TSV 30.05.2023
Asiakkaiden ostotietojen käsittely
säilytysaika - ostotiedot
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 30.05.2023 |
| Diaarinumero: | 3831/161/21 |
Julkinen versio tietosuojavaltuutetun ja seuraamuskollegion päätöksistä
Asia
Asiakkaiden ostotietojen käsittely
Rekisterinpitäjä
Kesko Oyj
Asian vireillesaattaja on 2.4.2019 tehnyt tietosuojavaltuutetun toimistolle ilmoituksen, joka koskee asiakkaiden henkilötietojen käsittelyä Kesko Oyj:n (myöhemmin myös ”Kesko” ja ”rekisterinpitäjä”) toimesta. Vireillesaattaja on ilmoituksessaan kertonut tiedustelleensa rekisterinpitäjältä Plussa.com-palvelun henkilötietojen säilytysajoista ja -perusteista. Vireillesaattajan mukaan hänelle oli vastattu, että rekisterinpitäjä tallentaa ostotietoja koko asiakassuhteen ajan.
Tietosuojavaltuutetun päätös sisäänrakennettua ja oletusarvoista tietosuojaa ja henkilötietojen säilytysajan rajoittamista koskevassa asiassa
Rekisterinpitäjältä saatu selvitys
Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 10.6.2020, sekä lisäselvitystä 3.3.2022. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 6.7.2020 sekä lisäselvityksen 1.4.2022. Rekisterinpitäjälle on lisäksi toimitettu asiassa kuulemispyyntö 4.12.2020 ja 20.7.2022. Rekisterinpitäjälle 4.12.2020 toimitettu kuulemispyyntö on sisältänyt lisäselvityspyynnön, ja rekisterinpitäjä on antanut vastauksensa kuulemispyyntöön ja sen sisältämään lisäselvityspyyntöön 29.1.2021. Rekisterinpitäjä on antanut 20.7.2022 toimitettuun kuulemispyyntöön vastauksen 2.9.2022. Rekisterinpitäjä on lisäksi esitellyt 21.4.2021 järjestetyssä virtuaalikokouksessa tarkemmin yksityiskohtaisiin ostotietoihin perustuvia palveluitaan ja niiden toiminnallisuuksia sekä tietosuojakäytänteitään.
Ensimmäinen selvityspyyntö 10.6.2020
Tietosuojavaltuutetun toimistolle 6.7.2020 antamassaan selvityksessä rekisterinpitäjä kertoo, että K-Plussa-kanta-asiakasjärjestelmään liittymisen yhteydessä tallennetaan henkilön nimi ja yhteystiedot, tietoja henkilön taloudesta (mahdolliset rinnakkaiskortin hakijat), henkilön ilmoittamat kiellot ja suostumukset (mm. ostotietojen keruukielto tai sähköinen suoramarkkinointilupa). Myöhemmin asiakkuuden aikana Plussa-järjestelmään kertyy tietoja asiakkaan ostokäyttäytymisestä. Ostotietojen keräämisen vaihtoehtoiset tasot ovat rekisterinpitäjän mukaan seuraavat:
- Vaihtoehto 1: Perustaso on, että ostotiedot rekisteröidään yksityiskohtaisesti. Silloin asiakas voi hyödyntää Plussa-etunsa täysimääräisesti ja käyttää kaikkia palveluita.
- Vaihtoehto 2: Asiakas voi kieltää yksityiskohtaisten ostotietojen rekisteröinnin, mutta sallia tuoteryhmätasolla ostojensa rekisteröinnin.
- Vaihtoehto 3: Asiakas voi kieltää ostojen rekisteröinnin myös tuoteryhmätasolla ja sallia vain loppusummatason rekisteröinnin. Tällöin asiakas ei voi saada esim. aikaisempiin ostotottumuksiin liittyviä erikoistarjouksia. Hän voi edelleen hyödyntää yleiset Plussa-tarjoukset ja saada Plussa-pisteitä.
- Vaihtoehto 4: Asiakas voi myös kieltää ostotietojensa rekisteröinnin kokonaan. Tällöin asiakas saa kaupassa myönnettävät alennukset, ja esimerkiksi Plussa-pisteitä tai muita etuja ei myönnetä. Rekisterinpitäjälle ei kerry Plussa-pisteiden laskentaan tai henkilökohtaisten etujen kohdentamiseen tarvittavia tietoja.
Rekisterinpitäjän antaman selvityksen mukaan asiakkuuteen liittyviä tietoja, kuten perustietoja, korttitietoja, yleisiä asiakkuuteen liittyviä tietoja, annettuja suostumuksia ja kieltoja, eritasoisia ostotietoja, asiakasluokittelutietoja ja tietoja kohdennetuista markkinointitiedoista säilytetään asiakassuhteen elinkaaren mukaisesti. Asiakassuhteen päättyessä tiedot poistetaan tai anonymisoidaan viimeistään 25 kuukauden kuluttua riippuen asiakkuuden päättymistavasta. Rekisterinpitäjän mukaan henkilötietojen säilytysaika ei ole sidottu asiakkaan elinaikaan, vaan asiakassuhteen kestoon.
Rekisterinpitäjä esittää selvityksessään, että asetuksessa olevat tietojen minimoinnin ja säilytyksen rajoittamisen periaatteet ovat kytköksissä tietojen käyttötarkoitukseen ja rekisterinpitäjä katsoo, että tiedot ovat sopimuksessa ja tietosuojaselosteessa kerrottuihin käyttötarkoituksiin nähden tarpeellisia, eikä niitä sen vuoksi voida poistaa tai anonymisoida.
Rekisterinpitäjä kertoo informoivansa asiakkaita säilytysajan päättymistavoista seuraavasti:
”Asiakkuuteesi liittyviä tietoja kuten perustietojasi, korttitietojasi, yleisiä asiakkuuteesi liittyviä tietoja, antamiasi suostumuksia ja kieltoja, eritasoisia ostotietojasi, asiakasluokittelutietoja ja tietoja sinulle kohdennetuista markkinointitiedoista säilytämme asiakassuhteen elinkaaren mukaisesti.
Asiakassuhteen elinkaaren mukaisessa säilytyksessä huomioimme sopimusehtojen mukaisen asiakkuuden päättymisen. Yhtiöllä on oikeus päättää Plussa-asiakkuus ilman eri toimenpiteitä, jos Plussa-asiakkaalle ei 24 perättäisen kuukauden aikana ole rekisteröitynyt Plussa-kortilla tehtyjä ostoja vähintään tuhannen euron arvosta. Asiakkaana sinulla on aina oikeus myös pyytää heti päättämään asiakkuutesi, jolloin tietosi poistetaan tahtosi mukaisesti järjestelmästä kahden kuukauden kuluessa.”
Rekisterinpitäjän mukaan silloin, jos asiakassuhde päättyy hiipumalla, ilman asiakkaan tekemää irtisanomista, ostotiedot anonymisoidaan 25 kuukauden kuluttua siitä, kun viimeinen ostotieto on rekisteröity.
Kuuleminen ja lisäselvityspyyntö 4.12.2020
Tietosuojavaltuutetun toimisto on lähettänyt rekisterinpitäjälle kuulemis- ja lisäselvityspyynnön 4.12.2020. Rekisterinpitäjä on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 29.1.2021.
