TSV 06.03.2024
Asiakkaaksi rekisteröitymisen edellyttäminen ja henkilötietojen säilyttäminen ostoksen tekemisen yhteydessä verkkokaupassa
Asiakastiedot - Säilytysaika
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 06.03.2024 |
| Diaarinumero: | TSV/26/2020 |
Tietosuojavaltuutetun ja seuraamuskollegion päätökset
Asia
Asiakkaaksi rekisteröitymisen edellyttäminen ja henkilötietojen säilyttäminen yksittäisostoksen verkkokaupasta tekemisen yhteydessä
Rekisterinpitäjä
Verkkokauppa.com Oyj
1. Asiassa on kyse Verkkokauppa Oyj:n käytännöstä, joka edellyttää verkko-ostoksia pankkikortilla tehtäessä asiakastilin luomista. Tietosuojavaltuutetun toimisto on ottanut asian tutkittavaksi 13.4.2021.
2. Asiaan liittyvä kantelu on tullut vireille tietosuojavaltuutetun toimistossa 10.12.2020. Vireillesaattaja on ilmoituksessaan kertonut, että verkkokauppaostosten tekeminen edellytti rekisteröitymistä ja salasanojen luomista, jotta ostaminen pankkikortilla olisi mahdollista. Vireillesaattaja ei halunnut rekisteröityä ja luoda salasanoja.
3. Asian vireillesaattaja ei ole asiassa hallintolain (434/2003) 11 §:n mukainen asianosainen, koska asiassa annettava päätös ei tule koskemaan vireillesaattajan oikeutta, etua tai velvollisuutta. Päätös annetaan kuitenkin tiedoksi vireillesaattajalle.
Tietosuojavaltuutetun päätös sisäänrakennettua ja oletusarvoista tietosuojaa ja henkilötietojen säilytysajan rajoittamista koskevassa asiassa
Rekisterinpitäjältä saatu selvitys
Selvityspyyntö 13.4.2021
4. Tietosuojavaltuutetun toimisto on pyytänyt Verkkokauppa.com Oyj:ltä selvitystä asiassa 13.4.2021 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 26.4.2021.
4. Tietosuojavaltuutetun toimisto on pyytänyt Verkkokauppa.com Oyj:ltä selvitystä asiassa 13.4.2021 päivätyllä selvityspyynnöllä. Rekisterinpitäjä on antanut asiassa kirjallisen selvityksen 26.4.2021.
5. Rekisterinpitäjä perustelee selvityksessään käytäntöään sillä, että se voi rekisteröitymisen kautta syntyvän asiakastilin avulla luotettavasti tunnistaa rekisteröidyn ja ylläpitää osoitusvelvollisuuttaan. Rekisterinpitäjän mukaan asiakastili mahdollistaa myös rekisteröidyn oikeuksien toteuttamisen, sillä rekisteröity voi suoraan tilinhallinnassa käyttää esimerkiksi tarkastus- ja korjausoikeuttaan sekä hallinnoida suoramarkkinointisuostumusta. Rekisterinpitäjä toteaa selvityksessään, että asiakastilin henkilötietojen käsittely perustuu rekisteröidyn ja rekisterinpitäjän väliseen sopimukseen.
6. Rekisterinpitäjän selvityksen mukaan palvelun toteuttamiseksi välttämättömiä tietoja, kuten nimi, sähköpostiosoite ja puhelinnumero, säilytetään siihen asti kun tili suljetaan rekisteröidyn pyynnöstä. Asiakastilin luominen ei rekisterinpitäjän mukaan edellytä osoitetiedon antamista, vaan toimitusosoite pyydetään vasta ensimmäisen tilauksen yhteydessä. Asiakastilin voi sulkea olemalla yhteydessä asiakaspalveluun. Rekisterinpitäjä esittää selvityksessään, että lakisääteiset velvoitteet voivat edellyttää joidenkin tietojen säilyttämistä myös tämän jälkeen.
Kuuleminen ja lisäselvityspyyntö 7.7.2022
7. Tietosuojavaltuutetun toimisto on lähettänyt Verkkokauppa.com Oyj:lle kuulemis- ja lisäselvityspyynnön 7.7.2022. Tietosuojavaltuutetun toimisto on varannut Verkkokauppa.com Oyj:lle tilaisuuden tulla kuulluksi asiassa esitetyistä tosiseikoista ja asiaa koskevasta alustavasta arviosta. Lisäksi tietosuojavaltuutetun toimisto on varannut Verkkokauppa.com Oyj:lle tilaisuuden tulla kuulluksi asiassa mahdollisesti määrättävästä seuraamuksesta sekä mahdollisuuden toimittaa muuta mahdollista dokumentaatiota, jolla sen näkemyksen mukaan on merkitystä asian ratkaisussa. Verkkokauppa.com Oyj on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 2.9.2022.
8. Rekisterinpitäjä esittää vastauksessaan, että yleinen tietosuoja-asetus tai muukaan tietosuojasääntely ei nimenomaisesti tai implisiittisesti velvoita elinkeinonharjoittajaa tarjoamaan potentiaalisille asiakkaille mahdollisuutta asioida verkkokaupassa rekisteröitymättä, vaan rekisteröitymisen edellyttäminen tai edellyttämättä jättäminen on elinkeinonharjoittajan liiketoiminnallinen päätös, jonka tekeminen on elinkeinonharjoittajan elinkeinovapauden piiriin kuuluva oikeus. Rekisterinpitäjä katsoo, että sillä on elinkeinovapauteensa perustuen ollut oikeus valita verkkokaupassaan konsepti, jossa asiakkaan tulee rekisteröityä verkkokaupan asiakkaaksi verkkokauppa-alustan kaikkia toiminnallisuuksia käyttääkseen. Rekisterinpitäjä on perustellut tällä asiakastilin ja rekisteröitymisen edellyttämistä yksittäisten verkko-ostosten yhteydessä.
9. Rekisterinpitäjä toteaa vastauksessaan lisäksi, että asiakkaiden henkilötietojen käsittely on välttämätöntä palvelukokonaisuuden tarjoamiseksi ja sopimuksen täyttämiseksi. Rekisterinpitäjä esittää, että verkkokauppa voi sinänsä teknisesti mahdollistaa kulutushyödykkeiden tilaamisen ilman, että asiakas itse rekisteröityy ja luo tilin myyjän tietojärjestelmiin. Tällöinkin verkkokauppa-alustan taustajärjestelmässä syntyy kuitenkin tili, johon tiedot asiointitapahtumasta kirjautuvat. Niin ikään myymälöistä kulutushyödykkeitä ostettaessa tilaukset kirjautuvat kunkin myymälän omalle tilille. Ilman kirjautumista ja asiakastilin luomista tapahtuvan verkkokauppa-asioinnin mahdollistamiseksi kerätyt ja käsitellyt tiedot ovat rekisterinpitäjän mukaan hyvin pitkälti samat kuin tilanteessa, jossa asiakas itse aktivoi käyttäjätilin ja tekee ostoksensa käyttäjätilille kirjautuneena. Rekisterinpitäjän mukaan ainoa käytännön ero on se, että jälkimmäisessä tilanteessa asiakas itse voi halutessaan kirjautua luomalleen tilille ja tarkastella kootusti osto- muita asiakastietojaan.
10. Rekisterinpitäjä esittää vastauksessaan, että se on valinnut näistä edellä kuvatuista vaihtoehdoista liiketoimintamallin, jossa ostosten tekeminen verkkokaupassa edellyttää rekisteröitymistä ja asiakastilin luomista. Rekisterinpitäjän mukaan yleisen tietosuoja-asetuksen lähtökohta on, että oikeus henkilötietojen suojaan ei ole absoluuttinen, vaan sitä on tarkasteltava suhteessa sen tehtävään yhteiskunnassa, ja sen on suhteellisuusperiaatteen mukaisesti oltava oikeassa suhteessa muihin Euroopan perusoikeuskirjassa tunnustettuihin perusoikeuksiin, mukaan lukien elinkeinovapauteen. Rekisterinpitäjä esittää, että elinkeinonharjoittajan vapaus määritellä liiketoimintamallinsa kuuluu perusoikeuskirjan 16 artiklassa ja perustuslain (731/1999) 18 §:ssä säädetyn elinkeinovapauden piiriin. Yleisen tietosuoja-asetuksen tai muunkaan tietosuojasääntelyn ei siten voida rekisterinpitäjän näkemyksen mukaan automaattisesti katsoa rajoittavan rekisterinpitäjän oikeutta valita liiketoimintamalliaan, kunhan valitun liiketoimintamallin toimeenpanon yhteydessä toteutettu henkilötietojen käsittely tapahtuu yleisen tietosuoja-asetuksen ja muun tietosuojasääntelyn puitteissa.
11. Rekisterinpitäjä esittää vastauksessaan, ettei yleispäätelmää siitä, etteivät asiakkaat haluaisi asiakastiliä, voida tehdä. Tätä ei muuta se seikka, että vireillesaattaja ei ole halunnut asiakastiliä. Rekisterinpitäjän näkemyksen mukaan myöskään tietosuojasääntely ei johda tähän päätelmään, eikä tietosuojasääntely edellytä, että elinkeinonharjoittajan tulisi liiketoimintamallistaan päättäessään huomioida yksittäisten rekisteröityjen toiveet tai tahtotila. Verkkokauppa.com Oyj:n kivijalkamyymälöissä asiointi ja ostosten tekeminen on mahdollista ilman asiakkaaksi rekisteröitymistä.
12. Säilytysajan rajoittamisen osalta rekisterinpitäjä esittää, että yleinen tietosuoja-asetus ei edellytä säilytysajan olevan ”mahdollisimman lyhyt”, vaan ”niin kauan kuin on tarpeen” käsittelyn tarkoituksen kannalta. Rekisterinpitäjän mukaan rekisteröityminen perustaa asiakassuhteen, jonka pituuden asiakas itse määrittelee. Rekisterinpitäjän mukaan olisi kestämätöntä, jos se määrittelisi asiakkaidensa puolesta, kuinka pitkään henkilö on Verkkokauppa.com Oyj:n asiakas sen jälkeen, kun asiakkuus on syntynyt ja asiakastili luotu.
13. Rekisterinpitäjä toteaa, että se myy myös hyvin pitkäikäisiä laitteita, joissa voi olla hyvin pitkiä takuu- ja/tai virhevastuuaikoja. Rekisterinpitäjä toteaa edelleen, että Suomessa myyjän virhevastuun ajallista ulottuvuutta ei ole laissa rajattu. Kuluttajalle myydyn tavaran on kestettävä ajan, jota kuluttaja voi kyseessä olevan tavaran osalta yleensä perustellusti olettaa. Pitkäikäisiksi miellettyjen tai markkinoitujen laitteiden kohdalla väitteen tavaran riittämättömästä tavanomaisesta käyttöiästä voi esittää vielä huomattavan pitkän ajanjakson jälkeen siitä, kun laite on kuluttajalle myyty. Verkkokaupasta ostetuille televisioille, tietokoneille, tableteille ja kameroille Verkkokauppa.com Oyj tarjoaa lisäksi kolmen vuoden takuun. Rekisterinpitäjä toteaa, että Verkkokauppa.com Oyj:n virhevastuu ei välttämättä pääty kyseisen kolmen vuoden takuuajan päättyessä, vaan myyjän antamasta takuusta huolimatta virhevastuu määräytyy aina pakottavan kuluttajansuojasääntelyn perusteella. Rekisterinpitäjän mukaan kodinelektroniikkalaitteiden pitkäikäisyyden vuoksi Verkkokauppa.com Oyj:n asiakkaiden asiointiväli voi tosiasiassa myös olla huomattavan pitkä.
