Henkilötiedot ja tietosuojan lähtökohdat
Tietosuojavaltuutetun määrittelyn mukaisesti henkilötietoja ovat ”sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen”. Tällaisia ovat esimerkiksi nimi ja henkilötunnus, mutta myös muut mahdolliset tekijälle tunnusomaiset tiedot, kuten sähköposti- ja IP-osoite. (Lähde: https://tietosuoja.fi/mika-on-henkilotieto)
Tietosuojalla taas tarkoitetaan kuvattujen henkilötietojen suojaamista vääränlaiselta ja valtuudettomalta käytöltä. Tietosuojasäännösten yhtenä tarkoituksena on varmistaa, että kuluttajat voivat hallita omia henkilötietojaan ja että palveluja tarjoavat yritykset käsittelevät näitä tietoja turvallisesti ja vastuullisesti.
Henkilötietojen käsittelyä säätelevät tietosuojalaki sekä EU:n yleinen tietosuoja-asetus, tutummin GDPR (Lähde: https://tietosuoja.fi/tietosuojalaki). Suomessa kansallisena valvontaviranomaisena toimii itsenäinen ja riippumaton tietosuojavaltuutettu (Lähde: https://finlex.fi/fi/laki/ajantasa/2018/20181050#L3P8).
Tietosuojavaltuutetun päätös henkilötietojen säilyttämisestä
Tietosuojavaltuutetun toimiston 6.3.2024 antama päätös täsmentää GDPR:n säännöksiä henkilötietojen säilyttämisestä ja säilytysaikojen rajoittamisesta. Se on määrännyt Verkkokauppa.com Oyj:lle GDPR:n vastaisista toimintatavoista huomautuksen sekä 856 000 euron hallinnollisen seuraamusmaksun. (Lähde: https://tietosuoja.fi/-/verkkokauppa.comille-seuraamusmaksu-asiakastietojen-sailytysajan-maarittelematta-jattamisesta-myos-vaatimus-asiakkaan-rekisteroitymisesta-oli-lainvastainen)
Tietosuojavaltuutetun lausunnolla on kaksi merkittävää vaikutusta:
- Rekisterinpitäjän on asetettava määräajat asiakastietojensa säilytykselle.
- Ei siis riitä, että rekisterinpitäjä ilmoittaa säilyttävänsä tietoja “kunnes rekisteröity pyytää tietojensa poistamista” tai “niin kauan kuin ostotapahtuman toteuttamiseksi on välttämätöntä”, ilmoittamatta säilytysaikoja tai niiden määrittämiskriteereitä tämän tarkemmin. Rekisterinpitäjä ei siis voi myöskään perustella asiakastietojen säilyttämistä sillä, että asiakas voi itse milloin tahansa poistaa asiakastilinsä.
- Tämä tarkoittaa käytännössä sitä, että asiakastilin luomista ei voida jatkossa edellyttää, vaan asiakkaan tulee aina pystyä tilaamaan verkkokaupasta myös ilman rekisteröitymistä.
- Toisin sanoen, tietosuojan toteutuminen edellyttää, että organisaatioissa ymmärretään henkilötietojen säilyttämisen rajoittamisen merkitys, arvioidaan tämänhetkiset säilytyskäytännöt, tunnistetaan parannuskohteet ja suunnitellaan tarvittavat ja riittävät suojatoimet.
Tietosuojan asiantuntijat apuna
Tietosuoja on perusoikeus, joka kuuluu jokaiselle. Niinpä henkilötietojen käsittelyn on aina perustuttava lakiin. Lawderin välityksellä voit löytää tietosuojan huippuasiantuntijat, jotka neuvovat yrityksiä ja yhteisöjä EU:n yleisen tietosuoja-asetuksen ja tietosuojalain huomioimisessa.
Jos yritykselläsi on verkkokauppa tai muu henkilötietorekisteri, asiantuntijoidemme tekemä tietosuojatarkastus auttaa varmistamaan, että toimintatavat noudattavat GDPR:n vaatimuksia.
Lawderin virtuaalisessa aulassa vastaamme yritysten ja yhteisöjen kysymyksiin mm. tietosuojaan liittyen. Astu aulaan – neuvonta on maksuton (ark. 9-15)!
Eve Ahonen
Junior Data Protection Specialist
Lawder Oy
