GDPR ja henkilötietojen säilytysajat

Verkkokauppa.com tiedotti 15.3.2024, että Tietosuojavaltuutetun seuraamuskollegio (TSV) on määrännyt yhtiölle 856 000 euron hallinnollisen seuraamusmaksun liittyen asiakastietojen säilytykseen.

Tietosuojavaltuutetun toimisto selvitti Verkkokauppa.comin toimintaa asiakkaalta saapuneen kantelun perusteella. Verkkokauppa.com oli edellyttänyt, että henkilö rekisteröityy asiakkaaksi verkko-ostoksen tekemistä varten. Asiointi verkkokaupassa ei ollut mahdollista ilman asiakastilin luomista. Tietosuojavaltuutetun mukaan yksittäisten ostosten tekeminen ei edellytä asiakastilin luomista, eikä henkilötietojen säilyttämistä kunnes tili poistetaan.

TSV:n havaintojen mukaan Verkkokauppa.com on säilyttänyt asiakastilien tietoja määrittelemättömän pituisen ajan. Verkkokauppa.comin mukaan tietojen säilytysajan määrittelee asiakas itse, sillä asiakas voi halutessaan pyytää tilinsä sulkemista ja tietojen poistamista. Toimintatavan vuoksi tietoja yksittäisestä ostoksesta on voitu säilyttää hyvin pitkään.

Verkkokauppa.comille määrättiin seuraamusmaksu, sillä yritys oli jättänyt kokonaan määrittelemättä asiakastileille keräämilleen henkilötiedoille säilytysajan. Tietojen säilyttämistä ei voi perustella sillä, että asiakkaalle tarjotaan mahdollisuus itse poistaa tilinsä ja tietonsa.

Verkkokauppa.com katsoo seuraamusmaksun olevan perusteeton, ja se aikoo valittaa päätöksestä hallinto-oikeuteen. Verkkokauppa.comin mukaan se on tietosuojavaltuutetulle antamassaan selvityksessä kertonut määritelleensä, että oleellisia asiakkaan perustietoja säilytetään asiakkuuden keston ajan.

Henkilötietojen säilytysaikoja koskeva viimeaikainen ratkaisukäytäntö

Kesko Oyj

Tietosuojavaltuutettu antoi toukokuussa 2023 Kesko Oyj:lle huomautuksen ja määräyksen saattaa käsittelytoimensa tietosuojalainsäädännön mukaiseksi. Kesko oli Plussa-järjestelmän uudistamisen yhteydessä katsonut voivansa säilyttää Plussa-asiakkaittensa ostotietoja tunnistettavassa, henkilöön yhdistettävässä muodossa koko asiakassuhteen ajan. TSV:n selvityksessä kävi ilmi, että Kesko oli valinnut lähtökohtaiseksi tiedonkeruun tasoksi asiakkaittensa yksityiskohtaiset, tuotekohtaiset ostotiedot. Plussa-kanta-asiakasjärjestelmän ostotietoja oli käsitelty muun muassa liiketoiminnan kehittämiseksi, etujen ja palveluiden tarjoamiseksi sekä markkinoinnin toteuttamiseksi ja kohdentamiseksi. Asiakkaat itse olivat saaneet nähtäväkseen ostotietojaan Plussa-palvelussa korkeintaan viiden vuoden ajalta.

Kesko oli sitonut siis ostotietojen säilytysajan asiakkuussuhteen kestoon, mikä johti siihen, että henkilötietoja säilytettiin muodossa, josta rekisteröity oli tunnistettavissa mahdollisesti hyvinkin pitkiä aikoja, jopa vuosikymmeniä. Henkilötietojen käyttötarkoitus ja säilytysaika on määriteltävä selkeällä tavalla etukäteen. Ostotietojen perusteella voi olla pääteltävissä yksityiskohtaisia tietoja esimerkiksi henkilön elämäntilanteesta, elintavoista ja liikkumisesta. Tietosuojavaltuutettu totesi Kesko Oyj:tä koskevassa päätöksessä 21.12.2023, että ostotietojen säilyttämistä koko asiakassuhteen ajan ei voida pitää tarpeellisena. Päätös on lainvoimainen, ja Kesko on ilmoittanut muuttavansa toimintaansa muun muassa lyhentämällä säilytysaikoja.