Kuulemis- ja lisäselvityspyyntöön antamassaan vastauksessa rekisterinpitäjä on tuonut esille seuraavaa:
Plussa-järjestelmässä on vuodesta 2012 lähtien kerätty tuotekohtaista ostotietoa uusista Plussa-asiakkaista. Vuoden 2012 uudistuksen jälkeen Kesko on toteuttanut tavoitettaan parempien palveluiden, kohdistetumman markkinoinnin ja etujen tarjoamiseksi kehittämällä yhä ajankohtaisempia ja yksityiskohtaisempia palveluita Plussa-asiakkailleen. Tuotekohtaisen ostotiedon kerääminen ja käsittely on välttämätöntä tällaisten palvelujen tuottamiseksi asiakkaille. Kesko korostaa myös, että teknologian ja data-analytiikan kehittyminen on avannut mahdollisuuden tarjota yhä yksityiskohtaisempaa tietoa ja palvelua asiakkaalle. Siten kyse ei ole itseisarvoisesti yksityiskohtaisemman tiedon keräämisestä asiakkaasta, vaan palvelun kehityksestä yhä yksityiskohtaisemmaksi ja relevantimmaksi asiakkaalle.
Vasta vuodesta 2015 alkaen palveluiden kehittämistä varten on kerätty tuotekohtaista ostotietoa kaikkien Plussa-asiakkaiden (eli myös ennen 2012 Plussa-järjestelmään liittyneiden asiakkaiden) osalta, ellei Plussa-asiakas ole rajoittanut tiedonkeruuta jäljempänä kuvatulla tavalla. Tehdessään vuonna 2015 muutoksia Plussa-järjestelmän puitteissa tapahtuvaan tietojen keräämiseen niiden asiakkaiden osalta, jotka olivat liittyneet kanta-asiakkaiksi ennen vuoden 2012 sääntöuudistusta, Kesko on pyrkinyt toteuttamaan muutokset läpinäkyvästi ja lainsäädännön vaatimukset huomioiden. Tuotekohtaisen ostotiedon keräämisen aloittamisesta tiedotettiin silloisille Plussa-järjestelmän asiakkaille, jotka tiedostivat muutoksen ja osa myös rajoitti tietojen keräystä valitsemalla rajoitetumman kategorian.
[--]
Asiakasta hyödyttävän datan keräämisen ja käsittelyn perusteeton kieltäminen tai rajoittaminen osaltaan rapauttaisi datan pohjalle rakentuvaa innovointia ja tuotekehitystä.
[--]
Plussa-järjestelmän tietoja käsitellään myös aggregoidussa muodossa palvelujen kehittämistä varten. (Poistettu salassa pidettävää tietoa.) Plussa-järjestelmän asiakkaaseen liitetystä tuotetasoisesta ostotiedosta saadaan ymmärrystä esimerkiksi postinumerotasolla. Tietoa aggregoidaan yksilötasolta isommiksi havaintojoukoiksi. Aggregointiin vaaditaan aina lukuisia asiakkaita valitulta alueelta. Näin varmistetaan, että ketään yksittäistä asiakasta ei voida enää aggregoidusta tiedosta tunnistaa.
[--]
Yleisen tietosuoja-asetuksen lähtökohtana on se, että henkilötietojen käsittelyn tarkoitukset ja keinot määrittää rekisterinpitäjä. Plussa-järjestelmän tietojen rekisterinpitäjänä Kesko määrittelee, missä laajuudessa henkilötietojen käsittely on tarpeen niiden tarkoituksien toteuttamiseksi, joita varten ne on kerätty. Kesko on tuonut esille tietosuojaselosteessaan ne tarkoitukset, joita varten se käsittelee ostotietoja.
Tietojen minimoinnin periaate ei tarkoita sitä, että kerättäisiin mahdollisimman vähän tietoja, vaan sitä, että kerättävät tiedot tulee rajoittaa siihen, mikä on tarpeen käsittelyn tarkoituksen näkökulmasta. Siten se, että laajoja ja yksityiskohtaisiakin tietoja kerätään ja käsitellään pitkältä ajalta, ei tee käsittelystä edellä mainitun periaatteen vastaista, mikäli käsittelyn tarpeellisuus voidaan tarkoitusten näkökulmasta perustella, kuten käsillä olevassa tapauksessa on kyse.
[--]
Asiakkaalla itsellään on täysi ja Keskon ohjauksesta riippumaton päätäntävalta siitä, missä edellä mainitussa laajuudessa hänen tietojaan kerätään, käsitellään ja säilytetään. Tästä valinnanmahdollisuudesta on myös informoitu asiakkaita selvästi tietosuojaselosteessa ja asiakkaat voivat halutessaan milloin tahansa pyytää rajoitusta ja vaihtaa toiseen yllä mainittuun vaihtoehtoon. Vuoden 2012 uudistuksen myötä Plussa-järjestelmän liittymishakemuksessa on korostettu nimenomaisesti asiakastietojen keräämiseen liittyviä ehtoja lisäämällä allekirjoituksen yhteyteen viittaus Plussa-järjestelmän ehtojen kohtaan 4, joka sisältää kuvauksen asiakkaista kerättävistä tiedoista. Tämä on lisätty allekirjoituskohdan yhteyteen, jotta Plussa-järjestelmään liittyvä asiakas tiedostaa nämä ehdot ja mahdollisuuden myös kerättävien tietojen rajoittamiseen.
Tuotekohtaisten ostotietojen kerääminen on välttämätöntä nykymuotoisen Plussa-järjestelmän keskiössä olevien älykkäiden palveluiden tarjoamiseksi. Kesko ei voi asettaa tuoteryhmä- tai loppusummakohtaista rekisteröintiä oletusvalinnaksi Plussa-järjestelmän uusille asiakkaille, sillä tällöin asiakkaan ei olisi mahdollista ottaa esimerkiksi K-Ostokset-palvelua käyttöön heti niin halutessaan. Palvelun käyttöönotto ja toimivuus nimittäin edellyttävät riittävän tarkkaa ostoja koskevaa dataa palvelun taustalle, ja ilman tällaisten ostotietojen oletusarvoista keräämistä ja historiatietojen säilyttämistä asiakas joutuisi odottamaan palvelun käyttöönoton jälkeen kauan ennen kuin ostotietoa olisi kertynyt tarpeeksi asiakkaan ostotottumuksia koskevien yhteenvetojen laatimiseksi eikä K-Ostokset-palvelulla siten olisi asiakkaalle hänen toivomaansa lisäarvoa. (Poistettu salassa pidettävää tietoa.)
[--]
Tietosuojavaltuutettu on lisäselvityspyynnössään esittänyt, että Kesko on Plussa-järjestelmän yhteydessä loukannut säilytyksen rajoittamisen periaatetta. Keskon näkemyksen mukaan tämä ei pidä paikkaansa.
Kesko käsittelee aktiivisten Plussa-asiakkaidensa henkilötietoja K-Plussa-asiakasrekisterin tietosuojaselosteessa kuvatulla tavalla asiakkuuden keston ajan. Tietojen säilytys ei missään tilanteessa perustu henkilön elinaikaan, vaan yksinomaan asiakassuhteen kestoon eli siihen, mikä on tarpeen käsittelyn tarkoitusta varten.
Kesko on aktiivisesti arvioinut ja pyrkii jatkossakin säännönmukaisesti arvioimaan tietojen säilytysajan tarpeellisuutta suhteessa käsittelyn tarkoitukseen. Kesko on kerännyt vuodesta 2012 lähtien tuotetasoista tietoa uusilta Plussa-asiakkaita, joten tuotetasoista tietoa on Keskon hallussa pisimmillään noin kahdeksan vuoden ajalta. Laajemmin tuotetasoisia tietoja, eli myös ennen vuotta 2012 Plussa-järjestelmään liittyneiltä asiakkailta, on kerätty vuodesta 2015 alkaen. Kesko katsoo, että tähän asti kertynyt tieto on tarpeen tässä vastineessa kuvattujen ja tulevaisuudessa tarjottavien palveluiden tuottamista varten.