14. Rekisterinpitäjän näkemyksen mukaan on hyvää asiakaspalvelua ja asiakkaan edun mukaista, että rekisteröityneellä asiakkaalla on asiakastilinsä kautta pääsy verkko-ostoksiaan koskeviin tietoihin ja kuitteihin koko asiakkuutensa ajan. Rekisteröityminen asettaa myös kuluttajalle odotuksia siitä, että Verkkokauppa.com Oyj säilyttää asiakkaan puolesta verkko-ostoksiin liittyvät tositteet niin pitkään, kun asiakas voi niitä tarvita takuuseen tai virhevastuuseen liittyvien tai muiden oikeuksiensa käyttämiseksi taikka muihin tarkoituksiin. Esimerkiksi nykyisinä etätyöaikoina asiakas voi myös hankkia tiettyä kodinelektroniikkaa kotitoimistonsa tarpeistoksi, jolloin hankinnat voi vähentää verotuksessa. Rekisterinpitäjän mukaan kuitteja ja tositteita ei ole tarpeen toimittaa Verohallinnolle verovähennysten ilmoittamisen yhteydessä, mutta verottaja voi pyytää verovelvollista toimittamaan kuitteja tai tositteita myöhemmin. Rekisterinpitäjä jatkaa, että Verohallinto edellyttääkin että verovelvollinen säilyttää verotuksen tositteitaan kuuden vuoden ajan verovuoden päättymisestä.
15. Rekisterinpitäjä kertoo selvityksessään, että se ei säilytä kaikkia asiakaan tilillä olevia tietoja koko asiakkuuden keston ajan, vaan asiakkuuden keston ajan säilytetään perustiedot (nimi, sähköpostiosoite ja puhelinnumero) ja mahdolliset tilauksia koskevat tiedot. Sen sijaan sellaisia tietoja, joiden pitkäaikaisen säilyttämisen Verkkokauppa.com Oyj ei katso tuovan asiakkaalle lisäarvoa, kuten erinäiset loki- ja kirjautumistiedot, K-18 tuotteissa vaadittu syntymäaika, varmuuskopiot, analytiikkatiedot sekä luotonarviointiin käytetyt tiedot, poistetaan säännöllisesti. Näille henkilötiedoille rekisterinpitäjä kertoo määritelleensä säilytysajat.
16. Rekisterinpitäjän mukaan asiakastilin luomisen edellyttäminen verkko-ostosten tekemiseksi ei myöskään riko oletusarvoista tietosuojaa koskevaa vaatimusta, sillä menettely ei johda käsittelyn tarkoituksen kannalta tarpeettomien tietojen keräämiseen ja käsittelyyn.
17. Asiakastilin tietojen poistamisesta rekisterinpitäjä kertoo seuraavasti: Kun asiakas pyytää henkilötietojensa poistamista, asiakastili suljetaan. Asiakasitilin sulkemisesta käynnistyy asiakastietojen poistomenettely. Kaikki asiakasta koskevat tiedot poistetaan tai anonymisoidaan 30 päivän sisällä, jos asiakkaalla ei ole ollut tilillään yhtään tilausta. Jos asiakkaan tilillä on tilauksia, tilauksia koskevat tiedot irtautetaan asiakastilistä erikseen edelleen säilytettäviksi ja kaikki tilauksissa olevat henkilötiedot anonymisoidaan lakisääteisten velvollisuuksien päätyttyä. Tilauksia koskevia tietoja Verkkokauppa.com Oyj on velvoitettu säilyttämään kirjanpitolain (1336/1997) 2 luvun 10 §:n mukaisen kirjanpitoaineiston säilytysaikaa koskevan velvollisuuden mukaisesti. Tilauksia koskevia tietoja Verkkokauppa.com Oyj ei voi poistaa kokonaan, sillä poisto vaikuttaisi talouslaskentaan ja lakiin perustuvat velvoitteitteet edellyttävät tietojen säilyttämistä. Näin ollen Verkkokauppa.com Oyj säilyttää tilauksia koskevia tietoja (ilman tilauksiin liittyneitä henkilötietoja) kirjanpitolainsäädännön mukaisesti riippumatta siitä, onko asiakas poistanut tilinsä tai käyttänyt yleisen tietosuoja-asetuksen mukaista oikeuttaan saada tietonsa poistetuksi. Jos asiakas tekee myöhemmin ostoksen verkkokaupasta ja rekisteröityy uudelleen, hänelle luodaan uusi asiakastili.
Täydentävä kuuleminen ja lisäselvityspyyntö 22.11.2023
18. Tietosuojavaltuutetun toimisto on lähettänyt Verkkokauppa.com Oyj:lle täydentävän kuulemis- ja lisäselvityspyynnön 22.11.2023. Verkkokauppa.com Oyj on toimittanut vastauksensa tietosuojavaltuutetun toimistolle 21.12.2023.
19. Rekisterinpitäjä esittää kuulemisvastauksessaan, että mikäli se sallisi asiakkaidensa tekevän ostoksia verkkokaupassaan ilman rekisteröitymistä, se joutuisi keräämään ja tallentamaan tilauksen tekemiseen ja toimittamiseen vaadittuja henkilötietoja tilauskohtaisesti, mikä ei ole tietoturvan kannalta asianmukaista eikä tietojen minimointia koskevan periaatteen mukaista.
20. Rekisterinpitäjän mukaan rekisteröityminen perustaa Verkkokauppa.comin ja asiakkaan välille asiakkuuden, joka mahdollistaa Verkkokauppa.comin verkkokauppa-alustan ja sen kaikkien toiminnallisuuksien käytön. Sopimussuhde on voimassa toistaiseksi, jolloin sen pituuden määrittelee asiakas itse.
21. Rekisterinpitäjä toteaa selvityksessään, että se ei säilytä kaikkia asiakaan tilillä olevia tietoja asiakkuuden koko keston ajan. Rekisterinpitäjä kertoo säilyttävänsä asiakkuuden koko keston ajan asiakkaan asiakkuuden ylläpitämiseksi tarvittavat asiakkaan perustiedot (nimi, sähköpostiosoite ja puhelinnumero), sekä mikäli tilauksia on tehty, tilauksia koskevat tiedot sekä asiakkaan aktiivisen osoitetiedon.
22. Rekisterinpitäjä esittää, että se että henkilötietojen säilytysajan määrittelee asiakas, ei tarkoita, etteikö säilytysaikaa olisi määritelty ollenkaan tai etteikö säilytysajan määräytymiselle olisi määritelty kriteeriä tietosuoja-asetuksessa edellytetyllä tavoin. Rekisterinpitäjä toteaa määritelleensä säilytysajan määräytymisen kriteeriksi asiakkaan asiakkuuden keston. Henkilötietojen säilytysaika on sen mittainen kuin asiakas itse haluaa.
23. Rekisterinpitäjä esittää selvityksessään, että verkkokauppa-asiakas itse määrittelee asiakkuuden ylläpitämiseksi tarvittavien perustietojensa sekä mahdollisia tilauksia koskevien henkilötietojensa säilytysajan, ja suljetuille asiakastileille on luotu automatisoitu poistoprosessi. Rekisterinpitäjä ei näin ollen katso jättäneensä toteuttamatta asianmukaisia teknisiä ja organisatorisia keinoja oletusarvoisen tietosuojan toteutumisen varmistamiseksi.
24. Rekisterinpitäjä ei muutoinkaan katso, että sen säilytysaikakäytäntö olisi vastoin oletusarvoisen tietosuojan vaatimusta (yleisen tietosuoja-asetuksen 25(2) artikla). Rekisterinpitäjä ei näkemyksensä mukaan käsittele verkkokauppa-asiakkaistaan mitään sellaisia tietoja, jotka eivät ole tarpeellisia sen määrittelemiä käsittelytarkoituksia varten.
25. Rekisterinpitäjä kertoo, että se on parhaillaan toteuttamassa passiivisten asiakastilien automaattista poistomekanismia. Toiminnon valmistuttua Verkkokauppa.com tulee jatkossa lähettämään automaattisen sähköpostitiedotteen jokaiselle asiakkaalle, joka on ollut kirjautumatta asiakastililleen yli kuusi vuotta. Sähköpostitiedotteita lähetetään samalle henkilölle useita ennen kuin tili poistetaan. Tili poistetaan, ellei asiakas ryhdy toimiin tilin ylläpitämiseksi.
26. Poistoprosessin käynnistäväksi inaktiivisuusajaksi on valittu kuusi vuotta, koska kyseisen ajanjakson sisään mahtuu suurin osa Verkkokauppa.comin takuu- ja virhevastuuajoista sekä muihin Verkkokauppa.comin lakisääteisiin velvoitteisiin perustuvat säilytysajat. Rekisterinpitäjän arvion mukaan toiminto on tulossa julki vuoden 2024 ensimmäisellä neljänneksellä.
27. Rekisterinpitäjän mukaan pääsääntöisesti verkkokauppa-asiakas rekisteröityy asiakkaaksi tehdessään ensimmäisen verkkokauppaostoksensa Verkkokauppa.comin verkkokaupassa. Samassa yhteydessä asiakas myös hyväksyy Verkkokauppa.comin sopimusehdot sekä vahvistaa tutustuneensa tietosuojaselosteeseen, jossa kuvataan henkilötietojen käsittely. Verkkokauppatilausta koskevaa sopimusta ei rekisterinpitäjän mukaan voida erottaa verkkokauppa-asiakkaaksi rekisteröitymistä koskevasta sopimuksesta. Yksittäinen verkkokauppatilauksen tekeminen tapahtuu sopimusasiakkuuden sisällä ja sille alisteisena, myös henkilötietojen käsittelyn osalta.
28. Rekisterinpitäjän mukaan kaikki Verkkokauppa.comin tietosuojaselosteessa kuvattu henkilötietojen käsittely ei perustu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdassa tarkoitettuun sopimuksen täytäntöönpanoa koskevaan käsittelyperusteeseen, vaan tietyissä tilanteissa myös rekisterinpitäjän oikeutettuun etuun (esimerkiksi asiakkuuteen tai tilaukseen liittyvien informointiviestien tai tuotearvostelupyyntöjen lähettäminen), rekisteröidyn suostumukseen (esimerkiksi viikkokirjeen tilaus ja sähköinen suoramarkkinointi) tai rekisterinpitäjän laista johtuvaan velvollisuuteen (esimerkiksi kirjanpitolaista johtuvat velvollisuudet).
