GDPR nestanoví žádné konkrétní lhůty pro uchování osobních údajů a jejich následný výmaz. Mezi základní zásady GDPR patří zásada omezení zpracování, podle které osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. Osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných GDPR s cílem zaručit práva a svobody subjektu údajů.

Každý správce by měl mít určenou dobu, po kterou bude osobní údaje pro jednotlivé účely zpracovávat, resp. mít nastavena pravidla, aby osobní údaje byly vymazány, pokud pomine účel jejich zpracování a není zde další právní důvod pro jejich zpracování.

Řada veřejnoprávních subjektů (např. ministerstva a jiné organizační složky státu, příspěvkové organizace, školy) má povinnost vést spisovou službu podle zákona o archivnictví, takže musejí mít vyhotoveny spisové a skartační plány a každý dokument musí mít přiřazenou skartační lhůtu.

Také některé zvláštní právní předpisy předepisují lhůty, po které musejí správci uchovávat určité dokumenty (např. mzdové listy zaměstnanců po dobu 30 let, evidenční listy důchodového pojištění po dobu 3 let).

Správci musejí tedy vedle povinností stanovených GDPR zmapovat i povinnosti ohledně uchovávání osobních údajů, které vyplývají ze zvláštních právních předpisů vztahující se na jednotlivé typy správců.