Verkkokauppa.comille seuraamusmaksu asiakastietojen säilytysajan määrittelemättä jättämisestä – myös vaatimus asiakkaan rekisteröitymisestä oli lainvastainen

Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Verkkokauppa.com Oyj:lle 856 000 euron hallinnollisen seuraamusmaksun, sillä yritys ei ollut määritellyt, kuinka kauan verkkokauppa-asiakkaiden asiakastilien tietoja säilytetään. Lisäksi Verkkokauppa.comin käytäntö, jossa verkko-ostosten tekeminen edellyttää asiakastilin luomista, on ollut tietosuojasäännösten vastainen.

Tietosuojavaltuutetun toimisto selvitti Verkkokauppa.comin toimintaa asiakkaalta saapuneen kantelun perusteella. Verkkokauppa.com oli edellyttänyt, että henkilö rekisteröityy asiakkaaksi verkko-ostoksen tekemistä varten. Asiointi verkkokaupassa ei ollut mahdollista ilman asiakastilin luomista.

Tietosuojavaltuutettu havaitsi, että Verkkokauppa.com on säilyttänyt asiakastilien tietoja määrittelemättömän pituisen ajan. Verkkokauppa.comin mukaan tietojen säilytysajan määrittelee asiakas itse, sillä asiakas voi halutessaan pyytää tilinsä sulkemista ja tietojen poistamista. Toimintatavan vuoksi tietoja yksittäisestä ostoksesta on voitu säilyttää hyvin pitkään.

Asiakastilin luominen ei voi olla verkko-ostosten tekemisen edellytys

Tietosuojavaltuutettu katsoo, että Verkkokauppa.com rikkoi yleistä tietosuoja-asetusta, kun se oli asettanut asiakastilin luomisen verkko-ostosten tekemisen edellytykseksi. Yksittäisten verkkokauppaostosten tekeminen ei vaadi asiakastilin luomista eikä sellaista henkilötietojen säilyttämistä, johon käytäntö johtaa.

Verkkokauppa.comille määrättiin seuraamusmaksu, sillä yritys oli jättänyt kokonaan määrittelemättä asiakastileille keräämilleen henkilötiedoille säilytysajan. Tietojen säilyttämistä ei voi perustella sillä, että asiakas voi myöhemmin pyytää tietojensa poistamista. Selvityksen perusteella Verkkokauppa.com oli tietoisesti päättänyt, että asiakastilille kerättäville tiedoille ei määritellä säilytysaikaa ja jättänyt tietojen säilytysajan rajoittamisen asiakkaan vastuulle.

Seuraamusmaksun suuruus perustuu muun muassa yrityksen liikevaihtoon. Tietosuojavaltuutetun toimisto on antanut aiemmin toiselle yritykselle hallinnollisen seuraamusmaksun säilytysajan määrittelemättä jättämisestä pysäköinninvalvontamaksujen yhteydessä. Korkein hallinto-oikeus ei myöntänyt asiassa valituslupaa, joten seuraamusmaksu pysyi voimassa.

Tietosuojavaltuutettu määräsi Verkkokauppa.comin määrittelemään asianmukaisen säilytysajan asiakastilien tiedoille ja korjaamaan toimintatapansa pakollisen rekisteröitymisen vaatimisessa. Yritykselle annettiin myös huomautus tietosuojasäännösten vastaisista toimintatavoista.

Päätös ei ole vielä lainvoimainen. Verkkokauppa.com on ilmoittanut valittavansa päätöksestä hallinto-oikeuteen.

Tietosuojavaltuutetun ja seuraamuskollegion päätökset (pdf)

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Lisätietoa aikaisemmin määrätystä seuraamusmaksusta t​​​​​iedotteessa 9.11.2023: Korkein hallinto-oikeus ei myöntänyt ParkkiPate Oy:lle valituslupaa – hallinto-oikeuden ratkaisu tietosuojavaltuutetun toimiston päätöksistä jää voimaan