Mitä kohta A.1.4.8 edellyttää?
Organisaatio ei saa säilyttää henkilötietoja pidempään kuin on tarpeen niiden tarkoitusten toteuttamiseksi, joita varten niitä käsitellään.
Tämä ohjaus sijaitsee Henkilökohtaisten tietojen minimointi tavoite (A.1.4) ja käsittelee tiedon minimoinnin aikaulottuvuutta. Vaikka A.1.4.2 Rajakeräys rajoittaa sitä, mitä keräät ja A.1.4.3 Raja-arvojen käsittely A.1.4.8 rajoittaa sitä, mitä sillä voi tehdä, ja sen säilytysaikaa. Yhdessä nämä hallintalaitteet muodostavat täydellisen minimointikehyksen.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.4.8) annetaan seuraavat ohjeet:
- Määritä säilytysajat — Määrittele kullekin henkilötietojen luokalle säilytysajat käsittelytarkoituksen ja sovellettavien lakisääteisten vaatimusten (kuten verotietojen säilytys, työlainsäädäntö tai toimialakohtaiset määräykset) perusteella.
- Ota käyttöön säilytysaikataulut — Luo ja ylläpidä virallisia säilytysaikatauluja, joissa määritetään säilytysaika, laukaiseva tapahtuma (esim. sopimuksen päättyminen, palvelun päättyminen) ja voimassaoloajan päättyessä suoritettavat toimenpiteet (poistaminen tai tunnistamattomaksi tekeminen)
- Tarkista tallennetut henkilötiedot säännöllisesti — Tarkista tallennetut henkilötiedot säännöllisesti säilytysaikataulujen perusteella tunnistaaksesi tiedot, jotka olisi pitänyt hävittää tai jotka lähestyvät säilytysrajaansa
- Säilytysaikojen ilmoittaminen — Tiedota henkilötietojen käsittelystä vastaaville tahoille heidän tietojensa säilytysajoista, tyypillisesti tietosuojailmoitusten kautta, mikä tukee avoimuusvaatimuksia A.1.3.3 Tietoja henkilötietojen käsittelijöille
Säilytyksen hallinta ei ole kertaluonteinen toimenpide. Se vaatii jatkuvaa hallintaa sen varmistamiseksi, että aikatauluja noudatetaan, poikkeukset ovat perusteltuja ja uusia henkilötietojen luokkia otetaan mukaan käsittelytoiminnan kehittyessä.
Miten tämä vastaa GDPR:ää?
Kontrolli A.1.4.8 vastaa seuraavaa GDPR avoimuussäännökset:
- 13 artikla (2) a) — Edellyttää rekisterinpitäjää ilmoittamaan rekisteröidyille henkilötietojen säilytysajasta tai kyseisen ajanjakson määrittämiseen käytetyistä kriteereistä tietojen keräämisen yhteydessä
- 14 artikla (2) a) — Sama vaatimus koskee epäsuorasti (ei rekisteröidyltä itseltään) saatuja tietoja
GDPR Artiklan 5(1)(e) mukainen säilytysajan rajoittamisen periaate on tämän valvonnan ensisijainen kuvaus, ja läpinäkyvyyssäännökset tukevat vaatimusta säilytysajoista tiedottamisesta yksilöille.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee suoraan ISO 29100 periaate Käyttö-, säilytys- ja luovutusrajoitukset, joka edellyttää, että henkilötietoja säilytetään vain niin kauan kuin on tarpeen ilmoitettujen tarkoitusten täyttämiseksi. Periaate edellyttää myös, että säilytysajat määritellään sovellettavan tarkoituksen perusteella ja ne ilmoitetaan henkilötietojen käsittelystä vastaaville henkilöille.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.4.8 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Säilytysaikataulu — Virallinen asiakirja, jossa luetellaan jokainen henkilötietojen luokka, sen määritelty säilytysaika, laukaiseva tapahtuma, ajanjakson oikeusperusta (jos sovellettavissa) ja hävittämistoimenpide
- Tarkista tiedot — Todiste tallennettujen henkilötietojen säännöllisistä tarkistuksista säilytysaikataulua vasten, dokumentoiduilla tuloksilla ja mahdollisilla korjaavilla toimenpiteillä
- Hävitystodisteet — Tiedot, jotka osoittavat, että henkilötiedot on hävitetty säilytysajan päätyttyä, linkittämällä A.1.4.9 hävittäminen menettelyt
- Poikkeusrekisteri — Dokumentaatio kaikista henkilötietojen säilytysajasta, joka on säilytetty suunnitellun ajanjakson jälkeen, sekä perustelut (esim. oikeudellinen pidätysmääräys, meneillään oleva kiista, sääntelyyn liittyvä tutkinta)
- Tietosuojailmoituksen sisältö — Todiste siitä, että säilytysajat tai -kriteerit on ilmoitettu henkilötietojen käsittelijöille tietosuojailmoitusten kautta
- Järjestelmän kokoonpanot — Tekniset asetukset, jotka valvovat tai tukevat säilytysaikoja (automaattinen arkistointi, automaattinen poisto, vanhenemismerkinnät)
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.4.6 Tunnistamattomuuden poistaminen ja poistaminen | Määrittää, mitä henkilötiedoille tapahtuu säilytysajan päättyessä |
| A.1.4.9 Hävittäminen | Tarjoaa turvalliset hävitysmenetelmät säilytyksen lopussa |
| A.1.4.7 Väliaikaiset tiedostot | Väliaikaisilla tiedostoilla on omat lyhyet säilytysvaatimuksensa |
| A.1.4.5 Henkilötietojen minimointitavoitteet | Säilytysaikataulut toteuttavat minimointitavoitteiden aikaulottuvuuden |
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Säilytysajat johdetaan dokumentoiduista käsittelytarkoituksista |
| A.1.3.3 Henkilötietojen määrittäminen päämiehille | Säilytysajat on ilmoitettava yksilöille |
Mikä muuttui standardista ISO 27701:2019?
