Olethan määritellyt organisaatiosi asiakastietojen säilytysajan

Verkkokauppa.com sai tietosuojavaltuutetun seuraamuskollegiolta 856 000 euron hallinnollisen seuraamusmaksun. Tämä seuraamusmaksu määrättiin, koska Verkkokauppa.com ei määritellyt, kuinka kauan se säilyttää asiakkaidensa henkilötietoja. EU:n tietosuoja-asetuksen mukaan rekisterinpitäjän on suunniteltava ja pystyttävä perustelemaan henkilötietojen säilytysaika.

Tietosuoja-asetuksessa ei ole valmiiksi määritelty tarkkoja säilytysaikoja, vaan jokaisen rekisterinpitäjän on arvioitava henkilötietojen säilytysaikaa ja tarpeellisuutta käyttötarkoituskohtaisesti. Henkilötietoja saa säilyttää vain niin kauan, kun ne ovat tarpeen henkilötietojen käyttötarkoituksen kannalta. Rekisterinpitäjän on esimerkiksi arvioitava ja pystyttävä perustelemaan, kuinka kauan asiakastietojen säilyttäminen on tarpeen sen jälkeen, kun asiakassuhde on päättynyt. Kansallisessa lainsäädännössä voidaan säätää erikseen säilytysajoista, kuten esimerkiksi rahanpesun ja terrorismin rahoittamisen estämistä koskevassa laissa tai kirjanpitolaissa. Lakiin perustuva säilytysvelvoite koskee vain erikseen määriteltyjä tietoja, joten rekisterinpitäjä ei voi perustella kaikkien hallussaan olevien henkilötietojen säilyttämistä esimerkiksi kirjanpitolain vaatimuksilla.

Kun henkilötietoja ei enää tarvita, ne tulee anonymisoida tai poistaa. Rekisterinpitäjän on varmistettava, että tiedot poistetaan kaikista sen järjestelmistä säilytysajan päätyttyä.

Jos kaipaat tukea säilytysaikadokumentaation laadinnassa tai haluat varmistaa yhtiönne säilytysaikakäytäntöjen lainmukaisuuden, Lexian asiantuntijat avustavat. Avustamme niin HR-tietojen, asiakastietojen kuin muidenkin tietojen säilytysaikojen määrittelyssä.

Teksti ja lisätiedot: Erika Leinonen, Counsel, [email protected]