Henkilötietojen säilytys tietosuojavaltuutetun uusimman päätöksen valossa

Tietokone minkä päällä lukko
Tietokone minkä päällä lukko
Tietosuoja on perusoikeus, joka kuuluu jokaiselle. Niinpä henkilötietojen käsittelyn on aina perustuttava lakiin.

Henkilötiedot ja tietosuojan lähtökohdat

Tietosuojavaltuutetun määrittelyn mukaisesti henkilötietoja ovat ”sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen”. Tällaisia ovat esimerkiksi nimi ja henkilötunnus, mutta myös muut mahdolliset tekijälle tunnusomaiset tiedot, kuten sähköposti- ja IP-osoite. (Lähde: https://tietosuoja.fi/mika-on-henkilotieto)

Tietosuojalla taas tarkoitetaan kuvattujen henkilötietojen suojaamista vääränlaiselta ja valtuudettomalta käytöltä. Tietosuojasäännösten yhtenä tarkoituksena on varmistaa, että kuluttajat voivat hallita omia henkilötietojaan ja että palveluja tarjoavat yritykset käsittelevät näitä tietoja turvallisesti ja vastuullisesti.

Henkilötietojen käsittelyä säätelevät tietosuojalaki sekä EU:n yleinen tietosuoja-asetus, tutummin GDPR (Lähde: https://tietosuoja.fi/tietosuojalaki). Suomessa kansallisena valvontaviranomaisena toimii itsenäinen ja riippumaton tietosuojavaltuutettu (Lähde: https://finlex.fi/fi/laki/ajantasa/2018/20181050#L3P8).

Tietosuojavaltuutetun päätös henkilötietojen säilyttämisestä

Tietosuojavaltuutetun toimiston 6.3.2024 antama päätös täsmentää GDPR:n säännöksiä henkilötietojen säilyttämisestä ja säilytysaikojen rajoittamisesta. Se on määrännyt Verkkokauppa.com Oyj:lle GDPR:n vastaisista toimintatavoista huomautuksen sekä 856 000 euron hallinnollisen seuraamusmaksun. (Lähde: https://tietosuoja.fi/-/verkkokauppa.comille-seuraamusmaksu-asiakastietojen-sailytysajan-maarittelematta-jattamisesta-myos-vaatimus-asiakkaan-rekisteroitymisesta-oli-lainvastainen)

Tietosuojavaltuutetun lausunnolla on kaksi merkittävää vaikutusta:

  1. Rekisterinpitäjän on asetettava määräajat asiakastietojensa säilytykselle.
    • Ei siis riitä, että rekisterinpitäjä ilmoittaa säilyttävänsä tietoja “kunnes rekisteröity pyytää tietojensa poistamista” tai “niin kauan kuin ostotapahtuman toteuttamiseksi on välttämätöntä”, ilmoittamatta säilytysaikoja tai niiden määrittämiskriteereitä tämän tarkemmin. Rekisterinpitäjä ei siis voi myöskään perustella asiakastietojen säilyttämistä sillä, että asiakas voi itse milloin tahansa poistaa asiakastilinsä.
  2. Tämä tarkoittaa käytännössä sitä, että asiakastilin luomista ei voida jatkossa edellyttää, vaan asiakkaan tulee aina pystyä tilaamaan verkkokaupasta myös ilman rekisteröitymistä.
    • Toisin sanoen, tietosuojan toteutuminen edellyttää, että organisaatioissa ymmärretään henkilötietojen säilyttämisen rajoittamisen merkitys, arvioidaan tämänhetkiset säilytyskäytännöt, tunnistetaan parannuskohteet ja suunnitellaan tarvittavat ja riittävät suojatoimet.

Tietosuojan asiantuntijat apuna

Tietosuoja on perusoikeus, joka kuuluu jokaiselle. Niinpä henkilötietojen käsittelyn on aina perustuttava lakiin. Lawderin välityksellä voit löytää tietosuojan huippuasiantuntijat, jotka neuvovat yrityksiä ja yhteisöjä EU:n yleisen tietosuoja-asetuksen ja tietosuojalain huomioimisessa.

Jos yritykselläsi on verkkokauppa tai muu henkilötietorekisteri, asiantuntijoidemme tekemä tietosuojatarkastus auttaa varmistamaan, että toimintatavat noudattavat GDPR:n vaatimuksia.

Lawderin virtuaalisessa aulassa vastaamme yritysten ja yhteisöjen kysymyksiin mm. tietosuojaan liittyen. Astu aulaan – neuvonta on maksuton (ark. 9-15)! 

Eve Ahonen

Eve Ahonen
Junior Data Protection Specialist
Lawder Oy

LUE MYÖS

Kuvassa lukko ja avaimet turkoosilla taustalla
Blogi

Henkilöstön tietosuojatietoisuuden ylläpitäminen

Tietosuojalainsäädäntö velvoittaa kaikilta organisaatioilta riittävää tasoa henkilötietojen käsittelyssä sekä niihin kohdistuvien uhkien havainnoinnissa ja torjunnassa. Henkilöstön ohjeistus, koulutus ja koulutustason seuranta on olennainen osa tietosuoja-asetuksen mukaisia organisatorisia suojatoimia.

Lue lisää
Lääkärit pöydän äärellä tabletin ja tietokoneen kanssa
Blogi

EHDS ja tietosuoja – haasteet ja mahdolliset ratkaisut

Huhtikuussa 2024 Euroopan parlamentti hyväksyi uuden lakiehdotuksen Eurooppalaisesta terveysdata-avaruudesta (EHDS, European Health Data Space). Tämä asetus pyrkii tehostamaan terveystietojen vaihtoa ja saatavuutta Euroopan unionin sisällä, edistämällä terveysdatan käyttöä sekä potilashoitoon että tutkimukseen.

Lue lisää

Lawder on palvelu yrityksille ja yhteisöille

Voit esittää kysymyksesi Lawderin virtuaalisessa aulassa. Etsimme oikean asiantuntijan kuvaamaasi tarpeeseen. Neuvonta on maksutonta.