Hen­ki­lö­tie­to­jen säi­ly­ty­sai­ka on rajattava – tie­to­suo­ja­val­tuu­te­tun Verk­ko­kaup­pa.com-päätös on tästä raju muistutus

Päätös korostaa Suomen tiukkaa viranomaislinjaa tietosuoja-asioissa ja on muistutus kaikille verkkokauppojen ja verkkosivustojen omistajille huolellisen henkilödatan käsittelyn tärkeydestä.

Päätöksen voi ikävä kyllä nähdä myös digitaalista liiketoimintaa Suomessa hankaloittavana viranomaistoimena, josta kuluttajalle aiheutuva hyöty on kyseenalainen.

Tietosuojavaltuutetun kritiikin kohteena ikuinen asiakastietojen säilytys ja pakkorekisteröityminen

Viranomainen esitti kaksi syytä sille, miksi Verkkokauppa.com sai sakot:

1. Asiakkaiden tietoja säilytetään määrittelemätön aika – eli siis käytännössä ikuisesti.
2. Verkkokaupasta ei voi ostaa ilman rekisteröitymistä.

Molemmat yllä mainituista toimintatavoista tuntuvat arkijärjellä ajateltuna varsin tavallisilta eikä ole aivan helppoa ymmärtää, miksi viranomainen päätyi niiden perusteella antamaan mittavat sakot juuri Verkkokauppa.comille. Mahdollisesti päätöksellä on haluttu lähettää painokas viesti kaikille verkkopalveluiden omistajille.

Onko päätöksellä haluttu lähettää painokas viesti kaikille verkkokauppiaille Suomessa?

Keskityn tässä kirjoituksessa nimenomaan henkilödatan säilytykseen. Kiintoisia kysymyksiä liittyy myös siihen, etteivät verkkokaupat saisi nyt tehdyn päätöksen perusteella edellyttää rekisteröitymistä asiakkailtaan. B2B-verkkokaupoissa tämä on yleinen käytäntö ja erinäisissä muissakin kaupoissa se mahdollistaa paremman asiakaspalvelun.

Sakko oli Verkkokauppa.comin asiakkaalta tulleen kantelun seuraus. Yhtiö on valittanut päätöksestä hallinto-oikeuteen. Karhu Helsingin tietojen mukaan Verkkokauppa.com suhtautuu tietosuoja-asioihin erityisellä vakavuudella, joten Tietosuojavaltuutetun ratkaisu on todennäköisesti aiheuttanut heillä mittavaa harmitusta.

Kuinka moni verkkokauppias poistaa asiakastietojaan?

Viranomaisen mukaan Verkkokauppa.com säilyttää asiakastietoja – eli henkilötietoja ja tiedot tehdyistä ostoksista – määrittelemättömän ajan. Eli siis jos verkkokaupasta tekee ostoksen, tiedot pysyvät tallessa, ellei asiakas itse sulje tiliään.

Todennäköisesti yli 90 % verkkokaupoista EU:ssa toimii kuten Verkkokauppa.com

Arviomme mukaan EU-alueella toimivista verkkokaupoista yli 90 % toimii asiakasdatan säilytyksessä samoin kuin Verkkokauppa.com. He siis säilyttävät asiakasdatansa ikuisesti. Tuntuu verkkokauppiaan näkökulmasta arkijärjen vastaiselta, että he aktiivisesti hävittäisivät aiemmin ostoksia tehneiden tietoja järjestelmästään.

Kerran ostanut asiakas on monessa tapauksessa potentiaalinen jatko-ostaja, vaikka ostosten välissä vierähtäisi useita vuosia. Tietojen pitkä säilyttäminen on myös asiakkaan etu, jos hän vuosia myöhemmin kaipaa apua tuotetuen, huollon tai varaosien suhteen. Moni tietosuojasäännös ja -viranomaistulkinta on kuluttajan etu, mutta nyt tehdyssä ratkaisussa etua on vaikea tunnistaa.

On kyseenalaista, mitä hyötyä verkkokaupan asiakas saa siitä, että verkkokauppa poistaa hänen asiakastietonsa järjestelmistään tietyn määräajan kuluttua. Mahdollisia haittoja sen sijaan on helppo tunnistaa.

Omassa yksityiselämässäni olen kohdannut tositilanteen, jossa sain Verkkokauppa.comin asiakaspalvelusta nopean avun nimenomaan siksi, että heillä oli nopea pääsy ostohistoriaani.