Koska Keskolle ei ole kertynyt tietoa pidemmältä ajalta kuin mainittu noin kahdeksan vuotta, ei se ole käytännössä vielä voinut arvioida pidempiaikaisen tiedon tarvetta käsittelyn tarkoituksen kannalta. Analysointitarpeita on mahdollista tarkastella vasta sitä mukaan kuin tietoa kertyy, ja toistaiseksi Kesko on katsonut kaiken tähän mennessä kertyneen tiedon tarpeelliseksi käsittelyn tarkoituksen toteuttamista varten. Tämänhetkisiä palveluita ei olisi mahdollista tarjota suppeammalla tiedolla ja K-Ostokset-palvelu avattiinkin asiakkaille heti, kun tuotekohtaista ostotietoa oli kertynyt viiden vuoden ajalta eli vuonna 2020. Palveluita ei kuitenkaan voida tarjota vielä siinä laajuudessa kuin Keskon tavoite on, sillä tietoja on kertynyt vasta verrattain lyhyeltä aikaväliltä, pääasiassa siis noin viideltä vuodelta. Kun tietoja kertyy enemmän, mahdollistaa tämä yhä kehittyneempien ja ajankohtaisempien palveluiden tarjoamisen Plussa-asiakkaille.
Kesko on luonnollisesti arvioinut säilytystarvetta niin laajasti kuin tämä hetkisen tiedon perusteella on mahdollista. Säilytysaika on sidottu asiakkuuden kestoon, sillä tämänhetkisen tiedon perusteella koko asiakkuuden kestävä säilytysaika on tarpeen Plussa-järjestelmän täysimääräiseksi toteuttamiseksi asiakkaita varten. Kesko kuitenkin arvioi jatkuvasti tarpeellisuutta ja tarvittaessa tähän reagoidaan asianmukaisesti. Tämä lähestymismalli on valittu myös käsittelyn läpinäkyvyyden kannalta: Asiakkaita tiedotetaan pitkästä säilytysajasta, jotta he ovat jo rekisteröintivaiheessa tietoisia tästä. Mikäli myöhemmin katsotaankin lyhyemmän säilytysajan riittävän, voidaan tämä tiedottaa asiakkaille. Mikäli tämä toteutettaisiin toisinpäin aina vuosi kerrallaan pidentämällä, on todennäköisempää, ettei läpinäkyvyys asiakkaan suuntaan toteudu eikä tieto päivityksestä todella tule ymmärretyksi kaikkien asiakkaiden osalta.
[--]
Oletusarvoinen tietosuoja pyrkii suojaamaan ihmisiä trendiltä kerätä niin paljon tietoa kuin vain on mahdollista ilman, että kerätyllä tiedolla olisi yhteyttä käsittelyn tarkoitukseen. Tämä pyrkimys on edellä kuvatuilla tavoilla toteutettu myös Plussa-järjestelmän puitteissa: Kesko ei kerää eikä säilytä asiakkaistaan mitään sellaista tietoa, mitä se ei pidä tarpeellisena esitettyjä käsittelytarkoituksia varten.
Se, että Kesko kerää perustasoisesti tuotekohtaista ostotietoa, ei ole vastoin oletusarvoisen tietosuojan periaatetta, sillä Keskon esittämien tarkoitusten toteuttaminen ei olisi esitetyllä tavalla mahdollista ilman tällaisen tiedon keräämistä, käsittelyä ja säilyttämistä.
Siten Kesko on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet ja varmistanut, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja.
[--]
Kuten Kesko on vastauksessaan todennut, Keskon suorittama henkilötietojen käsittely ei merkittävästi eroa markkinakäytännöstä. Päivittäistavarakaupan alalla Keskon suurimpina kilpailijoina Suomessa voidaan pitää S-ryhmää ja Lidl Suomi Ky:tä, joilla molemmilla on Plussa-järjestelmän perinteisempiin kanta-asiakaspalveluihin verrattavissa oleva kanta-asiakasohjelma.
Lisäselvityspyyntö 3.3.2022
Rekisterinpitäjältä on pyydetty lisäselvitystä 3.3.2022 päivätyllä lisäselvityspyynnöllä.
Rekisterinpitäjä on 1.4.2022 tietosuojavaltuutetun toimistolle antamassaan lisäselvityksessä täsmentänyt, että se harkitsee tietojen säilytyksen jatkamistarvetta vuosittain suunnitteluprosessiensa yhteydessä sekä esimerkiksi aina, kun Plussa-järjestelmää koskevaa tietosuojan vaikutustenarviointia päivitetään.
Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjää esittämään selvityksen ostotietojen kaikista käyttötarkoituksista. Saadun selvityksen mukaan ostotietojen käyttötarkoituksina ovat Plussa-järjestelmään liittyvien etujen ja palveluiden tarjoaminen ja Plussa-asiakkaiden asiakassuhteen hoitaminen perinteiseen Plussa-asiakkuuteen kiinteästi liittyvine tarkoituksineen (sis. Plussa-pisteiden laskemisen, Plussa-etuuksien kohdentamisen oikealle henkilölle, asiakkaan ja K-kauppiaan välisen sponsorointipalvelun toteuttamisen, sekä asiakkuuteen liittyvien palveluviestien ja muiden tiedotusten lähettämisen), liiketoiminnan kehittäminen (kuten kauppojen tuotetarjonnan optimointi ja siten hävikin vähentäminen), sekä markkinoinnin toteuttaminen ja kohdentaminen (ml. Plussa-kumppaneiden tuotteiden ja palveluiden markkinointi). Käyttötarkoitukset käsittävät myös palveluiden kehittämisen, asiakasluokkien ja profiilien muodostamisen sekä rekisterinpitäjän ja asiakkaan oikeusturvan varmistamisen.
Selvityksen mukaan rekisterinpitäjällä on tällä hetkellä tuotekohtaista ostotietoa noin 10 vuoden ajalta niistä henkilöistä, jotka ovat liittyneet Plussa-järjestelmään 1.2.2012 jälkeen, ja yleisemmin enintään noin seitsemän vuoden ajalta, sillä tuotetasoisen tiedon kerääminen alkoi vuonna 2012 Plussa-järjestelmään tuon ajankohdan jälkeen liittyneiden asiakkaiden osalta, ja kaikkien Plussa-asiakkaiden osalta vuonna 2015. Rekisterinpitäjän pyrkimyksenä on kehittää kuluttajia palvelevia datalähtöisiä palveluita, ja rekisterinpitäjä on katsonut perustelluksi säilyttää ostokäyttäytymistietoja koko asiakassuhteen elinkaaren ajan.
Plussa-jäseniä on rekisterinpitäjän antaman selvityksen mukaan ollut vuoden 2022 helmikuussa 3,49 miljoonaa. Plussa.fi -palvelussa sellaisten tunnistettujen vierailijoiden lukumäärä aikavälillä 1.3.2021–28.2.2022, jotka ovat kirjautuneet Plussa-palveluun ja tutkineet ostotietojaan, on rekisterinpitäjän mukaan ollut (poistettu salassa pidettävä tieto). (K-Ruoka-sovelluksen ja K-Ruoka.fi -verkkosivuston tilaushistorianäkymässä rekisterinpitäjä on samalla aikavälillä tunnistanut (poistettu salassa pidettävä tieto) jäsentä, ja K-Ostokset-palvelussa uniikkeja käyttäjiä on ollut (poistettu salassa pidettävä tieto).)