Vuoden 2019 painoksessa säilytystä käsiteltiin kohdassa 7.4.7 (säilytys). Vuoden 2025 määräysvallassa on sama ydinvaatimus. Uudelleenjärjestelty Liite A/B-muoto erottaa valvontalausekkeen toteutusohjeista selkeämmin. Ohjeistus painottaa nyt enemmän säilytysaikojen tiedottamista henkilötietojen käsittelystä vastaaville, mikä vahvistaa säilytyksen hallinnan ja läpinäkyvyysvelvoitteiden välistä yhteyttä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online henkilötietojen säilytyksen hallintaan?
ISMS.online tekee säilytyshallinnasta käytännöllistä, johdonmukaista ja auditoitavaa:
- Säilytysaikataulun rakentaja — Luo virallisia säilytysaikatauluja, jotka sisältävät luokkia, ajanjaksoja, laukaisevia tapahtumia, oikeusperustoja ja hävittämistoimia – kaikki jäsennellyssä ja haettavassa muodossa
- Automaattiset vanhenemisilmoitukset — Vastaanota ilmoituksia, kun henkilötietojen säilytysraja lähestyy tai saavuttaa sen, mikä vähentää ylisäilytyksen riskiä
- Arviointisyklin hallinta — Aikatauluta säännöllisiä säilytystarkastuksia, joihin sisältyy tehtävien jako, valmistumisen seuranta ja dokumentoidut tulokset
- Poikkeusten hallinta — Dokumenttien ja seurantatietojen säilytyspoikkeusten (lakisääteiset säilytysvaatimukset, sääntelyvaatimukset) hyväksyntätyönkulkujen ja aikarajoitettujen jatkoaikojen avulla
- Tietosuojailmoituksen integrointi — Yhdistä säilytysajat tietosuojailmoituksiisi, jotta säilytysaikataulujen muutokset voidaan ottaa huomioon henkilötietojen käsittelystä vastaaville henkilöille lähetetyissä viesteissä.
- Hävitysketju — Yhdistä säilytysaikataulut hävittämismenettelyihin kohdassa A.1.4.9 Hävittäminen, luoden kokonaisvaltaisen elinkaaripolun
UKK
Miten määrität oikean säilytysajan kullekin henkilötietojen luokalle?
Aloita käsittelyn tarkoituksesta: kuinka kauan henkilötietoja todella tarvitaan kyseisen tarkoituksen täyttämiseksi? Tarkista sitten lakisääteiset tai säännöksiin perustuvat säilytysvaatimukset, jotka saattavat edellyttää vähimmäissäilytysaikaa (esim. verotiedot, työsuhdetiedot, taloudelliset tiedot). Säilytysajan tulisi olla pidempi kuin tarkoitusperusteinen ajanjakso ja lakisääteinen vähimmäisaika, mutta ei pidempi. Jos lakisääteistä vaatimusta ei ole, sovelletaan pelkästään tarkoitusperusteista ajanjaksoa. Dokumentoi kunkin säilytysajan perustelut.
Mikä laukaisee säilytysajan alkamisen?
Käynnistävä tekijä riippuu käsittelyn kontekstista. Yleisiä laukaisevia tekijöitä ovat: asiakassuhteen päättyminen, tapahtuman suorittaminen, sopimuksen päättyminen, työsuhteen irtisanominen, viimeisin vuorovaikutus henkilön kanssa tai päivämäärä, jona henkilötiedot kerättiin. Käynnistävä tekijä tulee määritellä selkeästi säilytysaikataulussa, jotta vanhenemispäivämäärä voidaan laskea yksiselitteisesti.
Voivatko samojen henkilötietojen säilytysajat vaihdella eri tarkoituksiin?
Kyllä. Samalla henkilötietokentällä voi olla eri säilytysajat käyttötarkoituksesta riippuen. Esimerkiksi asiakkaan sähköpostiosoite voidaan säilyttää 12 kuukautta asiakassuhteen päättymisen jälkeen palvelun seurantaa varten, mutta 6 vuotta taloudellisen kirjanpidon tarkoituksiin. Pisin sovellettava ajanjakso määrää, milloin henkilötiedot voidaan poistaa, mutta käsittely kutakin tarkoitusta varten tulee lopettaa, kun kyseisen tarkoituksen säilytysaika päättyy.
Katso tarkastusevidenssivaatimusten opas tarkastajien odottamaa erityistä evidenssiä tiedon laadun ja minimoinnin kontrollien osalta.
Tallenna tämä ohjausobjekti muistiisi Ilmoitus soveltuvuudesta perusteluineen sen sovellettavuudelle.
