Elama Uutispaivitys Suomi
Elama Suomi Elama Uutispaivitys
Blogi Maailma Paikalliset Politiikka Talous Tekniikka

Mikä on tietojen säilytyspolitiikka? Opas GDPR:ään ja käytäntöön

Elias Mikael Virtanen Salonen • 2026-05-13 • Tarkistanut Elias Korhonen

Kun yritys kerää tietoja asiakkaistaan tai työntekijöistään, on ennemmin tai myöhemmin päätettävä, kuinka kauan niitä pidetään tallessa – tietojen säilytyspolitiikka on juuri tämä sääntökokoelma, ja ilman sitä tietoturva ja lainmukaisuus kärsivät. Tässä oppaassa käymme läpi, mitä politiikka tarkoittaa, miten se liittyy EU:n tietosuoja-asetukseen ja miten laadit omasi suomalaiselle yritykselle.

4 liittyvaa artikkelia

Tietojen säilytysajan pituus EU:n yleisen tietosuoja-asetuksen mukaan: Ei yleistä enimmäisaikaa; määräytyy tarkoituksen mukaan · Tietojen säilytyspolitiikkaa noudattavien organisaatioiden osuus: Yli 60 % suurista yrityksistä (arvio) · Tietojen säilytysrikkomusten sakot EU:ssa (2023): Yli 1,6 miljardia euroa · Tietojen säilytyspolitiikan yleisin elementti: Säilytysaikataulu ja poistomenettely

Pikakatsaus

1Määritelmä
  • Tietojen säilytyspolitiikka on joukko sääntöjä, jotka määrittelevät säilytysajat ja poistomenettelyt (Euroopan komission ohje).
  • Se kattaa kaikki henkilötietojen kategoriat ja tallennusympäristöt (Usercentrics).
2GDPR-vaatimukset
3Käytännön hyödyt
4Toteutusvaiheet

Neljä avainlukua tiivistävät tilanteen: GDPR ei aseta kiinteää maksimia, mutta Irlannin kirjanpitosäännökset vaativat seitsemän vuoden säilytystä, työsuhdetiedoissa tyypillinen aika on kuusi vuotta ja EU:n tietosuojarikkomussakot ylittivät viime vuonna 1,6 miljardia euroa.

Ominaisuus Arvo
GDPR-säilytysaika Ei kiinteää enimmäisaikaa (Euroopan komissio)
Irlannin kirjanpitosäilytys 7 vuotta
Työsuhdetietojen säilytys Tyypillisesti 6 vuotta
Sakkojen määrä 2023 Yli 1,6 miljardia euroa EU:ssa

Mikä on tietojen säilytyspolitiikka yksinkertaisesti selitettynä?

Tietojen säilytyspolitiikka on organisaation laatima kirjallinen ohjeistus siitä, kuinka kauan eri tietoja säilytetään ja milloin ne poistetaan. Se kattaa kaikki henkilötiedot asiakasrekistereistä työsuhdetietoihin.

Tietojen säilytyspolitiikan perusperiaatteet

  • Säilytysaika määräytyy käsittelyn tarkoituksen mukaan – ei yleistä enimmäisaikaa (Euroopan komission linjaus).
  • Politiikan on katettava kaikki tietotyypit ja tallennuspaikat (myös varmuuskopiot) (Usercentrics).
  • Säilytysaikaa on noudatettava koko tietojen elinkaaren ajan.

Miksi tietoja säilytetään ja poistetaan?

  • Lakisääteiset velvoitteet (esim. kirjanpitolaki) edellyttävät tietyntyyppisten tietojen säilyttämistä määräajan.
  • Liiketoiminnan tarpeet, kuten asiakaspalvelu ja analytiikka.
  • Poistolla vähennetään tietoturvariskejä ja kustannuksia (BackupVault).

Käytännössä tämä tarkoittaa, että jokaista tietoerää varten on määriteltävä selvä elinkaari: milloin se kerätään, kuinka kauan sitä pidetään ja koska se poistetaan.

Yhteenveto: Tietojen säilytyspolitiikka on yrityksen pelikirja datan hallintaan. Se ei ole vain GDPR-vaatimus, vaan käytännön työkalu, joka vähentää riskejä ja kustannuksia. Pienyritykselle riittää yksinkertainen taulukko, suuryritykselle tarvitaan automatisoitu prosessi.

Mikä on tietojen säilytyspolitiikka GDPR:n mukaan?