Kilpailu- ja kuluttajaviraston lausunto 10.3.2023
29. Tietosuojavaltuutetun toimisto on pyytänyt Kilpailu- ja kuluttajavirastoa lausumaan rekisteröitymisen edellyttämisestä verkkokauppatoiminnassa. Kilpailu- ja kuluttajavirasto on antanut lausuntonsa 10.3.2023.
30. Kilpailu- ja kuluttajavirasto toteaa lausunnossaan, että asia liittyy keskeisesti yleisen tietosuoja-asetuksen alaan. Kilpailu- ja kuluttajavirasto toteaa edelleen, että kuluttaja-asiamies ei ota kantaa yleisen tietosuoja-asetuksen noudattamiseen tai soveltamiseen.
31. Kilpailu- ja kuluttajaviraston lausunto on toimitettu tiedoksi rekisterinpitäjälle 22.11.2023.
Taustatietoja
Palvelunkuvaus
32. Verkkokauppa.com Oyj myy tietotekniikkaa, viihde-elektroniikkaa, lelu-, peli-, urheilu-, lemmikki- ja lastenhoitotuotteita sekä asennuspalveluita www.verkkokauppa.com -verkko-osoitteessa ylläpidetyssä verkkokaupassa sekä kivijalkamyymälöissä. Verkkokauppa.com Oyj:n päätoimialana on tietokoneiden, niiden oheislaitteiden ja ohjelmistojen vähittäiskauppa.
Liikevaihto
33. Verkkokauppa.com Oyj:ltä 2.11.2023 saadun tiedon mukaan Verkkokauppa.com Oyj:n liikevaihto vuodelta 2022 on 543 100 000 euroa (Verkkokauppa.com Oyj:n tietosuojavaltuutetun toimistolle 2.11.2023 toimittama tilinpäätös 2022).
34. Aktiivisia asiakastilejä on 1 977 854 kappaletta (rekisterinpitäjän 2.9.2022 antama selvitys. Selvityksen mukaan rekisterinpitäjä käsittelee 2 316 100 rekisteröidyn tietoja. Luku sisältää asiakkaat, joilla on asiakastili, sekä rekisteröidyt, jotka ovat tilanneet vain uutiskirjeen.).
Sovellettavasta lainsäädännöstä
35. Asiassa sovelletaan Euroopan parlamentin ja neuvoston yleistä tietosuoja-asetusta (EU) 2016/679 (tietosuoja-asetus) sekä täsmentävää kansallista tietosuojalakia (1050/2018).
36. Yleisen tietosuoja-asetuksen 5(1)(a) artiklassa säädetään lainmukaisuuden periaatteesta. Artiklan mukaan henkilötietoja on käsiteltävä lainmukaisesti.
37. Yleisen tietosuoja-asetuksen 5(1)(b) artiklassa säädetään käyttötarkoitussidonnaisuuden periaatteesta. Artiklan mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.
38. Yleisen tietosuoja-asetuksen 5(1)(c) artiklassa säädetään tietojen minimointiperiaatteesta. Artiklan mukaan henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään.
39. Yleisen tietosuoja-asetuksen 5(1)(e) artiklassa säädetään säilytyksen rajoittamisperiaatteesta. Artiklan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että yleisessä tietosuoja-asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi.
40. Yleisen tietosuoja-asetuksen 6 artiklassa säädetään käsittelyn lainmukaisuudesta. 6 artiklan 1 kohdan b alakohdan mukaan käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
41. Yleisen tietosuoja-asetuksen 13 artiklassa säädetään toimitettavista tiedoista, kun henkilötietoja kerätään rekisteröidyltä. Artiklan 2 kohdan a alakohdan mukaan rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle tieto henkilötietojen säilytysajasta, tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit.
42. Yleisen tietosuoja-asetuksen 25 artiklassa säädetään sisäänrakennetusta ja oletusarvoisesta tietosuojasta. Artiklan 1 kohdan mukaan ottaen huomioon uusimman tekniikan ja toteuttamiskustannukset sekä käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset sekä käsittelyn aiheuttamat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit luonnollisten henkilöiden oikeuksille ja vapauksille rekisterinpitäjän on käsittelytapojen määrittämisen ja itse käsittelyn yhteydessä toteutettava tehokkaasti tietosuojaperiaatteiden, kuten tietojen minimoinnin, täytäntöönpanoa varten asianmukaiset tekniset ja organisatoriset toimenpiteet, kuten tietojen pseudonymisointi ja tarvittavat suojatoimet, jotta ne saataisiin sisällytettyä käsittelyn osaksi ja jotta käsittely vastaisi yleisen tietosuoja-asetuksen vaatimuksia ja rekisteröityjen oikeuksia suojattaisiin. Yleisen tietosuoja-asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa.
Oikeudellinen kysymys
43. Tietosuojavaltuutettu arvioi ja ratkaisee asian edellä mainitusti yleisen tietosuoja-asetuksen (EU) 2016/679 ja tietosuojalain (1050/2018) pohjalta.
Tietosuojavaltuutetun tulee ratkaista:
1) Onko rekisterinpitäjän toimintatapa, joka on edellyttänyt asiakkaaksi rekisteröitymistä yksittäisostoksen tekemiseksi verkkokaupassa ollut yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklojen mukainen
2) Onko rekisterinpitäjä käsitellyt henkilötietoja yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklojen mukaisesti säilyttäessään yksittäisostoksia tehneiden rekisteröityjen asiakastileille kerättyjä tietoja määräämättömän ajan, ellei rekisteröity ole huomannut pyytää erikseen tietojensa poistamista
Tietosuojavaltuutettu ei tässä päätöksessä arvioi rekisterinpitäjän henkilötietojen käsittelyä muilta osin.
Tietosuojavaltuutetun päätös
44. Rekisterinpitäjän toimintatapa, joka on edellyttänyt asiakkaaksi rekisteröitymistä yksittäisostoksen tekemiseksi verkkokaupassa, ei ole ollut yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklojen mukainen. Menettely on johtanut siihen, että myös yksittäisostosten tekijöiden tietoja on säilytetty pidempään kuin kertaostoksen toteuttaminen olisi edellyttänyt.
45. Rekisterinpitäjä ei ole määritellyt asiakastileille keräämilleen verkkokauppa-asiakkaiden henkilötiedoille säilytysaikoja yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklojen edellyttämällä tavoin. Rekisterinpitäjä on säilyttänyt sanottuja henkilötietoja määräämättömän ajan, ellei rekisteröity ole pyytänyt tietojensa poistamista.
46. Rekisterinpitäjälle annetaan yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukainen määräys saattaa käsittelytoimet kohdissa 44 ja 45 todettujen rikkomisten osalta tietosuojasääntelyn mukaisiksi. Tämän määräyksen nojalla rekisterinpitäjän tulee määritellä verkkokauppa-asiakkaiden henkilötiedoille yleisen tietosuoja-asetuksen edellytykset täyttävä säilytysaika sekä huolehtia siitä, että se muuttaa kohdassa 44 tarkoitettua toimintatapaansa. Rekisterinpitäjän tulee lisäksi poistaa tai anonymisoida yleisen tietosuoja-asetuksen edellytykset täyttäviä säilytysaikoja vanhemmat verkkokauppa-asiakkaiden henkilötiedot ilman aiheetonta viivästystä.
47. Rekisterinpitäjälle annetaan edellä kohdissa 44 ja 45 todetun menettelyn osalta yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukainen huomautus yleisen tietosuoja-asetuksen 5(1)(e) artiklan ja 25(2) artiklan rikkomisesta.
Hallinnollinen seuraamusmaksu
48. Tietosuojalain 24 §:n mukaan yleisen tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Seuraamusmaksua koskeva asia annetaan seuraamuskollegion ratkaistavaksi. Seuraamuskollegion on näin ollen arvioitava, onko rekisterinpitäjälle määrättävä yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan mukainen hallinnollinen seuraamusmaksu tietosuojavaltuutetun antamien huomautuksen ja määräyksen lisäksi.
49. Asiaa ei saateta seuraamuskollegion arvioitavaksi siltä osin kuin kyse on rekisteröitymisen edellyttämisestä yksittäisostoksen tekemiseksi verkkokaupassa, eli niin kutsutusta pakkorekisteröitymisestä. Vastaisuudessa tällaisesta menettelystä voidaan määrätä hallinnollinen seuraamusmaksu.
Päätöksen perustelut
50. Nyt arvioitavana olevassa asiassa rekisterinpitäjä on edellyttänyt, että yksittäistä ostosta tekevä verkkokauppa-asiakas rekisteröityy Verkkokauppa.comin asiakkaaksi, eli käytännössä luo itselleen asiakastilin. Rekisterinpitäjän verkkokaupassa asiointi edellyttää siten aina asiakastilin luomista riippumatta siitä, haluaako asiakas rekisteröityä rekisterinpitäjän asiakkaaksi.
51. Rekisterinpitäjä säilyttää asiakastilin tietoja, kuten asiakkaan yksittäisiä ostokertoja koskevia tietoja, lähtökohtaisesti siihen asti kun tili suljetaan asiakkaan erillisestä pyynnöstä. Tietojen kerryttämisen päättyminen ja tietojen poistaminen edellyttää siten, että rekisteröity tekee yleisen tietosuoja-asetuksen 17 artiklan mukaisen henkilötietojen poistopyynnön. Rekisterinpitäjän toimintatapa siirtää myös vastuuta henkilötietojen suojaamisesta rekisteröidylle. (Riskinhallinta on keskeinen rekisterinpitäjälle kuuluva tehtävä. Henkilötietojen säilyttämiseen liittyvät riskit kasvavat, kun henkilötietoja säilytetään julkisen verkon kautta saatavilla).
52. Nyt arvioitavassa asiassa on kyse sanotulle asiakastilille kerättävien henkilötietojen säilyttämisen lainmukaisuudesta, eli siitä, onko yleisen tietosuoja-asetuksen mukaista asettaa yksittäisen ostotapahtuman edellytykseksi asiakastilin luominen ja henkilötietojen käsittely, ml. säilyttäminen, johon sanotun tilin luominen johtaa. Tässä asiassa on lisäksi kyse siitä, onko yleisen tietosuoja-asetuksen mukaista säilyttää asiakastilin kautta kerättäviä henkilötietoja siihen asti kun rekisteröity mahdollisesti pyytää henkilötietojensa poistamista. Käytännössä tämä voi tarkoittaa, että henkilötietoja säilytetään yksittäisestä ostotapahtumasta jopa kymmeniä vuosia.