Rekisterinpitäjän mukaan asiakas pääsee K-Ostokset-palvelussa tutkimaan omaa ostohistoriaansa viiden vuoden ajalta. Rekisterinpitäjä on selvityksessään täsmentänyt, että maksimissaan viiden vuoden ajanjakso on katsottu relevantiksi, koska ajanjakso perustuu ennen kaikkea siihen, miltä ajanjaksolta rekisterinpitäjällä on saatavilla kattavaa ostohistoriatietoa. Rekisterinpitäjän mukaan K-Ostokset palvelussa näkyvät ostotiedot eivät rajoita rekisteröidyn oikeutta saada kopio itseään koskevista tiedoista koko asiakkuuden ajalta.
Kuuleminen 20.7.2022
Tietosuojavaltuutetun toimisto on lähettänyt rekisterinpitäjälle kuulemis- ja lisäselvityspyynnön 20.7.2022. Rekisterinpitäjä on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 2.9.2022.
Kuulemis- ja lisäselvityspyyntöön antamassaan vastauksessa rekisterinpitäjä on edelleen esittänyt, että sen menettely on nyt arvioitavassa asiassa ollut yleisen tietosuoja-asetuksen 5(1)(e) artiklassa tarkoitetun säilytyksen rajoittamisen periaatteen mukaista. Rekisterinpitäjän näkemyksen mukaan sen määrittelemä ja soveltama säilytysaika ei ole millään tavalla omiaan aiheuttamaan rekisteröityjen oikeuksiin ja vapauksiin kohdistuvia negatiivisia vaikutuksia verrattuna rajoitetumpaan säilytysaikaan, vaan päinvastoin asiakkaat saavat yhä kattavampaan dataan pohjautuvia palveluita.
Rekisterinpitäjän mukaan yleisen tietosuoja-asetuksen 5(1)(e) artiklan rikkominen ei myöskään johda suoraan asetuksen 25(1) artiklan rikkomiseen, eikä asiassa ole rekisterinpitäjän näkemyksen mukaan esitetty, etteikö rekisterinpitäjä olisi pannut yleisen tietosuoja-asetuksen 5(1)(e) artiklan periaatteen täytäntöön tehokkaasti. Toimenpiteiden tehokkuutta tulisi rekisterinpitäjän mukaan arvioida tapauskohtaisesti, ja rekisterinpitäjä katsoo toiminnassaan poistaneensa tiedot Plussa-järjestelmästä niiltä osin, kuin henkilötietojen säilyttäminen ei ole enää ollut tarpeen käsittelylle määriteltyjen tarkoitusten näkökulmasta. Tietojen poistoprosessit toimivat automatisoidusti, eikä rekisterinpitäjän mukaan ole tapauksia, joissa Plussa-asiakkaiden tiedot olisivat jääneet poistamatta Plussa-asiakkuuden päätyttyä asiakkaan passiivisuuden tai ai asiakkaan ilmoittamiseen perustuvan Plussa-asiakkuuden päättämisen seurauksena.
Taustatietoja
Palvelunkuvaus
Rekisterinpitäjä on kaupan alan pörssiyhtiö, jonka ketjutoimintaan kuuluu noin 1 800 kauppaa Suomessa, Ruotsissa, Norjassa, Virossa, Latviassa, Liettuassa ja Puolassa.
Liikevaihto
Rekisterinpitäjältä 1.4.2022 saatujen tietojen mukaan rekisterinpitäjän liikevaihto vuodelta 2021 on 11 300 236 298,50 euroa.
Plussa-jäsenien määrä
Plussa-jäseniä on 3,49 miljoonaa. (Määrä helmikuussa 2022 rekisterinpitäjän 1.4.2022 tietosuojavaltuutetun toimistolle antaman selvityksen mukaan.)
Sovellettavasta lainsäädännöstä
Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (yleinen tietosuoja-asetus) on sovellettu 25.5.2018 alkaen. Säädös on asetuksena jäsenvaltioissa välittömästi sovellettavaa oikeutta. Yleistä tietosuoja-asetusta täsmentää kansallinen tietosuojalaki (1050/2018).
Yleisen tietosuoja-asetuksen johdantokappaleen 39 mukaan: Henkilötietojen käsittelyn olisi oltava laillista ja asianmukaista. Luonnollisille henkilöille olisi oltava läpinäkyvää, miten heitä koskevia henkilötietoja kerätään ja käytetään ja niihin tutustutaan tai niitä käsitellään muulla tavoin sekä selvillä siitä, missä määrin henkilötietoja käsitellään tai on määrä käsitellä. Läpinäkyvyyden periaatteen mukaisesti kyseisten henkilötietojen käsittelyyn liittyvien tietojen ja viestinnän on oltava helposti saatavilla ja ymmärrettävissä ja niissä on käytettävä selkeää ja yksinkertaista kieltä. Tämä periaate koskee erityisesti rekisteröityjen tietoja rekisterinpitäjän identiteetistä ja käsittelyn tarkoituksista sekä lisätietoja, joilla varmistetaan kyseisiä luonnollisia henkilöitä koskevan käsittelyn asianmukaisuus ja läpinäkyvyys, sekä heidän oikeuttaan saada vahvistus ja ilmoitus heitä koskevien henkilötietojen käsittelystä. Luonnollisille henkilöille olisi tiedotettava henkilötietojen käsittelyyn liittyvistä riskeistä, säännöistä, suojatoimista ja oikeuksista sekä siitä, miten he voivat käyttää tällaista käsittelyä koskevia oikeuksiaan. Varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti. Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti toteuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen. Olisi toteutettava kaikki kohtuulliset toimenpiteet, jotta varmistetaan, että virheelliset henkilötiedot oikaistaan tai poistetaan. Henkilötietoja olisi käsiteltävä siten, että varmistetaan henkilötietojen asianmukainen turvallisuus ja luottamuksellisuus, millä muun muassa ehkäistään luvaton pääsy henkilötietoihin tai niiden käsittelyyn käytettyihin laitteistoihin sekä tällaisten tietojen tai laitteistojen luvaton käyttö.
Yleisen tietosuoja-asetuksen 5(1)(c) artiklassa säädetään tietojen minimointiperiaatteesta. Artiklan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
Yleisen tietosuoja-asetuksen 5(1)(e) artiklassa säädetään säilytyksen rajoittamisperiaatteesta. Artiklan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi.
Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi yleisen tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
Oikeudellinen kysymys
Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.
Asiassa on arvioitava:
1) onko asiakkaiden ostotietojen säilyttämistä koskeva rekisterinpitäjän menettely ollut yleisen tietosuoja-asetuksen 5(1)(e) artiklan, 25(1) artiklan ja 25(2) artiklan mukainen
Tämä päätös ei koske rekisterinpitäjän toimintaa miltään muilta osin, kuten esimerkiksi käsittelyperusteen määrittelyn tai rekisteröityjen informoinnin osalta.
Tietosuojavaltuutetun päätös
Rekisterinpitäjä ei ole määritellyt ostotietojen säilytysaikaa kunkin rekisterinpitäjän ilmoittaman erityisen käyttötarkoituksen osalta yleisen tietosuoja-asetuksen 5(1)(e) artiklan, 25(1) artiklan ja 25(2) artiklan mukaisesti.
Huomautus
Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen edellä todetuista yleisen tietosuoja-asetuksen säännösten vastaisista käsittelytoimista.
Määräys
Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi:
1. Rekisterinpitäjän tulee määritellä asiakkaiden ostotiedoille tietosuojasääntelyn edellytykset täyttävä säilytysaika käyttötarkoituksittain. Tämä on mahdollista esimerkiksi määrittelemällä säilytysaika käyttötarkoituskohtaisesti vuosina ostotiedon keräämisestä lukien.