GDPR:n säilytysajan rajoitusperiaate

EU:n yleinen tietosuoja-asetus (GDPR) asettaa säilytysajan rajoituksen (storage limitation) yhdeksi tietosuojan perusperiaatteista. GDPR:n 5 artiklan 1 kohdan e-kohta määrää, että henkilötietoja saa säilyttää vain niin kauan kuin on tarpeen käsittelyn tarkoitusta varten (Euroopan komissio). Tämä tarkoittaa, että jokaiselle tietokategorialle on määriteltävä perusteltu säilytysaika.

  • GDPR ei aseta kiinteitä enimmäisaikoja, vaan organisaatioiden on päätettävä ne itse (Usercentrics).
  • Tietoja on säilytettävä mahdollisimman lyhyt aika, huomioiden kuitenkin lakisääteiset vaatimukset.
  • Poikkeuksena tietoja saa säilyttää pidempään arkistointitarkoituksiin, tutkimukseen tai tilastointiin, jos asianmukaiset suojatoimet on toteutettu (Euroopan komissio).

Irlannin tietojen säilytysaika ja sääntely

Irlannissa kirjanpitolaki (Companies Act 2014) edellyttää kirjanpitoaineiston säilyttämistä 7 vuotta. Tämä on esimerkki siitä, miten kansallinen lainsäädäntö asettaa tarkempia säilytysaikoja GDPR:n yleisen kehyksen päälle. Suomalaisia yrityksiä koskevat vastaavat velvoitteet; esimerkiksi työsuhdetietoja säilytetään tyypillisesti 6 vuotta työsuhteen päättymisestä.

Merkittävä havainto: GDPR edellyttää kirjallista politiikkaa osoittamaan vastuullisuutta (accountability) (GDPR Local). Ilman dokumentoitua politiikkaa yrityksen on vaikea osoittaa noudattavansa säilytysajan rajoitusta.

Miksi tämä on tärkeää

Suomalaisen yrityksen on tunnettava sekä EU-tason vaatimukset että kansalliset erityislait. Kirjanpitolaki ja työsopimuslaki asettavat omat säilytysaikansa – politiikan on katettava kaikki nämä.

GDPR:n säilytysajan rajoitus on selkeä: tietoja saa säilyttää vain niin kauan kuin tarpeen. Kansalliset lait, kuten kirjanpitolaki, täsmentävät aikoja. Dokumentoitu politiikka on vastuullisuuden osoitus.

Mikä on tietojen säilytyspolitiikan tarkoitus?

Tietoturvan parantaminen

Tarpeettomien tietojen poistaminen vähentää tietomurron riskiä. Jos tietoja ei enää tarvita, niiden suojaaminen on turhaa ja riskialtista. Periaate on yksinkertainen: säilytä vain se, mitä tarvitset (BackupVault).

Vaatimustenmukaisuuden varmistaminen

GDPR, kirjanpitolaki, työsopimuslaki ja muut säädökset asettavat säilytysaikoja. Ilman politiikkaa yritys altistuu sakoille. Vuonna 2023 tietosuojarikkomusten sakot EU:ssa nousivat yli 1,6 miljardiin euroon.

Tallennuskustannusten vähentäminen

Turha data vie tallennustilaa ja lisää hallinnollista työtä. Systemaattinen poistaminen pienentää pilvipalveluiden kustannuksia ja helpottaa tietohallintoa.

Käytännön hyöty

Säilytyspolitiikka ei ole vain byrokratiaa. Se vähentää tietomurron todennäköisyyttä leikkaamalla tarpeettoman tiedon määrää, ja samalla se leikkaa tallennuskustannuksia jopa kymmeniä prosentteja.

Tietoturva, vaatimustenmukaisuus ja kustannussäästöt ovat säilytyspolitiikan kolme keskeistä hyötyä. Tarpeettoman datan poisto vähentää riskejä ja kuluja.

Tarvitsenko tietojen säilytyspolitiikkaa?

Milloin tietojen säilytyspolitiikka on pakollinen?

Kaikki organisaatiot, jotka käsittelevät henkilötietoja, tarvitsevat tietojen säilytyspolitiikan. GDPR edellyttää dokumentoitua politiikkaa vastuullisuusperiaatteen (accountability) vuoksi (GDPR Local). Ilman sitä on vaikea osoittaa, että noudatat säilytysajan rajoitusta. Lisäksi monet kansalliset lait, kuten kirjanpitolaki ja työlainsäädäntö, asettavat omia vaatimuksiaan.

Pienten yritysten tarpeet

  • Pienyrityksen ei tarvitse laatia monimutkaista dokumenttia – riittää selkeä taulukko säilytysajoista ja poistosäännöistä.
  • GDPR koskee kaiken kokoisia toimijoita; poikkeuksia ei ole henkilöstömäärän perusteella.
  • Suositeltavaa: aloita tietokartoituksella (inventoi kaikki henkilötietoja sisältävät järjestelmät).

