Hoppa till innehåll

Dataombudsmannen: Lagring av uppgifter om inköp under hela kundrelationen kan inte anses vara nödvändig

Utgivningsdatum 21.12.2023 15.05 | Publicerad på svenska 29.12.2023 kl. 15.22
Pressmeddelande

Inom handel håller en praxis där uppgifter om kundernas inköp lagras under hela stamkundsrelationen på att bli vanligare. Dataombudsmannen anser att lagring av uppgifter om inköp under en så lång tid strider mot dataskyddslagstiftningen. I maj 2023 beordrade dataombudsmannen Kesko att radera uppgifter om inköp och fastställa lagringstider för uppgifterna enligt deras användningsändamål. Beslutet har vunnit laga kraft, och Kesko har meddelat att bolaget kommer att ändra sin praxis bland annat genom att förkorta lagringstiderna.

I maj 2023 gav dataombudsmannen en anmärkning till Kesko och beordrade bolaget att ändra sin uppgiftsbehandling så att den följer dataskyddslagstiftningen. Kesko hade i samband med reformen av sitt Plussa-system ansett att uppgifter om Plussa-kundernas inköp kunde lagras i ett format där kunden kan identifieras och uppgifterna kopplas till kunden under hela kundrelationen.

Av dataombudsmannens byrås utredning kom det fram att Kesko hade valt detaljerade, produktspecifika uppgifter om sina kunders inköps som den grundläggande nivån för datainsamlingen. Inköpsuppgifter från stamkundssystemet Plussa hade behandlats bland annat för att utveckla affärsverksamheten, för att erbjuda förmåner och tjänster samt för att genomföra och rikta marknadsföring. Kunderna hade själv kunnat se sina inköpsuppgifter i Plussa-tjänsten från högst de fem senaste åren.

Kesko ändrar sin praxis på basis av dataombudsmannens beslut

Dataombudsmannen beordrade Kesko att radera eller anonymisera inköpsuppgifter som hade lagrats under än längre tid än vad som enligt dataskyddsförordningen är tillåtet. Beslutet vann laga kraft den 19 december 2023.

Kesko har vidtagit åtgärder för att ändra sin praxis så att den följer dataskyddsförordningen. Enligt en redogörelse som lämnats till dataombudsmannen ämnar Kesko att fastställa lagringstiden för inköpsuppgifterna till det innevarande året och högst 10 år, förtydliga användningsändamålen för personuppgifterna samt utveckla sin information om behandlingen av personuppgifter.

Organisationer har en skyldighet att begränsa lagringen av personuppgifter

Enligt dataskyddslagstiftningen ska en lagringstid som är så kort som möjligt med tanke på användningsändamålet fastställas för personuppgifterna.

”Riskerna ökar om uppgifter lagras under en lång tid. Av inköpsuppgifterna kan man sluta sig till även detaljerad information om en persons livssituation, levnadssätt och rörelser”, konstaterar dataombudsmannen Anu Talus. ”I praktiken skulle risker kunna konkretiseras till exempel vid eventuella dataläckor”, säger Talus.

Som ett allmänt råd konstaterar dataombudsmannen att kunderna ska ha en möjlighet att påverka omfattningen av insamlingen av deras uppgifter. Uppgifternas användningsändamål och användningstid måste vara klara för kunderna. 

Offentlig version av dataombudsmannens och påföljdskollegiets beslut (på finska, pdf)

Mer information:

Dataombudsmannen Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.

Tillbaka till toppen