53. Yleisen tietosuoja-asetuksen 5(1)(e) artiklan mukainen säilytyksen rajoittamisen periaate edellyttää, että henkilötietoja säilytetään muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Käsittelyn tarkoitus on näin ollen keskeinen edellytys, kun määritetään, kuinka kauan henkilötietoja voidaan säilyttää (Ks. tästä myös Euroopan tietosuojaneuvoston lausunto: EDPB Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta Versio 2.0, annettu 20. lokakuuta 2020, kohta 80. Laintulkinnassa on myös huomioitava tietosuojasääntelyn tavoite varmistaa henkilötietojen korkeatasoinen suoja (ks. esim. asia C-414/16, ratkaisun kohta 44). Silloin, kun unionin oikeuden säännöstä voidaan tulkita usealla tavalla, etusija on annettava tulkinnalle, jolla voidaan varmistaa säännöksen tehokas vaikutus (ks. esim. asia C‑31/17, ratkaisun kohta 41, sekä asia C-154/21, ratkaisun kohta 29). Rekisterinpitäjän on lisäksi pystyttävä perustelemaan, miksi säilytysaika on tarpeen kyseessä olevia henkilötietoja ja niiden käsittelyn tarkoitusta varten (rajoitettaessa yksityisyyttä ja henkilötietojen suojaa koskevien oikeuksien harjoittamista millään tavalla edellytetään tiukkaa tarpeellisuuskoetta, ks. esim. EDPB Ohjeet 2/2019 yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan perusteella tapahtuvasta henkilötietojen käsittelystä rekisteröidyille tarjottavien verkkopalvelujen yhteydessä, Versio 2.0, 8. lokakuuta 2019, erityisesti alaviite 19, sekä Euroopan tietosuojavaltuutetun ohjeistus Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit, 11 April 2017, s. 7. Tarpeellisuuden käsitteessä on kyse yhteisön oikeuden itsenäisestä käsitteestä, jota on tulkittava siten, että se vastaa täysimääräisesti tietosuojasääntelyn tavoitetta, ks. esim. Euroopan yhteisöjen tuomioistuimen ratkaisu asiassa C‑524/06, kohta. 52.). Rekisterinpitäjän on myös kyettävä esittämään säilytysajan syyt ja lailliset perusteet (ks. myös Euroopan tietosuojaneuvoston lausunto: EDPB Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta Versio 2.0, annettu 20. lokakuuta 2020, kohta 82.). Henkilötietojen säilytysajan tulee niin ikään olla mahdollisimman lyhyt (ks. yleisen tietosuoja-asetuksen johdantokappale 39), ja henkilötiedoille tulee lähtökohtaisesti määritellä säilytysaika, josta rekisteröityjä tulee myös informoida (ks. yleisen tietosuoja-asetuksen 13(2)(a) artikla).
54. Säilytyksen rajoittamisperiaate on osa yleisen tietosuoja-asetuksen lähtökohtana olevaa sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusta (yleisen tietosuoja-asetuksen 25 artikla), jota noudattaakseen rekisterinpitäjän tulee rakentaa järjestelmänsä ja menettelynsä siten, että tietosuoja on otettu asianmukaisesti huomioon alusta alkaen. Sisäänrakennetun ja oletusarvoisen tietosuojan toteutuminen edellyttää, että rekisterinpitäjä panee tietosuojaperiaatteet, kuten säilytyksen rajoittamisperiaatteen, täytäntöön tehokkaasti ja että säilytysajan osalta varmistetaan, että tämä käsittely kohdistuu vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisiin henkilötietoihin.
55. Todettakoon, että yleisen tietosuoja-asetuksen 5(1)(c) artiklan mukainen tietojen minimointiperiaate edellyttää niin ikään, että rekisterinpitäjä varmistaa että henkilötietoja säilytetään sellaisessa muodossa, jonka avulla rekisteröityjen tunnistaminen on mahdollista, vain sen aikaa kuin on tarpeen niiden tarkoitusten kannalta, joita varten henkilötietoja käsitellään (ks. tarkemmin Euroopan tietosuojaneuvoston lausunto: EDPB Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta Versio 2.0, annettu 20. lokakuuta 2020, kohta 80).
Asiakkaalta edellytetyn rekisteröitymisen yhteydessä kerättyjen henkilötietojen säilyttäminen
56. Tässä tapauksessa rekisterinpitäjä on edellyttänyt verkkokauppa-asiakkaita luomaan itselleen asiakastilin myös tilanteissa, joissa on ollut kyse kertaluonteisesta ostoksesta. Yksittäisiä ostoksia ei ole ollut mahdollista tehdä rekisterinpitäjän verkkokaupassa ilman asiakastilin luomista. Tällöin henkilötietojen säilytysajasta muodostuu pidempi kuin yksittäisen verkkokauppatilauksen käsittelemiseksi olisi yleisen tietosuoja-asetuksen säännösten mukaan perusteltua.
57. Rekisterinpitäjä on esittänyt tietosuojavaltuutetun kuulemispyyntöön antamassaan vastauksessa, että tietosuojasääntely ei nimenomaisesti tai implisiittisesti velvoita elinkeinonharjoittajaa tarjoamaan potentiaalisille asiakkaille mahdollisuutta asioida verkkokaupassa rekisteröitymättä.
58. Pitää sinänsä paikkansa, että yleisessä tietosuoja-asetuksessa tai muussakaan tietosuojaa koskevassa sääntelyssä ei ole nimenomaisia säännöksiä ostotapahtuman yhteydessä tapahtuvasta rekisteröinnistä. Yleisessä tietosuoja-asetuksessa on kuitenkin varsin yksiselitteisesti säädetty henkilötietojen keräämisestä ja säilyttämisestä. Tietosuojavaltuutetun käsityksen mukaan riidatonta on, että elinkeinonharjoittajan liiketoimintamallin tulee täyttää yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklojen edellytykset.
59. Asian arvioinnissa on kiinnitettävä huomiota siihen, että rekisterinpitäjä on käsitellyt henkilötietoja verkkokauppaostamisen toteuttamistarkoituksessa. Henkilötietoja tulee tällaisessa tilanteessa käsitellä siten ainoastaan siinä laajuudessa, mitä ostetun tuotteen kaupan toteuttaminen edellyttää. On huomattava, että yleisen tietosuoja-asetuksen 25(2) artiklan mukainen vaatimus tietojen käsittelyn rajoittamisesta tarpeelliseen koskee nimenomaisesti sekä henkilötietojen käsittelyn laajuutta että säilytysaikaa. Yksittäisiin verkkokauppaostoksiin liittyvä henkilötietojen käsittely ei edellytä, että rekisteröidylle luodaan tässä asiassa tarkoitettu asiakastili, joka johtaa henkilötietojen säilyttämiseen pidempään kuin yksittäinen ostotapahtuma edellyttäisi.
60. Tietosuojavaltuutettu kiinnittää huomiota siihen, että tässä päätöksessä tarkastellussa menettelyssä asiakkaat, eli rekisteröidyt eivät ole voineet tehdä aktiivisesti valintaa asiakastilin luomisesta. Tietosuojavaltuutettu kiinnittää tämän osalta rekisterinpitäjän huomiota siihen, että sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusten täyttymiseksi rekisteröidyille tulisi pyrkiä antamaan mahdollisimman laaja mahdollisuus päättää heidän omien henkilötietojensa käsittelystä (ks. esim. Euroopan tietosuojaneuvoston (EDPB) Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, versio 2.0, annettu 20. lokakuuta 2020, kohta 70.). Asiakkaaksi rekisteröitymisen edellyttäminen ja tähän liittyvä henkilötietojen käsittely, erityisesti käsittelyn keston pitkittyminen verrattuna siihen, mikä olisi verkkokauppaostoksen tekemiseksi tarpeellista, eivät ole yhteensovitettavissa tämän lähtökohdan kanssa.
61. Mikäli rekisteröity ei ole esittänyt rekisterinpitäjälle yleisen tietosuoja-asetuksen 17 artiklan mukaista henkilötietojen poistopyyntöä, rekisterinpitäjä on jatkanut henkilötietojen kerryttämistä ja säilyttämistä rekisteröidylle luodun asiakkuuden nojalla. Tietosuojavaltuutettu korostaa, että henkilötietojen käsittely ei ole edellä kuvatussa laajuudessa yleisen tietosuoja-asetuksen 5(1)(e) eikä 25(2) artiklan mukaista. Vaikka kerätyt henkilötiedot ovat asiassa saadun selvityksen perusteella sinänsä olleet tarpeellisia verkko-ostoksen käsittelyn yhteydessä, niiden kerääminen rekisteröidylle luodun asiakastilin kautta on johtanut henkilötietojen tarpeettomaan, sanottujen artiklojen vastaiseen säilyttämiseen asiakkuuden nojalla.
62. Tietosuojavaltuutettu toteaa, että henkilötietojen käsittely voi kyllä sinänsä olla tarpeellista rekisteröidyn pysyvämmän asiakkuuden hallinnoimiseksi. Tällöin esimerkiksi kanta-asiakkuuden hallinnoimiseen tarvittavat rekisteröidyn perustiedot poistetaan lähtökohtaisesti kanta-asiakasjäsenyyden päättyessä. Nyt arvioitavana olevassa tapauksessa on kuitenkin kyse siitä, onko yleisen tietosuoja-asetuksen mukaista asettaa yksittäisen ostotapahtuman edellytykseksi asiakastilin luominen, joka johtaa henkilötietojen mahdollisesti pitkäänkin säilytysaikaan.
63. Lisäksi voidaan todeta, että henkilötietojen säilyttäminen on mahdollista vain sen aikaa kuin se on tarpeellista niiden tarkoitusten kannalta, joita varten henkilötietoja käsitellään (yleisen tietosuoja-asetuksen 5(1)(e) artikla). Tässä tarkoitettujen käsittelyn tarkoitusten tulee yleisen tietosuoja-asetuksen 5(1)(b) artiklan mukaisesti olla esimerkiksi laillisia. Käsittelyn laillisuus puolestaan edellyttää, että henkilötietojen käsittelylle on olemassa pätevä käsittelyperuste (yleisen tietosuoja-asetuksen 5(1)(a) ja 6(1) artiklat) (Ks. esim. EU:n tietosuojatyöryhmän käyttötarkoitussidonnaisuutta koskeva lausunto WP203, kohta III.1.3).
64. Rekisterinpitäjä on selvityksessään kertonut soveltavansa asiakastilin henkilötietojen käsittelyperusteena sopimusta (yleisen tietosuoja-asetuksen 6(1)(b) artikla). Selvityksen perusteella verkkokauppaostosta koskevaan sopimukseen on sisältynyt erottamattomasti asiakkaan rekisteröityminen rekisterinpitäjän asiakkaaksi ja tähän liittyvä asiakastilin luominen. Tällaisessa tilanteessa tulisi tarkasteltavaksi, onko sanottuun asiakastiliin liittyvä henkilötietojen käsittely, ml. säilyttäminen, tarpeen yleisen tietosuoja-asetuksen 6(1)(b) artiklassa tarkoitetun sopimuksen täytäntöön panemiseksi. Euroopan tietosuojaneuvosto on todennut yleisen tietosuoja-asetuksen 6(1)(b) artiklan soveltamisesta näiltä osin seuraavaa:
”Jos käytettävissä on realistisia, vähemmän tunkeilevia vaihtoehtoja, käsittely ei ole tarpeen. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohtaan ei sisälly käsittely, joka on hyödyllistä mutta ei objektiivisesti tarpeen sopimuksen kohteena olevan palvelun suorittamiseksi tai asiaankuuluvien sopimusta edeltävien toimien toteuttamiseksi rekisteröidyn pyynnöstä, vaikka se olisi tarpeen rekisterinpitäjän muun liiketoiminnan kannalta”.