Käytännössä jokainen yritys, jolla on asiakkaita, työntekijöitä tai yhteistyökumppaneita EU:ssa, tarvitsee politiikan. Se on osa tietoturvan perustaa.

Kuinka tietojen säilytyspolitiikka määritellään?

Vaiheittainen opas

Seuraavat kolme vaihetta auttavat luomaan kattavan säilytyspolitiikan. Ne perustuvat EU:n tietosuojaviranomaisten ohjeisiin ja käytännön kokemuksiin.

  1. Vaihe 1: Tietojen inventointi

    Kartoita kaikki järjestelmät ja prosessit, joissa henkilötietoja käsitellään. Tämä sisältää asiakasrekisterit, henkilöstöhallinnon järjestelmät, markkinointitietokannat, lokitiedot ja varmuuskopiot. Jokaiselle tietokategorialle on kirjattava: mitä tietoja, missä ne sijaitsevat, mikä on käsittelyn tarkoitus ja mikä on lainmukainen peruste.

  2. Vaihe 2: Säilytysaikojen määrittäminen

    Määritä jokaiselle tietokategorialle säilytysaika. Perustana ovat lainsäädännön vaatimukset (esim. kirjanpitolaki 6–7 vuotta, työsuhdetiedot 6 vuotta työsuhteen päättymisestä) ja liiketoiminnan tarpeet. Jos tarkkaa lakia ei ole, säilytysaika perustuu käsittelyn tarkoitukseen – esimerkiksi asiakassuhdetiedot säilytetään asiakassuhteen ajan ja kohtuullinen aika sen jälkeen.

    • GDPR:n mukaan aika ei saa olla pidempi kuin tarpeen (RSI Security).
    • Eräs viitteellinen suositus: enintään 5 vuotta viimeisestä vuorovaikutuksesta (GDPR Local).

  3. Vaihe 3: Poistomenettelyjen luominen

    Määritä konkreettiset toimenpiteet tietojen poistamiselle säilytysajan päätyttyä. Poiston on katettava kaikki kopiot, mukaan lukien varmuuskopiot ja arkistot. Dokumentoi, kuka vastaa poistosta, millä aikataululla ja miten poisto varmennetaan.

    • Säilytysvaatimukset koskevat myös varmuuskopioita ja arkistoja; tietojen tulee poistua kaikista tallennusympäristöistä (Usercentrics).
    • Suosi automaattisia ratkaisuja (esim. Office 365:n säilytyspolitiikat).

    Seuraava sääntö: tietomurto on ilmoitettava viranomaisille 72 tunnin kuluessa havaitsemisesta (BackupVault). Tämä korostaa, miksi tarpeeton data on riski – jokainen tieto, jota ei enää tarvita, on potentiaalinen vastuu.

Plussat ja miinukset

Hyödyt

  • Parantaa tietoturvaa vähentämällä hyökkäyspinta-alaa.
  • Varmistaa GDPR:n ja muun lainsäädännön noudattamisen.
  • Vähentää tallennuskustannuksia.
  • Selkeyttää tietohallintoa ja vastuita.

Haasteet

  • Vaatii alkuinvestoinnin tietokartoitukseen ja dokumentointiin.
  • Jatkuva ylläpito: säilytysaikoja on päivitettävä lainsäädännön muuttuessa.
  • Voi olla työläs toteuttaa ilman automaatiotyökaluja.

Vahvistettua ja epäselvää

Seuraavat asiat ovat varmoja tai epävarmoja tietojen säilytyspolitiikan kentässä.

Vahvistetut faktat

  • GDPR ei aseta kiinteää säilytysaikaa (Euroopan komissio).
  • Tietojen säilytyspolitiikka on pakollinen henkilötietojen käsittelijöille (GDPR Local).
  • Irlannin kirjanpitolaki vaatii 7 vuoden säilytystä.
  • Tietomurto on ilmoitettava 72 tunnissa.

Mikä on epäselvää

  • Tarkkoja säilytysaikoja eri toimialoille ei ole määritelty GDPR:ssä – ne jäävät organisaatioiden päätettäviksi.
  • 5 C:n viitekehys (selkeys, johdonmukaisuus, kattavuus, vaatimustenmukaisuus, valvonta) ei ole virallinen standardi, vaan käytännön työkalu.

Asiantuntijoiden näkemyksiä

”Henkilötietoja on säilytettävä muodossa, joka mahdollistaa rekisteröidyn tunnistamisen ainoastaan niin kauan kuin on tarpeen tietojen käsittelyn tarkoitusta varten.”

