Az adatkezelés alapelvei közé tartozik a korlátozott tárolhatóság, vagyis hogy adatokat csak addig lehet megőrizni, amíg szükséges az adatkezelési célok eléréséhez.
Tehát az adatkezelés időtartamát mindig előzetesen, a célokkal összhangban meg kell határozni és mindezt a tájékoztatóba foglalni. Ezt tehát át kell gondolni, azaz hogy a szervezetnek konkrétan mennyi ideig van szüksége az adatalanyoktól (ügyfelek, munkatársak stb.) begyűjtött adatokra. Fontos látni, hogy itt elsősorban a hozzájárulás alapján gyűjtött adatokra és a szervezeti jogos érdek alapján gyűjtött adatokról van szó. Ha bizonyos adatokat jogszabályi kötelezettség alapján, vagy egy szerződés rendelkezései alapján kell kezelnünk, akkor ezekben az esetekben a szervezetnek meg van kötve a keze.
Például: tételezzük fel, hogy egy szervezet hosszú távra szeretne egy támogatói adatbázist létrehozni, melyhez rendezvények pl. koncertek szervezése során érkezik adat. Itt egy támogatói elköteleződésen van a hangsúly, amely ideális esetben akár több évtizedig is eltarthat. A jegy, az adományjegy megvásárlásával a nonprofit szervezet alapszabály szerinti közhasznú céljainak megvalósulását, illetve a szervezet működését támogathatjuk. A támogató, érintetti jogainak gyakorlása keretében, bármikor jelezheti, hogy a továbbiakban nem kíván jegyet vásárolni és nem kíván részt venni a szervezet támogatásában. A szervezet meghatározza és a tájékoztatójában közzéteszi, hogy a törlési kérelme az informatikai rendszereiben átvezetve hány napon belül tudja az illető személyt törölni adatbázisából (pl. 24 órás, vagy 3 napos technikai törlési határidő jelöl meg). Természetesen ez a törlés csak a támogató adatbázisra vonatkozik, pl. a pénzügyi-számviteli elszámolás során kiállított bizonylatok, kiállított adóigazolásokra nem, mivel azok megőrzésére jogszabályokban meghatározott bizonylatmegőrzési határidőket kell követnünk.
Az alábbiakban az adatkezelés időtartamát meghatározó gyakori szempontokat járunk körül.
Hozzájárulás és jogos érdek alapján végzett adatkezeléseknél jellemző, hogy a szervezet létérdeke, hogy a lehető legtovább maradjon kapcsolatban támogatóival, közösségével, ügyfeleivel. Ennek azonban jogszerű keretek között kell megvalósulnia, figyelve a korlátozott tárolhatóság elvére. Hogyan biztosíthatjuk?
Egy hírlevél feliratkozás esetében általában nem lehetséges, hogy pontos határidőt adjunk meg az adatkezelésre, mivel az a leiratkozásig zajlik, ami az ügyfél hatókörében lévő döntés. Ebben az esetben tehát nincs akadálya a visszavonásig történő adatkezelésnek (ld. adatkezelés a hírlevélről történő leiratkozásig).
A jogos érdek alapján történő adatkezelés során, meg kell vizsgálni az érdekmérlegelési tesztben azt, hogy mennyire van összhangban a megfogalmazott céljainkkal és az érintett jogaival a nem meghatározható idejű adatkezelés. Az adatokat addig lehet jogos érdek alapján kezelni, amíg a jogos érdek fennáll és nem tiltakozik az érintett. Ha a cél teljesül, vagy az érintett tiltakozik, és nincs kényszerítő erejű indok az adatkezelés folytatására, az adatokat törölni kell. Például egy munkavállalói teljesítményértékelés esetén az adatokat addig lehet kezelni, amíg a munkáltatónak jogos érdeke fűződik azokhoz (pl. a munkavállaló értékelésének elemzése, javadalmazás vagy előléptetés). Ha már nincs szükség az adatokra, például a munkavállaló kilép a cégtől, vagy a munkavállaló sikeresen tiltakozik, azokat törölni kell. Ez utóbbi esetben meg kell vizsgálni, hogy a munkakör ellátásához elengedhetetlenül szükséges-e a teljesítményértékelés (ebben az esetben a jogalap: a munkaszerződés teljesítése, tehát a szerződés), vagy ez elsősorban a szervezet számára jár előnyökkel és nem kapcsolódik közvetlenül a munkaköri kötelezettségeinek ellátásához. A jogalap pontos meghatározására szolgál az érdekmérlegelési teszt.
Előfordulhat, hogy ugyanannak az érintettnek ugyanazon adatára több célból, és más lejárati idővel van adatkezelési jogosultságunk. Hogy lehet ezt kezelni?
Mindig az érvényes hozzájáruló nyilatkozat időpontját, vagy pl. a szerződésben foglalt adatszolgáltatási kötelezettség időpontját kell figyelembe venni. Az alapértelmezett adatvédelem elve például pontosan ezért hangsúlyozza, hogy az eltérő célból kezelt személyes adatok pontos (elektronikus)nyilvántartása elengedhetetlen a jogszerű adatkezelés fenntartásához. Ezekben az esetekben önálló adatkezelési célok szerint tulajdonképpen párhuzamosan futó adatkezelési folyamatok zajlanak.
Mi történik akkor, ha lejárt az adatkezelés időtartama, mit tehet a szervezet hogy tovább is kommunikálhasson?
Az adatkezelésre rendelkezésre álló időszak lejártakor, pontosabb ezelőtt kellő idővel meg kell vizsgálni, hogy mi lehet az adatkezelés folytatásának érvényes célja és lehetséges jogalapja. Ha korábban például jogos érdek alapján kezeltünk bizonyos személyes adatokat, de később például szerződést kötünk az adott személlyel, vagy fordítva egy érvényes szerződés alapján kezeltünk adatokat, de már pl. teljesítettük a szerződést, akkor más jogalapon, pl. hozzájárulás alapján tovább kezelhető a személyes adat (pl. már nincs érvényes szerződéses kötelezettség, de a szerződés keretében elfogadásra került egy nyilatkozat, hogy a cég benne marad a beszállítói adatbázisunkban a leiratkozásáig.
A leggyakoribb példa itt a munkavállalók toborzása szokott lenni. Egy konkrét álláshirdetésre jelentkező személyek megküldik önéletrajzaikat és motivációs levelüket azért, hogy kiválasztásra kerüljenek egy adott pozícióra. A toborzási folyamatnak ez a szakasza munkáltatói jogos érdeken alapul, azonban a munkáltató kommunikálhatja azt a jelentkezők számára, hogy hajlandó megőrizni a beküldött önéletrajzokat fél évig azt követően is hogy a meghirdetett álláshelyre esetleg valaki más került felvételre. Ezt azonban a munkáltató csak akkor teheti meg, ha a sikertelen pályázók hozzájárulását megszerzi a megküldött személyes adatok, például 6 hónappal történő tovább tárolásához. Mint láttuk az álláshely betöltéséig az adatkezelés jogalapja a jogos érdek volt, azonban a betöltést követően, ha a jelentkezőktől beszereztük a hozzájárulást, akkor a további akkor hozzájárulás lesz az adatkezelés jogalapja.