(Euroopan tietosuojaneuvoston ohje: EDPB Ohjeet 2/2019 yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan b alakohdan perusteella tapahtuvasta henkilötietojen käsittelystä rekisteröidyille tarjottavien verkkopalvelujen yhteydessä, versio 2.0, 8. lokakuuta 2019, kohta 25, sekä Euroopan tietosuojaneuvoston kiistanratkaisupäätös Metaa koskevassa asiassa (Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service (Art. 65 GDPR)). Euroopan tietosuojaneuvoston päätöksen kohdassa 124 viitataan nimenomaisesti em. ohjeen 2/2019 sanottuun kohtaan. Ks. yleisen tietosuoja-asetuksen 6(1)(b) artiklan soveltamisesta myös Euroopan unionin tuomioistuimen ratkaisu asiassa C-252/21, erityisesti ratkaisun kohdat 98 ja 99.)
65. Asiakastilin luomiseksi ja ylläpitämiseksi suoritetun henkilötietojen käsittelyn ei lähtökohtaisesti voida katsoa olevan tarpeen verkkokauppaostosta koskevan sopimuksen täytäntöön panemiseksi. Tyypillisesti kyse on sen sijaan esimerkiksi liiketoiminnan hyödyksi tapahtuvasta henkilötietojen käsittelystä, ja sopimuksen pääkohde on mahdollista toteuttaa ilman sanottua käsittelyä.
66. On myös huomattava, että yleisen tietosuoja-asetuksen 6(1)(b) artiklan mukaista käsittelyperustetta tulee tulkita suppeasti, koska sen perusteella ilman rekisteröidyn suostumusta suoritettavasta henkilötietojen käsittelystä tulee lainmukaista (ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-252/21 (ratkaisun kohta 93). Lisäksi tulee huomioida, että silloin kun asiakastilin luomista koskeva henkilötietojen käsittely ei ole objektiivisesti välttämätöntä verkkokauppaostosta koskevan sopimuksen täytäntöön panemiseksi, asiakkuuden toteuttamiseksi suoritettavalle henkilötietojen käsittelylle tulee määritellä erikseen oma käsittelyperuste.
67. Mikäli henkilötietojen käsittelyperuste jää asianmukaisesti määrittelemättä, henkilötietojen käsittelytoimet eivät ole tämän käsittelyn osalta yleisen tietosuoja-asetuksen 5(1)(a) ja 6(1) artiklojen mukaisia. Käsittelyperusteen puuttuessa käsittely sanotussa henkilötietojen käyttötarkoituksessa ei täytä käsittelyn laillisuuden edellytystä, eikä se siten ole myöskään yleisen tietosuoja-asetuksen 5(1)(b) artiklan mukaista. Käsittely ei tällöin täytä myöskään yleisen tietosuoja-asetuksen 5(1)(e) artiklan vaatimusta, jonka mukaan henkilötietojen säilyttäminen on mahdollista vain sen aikaa kuin on tarpeen niiden tarkoitusten kannalta, joita varten henkilötietoja käsitellään.
Rekisteröidyn oikeuksien käyttö henkilötietojen säilyttämisen lopettamiseksi
68. Kuten edellä on todettu, rekisterinpitäjän menettelytavan mukaisesti toimittaessa rekisteröity joutuu yksittäisten verkko-ostosten kohdalla turvautumaan yleisen tietosuoja-asetuksen III-luvun mukaisiin rekisteröidyn oikeuksiin estääkseen pitkäaikaisen, rekisterinpitäjän määrittelemään asiakkuuteen perustuvan henkilötietojen säilyttämisen, ja rekisteröidyn tulee pyytää tietojensa poistamista yleisen tietosuoja-asetuksen 17 artiklan nojalla. Henkilötietojen säilytysaika riippuu tällöin siitä, käyttääkö rekisteröity oikeuttaan saada omat henkilötietonsa poistetuksi. Sanottu menettelytapa voi johtaa siihen, että henkilötietoja säilytetään hyvin pitkän ja määrittelemättömän ajan. Henkilötietojen säilyttämisen lopettaminen edellyttää aktiivisuutta, valveutuneisuutta ja kyvykkyyttä rekisteröidyltä, kun hänen on nimenomaisesti pyydettävä asiakastilille kerättyjen tietojensa poistamista.
69. Rekisterinpitäjän käyttämää menettelytapaa ei voida pitää kohtuullisena rekisteröidyn kannalta, eikä rekisterinpitäjä näin toimimalla ole jäljempänä tarkemmin esitetysti noudattanut velvollisuuttaan rajoittaa henkilötietojen säilyttäminen mahdollisimman lyhytkestoiseksi tai määritellyt henkilötietojen säilytysaikaa sen mukaisesti, millainen ajanjakso on tarpeellinen tietojenkäsittelyn tarkoitusten toteuttamista varten (ks. yleisen tietosuoja-asetuksen johdantokappale 39: ”Henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt”.). Tietosuojavaltuutettu toteaa, että rekisteröidylle ei ylipäätään synny nyt kuvattua tarvetta henkilötietojen suojaa koskevien oikeuksiensa toteuttamiseen, jos tietoja ei säilytetä tarpeettomasti. Tietosuojavaltuutettu painottaa, että henkilötietojen säilyttämistä ei voida perustella sillä, että rekisteröity voi myöhemmin toteuttaa oikeutensa.
Säilytysajan asianmukainen määrittely
70. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä kertonut, että henkilötietojen säilytysajan määrittelee asiakas – ei Verkkokauppa.com asiakkaan puolesta. Rekisterinpitäjä esittää, että se ei voi asiakkaan puolesta arvioida, miten kauan asiakas haluaa asiakkuutensa kestävän. Asiakastiliin liitettyjen henkilötietojen poistaminen edellyttää, että rekisteröity esittää rekisterinpitäjälle tätä koskevan pyynnön.
71. Tietosuojavaltuutettu toteaa, että rekisterinpitäjä ei siten ole tässä asiassa määritellyt rekisteröidylle luodun asiakkuuden nojalla säilytettäville henkilötiedoille asianmukaisesti säilytysaikaa, vaan säilytysaika muodostuu sen mukaisesti, millaisen ajanjakson kuluttua rekisteröity pyytää tietojensa poistamista. (Esimerkiksi loki- ja kirjautumistiedoille, K-18 tuotteissa vaaditulle syntymäajalle, varmuuskopioille, analytiikkatiedoille sekä luotonarviointiin käytetyille tiedoille rekisterinpitäjä kertoo määritelleensä säilytysajat.). Henkilötietojen säilytysajan rajoittaminen yksittäisen verkkokauppaostoksen kohdalla jää tällöin näiltä osin rekisteröidyn oman aktiivisuuden varaan.
72. Esimerkiksi informointivelvollisuutensa täyttääkseen rekisterinpitäjän on yleisen tietosuoja-asetuksen 13(2)(a) artiklan mukaan toimitettava rekisteröidylle ”henkilötietojen säilytysaika, tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit” silloin, kun henkilötietoja kerätään rekisteröidyltä itseltään. Säilytysaika voidaan jättää määrittelemättä tilanteessa, jossa säilytysaikaa ei ole mahdollista täsmällisesti määritellä, vaan joudutaan käyttämään muunlaisia säilytysajan määrittämiskriteerejä. Nyt arvioitavassa asiassa ei ole käsillä tällainen tilanne, vaan rekisterinpitäjän on ollut mahdollista määritellä henkilötiedoille säilytysaika yksittäisten ostotapahtumien osalta.
73. Säilytysajan määrittelemisen sijasta rekisterinpitäjä on nyt arvioitavassa asiassa säilyttänyt henkilötietoja asiakkuuden nojalla niin pitkään, kunnes rekisteröity pyytää tietojensa poistamista. Rekisterinpitäjä ei näin ollen ole määritellyt sanotuille henkilötiedoille säilytysaikaa, joka sen olisi ollut tässä tapauksessa mahdollista määritellä, eikä se toisaalta ole määritellyt myöskään asianmukaisia säilytysajan määrittämiskriteerejä, jollaisiksi ei voida katsoa henkilötietojen säilyttämistä siihen asti kun rekisteröity mahdollisesti huomaa käyttää yleisen tietosuoja-asetuksen mukaista oikeuttaan saada henkilötiedot poistetuksi.
74. Sanotun osalta huomioitakoon, että Euroopan tietosuojaneuvosto on lausuntokäytännössään vastaavasti todennut että henkilötietojen säilyttäminen toistaiseksi on säilytyksen rajoittamista koskevan periaatteen vastaista, ja se, että rekisteröidylle annetaan mahdollisuus poistaa henkilötietonsa, ei sulje pois rekisterinpitäjän vastuuta määritellä ja panna täytäntöön lainmukaiset tietojensäilyttämiskäytännöt. (Ks. tarkemmin EDPB Ohjeet: Äänikomennoilla ohjattavia virtuaaliavustajia koskevat ohjeet 02/2021, kohta 98.)
75. Rekisterinpitäjä ei nyt arvioitavassa asiassa ole täyttänyt velvollisuuttaan määritellä henkilötiedoille säilytysaika, vaan se on säilyttänyt tietoja siihen asti kun rekisteröity pyytää tietojensa poistamista. Edellä todetusti vastuuta henkilötietojen poistamisesta ei voida siirtää rekisteröidylle, vaan rekisterinpitäjän tulee huolehtia säilyttämisen rajoittamisvelvoitteidensa asianmukaisesta täyttämisestä itse. Rekisterinpitäjän menettelytavasta on seurannut, että rekisterinpitäjä ei käsillä olevassa asiassa ole säilytysajan asianmukaisen määrittelyn ohella huolehtinut myöskään henkilötietojen oikea-aikaisesta poistamisesta lainmukaisesti määritellyn säilytysajan päättyessä.
76. Asiassa on todettava lisäksi, että rekisterinpitäjä on saadun selvityksen perusteella ottanut tarkastellun menettelytavan käyttöön harkitusti ja tietoisesti. (Rekisterinpitäjä kertoo asiassa antamassaan selvityksessä muun muassa, että kyseessä on sen tarkkaan harkitsemat säilytysajan määräytymisen kriteerit (Verkkokauppa.com Oyj:n kuulemisvastaus 21.12.2023, kohta 19).) Rekisterinpitäjä on menettelytavan käyttöönoton yhteydessä päättänyt, että sen ei ole tarpeen määritellä asiakastilille kerättäville henkilötiedoille säilytysaikaa. Rekisterinpitäjä ei ole muutoinkaan rajoittanut asiassa tarkasteltua henkilötietojen säilyttämistä asianmukaisella tavalla. Rekisterinpitäjä on niin ikään jättänyt tietoisesti henkilötietojen säilytysajan rajoittamisen rekisteröidyn toimenpiteiden varaan. (Rekisterinpitäjä kertoo asiassa antamassaan selvityksessä toimintatavastaan muun muassa, että henkilötietojen säilytysajan määrittelee asiakas, ei Verkkokauppa.com (Verkkokauppa.com Oyj:n kuulemisvastaus 21.12.2023, kohta 14).)
