Verkkokauppa.com påfördes en påföljdsavgift för underlåtelse att fastställa förvaringstid för kunduppgifter – även kravet för kunderna att registrera sig stred mot lagen
Dataombudsmannens byrås påföljdskollegium har påfört Verkkokauppa.com Abp en administrativ påföljdsavgift på 856 000 euro för att företaget inte hade fastställt hur länge uppgifterna på kundkontona av webbutikens kunder förvaras. Dessutom har Verkkokauppa.com:s praxis där inköp från webbutiken förutsätter att man skapar ett kundkonto stridit mot dataskyddsbestämmelserna.
Dataombudsmannens byrå utredde Verkkokauppa.com:s verksamhet på basis av ett klagomål av en av företagets kunder. Verkkokauppa.com hade krävt att personen registrerar sig som kund för att göra inköp på webbutiken. Man kunde inte handla på webbutiken om man inte skapade ett kundkonto.
Dataombudsmannen observerade att Verkkokauppa.com har förvarat uppgifter på kundkontona under en obestämd tid. Enligt Verkkokauppa.com fastställs förvaringstiden av uppgifterna av kunden själv, eftersom kunden kan om hen så önskar be att kontot stängs och uppgifterna raderas. På grund av detta förfarande kan man ha förvarat uppgifter om ett enskilt inköp under en väldigt lång tid.
Man kan inte förutsättas att skapa ett kundkonto för att kunna göra inköp på webben
Dataombudsmannen anser att Verkkokauppa.com bröt mot den allmänna dataskyddsförordningen genom att ställa skapandet av ett kundkonto som ett krav för att man ska kunna göra inköp på webbutiken. Att göra enstaka inköp på en webbutik förutsätter inte att man skapar ett kundkonto och inte heller sådan förvaring av personuppgifter som denna praxis leder till.
Verkkokauppa.com påfördes en påföljdsavgift för att företaget hade helt försummat att fastställa en förvaringstid för de personuppgifter som samlats på kundkontona. Man kan inte motivera förvaring av uppgifter med att kunden senare kan be att uppgifterna raderas. Enligt utredningen hade Verkkokauppa.com tagit ett medvetet beslut om att inte fastställa en förvaringstid för de uppgifter som samlas på kundkontona och lämnat begränsningen av förvaringstiden på kundens ansvar.
Beloppet av påföljdsavgiften grundar sig bland annat på företagets omsättning. Dataombudsmannens byrå har tidigare påfört ett annat företag en administrativ påföljdsavgift för underlåtelse att fastställa en förvaringstid för uppgifterna i samband med parkeringsövervakningsavgifter. Högsta förvaltningsdomstolen beviljade inte besvärstillstånd i ärendet, varmed påföljdsavgiften förblev i kraft.
Dataombudsmannen beordrade Verkkokauppa.com att fastställa en förvaringstid för uppgifterna på kundkontona och korrigera sin praxis vad gäller kravet på registrering. Företaget fick också en anmärkning för förfaranden som strider mot dataskyddsbestämmelserna.
Beslutet har inte ännu vunnit laga kraft. Verkkokauppa.com har meddelat att företaget kommer att överklaga beslutet hos förvaltningsdomstolen.
Dataombudsmannens och påföljdskollegiets beslut (pdf, på finska)
Mer information:
Dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766
Mer information om den tidigare påförda påföljdsavgiften finns i meddelandet från 9.11.2023: Högsta förvaltningsdomstolen beviljade inte ParkkiPate Oy besvärstillstånd – förvaltningsdomstolens avgörande om dataombudsmannens byrås beslut förblir i kraft