– Euroopan komissio (GDPR-ohjeistus)

”Säilytyskäytäntö tulisi määritellä säilytysajat jokaiselle henkilötietokategoriälle, oikeusperusteet ja poistamisprosessit.”

– Usercentrics (tietosuoja-alusta)

Nämä kaksi lainausta tiivistävät politiikan ytimen: sen on oltava tarkka, dokumentoitu ja perusteltu.

Yhteenveto

Tietojen säilytyspolitiikka on yrityksen tietoturvan ja vaatimustenmukaisuuden peruskivi. Se ei ole pelkkä GDPR-muodollisuus, vaan käytännön työkalu, joka vähentää riskejä, kustannuksia ja hallinnollista taakkaa. Suomalaiselle yritykselle selvä toimintasuunnitelma on: tee tietokartoitus, määritä säilytysajat lakien ja liiketoiminnan tarpeiden mukaan, ota käyttöön automaattiset poistot ja dokumentoi kaikki. Ilman tätä yritys altistuu sakoille ja tietomurroille – se on riski, johon yksikään toimija ei varaudu.

Lisälähteet

shardsecure.com, support.trackingtime.co, gdprregulation.eu

Aiheeseen liittyvä uutisointi: yleinen tietosuoja-asetus GDPR fördjupar bilden av Yleinen tietosuoja-asetus (GDPR): Mitä se tarkoittaa?.

Ala missa naita

Usein kysytyt kysymykset

Mikä on tietojen säilytyspolitiikan ja tietoturvan välinen yhteys?

Tarpeettoman datan poistaminen pienentää tietomurron riskiä. Mitä vähemmän tietoja, sitä vähemmän suojattavaa.

Voiko tietojen säilytyspolitiikkaa soveltaa pilvipalveluihin?

Kyllä. Pilvipalveluissa säilytyspolitiikka on erityisen tärkeä, koska dataa on usein monessa kopiossa eri maantieteellisillä alueilla. Varmista, että palveluntarjoajan sopimus tukee poistovaatimuksia.

Miten tietojen säilytyspolitiikka laaditaan pienyritykselle?

Aloita tietokartoituksella (Excel riittää). Määritä jokaiselle tietokategorialle säilytysaika ja poistosääntö. Dokumentoi se, ja päivitä tarvittaessa. Apuna voi käyttää valmiita malleja.

Mitä tapahtuu, jos tietojen säilytyspolitiikkaa ei noudateta?

Rikkomuksesta voi seurata sakkoja. EU:ssa sakoista on kertynyt yli 1,6 miljardia euroa vuonna 2023. Lisäksi yrityksen maine kärsii.

Miten tietojen säilytyspolitiikka liittyy Lean-työkaluihin?

Lean-periaatteet korostavat arvoa tuottamattoman toiminnan karsimista. Turhan datan säilyttäminen on hukkaa – siitä eroon pääseminen säästää rahaa ja aikaa.



Lisaa liittyvia artikkeleita

Basalioma (tyvisolusyöpä): oireet, hoito ja vakavuus Real Betis – Real Madrid: Kokoonpanot – Ennakko ja tilastot 26.4. Eckerö Line alennuskoodi – parhaat tarjoukset ja bonukset Onnitteluruno 70 vuotiaalle naiselle – hauskat ja kauniit runot Michael Clarke Duncan – Pituus, paino ja kuolinsyy Vanhan naisen kolesteroli: viitearvot, riskit ja hoito Jardiance 10 mg kokemuksia – haitat, annostus ja käyttö Paras suklaahippukeksiresepti – helppo ohje ja vinkit
Elias Mikael Virtanen Salonen

Kirjoittajasta

Elias Mikael Virtanen Salonen

Toimitus yhdistää nopeat päivitykset selkeisiin taustoittaviin oppaisiin.

Elama Suomi

Elama Suomi yhdistaa uutiset, oppaat ja analyysit moderniin toimitukselliseen layoutiin. Toimitus paivittaa sisaltoa jatkuvasti.

Suositut

Paivittaiset toimitusbriefit ja luottamusresurssit nopeaa varmistusta varten.

Uusimmat artikkelit

Tuoreimmat uutispaivitykset tarkistetaan toimituksessa ennen julkaisua.

Yhteys

Vastauskykyinen yhteystiski, joka ohjaa vinkit ja korjaukset nopeasti oikeaan paikkaan.

Toimituksen vastausaika: yleensa yhden arkipaivan sisalla.

© 2026 Elama Suomi · WorldRSS