top of page
Search

Kaua tohib isikuandmeid säilitada?

  • May 11
  • 2 min read

Üks sagedasemaid andmekaitsealaseid küsimusi on kui kaua tohib isikuandmeid säilitada? Paljud organisatsioonid koguvad andmeid aastaid, kuid ei oska täpselt öelda, millal ja miks need tuleks kustutada. Vale säilitamine on aga üks levinumaid GDPR-i rikkumisi.


Selles artiklis selgitame:

  • milline on isikuandmete säilitamise põhireegel;

  • millest sõltub säilitustähtaeg;

  • tüüpilisi säilitamise tähtaegu eri andmeliikide puhul;

  • millised riskid kaasnevad andmete liiga pika säilitamisega;

  • kuidas andmete säilitamine organisatsioonis korrektselt korda teha.


Isikuandmete säilitamise põhireegel (GDPR)

GDPR-i kohaselt tohib isikuandmeid säilitada ainult seni, kuni see on vajalik konkreetse eesmärgi saavutamiseks. See on nn säilitamise piirangu põhimõte. Lihtsustatult, kui eesmärk on täidetud või ära langenud, ei ole andmete edasiseks säilitamiseks enam alust. Oluline on mõista, et:

  • seadus ei sätesta ühte kindlat üldist tähtaega (nt „5 aastat kõigile andmetele“);

  • iga andmekogu ja andmeliik vajab eraldi

  • põhjendatud säilitustähtaega.


Millest sõltub isikuandmete säilitustähtaeg?


1. Andmete töötlemise eesmärk

  • lepingu täitmine;

  • seadusest tuleneva kohustuse täitmine;

  • kliendisuhe;

  • vaidluste ennetamine või lahendamine.

Kui eesmärk kaob, kaob üldjuhul ka õigus andmeid säilitada.


2. Töötlemise õiguslik alus

  • Leping - andmeid võib säilitada lepingu kehtivuse ajal ja mõistliku aja pärast vaidluste tarbeks.

  • Seadusest tulenev kohustus - säilitusaeg tuleneb konkreetsest seadusest (nt raamatupidamine).

  • Õigustatud huvi - säilitamine peab olema proportsionaalne ja põhjendatud.

  • Nõusolek - andmeid tohib säilitada kuni andmesubjekti nõusoleku tagasivõtmiseni või eesmärgi täitumiseni.


3. Seadusest tulenevad tähtajad

Mitmed seadused näevad ette kohustuslikud minimaalsed säilitustähtajad, nt:

  • raamatupidamise algdokumente peab säilitama 7 aastat;

  • töölepinguid peab säilitama 10 aastat lepingu lõppemisest;

  • likvideeritud ettevõtte dokumendid 10 aastat.


Levinumad säilitustähtajad praktikas:

  • Kliendi andmed - lepingu kehtivuse ajal ja kuni 10 aastat pärast lepingu lõppemist;

  • Turundusnõusolek - nõusoleku tagasivõtmiseni või seni kuni isik on aktiivne klient;

  • Kandidaatide andmed - värbamisprotsessi lõpuni; edasiseks säilitamiseks on vaja nõusolekut;

  • Valvekaamera salvestised - praktikas kuni 30 päeva, v.a kui salvestis on vajalik konkreetse vaidluse lahendamiseks.


Miks on andmete liiga pikk säilitamine ohtlik?

Paljud organisatsioonid arvavad ekslikult, et isikuandmete „igaks juhuks alles hoidmine“ on turvaline. Tegelikkuses on vastupidi. Liiga pikk säilitamine tähendab:

  • GDPR-i rikkumise riski;

  • suuremat vastutust andmelekkete korral;

  • suuremaid kulusid infoturbele;

  • võimalikke ettekirjutusi ja trahve Andmekaitse Inspektsioonilt;

  • mainekahju ja klientide usalduse kaotust.


Praktikas on mitmed järelevalvemenetlused alguse saanud just sellest, et organisatsioon ei suutnud selgitada, miks andmeid endiselt säilitatakse.


Dokumenteerimiskohustus: säilitamine peab olema põhjendatud


Oluline ei ole ainult see, kui kaua andmeid säilitatakse, vaid ka see, et organisatsioon suudaks seda põhjendada ja dokumenteerida. Soovitatav on:

  • määrata säilitustähtajad andmetöötlusregistris;

  • kehtestada andmete säilitamise ja kustutamise kord;

  • kirjeldada säilitustähtaegu privaatsusteatises;

  • rakendada tehnilised või organisatsioonilised meetmed andmete automaatseks kustutamiseks või anonüümistamiseks.


Kuidas andmete säilitamine organisatsioonis korda teha?

Praktiline lähenemine hõlmab tavaliselt:

  1. kõigi töödeldavate isikuandmete kaardistamist;

  2. töötlemise eesmärkide ja õiguslike aluste määratlemist;

  3. seadusest tulenevate tähtaegade kontrolli;

  4. säilitustähtaegade määramist ja dokumenteerimist;

  5. kustutamis- või anonüümistamisprotsesside loomist.


Vajate abi säilitustähtaegade määramisel?

Isikuandmete säilitamine on üks keerulisemaid andmekaitsevaldkondi, sest see nõuab õiguslikku, praktilist ja tehnilist lähenemist korraga. Meie andmekaitsespetsialist aitab:

  • määrata korrektsed ja kaitstavad säilitustähtajad;

  • koostada andmete säilitamise ja kustutamise korra;

  • korrastada andmetöötlusregistri ja privaatsusteatised;

  • vähendada andmekaitseriske enne, kui nendest saavad probleemid.


Võtke meiega ühendust, kui soovite oma organisatsiooni andmekaitse läbimõeldult ja vastavaks muuta.



 
 
 

Comments

bottom of page