Search
Close this search box.

Finland: Kesko får reprimand för lagring av personuppgifter i samband med lojalitetsprogram

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) utfärdar en reprimand mot Kesko Oyj för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Dataskyddsombudsmannens byrå bett detaljhandelskedjan Kesko att förklara hur företaget behandlade och lagrade personuppgifter i samband med sitt lojalitetsprogram. Som svar på begäran klargjorde Kesko att företaget behandlade grundläggande kundinformation, såsom personens namn och kontaktinformation, samt uppgifter om köpbeteende. Beroende på situationen raderas informationen om kunden i slutet av kundrelationen eller anonymiseras senast 25 månader efter slutet av kundrelationen.

Kesko uppgav också att företaget behandlar inköpsuppgifter för affärsutveckling, tillhandahållande av förmåner och tjänster samt genomförande och inriktning av marknadsföring. Kesko betonade att ett omotiverat förbud mot eller en omotiverad begränsning av insamling och behandling av uppgifter som gynnar kunden skulle undergräva datadrivna innovationer och produktutveckling.

Dataskyddsombudsmannens byrå konstaterade att om lagringstiden för inköpsuppgifter knyts till kundförhållandets varaktighet har detta lett till att uppgifterna lagras i en form som möjliggör identifiering av den registrerade under potentiellt mycket långa perioder. En lagringsperiod som baseras på kundrelationens varaktighet kan därför leda till mycket lång lagring av inköpsuppgifterna.

Enligt Dataskyddsombudsmannens byrå kan dessutom en del av inköpsuppgifterna användas för att dra slutsatser om detaljerad information om personens livssituation, livsstil och rörelser. Inköpsuppgifter kan också indirekt avslöja personuppgifter som utgör känsliga personuppgifter i den mening som avses i artikel 9 GDPR, exempelvis genom att kunder hade möjlighet att samla lojalitetspoäng genom att använda vissa vårdtjänster.

Dataskyddsombudsmannens byrå ansåg därför att Kesko borde ha fastställt lagringstiden för inköpsuppgifter på en ändamålsspecifik grund och bedömt den separat från lagringstiden för andra personuppgifter som behövs för att hantera kundrelationen. Kesko borde även ha fastställt lagringsperioden för inköpsuppgifter redan innan någon behandling av personuppgifter påbörjades, eftersom de registrerade måste informeras om lagringsperioden när personuppgifter samlas in i enlighet med artikel 13.2 (a) GDPR.

På grundval av den insamlade informationen ansåg Dataskyddsombudsmannens byrå att Kesko brutit mot artikel 5.1 (e) GDPR, artikel 25.1 GDPR och artikel 25.2 GDPR, eftersom lagringsperioden för inköpsuppgifter som var kopplade till kundrelationens varaktighet inte var nödvändig för de ändamål för vilka Kesko behandlade personuppgifterna. Vidare betonade Dataskyddsombudsmannens byrå att i enlighet med regeln om dataskydd som standard (Privacy by Default) borde Kesko ha säkerställt att en registrerad skulle ha möjlighet att påverka nivån på insamlingen av sina personuppgifter från början, till exempel genom att välja i registreringsformuläret vilken nivå av datainsamling de vill ha.

Till följd av detta utfärdade Dataskyddsombudsmannens byrå en reprimand till Kesko i enlighet med artikel 58.2 (b) GDPR. I enlighet med artikel 58.2 (d) GDPR beordrade Dataskyddsombudsmannens byrå också Kesko att definiera en lagringsperiod för inköpsdata i enlighet med användningsändamålet och att radera eller anonymisera inköpsdata som är äldre än den definierade lagringsperioden.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 5 GDPR, art. 9 GDPR, art. 13 GDPR, art. 25 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: N/A

Mottagare: Kesko Oyj

Beslutsnummer: 3831/161/21

Beslutsdatum: 2023-05-30

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.