2. Rekisterinpitäjä määrätään myös poistamaan tai anonymisoimaan sen määrittelemää yleisen tietosuoja-asetuksen vaatimukset täyttävää säilytysaikaa vanhemmat ostotiedot ilman aiheetonta viivästystä.
Tietosuojavaltuutettu määrää tietosuojalain (1050/2018) 25 §:n 3 momentin nojalla rekisterinpitäjää noudattamaan säilytysajan määrittelyä ja ostotietojen poistamista koskevaa määräystä muutoksenhausta huolimatta.
Tietosuojavaltuutettu jättää rekisterinpitäjän harkintaan asianmukaiset toimenpiteet, mutta määrää sen toimittamaan selvityksen tehdyistä toimenpiteistä tietosuojavaltuutetun toimistolle 31.8.2023 mennessä.
Hallinnollinen seuraamusmaksu
Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.
Tietosuojavaltuutettu saattaa asian seuraamusmaksuharkinnan osalta seuraamuskollegion päätettäväksi. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu tietosuojavaltuutetun antamien huomautuksen ja määräysten lisäksi.
Päätöksen perustelut
Asiakkaan henkilötietojen säilyttäminen
Yleinen tietosuoja-asetus edellyttää, että henkilötietoja säilytetään muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten (Yleisen tietosuoja-asetuksen 5(1)(e) artikla ja 25(2) artikla). Henkilötietojen säilytysajan tulee aina olla mahdollisimman lyhyt (ks. esim. yleisen tietosuoja-asetuksen johdantokappale 39. Katso tähän liittyen myös esim. Euroopan tietosuojaneuvoston lausunto: Äänikomennoilla ohjattavia virtuaaliavustajia koskevat ohjeet 02/2021, Versio 2.0, kohta 100. Ohjeen mukaan esimerkiksi oikeudellisten velvoitteiden noudattamiseksi säilytettävien tietojen määrän olisi oltava mahdollisimman pieni ja niitä olisi säilytettävä mahdollisimman vähän aikaa) ja rekisteröityjä tulee informoida säilytysajasta henkilötietoja kerättäessä (ks. yleisen tietosuoja-asetuksen 13(2)(a) artikla), eli rekisterinpitäjän tulee jo ennen henkilötietojen käsittelytoimiin ryhtymistä määritellä henkilötietojen säilytysaika.
Rekisterinpitäjä on esittänyt tietosuojavaltuutetun toimistolle antamassa selvityksessään, että sille ei ole vielä kertynyt esimerkiksi ostotietoja pidemmältä ajalta kuin vuodesta 2012 lähtien, eikä se tämän vuoksi ole voinut vielä arvioida pidempiaikaisen tiedon tarvetta käsittelyn tarkoituksen kannalta. Arviota ei kuitenkaan voi jättää tehtäväksi henkilötietojen keräämisen aloittamisen jälkeiseen aikaan, vaan kuten edellä on todettu, rekisteröityjä tulee esimerkiksi informoida säilytysajasta jo henkilötietoja kerättäessä.
Yleisessä tietosuoja-asetuksessa ei edellytetä säilytysajan määrittelemistä kaikissa tilanteissa nimenomaisella aikamääreellä. Joissakin tilanteissa säilytysaika voidaan rajata määrittelemällä kriteerit, joiden perusteella säilytysaika määräytyy, kuten sitomalla henkilötietojen säilytysaika asiakassuhteen kestoon. Esimerkiksi kanta-asiakkuuden hallinnointiin tarvittavien henkilötietojen, kuten rekisteröidyn nimi- ja jäsennumerotietojen, säilyttämistä aktiivisen kanta-asiakkuuden keston ajan voidaan pitää sinänsä mahdollisena. Jäljempänä tarkemmin esitetyin perusteluin tästä ei kuitenkaan seuraa, että sanottua säilytysaikaa voitaisiin pitää yleisen tietosuoja-asetuksen mukaisena asiakkaan kaikkien henkilötietojen osalta.
Ostotietojen säilyttäminen
Vaikka yleisen tietosuoja-asetuksen säännöksistä ei seuraa suoraan aikamääreeseen sidottua velvollisuutta säilytysajan määrittelemiseksi, on kuitenkin selvää, että asiakkuussuhteeseen sidottu vuosikymmenienkin pituinen säilytysaika ei ole kaikkien henkilötietojen osalta yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklan säilytysajalta edellyttämällä tavalla tarpeellinen. (Laintulkinnassa on huomioitava myös tietosuojasääntelyn tavoite varmistaa henkilötietojen korkeatasoinen suoja. Unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan unionin oikeuden säännöksen tulkitsemiseksi on otettava huomioon sen sanamuodon lisäksi sen asiayhteys sekä sillä lainsäädännöllä tavoitellut päämäärät, jonka osa se on, ja erityisesti tämän lainsäädännön syntyhistoria (ks. esim. asia C-414/16, ratkaisun kohta 44). Silloin, kun unionin oikeuden säännöstä voidaan tulkita usealla tavalla, etusija on annettava tulkinnalle, jolla voidaan varmistaa säännöksen tehokas vaikutus (ks. esim. asia C‑31/17, ratkaisun kohta 41, sekä asia C-154/21, ratkaisun kohta 29).)
Yleisen tietosuoja-asetuksen 25(2) artikla edellyttää, että rekisterinpitäjä varmistaa käsittelevänsä kunkin käsittelytarkoituksen kannalta vain tarpeellisia tietoja. Säännöksessä nimenomaisesti tähdennetään vaatimuksen koskevan tietojen säilytysaikaa. Vaikka edellä todetuin tavoin asiakastietojen säilyttäminen voi joiltain osin olla perusteltuakin sitoa asiakkuussuhteen kestoon, yleisen tietosuoja-asetuksen 25(2) artikla asettaa yhdessä säilytyksen rajoittamista koskevan 5(1)(e) artiklan kanssa selvän velvoitteen rekisterinpitäjälle varmistua siitä, että henkilötietoja säilytetään sen käsittelytarkoituksen kannalta ainoastaan tarpeellinen aika. Yleisen tietosuoja-asetuksen 25(1) artikla puolestaan edellyttää, että rekisterinpitäjä toteuttaa tehokkaasti toimenpiteet tietosuojaperiaatteiden, kuten säilytyksen rajoittamisen, täytäntöönpanemiseksi.
Edellä selvennytyistä syistä ostotietojen säilytysaikaa on arvioitava erillään muiden asiakkuussuhteen hoitoon tarvittavien henkilötietojen säilytysajasta. Nyt arvioitavassa asiassa ei ole käsillä tilanne, jossa rekisterinpitäjä ei olisi kyennyt määrittelemään ostotietojen säilytysaikaa täsmällisemmin, esimerkiksi vuosina ilmoitettavana, säilytysaikana. Rekisterinpitäjän olisi tullut määritellä tällainen säilytysaika käyttötarkoituskohtaisesti.
Rekisterinpitäjä on sitonut ostotietojen säilytysajan asiakkuussuhteen kestoon, mikä on johtanut siihen, että niitä säilytetään muodossa, josta rekisteröity on tunnistettavissa mahdollisesti hyvinkin pitkiä aikoja, jopa vuosikymmeniä. Ostotiedot on voitu poistaa asiakkaan irtisanoessa kanta-asiakkuutensa tai asiakassuhteen hiipuessa siten, että asiakkaalle ei 24 perättäisen kuukauden aikana ole rekisteröitynyt Plussa-kortilla tehtyjä ostoja vähintään tuhannen euron arvosta. Asiakassuhteen kestoon perustuva säilytysaika voi näin johtaa erittäin pitkään, jopa rekisteröidyn aikuiselämän mittaiseen ostostietojen säilyttämiseen.