Intrum Oy

Luottotietoyhtiö Intrum Oy:tä koskevassa ratkaisussa 13.3.2020 apulaistietosuojavaltuutettu antoi määräyksen poistaa rekisteröidyn pyynnöstä tämän henkilötiedot, jotka liittyvät yli viisi vuotta sitten päättyneisiin perintätoimiin, joiden säilyttäminen ei perustunut kirjanpitolainsäädäntöön. Rekisteröity oli pyytänyt ensin pääsyä itseään koskeviin, perintätoimiston hallussa oleviin tietoihin ja myöhemmin esittänyt lisäksi pyynnön saada tietonsa poistetuksi. Perintätoimisto oli kieltäytynyt poistopyynnöstä vedoten kirjanpitolakiin.

Tietosuojavaltuutetun toimistolle antamassaan selvityksessä perintätoimisto ilmoitti säilyttävänsä tietoja aktiivitietokannassa kuusi kuukautta ja tämän jälkeen arkistotietokannassa kirjanpitolaissa määriteltyjen säilytysaikojen mukaisesti.

Apulaistietosuojavaltuutetun päätöksen mukaan perintätoimistolla oli peruste säilyttää päätöksessä tarkoitetut tiedot viiden vuoden ajan siitä, kun perintätoimenpiteet ovat päättyneet. Tätä pidempään voidaan säilyttää vain sellaisia henkilötietoja, jotka sisältyvät tositteisiin. Tositteella tarkoitetaan päivättyä ja yksilöityä liiketapahtuman todentavaa kirjallista ilmaisua, kuten kuittia, joiden säilyttämisestä on omat säännöksensä kirjanpitolaissa. Muiden kuin tositteisiin sisältyvien tietojen osalta tulee perintätoiminnassa noudattaa viiden vuoden säilytysaikaa. Tällaisia muita tietoja ovat esimerkiksi rekisteröidyn ja rekisterinpitäjän väliset sähköpostiviestit.

Forenom

Tietomurron kohteeksi joutunut majoitusalan yritys Forenom sai tietosuojavaltuutetulta 16.3.2023 huomautuksen puutteellisista suojatoimista ja määräyksen lyhentää henkilötietojen säilytysaikaa. Hyökkääjä oli saanut pääsyn Forenomin asiakkaille tarkoitettuun itsepalveluportaaliin ja siihen liittyvään toiminnanohjausjärjestelmään rajapinnan haavoittuvuuden kautta. Tietomurto koski kymmenientuhansien henkilöiden tietoja. Tietosuojavaltuutetun mukaan hyökkäyksessä hyödynnetty SQL-haavoittuvuus on yleisesti hyvin tiedossa ja majoitusalalla toimivan yrityksen suojatoimenpiteet olivat olleet puutteellisia. Yritys oli lisäksi säilyttänyt asiakkaiden henkilötietoja liian pitkään. Forenom kertoi säilyttävänsä kaikkia majoitus- ja vuokrasuhteeseen liittyviä asiakastietoja kymmenen vuotta muun muassa mahdollisiin vahingonkorvauskanteisiin varautumista varten. Tietosuojavaltuutettu piti kuitenkin ilmeisenä, että riitatilanteita selvitetään pääsääntöisesti pian vuokrasuhteen päätyttyä. Tietoja voidaan silloin tarvittaessa säilyttää pidempään. Tietosuojavaltuutettu katsoi, että yritys ei ollut noudattanut tietojen minimoinnin ja säilytyksen rajoittamisen periaatteita. Yleisen tietosuoja-asetuksen mukaan henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä käyttötarkoituksen kannalta ja henkilötietojen säilytysajan on oltava mahdollisimman lyhyt.

Forenom oli tietomurron jälkeen lyhentänyt henkilötietojen säilytysaikaa, mutta määritellyt säilytysajan kirjanpitolain säilytysvelvoitteiden perusteella. Tietosuojavaltuutettu muistutti, ettei kirjanpitolakia voi käyttää perusteena säilyttää sellaisia henkilötietoja, joiden säilyttämistä ei edellytetä kirjanpitolaissa. Tietosuojavaltuutettu määräsi yrityksen lyhentämään säilytysaikaa siltä osin, kun tietoja ei tarvitse säilyttää kirjanpidon tai muiden lakisääteisten velvoitteiden noudattamiseksi.

