvat EU:n yleisen tietosuoja-asetuksen (“GDPR”) ja Suomen tietosuojalain mukaisiin tietosuojaperiaatteisiin sekä tietosuojaviranomaisten ohjeisiin. Niistä tärkeimmät on koottu alle:
Henkilötietoja saa käsitellä ainoastaan ennalta määriteltyihin käyttötarkoituksiin ja vain siinä laajuudessa, kuin on välttämätöntä tuon tarkoituksen toteuttamiseksi.
Henkilötietojen minimointi toteutetaan parhaiten niin, että henkilötietoja ei kerätä tai säilytetä vain “varmuuden vuoksi”. Jo siinä vaiheessa, kun suunnitellaan toimintoja, joihin liittyy henkilötietojen käsittelyä, mietitään, mitkä ovat ne aivan välttämättömät henkilötiedot kyseiseen tarkoitukseen, ja kauanko niitä täytyy säilyttää. Tiedot talletetaan vain ennalta suunniteltuihin tallennuspaikkoihin, ja poistaminen suunnitellaan niin, että tiedot on helppo poistaa käsittelyn jälkeen oikeaan aikaan kaikista tallennuspaikoista.
Henkilötietoja saa säilyttää vain määritellyn ajan ja kunkin henkilötiedon/tietoryhmän säilytysaika tulee dokumentoida.
Eri henkilötiedoilla voi olla erilaisia lakisääteisiä säilytysaikoja. Tämän takia jokaisen eri tietoryhmän säilytysaika tulee määritellä tarkasti sen käyttötarkoituksen mukaan, ja säilytysaika kirjataan esimerkiksi organisaation sisäiseen henkilörekisterien inventaarioon tai muuhun vastaavaan organisaatiossa käytössä olevaan selosteeseen henkilötietojen käsittelytoimista, kuten tietosuojaselosteeseen.
Henkilötietoja tulee säilyttää turvallisesti niin, että riskit tietojen joutumisesta ulkopuolisten haltuun ovat mahdollisimman pienet.
Tietosuoja tulee ottaa huomioon alusta alkaen aina uusia järjestelmiä hankittaessa tai liiketoimintoja ja palveluprosesseja suunnitellessa. Vastuullisessa organisaatiossa mietitään etukäteen mm. tietojen säilytysajat ja tallennuspaikat, niihin liittyvät riskit ja riskien minimointikeinot, sekä tietojen poistoon liittyvien toimintojen toteuttaminen käytännössä.
Henkilötiedot on poistettava, kun niiden käyttötarkoitus, ja sitä myötä niille määritelty säilytysaika, on päättynyt.
Henkilötietojen poistamisen ajankohdan lisäksi on syytä dokumentoida poistamisen käytännöt ja vastuuhenkilöt. On tärkeää ymmärtää se kokonaisuus, mitä henkilötietoja käsitellään ja missä järjestelmissä ja muissa tallennuspaikoissa niitä on talletettuina. ”Henkilörekisteri” kannattaakin ymmärtää laajana, samaan tarkoitukseen käsiteltävien tietojen joukkona, eikä yksittäisenä järjestelmänä. Tästä syystä helposti unohtuu esimerkiksi sähköpostissa tai paperikansioissa olevat henkilötiedot; nekin täytyy poistaa ajallaan.
Rekisterinpitäjän on toteutettava asianmukaiset toimet rekisteröityjen tietosuojaoikeuksien suojaamiseksi ja helpotettava näiden oikeuksien käyttämistä.
Rekisteröidyllä on oikeus saada tietoa henkilötietojensa käsittelystä ja esittää mm. tarkastus-, muokkaus-, ja poistopyyntöjä tietoihinsa liittyen. Kun henkilötietoja säilytetään oikein ja niiden säilytyskäytännöt on riittävästi dokumentoitu, tietopyyntöihin vastaaminen ja rekisteröityjen oikeuksien toteuttaminen on sekä helpompaa että nopeampaa.
Huolellisesti toteutetut henkilötietojen säilytyskäytännöt auttavat havaitsemaan ja hallitsemaan tietosuojapoikkeamia tehokkaasti.
Henkilötietojen säilytyskäytäntöjen ja säilytysaikojen määrittely ja toteuttaminen on osa tietosuojapoikkeamien hallintaa. Oikealla ja asianmukaisella henkilötietojen säilyttämisellä ja tarkasti suunnitelluilla säilytysajoilla ennaltaehkäistään henkilötietoihin ja niiden väärinkäyttöön kohdistuvia riskejä.
—
Kokeneet tietosuoja-asiantuntijamme avustavat mielellään henkilötietojen säilytysaikojen määrittelyssä. Voimme myös halutessasi katselmoida organisaationne henkilötietojen säilytys- ja käsittelykäytännöt ja ehdottaa niihin tarvittaessa parannuksia.
Jos tarvitset neuvoja organisaatiosi henkilötietojen säilytysaikojen ja poistamisen käytäntöjen suhteen, ota rohkeasti yhteyttä Lawderin aulaan – palvelemme napin painalluksen päässä arkisin 9-15.
Lawderin virtuaalisessa aulassa vastaamme yritysten ja yhteisöjen kysymyksiin mm. tietosuojaan liittyen. Astu aulaan – neuvonta on maksuton (ark. 9-15)!
Eve Ahonen
Tietosuoja- ja datajuristi
Lawder Oy
