Dane osobowe powinny być przechowywane przez czas określony w obowiązujących przepisach prawnych. W sytuacji gdy prawo nie reguluje czasu przechowywania danych, powinniśmy zgodnie z zasadą ograniczonego przechowywania określić czas przetwarzania danych w organizacji.
Warto w organizacji przygotować Procedurę retencji danych, w której wskażemy okres czasu przetwarzania danych osobowych w zależności od celu przetwarzania.
Musimy też wziąć pod uwagę, że dane w formie papierowej i elektronicznej mogą wymagać różnych okresów przechowywania. W tym celu powinniśmy ocenić niezbędność przetwarzania danych osobowych w systemach elektronicznych.