Klarna

Ruotsin hallinto-oikeus vahvisti 11.3.2024 tietosuojaviranomaisen (Integritetsskydds myndigheten IMY) Klarnalle vuonna 2022 määräämän seuraamusmaksun 7,5 miljoonaan kruunua, joka on noin 670 000 euroa.

IMY teki tarkastuksen vuonna 2022. Tuolloin IMY ei pitänyt Klarnan tarjoamaa tietoa automatisoiduista luottopäätöksistä helposti löydettävänä tai ymmärrettävänä. Kuluttajille tulisi tarjota tämä monimutkainen tieto yhdessä paikassa eikä hajallaan eri osissa tietosuojaselostetta. Lisäksi IMY katsoi, että Klarnan antama tieto automaattisesta päätöksenteosta, mukaan lukien profilointi, ei täytä tietosuoja-asetuksen vaatimuksia, sillä tiedot eivät ole riittävän selkeitä tai helposti saatavilla.

IMY huomauttaa, että Klarnan tietosuojaselosteessa ei annettu riittävää tietoa automatisoidun päätöksenteon logiikasta, sen merkityksestä ja vaikutuksista rekisteröidyille. Selosteessa mainittiin vain, että tiettyjä tietotyyppejä käytetään automaattiseen päätöksentekoon, kuten yhteys- ja tunnistetiedot sekä taloudelliset tiedot, mutta ei esitetty tarkempaa tietoa Klarnan sisäisestä pisteytysmallista. Klarna ei myöskään antanut tietoa siitä, mihin EU:n ulkopuolisiin maihin henkilötietoja siirrettiin tai siirtoihin sovellettavista suojatoimenpiteistä. IMY toteaa myös, että yritys antoi puutteellista tietoa rekisteröityjen oikeuksista, mukaan lukien oikeudesta tietojen poistamiseen, tietojen siirrettävyyteen ja oikeudesta vastustaa henkilötietojensa käsittelyä.

Tarkastusta johtanut juristi Hans Kärnlöf on todennut, että Klarna on rahoitusalan yritys, joka käsittelee henkilötietoja hyvin monesta henkilöstä ja monin eri tavoin. On tärkeää, että se tieto, jonka Klarna antaa siitä, miten yritys käsittelee henkilötietoja, on oikeaa ja niin täydellistä kuin mahdollista.

Miten säilytysajat ja rekisteröidyn informointi GDPR:n mukaisiksi?

Jos henkilötietoja säilytetään liian pitkään tai turhaan rekisteröity voi altistua erilaisille riskeille, jotka voivat realisoitua esimerkiksi puutteista teknisessä tietoturvassa. Säilytysaikojen määrittämisessä on otettava huomioon esimerkiksi kanneajat ja muut lakisääteiset velvollisuudet, kuitenkin huomioiden tarkasti, mitä tietoja lakisääteinen velvollisuus, kuten kirjanpitolaki todella edellyttää säilyttämään. Sen varmistamiseksi, että vain välttämättömät tiedot säilytetään, tulee luoda selkeä ohjeistus ja prosessi.

Vinkit säilytysaikojen määrittämiseen ja niiden toteutumisesta huolehtimiseen

1. Muista, että henkilötietojen säilytysajalle on osoitettava selkeä lakiin perustuva, liiketoiminnallisen tai hallinnollisen käyttötarkoituksen mukainen tarve, joka on aina määritettävä etukäteen.

2. Laadi selkeä ja informatiivinen tietosuojaseloste. Yleisenä ohjeena tietosuojavaltuutettu on todennut, että rekisteröidyillä on oltava mahdollisuus vaikuttaa siihen, miten ja missä laajuudessa heidän tietojaan käsitellään. Rekisteröidyille on oltava selvää, mihin tarkoitukseen tietoja käytetään, ja kuinka kauan.

3. Arvioi kriittisesti, mitkä tiedot ovat todella tarpeen säilyttää kutakin käyttötarkoitusta varten.

4. Muista, että teknisen toteutuksen puute tai hallinnollinen hankaluus ei luo perusteita poiketa tietosuojalainsäädännön vaatimuksista. Hyödynnä mahdollisuuksien mukaan automatisoituja säilytysaikoja.

5. Huomioi säilytysajan määrittämisessä kerättyjen henkilötietojen määrä ja luonne sekä niiden käsittelyyn liittyvät riskit. Mitä pidempi säilytysaika on, sitä enemmän käsiteltäviä tietoja kertyy, mikä nostaa riskejä rekisteröidyn kannalta.