Tietosuojavaltuutetun päätös kuitenkin pakottaa verkkokauppiaat miettimään nämä asiat uudelleen. On kiintoisaa nähdä, kuinka pitkä säilytysaika on viranomaisen mielestä perusteltu ja miksi. Saako verkkokaupan asiakasdataa säilyttää vaikkapa 5, 10 tai 15 vuotta, jos asia vain on selkeästi ilmaistuna sivustolla ja datan poistoon on käytännöt olemassa?

Henkilötietojen säilytysajan rajaaminen on GDPR-vaatimus

Vuonna 2018 voimaan tullut EU:n tietosuoja-asetus GDPR linjaa, että kaikkea henkilödataa saa säilyttää vain rajatun ajan ja perustellusta syystä. Rajattu säilytys oli osa mittavaa säännöspakettia, jota Karhulla on asiaa -blogissakin olemme käsitelleet perusteellisesti GDPR:n valmisteluvaiheessa, voimaantulon kynnyksellä ja sen jälkeen.

Tähän saakka GDPR-säännöksiä on tulkittu laajalti niin, että asiakassuhde on oikeutettu etu, joka toimii perusteena asiakastiedon säilyttämiseen. Tuntuu luontevalta ajatella, että ostettuani Verkkokauppa.comista television, asiakassuhteeni heihin on periaatteessa ikuinen. Mutta tietosuojavaltuutettu näkee asian toisin.

Päätös on tärkeä muistutus – henkilötietoa kerätään lähes kaikissa verkkopalveluissa

Tietosuojavaltuutetun päätös on erityisen merkittävä siksi, että jokainen verkkokauppa ja lähes jokainen yritysten ja järjestöjen verkkosivusto kerää henkilödataa ja säilyttää sitä – joko suoraan sivuston julkaisujärjestelmässä tai erillisessä CRM-järjestelmässä tai muussa datavarastossa.

Verkkokauppa.comille asetettujen sakkojen myötä jokaisen verkkokauppiaan ja verkkosivujen omistajan on syytä analysoida ja löytää vastaukset seuraaviin kysymyksiin:

1. Millä menetelmillä ja missä kohdin sivustoa kerätään henkilödataa (esim. lomakkeet, chatbotit)?
2. Onko tiedonkeruulomake tai muu menetelmä GDPR-vaatimusten mukainen?
3. Millä tahoilla ja miten henkilödataa säilytetään?
4. Kuinka kauan organisaation on tarpeen säilyttää kullakin menetelmällä ja kuhunkin tarpeeseen kerättyä henkilödataa?
5. Onko kullakin taholla käytössä tai käyttöön otettavissa toimintatapa henkilödatan poistamiseen tietyn määräajan jälkeen?
6. Miten henkilödatan käsittelyn ajallinen rajallisuus kirjataan verkkosivujen tietosuojaselosteeseen ja onko seloste muilta osin ajan tasalla?

Karhu Helsingissä olemme mielellämme avuksi vastausten löytämisessä yllä mainittuihin kysymyksiin. Jos kaipaatte henkilödatan GDPR-kelpoisuuden analyysiä verkkopalveluunne, laita viesti allekirjoittaneelle tai ota yhteyttä Karhu Helsingin tiimiin.

Täydennys 27.3.2024 – Verkkokauppa.com kertoo rajaavansa asiakastietojen säilytysaikaa

Verkkokauppa.com reagoi viranomaispäätökseen nopeasti ja julkaisi asiakastiedotteen, jossa he kertovat rajaavansa tilaushistorian säilytysajan 10 vuoteen – ellei asiakas toisin toivo – ja sulkevansa passiiviset asiakastilit, joita ei ole käytetty 6 vuoteen.

Seuraamme tietosuojasäännösten ja -tulkintojen vuoristorataa uutiskirjeessämme – tilaa se ja pysyt mukana

Karhulla on asiaa -blogi ja -uutiskirje seuraavat tiiviisti tietosuoja-asioita ja kaikkea, mitä verkkosivujen omistajan on tarpeen tietää – jo vuodesta 2017. Kun tilaat uutiskirjeemme, pysyt uusimmista käänteistä ajan tasalla. Tilaa uutiskirje alla näkyvällä lomakkeella.