77. Rekisterinpitäjä on 21.12.2023 annetussa kuulemisvastauksessaan esittänyt, että sen aikomuksena on toteuttaa passiivisten asiakastilien poistomekanismi. Tietosuojavaltuutettu toteaa, että passiivisten asiakastilien poistaminen ei tarkoita, etteikö rekisterinpitäjän tulisi määritellä verkkokauppa-asiakkaiden henkilötiedoille tietosuojasääntelyn mukaiset säilytysajat.
Elinkeinovapaudesta ja virhevastuusta
78. Rekisterinpitäjä on tietosuojavaltuutetun toimistolle antamassaan selvityksessä esittänyt, että oikeus henkilötietojen suojaan ei ole absoluuttinen ja että rekisteröitymisen edellyttäminen on liiketoiminnallinen päätös, jonka tekeminen on elinkeinonharjoittajan elinkeinovapauden piiriin kuuluva oikeus. Rekisterinpitäjä on katsonut riittäväksi, että henkilötietojen käsittely tapahtuu tässä yhteydessä tietosuojasääntelyn puitteissa.
79. Tietosuojavaltuutettu toteaa asian arvioinnissa olevan keskeistä, kuten rekisterinpitäjä itsekin esittää, että rekisterinpitäjän liiketoimintaa koskevat päätökset ja tässä yhteydessä henkilötietojen säilytysaikaa koskeva käsittely, on yleisen tietosuoja-asetuksen mukaista. Elinkeinovapautta koskevan perustuslain 18 §:n mukaan jokaisella on oikeus hankkia toimeentulonsa valitsemallaan työllä, ammatilla tai elinkeinolla. Nyt arvioitavassa asiassa ei kuitenkaan ole kyse siitä, että rekisterinpitäjältä evättäisiin oikeus hankkia toimeentulo valitulla elinkeinolla tai puututtaisiin elinkeinovapauden olennaiseen sisältöön. Nyt sovellettavat säännökset eivät myöskään estä rekisterinpitäjän elinkeinotoimintaa. Asiassa on kyse yksinomaan siitä, onko rekisterinpitäjän menettely ollut yleisen tietosuoja-asetuksen mukaista.
80. Rekisterinpitäjä on vedonnut menettelynsä oikeutuksena myös myyjän virhevastuuseen liittyviin seikkoihin. Rekisterinpitäjän mukaan Suomessa myyjän virhevastuun ajallista ulottuvuutta ei ole laissa rajattu, ja kuluttaja voi vedota tavaran virheeseen huomattavan pitkän ajanjakson jälkeen siitä, kun laite on kuluttajalle myyty. Rekisterinpitäjä kertoo lisäksi tarjoavansa tietyille laitteille kolmen vuoden takuun. Rekisterinpitäjä katsoo, että verkko-ostoksiin liittyvien tositteiden säilyttäminen asiakkaan puolesta on tässä kohdin perusteltua, ja rekisteröityneellä asiakkaalla on asiakastilin kautta pääsy verkko-ostoksiaan koskeviin tietoihin ja kuitteihin koko asiakkuutensa ajan. Rekisterinpitäjän mukaan myös verottaja voi pyytää verovelvollista toimittamaan kuitteja ja tositteita, ja verottaja edellyttää, että verovelvollinen säilyttää verotuksen tositteitaan kuuden vuoden ajan verovuoden päättymisestä. Rekisterinpitäjä on vedonnut henkilötietojen säilyttämisessä myös kirjanpitolaista tuleviin velvoitteisiin.
81. Virhevastuuta ja takuuta koskevat säännökset on määritelty kuluttajansuojalain (38/1978) 5 luvussa. Kuluttajansuojalain mukaan tavarassa on myyjän vastuulle kuuluva virhe, jos tavara kestää lyhyemmän ajan kuin voi perustellusti odottaa, ja virhevastuun kesto määräytyy näin tapauskohtaisesti tavaran oletettavissa olevan kestoiän perusteella. Kuluttajan oikeus vaatia hyvitystä virheen johdosta ei ole kuitenkaan riippuvainen siitä, onko kuluttaja antanut myyjälle henkilötietojaan. Vastaavasti myyjän velvollisuuteen hyvittää virhe ei vaikuta se, onko myyjällä käytössään kuluttajan henkilötietoja, eikä tarvetta henkilötietojen käsittelemiseen voida johtaa rekisterinpitäjän esittämällä tavoin kuluttajansuojalain virhevastuusäännöksistä.
82. Rekisterinpitäjä ei myöskään voi tehdä rekisteröidyn sijasta päätöstä siitä, että se säilyttää rekisteröidyn puolesta tositteita, joita rekisteröity voi tietyissä tilanteissa toimittaa verottajalle. Rekisteröity huolehtii verotusta koskevien velvoitteidensa täyttämisestä oman päätöksentekonsa pohjalta ja oma-aloitteisesti, eikä esimerkiksi verkkokauppa tee näitä päätöksiä hänen sijastaan. Tietosuojavaltuutettu toteaa, että tällainen palvelu voi toki tuoda lisäarvoa asiakkaille. Se kuitenkin edellyttäisi, että tietojen käsittelyyn olisi esimerkiksi yleisen tietosuoja-asetuksen tarkoittama rekisteröidyn suostumus.
83. Kirjanpitosääntelystä tulevien rekisterinpitäjän velvoitteiden noudattaminen ei puolestaan edellytä, että rekisteröidylle luodaan tässä asiassa tarkoitettu asiakastili, ja kirjanpitoaineisto on ylipäänsä pidettävä erillään asiakastilistä. Kirjanpitolaki ei myöskään esimerkiksi oikeuta rekisterinpitäjää säilyttämään tietoja laajemmin kuin kirjanpitolain edellytysten täyttämiseksi on tarpeen tai käsittelemään kirjanpitolain nojalla säilytettäviä tietoja niiden säilytysajan ajan myös muihin käyttötarkoituksiin.
84. Rekisterinpitäjä on kuulemispyyntöön antamassaan vastauksessa vedonnut siihen, että rekisteröitymisen edellyttäminen ei itsessään lisää niiden henkilötietojen määrää, joita se asiakkaistaan käsittelee. Selkeyden vuoksi todettakoon, ettei nyt tarkasteltavassa asiassa ole kyse siitä, että rekisterinpitäjän katsottaisiin sen antaman selvityksen perusteella keräävän asiakastiliä varten enemmän henkilötietoja, kuin mitä sen on tarpeen kerätä pelkästään verkkokauppaostoksen käsittelemiseksi.
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen seuraamusmaksun määräämisestä.
Seuraamuskollegion päätös hallinnollisesta seuraamusmaksusta
Rekisterinpitäjä
Verkkokauppa.com Oyj (Y-tunnus 1456344-5)
Tietosuojalain 24 §:n mukaan hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio, joka on antanut seuraavan päätöksen hallinnollisen seuraamusmaksun määräämisestä.
1. Tietosuojavaltuutetun päätöksestä ilmenevin tavoin rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artikloissa säädettyä. Tietosuojavaltuutettu on antanut päätöksessään rekisterinpitäjälle yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artiklojen rikkomisesta yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisen määräyksen sekä yleisen tietosuoja-asetuksen 58(2)(b) artiklan mukaisen huomautuksen.
2. Ottaen huomioon rikkomisen vakavuuden, asiassa ei ole kysymys yleisen tietosuoja-asetuksen johdanto-osan 148 perustelukappaleessa tarkoitetusta vähäisestä rikkomisesta. Tehokkuuden, oikeasuhtaisuuden ja varoittavuuden osalta on todettava, että nyt käsiteltävänä olevassa asiassa tietosuojavaltuutetun yleisen tietosuoja-asetuksen 58(2)(d) artiklan nojalla antama määräys ja 58(2)(b) artiklan nojalla antama huomautus eivät ole riittävä seuraamus asiassa, kun huomioidaan yleisen tietosuoja-asetuksen 83(2) artiklassa säädetty.
3. Asiassa on määrättävä hallinnollinen seuraamusmaksu tietosuojavaltuutetun päätöksessä todetusta, verkkokauppa-asiakkaiden henkilötietojen säilytysajan asianmukaisen määrittelyn laiminlyönnistä. Rekisterinpitäjä on jättänyt määrittelemättä asiakastilille keräämiensä henkilötietojen säilytysajan. Seuraamusmaksun määräämistä tukee erityisesti se seikka, että rekisterinpitäjä on jättänyt henkilötietojen säilytysajan rajoittamisen yksittäisten verkkokauppaostosten kohdalla rekisteröityjen oman aktiivisuuden varaan. Tietosuojavaltuutetun päätöksen kohdassa 49 todetusti asiaa ei ole saatettu seuraamuskollegion arvioitavaksi siltä osin kuin kyse on rekisteröitymisen edellyttämisestä yksittäisostoksen tekemiseksi verkkokaupassa.
4. Asiassa on kyse verkkokauppatoiminnasta. Rekisteröidyt eivät ole voineet aktiivisesti rekisterinpitäjän verkkokaupassa valita, luodaanko heille asiakastili ja kuinka yksityiskohtaisia tietoja heistä tätä varten kerätään ja säilytetään. Kyse ei ole esimerkiksi ollut kanta-asiakassuhteeseen nimenomaisesti hakeutuneiden yksittäisten rekisteröityjen tietojen säilyttämisestä, eikä tällöin tietoja voida lähtökohtaisesti säilyttää pidempään kuin mitä verkko-ostoksen toteuttaminen edellyttää. Menettely poikkeaa siten keskeisiltä osin tietosuojavaltuutetun ja seuraamuskollegion päätöksestä asiassa dnro 3831/161/21, jossa tietosuojavaltuutetun toimiston seuraamuskollegio ei määrännyt rekisterinpitäjälle seuraamusmaksua.
5. Käsiteltävänä oleva asia kuuluu yleisen tietosuoja-asetuksen 83(5)(a) artiklan mukaiseen korkeampaan seuraamusmaksuluokkaan. Rikkomisen osalta määrättävän sakon suuruus voi olla enintään joko 20 000 000 euroa, tai neljä prosenttia edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
6. Rekisterinpitäjä on ilmoittanut, että sen kokonaisliikevaihto vuodelta 2022 on 543 100 000 euroa. Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio (myöhemmin ”seuraamuskollegio”) määrää edellä mainittujen tietosuojavaltuutetun antamien määräyksen ja huomautuksen lisäksi yleisen tietosuoja-asetuksen 58(2)(i) artiklan ja 83 artiklan nojalla rekisterinpitäjän maksamaan valtiolle määrältään 856 000 (kahdeksansataaviisikymmentäkuusituhatta) euron suuruisen hallinnollisen seuraamusmaksun. Ottaen huomioon rikkomisen vakavuuden ja muut tapauksen olosuhteet, kuten jäljempänä seuraamuskollegion perusteluista tarkemmin ilmenee, seuraamuskollegio katsoo 856 000 euron suuruisen hallinnollisen seuraamusmaksun olevan tehokas, oikeasuhtainen ja varoittava.
