Tietosuojavaltuutettu: Ostotietojen säilyttämistä koko asiakassuhteen ajan ei voida pitää tarpeellisena

Kaupan alalla on yleistymässä käytäntö, jossa asiakkaiden ostotietoja säilytetään koko kanta-asiakkuuden ajan. Tietosuojavaltuutettu katsoo, että ostotietojen säilyttäminen näin pitkään ei ole tietosuojalainsäädännön mukaista. Tietosuojavaltuutettu antoi toukokuussa 2023 Keskolle määräyksen poistaa ostotietoja ja määritellä tiedoille säilytysajat käyttötarkoituksen mukaan. Päätös on lainvoimainen, ja Kesko on ilmoittanut muuttavansa toimintaansa muun muassa lyhentämällä säilytysaikoja.

Tietosuojavaltuutettu antoi toukokuussa 2023 Keskolle huomautuksen ja määräyksen saattaa käsittelytoimensa tietosuojalainsäädännön mukaiseksi. Kesko oli Plussa-järjestelmän uudistamisen yhteydessä katsonut voivansa säilyttää Plussa-asiakkaittensa ostotietoja tunnistettavassa, henkilöön yhdistettävässä muodossa koko asiakassuhteen ajan.

Tietosuojavaltuutetun toimiston selvityksessä kävi ilmi, että Kesko oli valinnut lähtökohtaiseksi tiedonkeruun tasoksi asiakkaittensa yksityiskohtaiset, tuotekohtaiset ostotiedot. Plussa-kanta-asiakasjärjestelmän ostotietoja oli käsitelty muun muassa liiketoiminnan kehittämiseksi, etujen ja palveluiden tarjoamiseksi sekä markkinoinnin toteuttamiseksi ja kohdentamiseksi. Asiakkaat itse olivat saaneet nähtäväkseen ostotietojaan Plussa-palvelussa korkeintaan viiden vuoden ajalta.

Kesko muuttaa menettelyjään tietosuojavaltuutetun päätöksen perusteella

Tietosuojavaltuutettu määräsi Keskon poistamaan tai anonymisoimaan ostotiedot, joita oli säilytetty kauemmin kuin yleinen tietosuoja-asetus mahdollistaisi. Päätöksestä tuli lainvoimainen 19. joulukuuta 2023.

Kesko on ryhtynyt toimenpiteisiin saattaakseen toimintansa tietosuoja-asetuksen mukaiseksi. Tietosuojavaltuutetulle toimitetun selvityksen mukaan Kesko aikoo määrittää ostotietojen säilytysajaksi kuluvan vuoden lisäksi enintään 10 vuotta, selkeyttää henkilötietojen käyttötarkoituksia sekä kehittää henkilötietojen käsittelyyn liittyvää informointia.

Organisaatioilla on velvollisuus rajoittaa henkilötietojen säilyttämistä

Tietosuojalainsäädännön mukaan henkilötiedoille on määritettävä käyttötarkoitukseensa nähden mahdollisimman lyhyt säilytysaika.

”Riskit nousevat, jos tietoja säilytetään pitkäaikaisesti. Ostotiedoista voidaan päätellä yksityiskohtaistakin tietoa henkilön elämäntilanteesta, elintavoista ja liikkumisesta”, tietosuojavaltuutettu Anu Talus toteaa. ”Käytännössä riskit voisivat konkretisoitua esimerkiksi mahdollisissa tietovuototilanteissa”, Talus kertoo.

Yleisenä ohjeena tietosuojavaltuutettu toteaa, että asiakkailla on oltava mahdollisuus vaikuttaa siihen, missä laajuudessa heidän tietojaan kerätään. Asiakkaille on oltava selvää, mihin tarkoitukseen tietoja käytetään ja kuinka kauan. 

Julkinen versio tietosuojavaltuutetun ja seuraamuskollegion päätöksistä (pdf)

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.