Arvioitaessa ostotietojen säilytysajan merkitystä tietosuojaa koskevassa sääntelykehikossa, tietosuojavaltuutettu kiinnittää huomiota erityisesti kerättyjen henkilötietojen määrään ja luonteeseen sekä niiden käsittelyyn liittyviin riskeihin. Joiltain osin ostotiedoista on pääteltävissä esimerkiksi henkilön elämäntilanteesta, elintavoista ja liikkumisesta yksityiskohtaisestikin kertovia tietoja. (Ostotiedoista voi käydä välillisesti ilmi myös erityisiin henkilötietoryhmiin (yleisen tietosuoja-asetuksen 9 artikla) kuuluvia henkilötietoja. Rekisterinpitäjän kohdalla Plussa-pisteitä on myös esimerkiksi mahdollista kerryttää tietyissä terveydenhuollon palveluissa (rekisterinpitäjän lehdistötiedote 27.4.2017: K-Plussa ja Plusterveys-hammaslääkäripalvelut yhteistyöhön). (Poistettu salassa pidettävää tietoa)) Tällaisten tietojen käsittelyyn liittyvä riski nousee, mitä laajempia tietoja kerätään ja mitä pidempään niitä säilytetään. Laaja tietojen kerääminen ja niiden pitkäaikainen säilyttäminen nostavat riskiä esimerkiksi tietovuototilanteessa, jossa vaikutukset rekisteröityihin ovat tyypillisesti sitä vakavampia, mitä suuremmasta määrästä rekisteröidyn tietoja on kyse ja mitä moninaisempia nämä tiedot ovat. Tässä yhteydessä on otettava myös huomioon, että mitä pidemmäksi henkilötietojen säilytysaika muodostuu, sitä suuremmaksi myöskin säilytettävien tietojen määrä lähtökohtaisesti muodostuu, ja sitä laaja-alaisempia päätelmiä rekisteröidyn yksityiselämästä on mahdollista näiden tietojen pohjalta tehdä.
Rekisterinpitäjän tulee jo etukäteen omaksutuilla teknisillä ja organisatorisilla toimenpiteillä pienentää rekisteröidyille mahdollisessa tietoturvaloukkaustilanteessa aiheutuvaa haittaa esimerkiksi määrittelemällä henkilötiedoille niiden käyttötarkoituksiin nähden mahdollisimman lyhyt säilytysaika yleisen tietosuoja-asetuksen 5(1)(e) artiklan ja 25(2) artiklan mukaisesti (yleisen tietosuoja-asetuksen 24 artiklaan kirjattu riskiperusteinen lähestymistapa on yleisenä lähtökohtana kaikessa henkilötietojen käsittelyssä). Vaikka yleisen tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista periaatteista, sanotun artiklan 1 kohdan e alakohta on myös täsmällinen ja selkeä oikeussääntö, joka on helposti ymmärrettävissä ja sovellettavissa. Säilytysajan päättyessä tiedot poistetaan tai ne voidaan myös tarvittaessa anonymisoida, jonka jälkeen niitä on mahdollista edelleen hyödyntää esimerkiksi tilastotietotasolla. (Ks. myös esim. Euroopan tietosuojaneuvoston lausunto 4/2019, jonka mukaan rekisterinpitäjän ei pidä säilyttää henkilötietoja pidempään kuin on välttämätöntä (Euroopan tietosuojaneuvoston ohje: EDPB Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, Versio 2.0, kohta 42).)
Vaikka asiakkaalla tässä tapauksessa onkin ollut mahdollisuus pyytää tietojensa poistamista, ei tämä vaikuta rekisterinpitäjän velvollisuuteen määritellä ostotiedoille tarpeellinen säilytysaika käyttötarkoituskohtaisesti. Pelkästään vuosittain suoritettavalla säilytysaikaa koskevalla uudelleenarvioinnilla ei voida myöskään täyttää edellä sanottuja yleisen tietosuoja-asetuksen velvoitteita. Käytännössä tämä tarkoittaisi lähinnä asetuksesta seuraavan velvoitteen vuosittaista arviointia ilman velvoitteen edellyttämiä toimenpiteitä.
Ostotietojen säilyttäminen 5(1)(e) ja 25(2) artiklan mukaisesti tietojenkäsittelyn tarkoituksen toteutumista varten
Yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artikla edellyttävät, että rekisterinpitäjä säilyttää henkilötietoja muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan, kuin se on tietojen käsittelyn kannalta tarpeellista. Näin ollen sanotut yleisestä tietosuoja-asetuksesta seuraavat velvollisuudet pitävät sisällään yleisen tietosuoja-asetuksen mukaisen käyttötarkoitussidonnaisuuden periaatteen huomioimisen kaikessa henkilötietojen käsittelyssä. Rekisterinpitäjä on esittänyt, ettei se ole voinut vielä arvioida pidempiaikaisen tiedon tarvetta käsittelyn tarkoituksen kannalta ja että tiedon käsittelytarpeita on mahdollista tarkastella vasta myöhemmin. Rekisterinpitäjä on niin ikään esittänyt selvityksessään, että se on informoinut rekisteröityjä pitkästä säilytysajasta, jota saatetaan myöhemmin rajoittaa tarpeen mukaan. Tietosuojavaltuutettu toteaa, että henkilötietojen käyttötarkoitus on määriteltävä selkeällä tavalla etukäteen. Rekisteröidylle tulee olla selvää tietoja kerättäessä, mihin selkeästi määriteltyyn tarkoitukseen tietoja käytetään ja miten kauan. Rekisteröityjen oikeutetut odotukset ovat merkittävä tekijä arvioitaessa henkilötietojen käsittelyn lainmukaisuutta.
Tietosuojavaltuutettu katsoo, että toimintamalli, jossa henkilötietoja kerätään ja säilytetään vielä määrittelemättömiin tarkoituksiin ei ole tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklan mukainen. Tietosuoja-asetuksen nojalla säilytysaika määräytyy sen mukaan, mikä on ollut käsittelyn tietyn tarkoituksen kannalta tarpeellinen säilytysaika ennen kuin henkilötietoja on ryhdytty keräämään. Käyttötarkoitus on määriteltävä nimenomaisesti eli niin yksityiskohtaisesti, että sen perusteella voidaan objektiivisesti arvioida, kuinka pitkään henkilötietoja on tosiasiallisesti tarpeellista säilyttää. Jos käsittelyntarkoitusta on tarpeellista myöhemmin tarkentaa tai muuttaa, rekisterinpitäjän on arvioitava sallitun käsittelyn alaa tietosuoja-asetuksen 6 artiklan 4 kohdan mukaisesti.
EU-tuomioistuin on esimerkiksi asiassa C-175/20 antamassaan ratkaisussa todennut, että henkilötietojen käsittelyn tarkoitukset ”on yksilöitävä viimeistään henkilötietojen keruun yhteydessä” (ratkaisun kohta 64. Ks. myös yleisen tietosuoja-asetuksen johdantokappale 39: ”Varsinkin henkilötietojen käsittelyn nimenomaiset tarkoitukset olisi määritettävä ja ilmoitettava henkilötietojen keruun yhteydessä yksiselitteisesti ja lainmukaisesti”. (Ks. myös esim. EU:n tietosuojaryhmän lausunto (WP 203) 03/2013 käyttötarkoitussidonnaisuudesta, jossa niin ikään tuodaan esille, että tietojen käyttötarkoitukset tulee kertoa selkeästi viimeistään henkilötietoja kerättäessä (luku III.1.2, ensimmäinen kappale), ja ”käsittelyn tarkoitusten on oltava nimenomaisia, mikä merkitsee sitä, että ne on ilmaistava selvästi” (Ratkaisun kohta 65. Ks. myös esim. Euroopan tietosuojaneuvoston ohje: EDPB Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, Versio 2.0, kohta 72 (”Nimenomaisuus – tarkoitukset on yksilöitävä ja on selitettävä nimenomaisesti, miksi henkilötietoja käsitellään”).)