Perustelut hallinnollisen seuraamusmaksun määräämiselle
7. Yleisen tietosuoja-asetuksen 83 artiklassa on säädetty hallinnollisen seuraamusmaksun määräämisen yleisistä edellytyksistä. Hallinnollisen seuraamusmaksun määräämisen on ensinnäkin oltava kussakin yksittäisessä tapauksessa tehokasta, oikeasuhteista ja varoittavaa. Toisekseen hallinnollinen seuraamusmaksu määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti 58 artiklassa säädettyjen korjaavien toimivaltuuksien lisäksi tai niiden sijasta. Nyt käsillä olevassa asiassa tietosuojavaltuutettu on antanut rekisterinpitäjälle määräyksen ja huomautuksen. Hallinnollinen seuraamusmaksu määrätään näin ollen yleisen tietosuoja-asetuksen 58(2)(d) artiklan mukaisen määräyksen sekä 58(2)(b) artiklan mukaisen huomautuksen lisäksi.
8. Hallinnollisen seuraamusmaksun määräämisestä ja hallinnollisen seuraamusmaksun määrästä päätettäessä on kussakin yksittäisessä tapauksessa otettava huomioon yleisen tietosuoja-asetuksen 83(2) artiklassa luetellut seikat.
9. Kuten tietosuojavaltuutetun päätöksessä on katsottu, rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 5(1)(e) ja 25(2) artikloissa säädettyä.
10. Yleisen tietosuoja-asetuksen 83(3) artiklan mukaan, jos rekisterinpitäjä rikkoo samoissa tai toisiinsa liittyvissä käsittelytoimissa tahallaan tai tuottamuksellisesti useita tietosuoja-asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saa ylittää vakavimmasta rikkomisesta määrättyä seuraamusmaksua.
11. Rikkomisen vakavuutta on arvioitava yleisen tietosuoja-asetuksen 83(2) artiklassa lueteltujen seikkojen perusteella. Arvioinnissa on valittava menettely tai laiminlyönti, jota voidaan pitää kulloinkin arvioitavana olevan asian yksityiskohdat huomioon ottaen moitittavimpana.
12. Käsiteltävä asia koskee yleisen tietosuoja-asetuksen 5(1)(e) artiklassa säädettyä velvollisuutta rajoittaa henkilötietojen säilyttämistä. Kuten edellä kohdassa 5 on todettu, asia kuuluu yleisen tietosuoja-asetuksen 83(5)(a) artiklan mukaiseen korkeampaan seuraamusmaksuluokkaan.
13. Asiaa arvioitaessa on otettu huomioon tietosuojatyöryhmän ja Euroopan tietosuojaneuvoston antamat hallinnollisten sakkojen määräämistä koskevat ohjeet (EDPB Ohjeet: Suuntaviivat 4/2022 yleisen tietosuoja-asetuksen mukaisten hallinnollisten sakkojen laskemisesta (versio 2.1, hyväksytty 24. toukokuuta 2023), Tietosuojatyöryhmä WP253: Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat (annettu 3. lokakuuta 2017).)
Rikkomisen vakavuutta koskeva arviointi
14. Ottaen kokonaisuutena huomioon jäljempänä tarkemmin todetut perusteet, seuraamuskollegio katsoo, että edellytykset seuraamusmaksun määräämiselle täyttyvät.
15. Yleisen tietosuoja-asetuksen rikkomisen vakavuutta koskevassa arvioinnissa on huomioitu yleisen tietosuoja-asetuksen 83 artiklan 2 kohdan a-, b- ja g-alakohdat.
Rikkomisen luonne ja kesto
16. Seuraamuskollegio huomioi rikkomisen keston osalta, että saadun selvityksen perusteella rekisterinpitäjä on edellyttänyt verkkokaupassaan rekisteröitymistä vuodesta 2018 alkaen. (Rekisterinpitäjä on 2.11.2023 toimittanut tietosuojavaltuutetun toimistolle täsmennyksen, jonka mukaan ”verkkokauppaostoksen tekemisen mahdollisuudesta ilman asiakastiliä luovuttiin vuonna 2018 osana muita tietoturva- ja -suojaparannuksia GDPR muutosten yhteydessä”.) Asiakastilille kerättyjä henkilötietoja on näin ollen säilytetty jo tähän mennessä, yleisen tietosuoja-asetuksen soveltamisaikana, monien rekisteröityjen kohdalla pidempään kuin on välttämätöntä verkkokauppaostoksen toteuttamiseksi.
17. Seuraamuskollegio huomioi rikkomisen luonteen osalta, että rekisterinpitäjä on tässä asiassa tarkastelluilta osin laiminlyönyt velvollisuutensa rajoittaa verkkokauppa-asiakkaiden henkilötietojen säilyttämistä ja jättänyt tämän velvoitteen täyttämisen rekisteröityjen oman aktiivisuuden, valveutuneisuuden ja kyvykkyyden varaan (tietosuojavaltuutetun päätös, kohta 68). Rikkomisessa on ollut kyse rekisterinpitäjän tavanomaisesta ja suunnitelmallisesta toimintatavasta. Rekisterinpitäjä ei ole tehnyt mahdolliseksi verkkokauppaostoksen tekemistä ilman asiakastilin luomista, ja henkilötietojen säilyttäminen on täten koskenut lähtökohtaisesti kaikkia verkkokauppaostoksen tehneitä asiakkaita.
18. Rikkomisen luonteen osalta on huomioitava edelleen, että asiassa ei ole kyse siitä että asiakkaat olisivat aktiivisesti halunneet luoda itselleen asiakastilin. Rekisterinpitäjä ei ole tarjonnut asiakkailleen valintamahdollisuutta, eikä se ole pyrkinyt näin antamaan rekisteröidyille mahdollisuutta päättää, mihin muuhun kuin yksittäiseen ostotapahtumaan hänen henkilötietojansa käsitellään.
19. Seuraamuskollegio huomioi edelleen, että rekisterinpitäjän menettelytapa, jossa se säilyttää asiakastilille kerättyjä henkilötietoja siihen asti kun rekisteröity mahdollisesti huomaa pyytää tietojensa poistamista, voi johtaa merkittävän pitkään henkilötietojen säilytysaikaan. Henkilötietojen pitkä säilytysaika ja henkilötietojen säilyttäminen siten, että ne ovat julkisen verkon kautta saatavilla olevalla asiakastilillä, voivat lisätä riskiä henkilötietojen väärinkäyttöön.
20. Todettakoon, että edellä esitetyin perustein rikkomisen luonnetta ja kestoa on asiassa pidettävä hallinnollisen seuraamusmaksun määräämistä puoltavana seikkana.
Tietojenkäsittelyn luonne, laajuus tai tarkoitus sekä henkilötietoryhmät, joihin rikkominen vaikuttaa
21. Rekisterinpitäjältä syyskuussa 2022 saadun selvityksen mukaan aktiivisten asiakastilien määrä on lähes kaksi miljoonaa kappaletta. Niiden rekisteröityjen lukumäärän, joihin rikkominen vaikuttaa, on katsottava olevan suuri. Rekisteröityjen lukumäärä puoltaa asiassa seuraamusmaksun määräämistä. Rekisteröityjen suuresta määrästä johtuen rekisterinpitäjän käsittelemien, asiakastileille kerättyjen henkilötietojen määrän on niin ikään katsottava olevan suuri. Tämäkin seikka puoltaa asiassa seuraamusmaksun määräämistä.
22. Se seikka, että asiassa ei ole kyse erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä, ei yksistään johda siihen, että menettelystä ei tulisi määrätä hallinnollista seuraamusmaksua.
Rikkomisen tahallisuus tai tuottamuksellisuus
23. Aiemmin mainituissa Euroopan tietosuojaneuvoston sekä tietosuojatyöryhmän antamissa ohjeissa on todettu tahallisuuden edellyttävän yleensä tietoista ja tarkoituksellista rikkomista. Tahallisia rikkomisia, jotka ilmentävät piittaamattomuutta lainsäädännöstä, pidetään yleisesti vakavampina kuin tuottamuksellisia rikkomisia. (EDPB Ohjeet: Suuntaviivat 4/2022 yleisen tietosuoja-asetuksen mukaisten hallinnollisten sakkojen laskemisesta (versio 2.1, hyväksytty 24. toukokuuta 2023), kohdat 55 ja 56. Tietosuojatyöryhmä WP253: Asetuksessa 2016/679 tarkoitettujen hallinnollisten sakkojen soveltamista ja määräämistä koskevat suuntaviivat (annettu 3. lokakuuta 2017), s. 12.)
24. Todettakoon, että rekisterinpitäjälle voidaan määrätä seuraamus yleisen tietosuoja-asetuksen soveltamisalaan kuuluvasta menettelystä, jos rekisterinpitäjä ei voinut olla tietämättä, että sen menettely on luonteeltaan sääntöjenvastaista, riippumatta siitä, oliko se tietoinen siitä, että se rikkoi yleisen tietosuoja-asetuksen säännöksiä (ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-683/21, ratkaisun kohta 81). Euroopan unionin tuomioistuin viittaa ratkaisukäytännössään nimenomaan kilpailuoikeudelliseen tahallisuuden ja tuottamuksellisuuden arviointiin, joka on erotettava rikosoikeudellisesta tahallisuus- ja tuottamuksellisuusarvioinnista. (Ks. Euroopan unionin tuomioistuimen ratkaisu asiassa C-683/21, ratkaisun kohta 81, ja ratkaisu asiassa C-807/21, ratkaisun kohta 76.)
25. Seuraamuskollegio toteaa jäljempänä esitetyin perustein, ettei asiassa voida katsoa olevan kyse rikkomisesta, joka ei ole seurausta rekisterinpitäjän menettelyn tahallisuudesta tai huolimattomuudesta. (Ks. tahallisuudesta ja tuottamuksellisuudesta esim. Euroopan unionin tuomioistuimen ratkaisut asioissa C-683/21 ja C-807/21.)
26. Seuraamuskollegio kiinnittää huomioita erityisesti siihen seikkaan, että kuten tietosuojavaltuutetun päätöksen kohdassa 76 todetaan, rekisterinpitäjä on saadun selvityksen perusteella ottanut tarkastellun menettelytavan käyttöön harkitusti ja tietoisesti. Rekisterinpitäjä on menettelytavan käyttöönoton yhteydessä päättänyt, että sen ei ole tarpeen määritellä asiakastilille kerättäville henkilötiedoille säilytysaikaa. Rekisterinpitäjä ei ole muutoinkaan rajoittanut asiassa tarkasteltua henkilötietojen säilyttämistä asianmukaisella tavalla. Rekisterinpitäjä on niin ikään jättänyt tietoisesti henkilötietojen säilytysajan rajoittamisen rekisteröidyn toimenpiteiden varaan (tietosuojavaltuutetun päätös, kohta 76).
