Sijoittajille
Siirry MyFondiaan

”Säilytämme tietojasi asiakassuhteen ajan.” Kuulostaako tutulta?

Tietosuojavaltuutetun toimisto määräsi Verkkokauppa.comille vastikään (6.3.2024) 856 000 euron hallinnollisen seuraamusmaksun, sillä yritys ei ollut määritellyt, kuinka kauan verkkokauppa-asiakkaiden asiakastilien tietoja säilytetään. Tietosuojavaltuutetun toimisto katsoi, että säilytysaika jäi tapauksessa käytännössä määrittelemättä, sillä käytännössä vain asiakkaan tekemä poistopyyntö katkaisi säilytyksen asiakassuhteen aikana. Toimintatavan vuoksi asiakastietojen ja asiakkaiden ostohistoriaa koskevien tietojen säilytysajat käytännössä muodostavat hyvin pitkiksi. Verkkokauppa.com on ilmoittanut valittavansa päätöksestä.

Päätös seuraa Tietosuojavaltuutetun toimiston aikaisempaa Kesko-ratkaisua (30.5.2023), jossa se totesi Plussa-jäseneksi liittyneiden kuluttaja-asiakkaiden tuote- ja asiakaskohtaisten ostotietojen säilyttämisen koko asiakassuhteen ajan olevan säilytysaikarajauksen periaatteen (tietosuoja-asetuksen 5(1)(e) artikla) ja oletusarvoisen tietosuojan toteuttamisvelvoitteen (tietosuoja-asetuksen 25(2) artikla) vastaista.

Tietosuoja-asetuksen säilytysaikarajauksen periaatteen mukaan tiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Oletusarvoisen tietosuojan vaatimus ohjaa rekisterinpitäjän toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.

Tietosuojavaltuutetun toimisto kiinnitti Kesko-tapauksen yhteydessä siihen, että ostotietojen pitkä säilyttäminen on kaupan alalla yleistymässä oleva käytäntö. Näillä tapauksilla se näyttää ryhtyneen toimeen käytännön suitsimiseksi.

Säilytysajat tulisi aina määritellä etukäteen käyttötarkoituksensa mukaisesti. Jos tietoja säilytetään tuotteiden ja palvelujen tarjoamiseksi asiakkaalle ja perusteena on sopimus asiakkaan ja yrityksen välillä, esimerkiksi tuotteen reklamaatioajat voivat määrittää säilytysajan pituutta. Toki yrityksillä on yleensä tarkoituksenaan myös markkinoida tuotteitaan ja palvelujaan asiakkailleen, mutta myös tällöin säilytysajat tulisi pyrkiä määrittelemään esimerkiksi ostotapahtumasta kuluneen ajan ja vaikkapa kyseisen liikkeen omien tai alan keskimääräisten asiakkaan palaamisaikojen perusteella. Esimerkiksi autokaupassa tämä voisi olla perustellusti pidempi kuin päivittäistavarakaupassa – uusi autohankinta tulee ajankohtaiseksi yleensä muutaman vuoden päästä, kun taas muropakettiin liittyvän ostotapahtuman relevanttius voi vanhentua muutamissa viikoissa. Jos asiakkaasta ei kuulu mitään, tulisi kuitenkin kohtuullisen ajan kuluttua todeta asiakassuhteen päättyneen ja poistaa asiakastiedot. Myös tyytyväisten ja palaavien asiakkaiden ostohistoriatiedot tulisi omasta aloitteesta todeta jossain vaiheessa vanhentuneiksi. Kulutustottumuksetkin muuttuvat iän ja elämänvaiheiden myötä.

Edellä mainittu ei tietenkään tarkoita, etteikö anonymisoituja ostohistoriatietoja voitaisi jatkokäsitellä ja hyödyntää vaikkapa tulevaisuuden tuote- ja palvelukehityksessä. Tällöin toki tulee huolehtia siitä, ettei tietoja voida enää yhdistää alkuperäiseen ostajaan. Tässä kohtaa taas korostuu osaaminen asianmukaisten anonymisointitekniikoiden suhteen.

Fondian kokenut tietosuojatiimi mielellään auttaa säilytysaikojen määrittelyssä ja kaikissa muissakin kiperissä tietosuojakysymyksissä. Jos tämä aihe kiinnosti sinua, olethan yhteydessä.