Tietosuojavaltuutetun toimisto on pyytänyt nyt arvioitavassa asiassa rekisterinpitäjää selvittämään ostotietojen kaikki käyttötarkoitukset. Rekisterinpitäjän antaman selvityksen mukaan ostotietoja käsitellään liiketoiminnan kehittämistarkoituksissa (kuten kauppojen tuotetarjonnan optimointi ja siten hävikin vähentäminen), Plussa-järjestelmään liittyvien etujen ja palveluiden tarjoamistarkoituksissa (kuten Plussa-asiakkaiden asiakassuhteen hoitaminen, mukaan lukien Plussa-pisteiden laskeminen ja kohdentaminen, sekä asiakkaan ja K-kauppiaan välisen sponsorointipalvelun toteuttaminen), ja markkinoinnin toteuttamis- ja kohdentamistarkoituksissa (ml. Plussa-kumppaneiden tuotteiden ja palveluiden markkinointi). Käyttötarkoitukset käsittävät myös palveluiden kehittämisen, asiakasluokkien ja profiilien muodostamisen sekä rekisterinpitäjän ja asiakkaan oikeusturvan varmistamisen.
Tietosuojavaltuutettu toteaa asiassa saadun selvityksen perusteella, että ostotietojen säilyttämistä koko asiakassuhteen ajan henkilötietoina muodossa, jossa henkilö on tunnistettavissa, ei voida pitää välttämättömänä tai tarpeellisenakaan rekisterinpitäjän esittämien tietojenkäsittelyn tarkoitusten toteuttamista varten. Yksikään rekisterinpitäjän esittämä ostotietojen käyttötarkoitus ei luo oikeutusta esimerkiksi asiakkaan aikuisiän mittaiselle säilytysajalle.
Henkilötiedoille olisi tässä tapauksessa tullut yleisen tietosuoja-asetuksen 5(1)(e), 25(1) ja 25(2) artikloista tulevien velvoitteiden täyttämiseksi määritellä tietosuojasääntelyn vaatimukset täyttävä säilytysaika, jonka päättyessä rekisterinpitäjä poistaa tai anonymisoi henkilötiedot. Tietosuojavaltuutettu katsoo, että esimerkiksi toimenpiteet hävikin vähentämiseksi eivät edellytä, että rekisterinpitäjällä on tieto siitä, kuka yksittäinen henkilö on hankkinut tietyn tuotteen, tai että rekisterinpitäjällä on lisäksi tällaisia tietoja huomattavan pitkältä ajalta.
Rekisterinpitäjän tulee myös aina tehdä asianmukainen arvio siitä, milloin kerättyjen tietojen käyttötarkoitukset ovat toteutettavissa ilman henkilötietoja, eli esimerkiksi anonymisoituja tietoja, kuten tilastotietoja, hyödyntäen.
Rekisterinpitäjä on selvityksissään korostanut ostotietojen säilyttämisen tarvetta myös rekisteröityjen etuihin perustuvilla syillä. Tästä syystä on kiinnitettävä huomiota myös siihen, että rekisteröidyt ovat Plussa-palvelussa saaneet nähtäväkseen ostotietojaan korkeintaan viiden vuoden ajalta. Tästä voi muodostua rekisteröidylle helposti käsitys, että tietoja ei säilytettäisi tätä pidempään. Lisäksi käytäntö viittaa siihen, että erityisesti tätä pidemmän ostotietojen säilyttämisen tavoitteena on rekisterinpitäjän tarpeisiin vastaaminen. Rekisterinpitäjän antaman selvityksen mukaan selvitystä edeltävän vuoden aikana (poistettu salassa pidettävä tieto) Plussa-asiakkaista oli kirjautunut Plussa-palveluun ja tutkinut ostotietojaan vähintään yhden kerran. (Asiassa saadun selvityksen mukaan Plussa-asiakkaita on helmikuussa 2022 ollut 3,49 miljoonaa. Plussa.fi-palvelussa sellaisten tunnistettujen vierailijoiden lukumäärä aikavälillä 1.3.2021 – 28.2.2022, jotka ovat kirjautuneet Plussa-palveluun ja tutkineet ostotietojaan vähintään kerran, on rekisterinpitäjän mukaan ollut (poistettu salassa pidettävä tieto) (muu kuin mahdollinen liittymisen yhteydessä tapahtuva kirjautuminen). Tietosuojavaltuutettu toteaa, että ei voida katsoa, että Plussa-asiakkaiden ainoana kimmokkeena tai heidän pääasiallisena perusteenaan ryhtyä kanta-asiakkaaksi olisi omien ostotietojen seuraaminen ja hyödyntäminen verkkopalvelussa. Suhteellisen pieni kanta-asiakastilille kirjautuneiden lukumäärä tukee osaltaan tätä johtopäätöstä. Kanta-asiakkaaksi liittymisen perusteena voi asiakkaalle olla verkkopalveluiden sijasta esimerkiksi se, että kanta-asiakas pystyy hyödyntämään rekisterinpitäjän liikkeissä Plussa-tarjouksia sekä kerryttämään Plussa-rahaa, jonka hän voi käyttää K-ryhmän kaupoissa.
Rekisterinpitäjä on tuonut selvityksessään esille myös kirjanpitolaista tulevien velvoitteiden noudattamisen nojalla tapahtuvan henkilötietojen säilyttämisen. Tältä osin rekisterinpitäjä on katsonut, että kyse on ostotietojen loppusummatasolla säilytettävistä tiedoista, ja näin ollen tämä lakisääteinen velvoite ei edellytä tätä tarkempien tietojen säilyttämistä.
Henkilötietojen oletusarvoisen keruutason määrittelyyn liittyvän menettelyn osalta tietosuojavaltuutettu antaa rekisterinpitäjälle ohjausta (ks. tämän päätöksen seuraava osio).
Tietosuojavaltuutetun ohjaus
Rekisterinpitäjä on valinnut Plussa-palvelussaan lähtökohtaiseksi tiedonkeruun tasoksi asiakkaiden yksityiskohtaiset ostotiedot, ja rekisterinpitäjä on ryhtynyt keräämään asiakkailta yksityiskohtaisia ostotietoja heidän liityttyä Plussa-asiakkaaksi. Rekisterinpitäjä on tarjonnut rekisteröidyille niin sanotun opt-out-vaihtoehdon sen sijaan, että se olisi omaksunut oletusarvoista tietosuojaa (yleisen tietosuoja-asetuksen 25(2) artikla) toteuttavan lähestymistavan, jossa rekisteröity voisi itse vaikuttaa tiedonkeruun tasoon alusta alkaen. (Ks. tähän liittyen myös esim. Euroopan tietosuojaneuvoston lausunto: EDPB Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta Versio 2.0, annettu 20. lokakuuta 2020, kohta 42. Lausunnon kohdassa 70 esitetyssä esimerkissä tuodaan esille, että ”Käsittelyn oletusvaihtoehdot eivät saa olla invasiivisia, ja muunlaista käsittelyä koskeva valinta on esitettävä siten, ettei rekisteröityä painosteta antamaan suostumusta”.) Ostotietoihin kohdistuvan tiedonkeruun vähentäminen on edellyttänyt rekisteröidyn toimenpiteitä, eikä asiassa saadun selvityksen perusteella rekisteröity ole myöskään voinut tehdä tiedonkeruun tasoa määrittäviä valintoja yhtenä kanta-asiakkaaksi liittymisprosessiin sisältyvänä toimenpiteenä, vaan rekisterinpitäjä on automaattisesti kerännyt yksityiskohtaisia ostotietoja.