27. Henkilötietojen säilyttämisen rajoittamisvelvoitteesta on säädetty nimenomaisesti yleisen tietosuoja-asetuksen 5(1)(e) artiklassa. Velvollisuus sisältyy nimenomaisesti myös yleisen tietosuoja-asetuksen 25(2) artiklaan. Rekisterinpitäjä on selvityksessään kertonut, että henkilötietojen säilytysajan määrittelee asiakas, ei Verkkokauppa.com. (Tietosuojavaltuutetun päätös, kohta 76, alaviite 18.) Sanotut velvoitteet koskevat kuitenkin rekisterinpitäjää, eivät rekisteröityä. Yleisessä tietosuoja-asetuksessa todetaan rekisterinpitäjän velvollisuudesta rajoittaa säilyttämistä niin ikään, että henkilötiedoille määriteltävän säilytysajan tulisi olla mahdollisimman lyhyt (yleisen tietosuoja-asetuksen johdantokappale 39.) Rekisterinpitäjän käytettävissä on myös ollut esimerkiksi kyseisiä säännöksiä koskevaa viranomaisohjeistusta (esimerkiksi: EDPB Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, versio 2.0, annettu 20. lokakuuta 2020).
28. Asiassa on lisäksi otettava huomioon, että yleisessä tietosuoja-asetuksessa säädetään rekisterinpitäjän osoitusvelvollisuudesta. Rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että se on noudattanut yleisen tietosuoja-asetuksen 5(1)(e) artiklan mukaista velvoitettaan rajoittaa henkilötietojen säilyttämistä (yleisen tietosuoja-asetuksen 5(2) artikla.) Euroopan unionin tuomioistuin on ratkaisukäytännössään katsonut, että rekisterinpitäjän on pystyttävä osoittamaan että se noudattaa yleisen tietosuoja-asetuksen 5 artiklan 1 kohdassa vahvistettuja henkilötietojen käsittelyä koskevia periaatteita, ja että rekisterinpitäjällä on todistustaakka siitä että 5 artiklan 1 kohtaa on noudatettu. (Euroopan unionin tuomioistuimen ratkaisu asiassa C-175/20, ratkaisun kohta 77 ja Euroopan unionin tuomioistuimen ratkaisu asiassa C-60/22, ratkaisun kohta 53). Rekisterinpitäjällä on niin ikään velvollisuus toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan yleistä tietosuoja-asetusta (yleisen tietosuoja-asetuksen 24(1) artikla.).
29. Rekisterinpitäjä ei ole voinut olla tietämättä, että sen käyttöön ottama menettelytapa tarkoittaa ettei rekisterinpitäjä itse rajoita henkilötietojen säilyttämistä. Toisin sanoen rekisterinpitäjä ei ole tietosuojavaltuutetun päätöksessä todetusti määritellyt henkilötiedoille säilytysaikaa.
30. Lisäksi seuraamuskollegio toteaa, että asiassa ei ole kyse siitä että todettu rikkominen on tapahtunut, vaikka rekisterinpitäjä on toiminut huolellisesti.
31. Seuraamuskollegio toteaa, ettei asiassa ole perusteltua katsoa, etteikö rekisterinpitäjän toiminta täyttäisi yleisen tietosuoja-asetuksen 83(2)(b) artiklan edellytystä, jonka mukaan menettelyn on oltava tahallista tai tuottamuksellista.
Raskauttavien ja lieventävien tekijöiden arviointi
Rekisterinpitäjän toteuttamat toimet rekisteröidylle aiheutuneen vahingon lieventämiseksi
32. Euroopan tietosuojaneuvoston ja tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen määräämisestä on todettu, että vahingosta vastuussa olevan osapuolen olisi tehtävä kaikki voitavansa lieventääkseen rikkomisesta asianomaiselle aiheutuvia seurauksia. Valvontaviranomainen voi ottaa huomioon tällaisen vastuullisen toiminnan tai vastuullisen toiminnan puuttumisen.
33. Rekisteröidyille aiheutuneita vahinkoja koskevassa arvioinnissa on otettava huomioon korkeimman oikeuden ratkaisu KKO:1998:85, jossa on korostettu tiedollista itsemääräämistä ja todettu, että sittemmin kumotun henkilörekisterilain (471/1987) 43 §:ssä tarkoitetun henkilörekisteririkoksen sanamuoto osoitti, että yksityisyyden suojan loukkaaminen tiedollisen itsemääräämisvallan vastaisena menettelynä merkitsi laissa edellytetyn vahingon tai haitan aiheuttamista. Tämä pätee edelleen. Pelkkä yksityisyyden suojan loukkaus merkitsee vahingon tai haitan aiheuttamista.
34. Edellytyksenä ei ole tosiasiallisen taloudellisen tai muun aineellisen vahingon aiheutuminen, joskin tällaisten vahinkojen aiheutuminen otetaan yleisen tietosuoja-asetuksen 83(2)(a) artiklassa säädetyn mukaisesti huomioon hallinnollista seuraamusmaksua määrättäessä ja sen määrästä päätettäessä.
35. Seuraamuskollegio katsoo, että rekisterinpitäjä ei ole ryhtynyt asianmukaisiin toimenpiteisiin rekisteröidylle koituvan vahingon lieventämiseksi, korjaamiseksi tai estämiseksi tulevaisuudessa. Rekisterinpitäjän aikomus ottaa käyttöön passiivisten asiakastilien poistomenettely, jossa tiedot poistetaan, kun viimeisimmästä asiakastilille kirjautumisesta on kulunut yli kuusi vuotta, ei sellaisenaan ole katsottavissa tässä tarkoitetuksi riittäväksi ja asianmukaiseksi toimenpiteeksi. Esitetty toimenpide ei esimerkiksi ole luonteeltaan sellainen, että sillä rajoitettaisiin asianmukaisella tavalla henkilötietojen säilyttämistä tai puututtaisiin asianmukaisella tavalla siihen, että säilytysajan määritteleminen jää suurelta osin yksittäisen rekisteröidyn toimenpiteiden varaan. Jättäessään säilytysajan määrittelemättä, rekisterinpitäjä myös vaikeuttaa rekisteröidyn mahdollisuutta arvioida henkilötietojen käsittelystä aiheutuvaa tosiasiallista riskiä. Seuraamuskollegio katsoo, ettei lieventäviä perusteita tältä osin ole.
Vastuun aste, ottaen huomioon rekisterinpitäjän 25 artiklan ja 32 artiklan nojalla toteuttamat tekniset ja organisatoriset toimenpiteet
36. Kysymyksen alaisessa asiassa rekisterinpitäjä on järjestelmälliseen tapaan rikkonut yleisen tietosuoja-asetuksen 5(1)(c) ja 25(2) artikloja. Rekisterinpitäjän toteuttamia teknisiä ja organisatorisia toimenpiteitä ei voida näiltä osin pitää riittävinä. Tapaus ilmentää yleisessä tietosuoja-asetuksessa säädettyjen käytäntöjen yleistä puutteellisuutta, eikä lieventäviä perusteita tältä osin ole.
Aiemmat vastaavat rikkomiset ja aikaisemmin määrätyt samaa asiaa koskevat toimenpiteet
37. Tietosuojavaltuutetun toimistolla ei ole tiedossa rekisterinpitäjää koskevia aiempia tietosuojasääntelyn rikkomisia. Rekisterinpitäjään ei ole aiemmin kohdistettu yleisen tietosuoja-asetuksen 58(2) artiklassa tarkoitettuja toimivaltuuksia. Seuraamuskollegio ei pidä edellä mainittua seuraamusmaksuarviossa lieventävänä tai raskauttavana tekijänä.
Yhteistyön aste valvontaviranomaisen kanssa ja tapa, jolla rikkominen tuli valvontaviranomaisen tietoon
38. Edellä mainituissa Euroopan tietosuojaneuvoston ja tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen määräämisestä on todettu, että yhteistyön aste voidaan ottaa asianmukaisesti huomioon, kun päätetään hallinnollisen sakon määräämisestä ja sen määrästä. Arvioitaessa yhteistyötä valvontaviranomaisen kanssa merkitystä voitaisiin antaa sille, onko rekisterinpitäjä reagoinut valvontaviranomaisen pyyntöihin asian tutkinnan aikana siten, että sillä on rajoitettu merkittävästi yksilöiden oikeuksiin kohdistuvaa riskiä. Ohjeiden mukaan ei olisi kuitenkaan tarkoituksenmukaista korostaa jo lainsäädännössä vaadittua yhteistyötä.
39. On todettava, että yleisen tietosuoja-asetuksen 31 artiklassa säädetysti rekisterinpitäjän on pyynnöstä tehtävä yhteistyötä valvontaviranomaisen kanssa sen tehtävien suorittamiseksi. Rekisterinpitäjällä on niin ikään yleisen tietosuoja-asetuksen 58 artiklan 1 kohdan ja tietosuojalain 18 §:n nojalla velvollisuus toimittaa pyydetyt tiedot valvontaviranomaiselle.
40. Asian arvioinnissa ei edellä todetusti ole tarkoituksenmukaista korostaa jo lainsäädännössä edellytettyä yhteistyötä. Laissa säädetyn velvollisuuden täyttämistä ei ole tarkoituksenmukaista katsoa asiassa lieventäväksi tekijäksi.
41. Tieto rikkomisesta on tullut valvontaviranomaiselle kantelun kautta. Lieventäviä perusteita ei tältä osin ole.
Mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät
42. Edellä mainituissa Euroopan tietosuojaneuvoston ja tietosuojatyöryhmän ohjeissa hallinnollisten seuraamusmaksujen määräämisestä on todettu, että mahdolliset muut tapaukseen sovellettavat raskauttavat tai lieventävät tekijät voivat esimerkiksi olla rikkomisella saatu hyöty tai taloudellinen etu.
43. Rekisterinpitäjä esittää 21.12.2023 antamassaan kuulemisvastauksessa, että säilytysajat ja niiden määräytymiskriteerit on harkittu tarkkaan, liiketoimintamalli huomioiden.
44. Sinänsä on selvää, että henkilötietojen kerääminen ja säilyttäminen voivat hyödyttää rekisterinpitäjän liiketoimintaa. Tapauksessa ei ole kuitenkaan tullut ilmi seikkoja, joiden perusteella seuraamuskollegion tulisi antaa merkitystä raskauttavana seikkana rekisterinpitäjän liiketoiminnassaan saamalle taloudelliselle edulle.
45. Seuraamuskollegio katsoo, ettei myöskään muita tapaukseen sovellettavia raskauttavia tai lieventäviä tekijöitä ei ole osoitettavissa.
Hallinnollisen seuraamusmaksun määräämistä koskevan päätöksen ovat tehneet tietosuojavaltuutetun toimiston seuraamuskollegion jäsenet
Tietosuojavaltuutettu Anu Talus
Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa
Apulaistietosuojavaltuutettu Annina Hautala
Sovelletut lainkohdat
Perusteluissa mainitut.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan apulaistietosuojavaltuutetun ja seuraamuskollegion päätöksiin voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätökset annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Lisätietoja päätöksistä rekisterinpitäjälle antaa asian esittelijä
Ylitarkastaja Niina Miettinen, puh. 029 566 677
Päätös ei ole lainvoimainen.