Koska rekisterinpitäjä on antamassaan selvityksessä kertonut tiedottaneensa rekisteröityjä siitä, että se ryhtyy keräämään yksityiskohtaisia ostotietoja, todettakoon, että rekisterinpitäjä ei voi täyttää vaatimuksia, jotka koskevat oletusarvoista tietosuojaa ja tietojen minimointia (yleisen tietosuoja-asetuksen 5(1)(c) ja 25(2) artiklat) tiedottamalla laajasta tiedonkeruusta. Yksinomaan rekisteröityjen informointi ostotietojen käsittelystä ei myöskään johda siihen, että oletusarvoista tietosuojaa koskevien käsittelyn edellytykset täyttyisivät. Oletusarvoinen tietosuoja edellyttää, että oletusasetukset kunnioittavat yksilön tietosuojaa. Oletusarvoinen tietosuoja suojaa ennen kaikkea esimerkiksi niitä rekisteröityjä, joilla ei ole digitaitoja tai viitseliäisyyttä tehdä asetuksiin muutoksia omien henkilötietojensa paremmaksi suojaamiseksi. Vastuu oletusarvoisen tietosuojan toteuttamisessa on rekisterinpitäjällä, eikä rekisterinpitäjä voi siirtää tätä vastuutaan rekisteröidylle.
Tietosuojavaltuutettu ohjaa rekisterinpitäjää huomioimaan ostotietojen keruussa asianmukaisesti oletusarvoisen tietosuojan vaatimuksen ja huolehtimaan siitä, että rekisteröidyllä on alusta asti vaikutusmahdollisuus omien henkilötietojensa keruun tason määrittämisessä. Käytännössä tämä olisi ollut helposti toteutettavissa esimerkiksi siten, että rekisteröityä pyydetään kanta-asiakkaaksi liittymislomakkeella valitsemaan hänen haluamansa tiedonkeruun taso täyttämällä rasti ruutuun. Tiedonkeruun alkaminen mahdollisimman laajana ja tiedonkeruun vähentämismahdollisuus esimerkiksi verkkopalvelussa ei ole menettelytapana oletusarvoisen tietosuojan vaatimusten mukainen. Tietosuojavaltuutettu ohjaa rekisterinpitäjää huolehtimaan tässä yhteydessä myös rekisteröidyn oikea-aikaisesta ja riittävästä informoinnista.
Tähän tietosuojavaltuutetun ohjaukseen ei voi hakea valittamalla muutosta.
Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus.
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.
Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta
Rekisterinpitäjä
Kesko Oyj (Y-tunnus 0109862-8)
Seuraamuskollegion päätös
Seuraamuskollegio päättää jäljempänä esitetyin perustein, että tietosuojavaltuutetun antamat, yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus ja d alakohdan mukainen määräys riittävät nyt arvioitavassa asiassa.
Perustelut hallinnollisen seuraamusmaksun määräämättä jättämiselle
Nyt käsillä olevassa pääasiassa tietosuojavaltuutettu on määrännyt yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisesti rekisterinpitäjän saattamaan henkilötietojen säilyttämistä koskevat käytäntönsä yleisessä tietosuoja-asetuksessa säädetyn mukaisiksi sekä antanut rekisterinpitäjälle 58(2)(b) artiklan mukaisen huomautuksen.
Tietosuojavaltuutetun rekisterinpitäjälle tietosuojalain (1050/2018) 25.3 §:n nojalla antama määräys edellyttää, että rekisterinpitäjän tulee noudattaa määräystä muutoksenhausta huolimatta.
Seuraamuskollegio toteaa, että useat seikat olisivat puoltaneet yleisen tietosuoja-asetuksen 83 artiklan mukaisen seuraamusmaksun määräämistä. Tietosuojavaltuutetun päätöksessä todettu rikkomus koskee suurta joukkoa rekisteröityjä ja kunkin rekisteröidyn osalta kerättyjen tietojen määrä on ollut huomattava. Rekisterinpitäjä on sitonut ostotietojen säilytysajan suunnitelmallisesti asiakkuussuhteen kestoon, mikä voi johtaa jopa useiden vuosikymmenien pituiseen ostotietojen säilyttämiseen. Tämä on ollut rekisterinpitäjän vakiintunut toimintatapa. Rekisterinpitäjä ei myöskään ole ryhtynyt tarpeellisiin toimenpiteisiin menettelynsä korjaamiseksi edes tietosuojavaltuutetun yhteydenottojen jälkeen.
Seuraamuskollegio kuitenkin katsoo, että ostotietojen säilytysajan sitominen asiakassuhteen kestoon ei tässä tapauksessa ole vielä johtanut rekisteröityjen oikeusturvan kannalta sillä tavoin pitkiin säilytysaikoihin, että asiassa olisi määrättävä rekisterinpitäjälle seuraamusmaksu tietosuojavaltuutetun antamien huomautuksen ja määräyksen lisäksi. Seuraamuskollegio on arvioinnissaan kiinnittänyt erityisesti huomiota siihen, että tietosuojavaltuutetun päätöksessä esille tuodun perusteella ostotietojen säilytysaika ei ole vielä muodostunut esitettyihin käyttötarkoituksiin nähden suhteettoman pitkäksi. Ottaen myös huomioon, että yleistä tietosuoja-asetusta on sovellettu 25.5.2018 alkaen, tosiasiallinen säilytysaika ei poikkea vielä tällä hetkellä alan muista toimijoista.
Seuraamuskollegio korostaa sen merkitystä, että rekisterinpitäjä ryhtyy pikaisesti tietosuojavaltuutetun määräyksen mukaisiin toimenpiteisiin. Sikäli kuin asia tulisi myöhemmin seuraamuskollegion uudelleen arvioitavaksi, ei seuraamusmaksun määräämättä jättämistä voitaisi pitää samoilla perusteilla mahdollisena.
Edellä todettu huomioon ottaen seuraamuskollegio toteaa erityisesti seuraamusten, ml. korjaavien toimenpiteiden, oikeasuhtaisuutta arvioituaan, että asiassa ei määrätä hallinnollista seuraamusmaksua. Tässä arvioinnissa seuraamuskollegio on kiinnittänyt nimenomaisesti huomiota tietosuojavaltuutetun antamaan määräykseen, jota on noudatettava tietosuojalain 25.3 §:n mukaisesti muutoksenhausta huolimatta. Seuraamuskollegio korostaa, että se on kiinnittänyt tähän erityistä huomiota oikeasuhtaisuusarvioinnissaan. Rekisterinpitäjän ryhtyessä välittömiin korjaaviin toimenpiteisiin tietosuojavaltuutetun määräyksen mukaisesti toteutuu rekisteröidyn oikeusturva riittävän tehokkaasti. Seuraamuskollegio katsoo, että seuraamuksen oikeasuhtaisuutta ei voida arvioida samalla tavoin, mikäli toimenpiteisiin ei ryhdytä ilman aiheetonta viivästystä.
Hallinnollista seuraamusmaksua koskevan päätöksen ovat tehneet tietosuojavaltuutetun seuraamuskollegion jäsenet.
Sovelletut lainkohdat
Perusteluissa mainitut.
Tiedoksianto
Päätökset annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätös on tullut lainvoimaiseksi 19.12.2023.