Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en sanktionsavgift på 856 000 euro mot Verkkokauppa.com Oyj för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Dataombudsmannens byrå underrättats om att Verkkokauppa.com krävt att företagets kunder skulle skapa ett kundkonto för att kunna göra inköp online, även för engångsköp. Dataombudsmannens byrå bad Verkkokauppa.com att förklara varför de krävde att ett kundkonto skulle skapas, för vilka ändamål och hur länge de lagrade sina kunders personuppgifter.
När det gäller ändamålet med att skapa ett kundkonto klargjorde Verkkokauppa.com att behandlingen av kundernas personuppgifter var nödvändig för tillhandahållandet av tjänster och för fullgörandet av avtalet med kunden. Verkkokauppa.com hävdade att de genom kundkontot kunde identifiera den registrerade på ett tillförlitligt sätt, visa företagets ansvarsskyldighet och underlätta utövandet av den registrerades rättigheter. Eftersom företaget säljer långlivade enheter som kan ha mycket långa garanti- och ansvarsperioder för defekter, ligger det i kundernas intresse att ha tillgång till information och kvitton om sina onlineköp via kundkontot under hela kundrelationen.
När det gäller lagringstiden för uppgifterna uppgav Verkkokauppa.com att avtalsförhållandet var på obestämd tid och att det var kunden som bestämde hur länge uppgifterna skulle lagras. Verkkokauppa.com lagrade således personuppgifter tills kundkontot raderades på begäran av den registrerade.
På grundval av den information som lämnats av Verkkokauppa.com ansåg Dataombudsmannens byrå att behandlingen av personuppgifter i samband med ett enda onlineköp inte krävde att ett kundkonto skapades, eftersom det ledde till att personuppgifter lagrades under längre tid än nödvändigt. Därför kunde behandlingen av personuppgifter för att skapa och underhålla ett kundkonto inte anses vara nödvändig för att fullgöra ett avtal om köp online.
Dataombudsmannens byrå konstaterade vidare att Verkkokauppa.com avsiktligt lämnat lagringstiden för de personuppgifter som den behandlade för kundkonton helt obestämd och lämnat begränsningen av lagringstiden till kundens ansvar. Till följd av detta måste den registrerade begära radering av personuppgifterna i enlighet med artikel 17 GDPR. Dataombudsmannens byrå betonade att Verkkokauppa.com inte får överföra ansvaret för skyddet av personuppgifter till den registrerade. Lagring av personuppgifter kan inte motiveras av det faktum att den registrerade senare kan utöva sina rättigheter, såsom att begära radering av sina uppgifter.
På grundval av den insamlade informationen ansåg Dataombudsmannens byrå att Verkkokauppa.com brutit mot artikel 5.1 (e) GDPR och artikel 25.2 GDPR. Som ett resultat utfärdade Dataombudsmannens byrå en reprimand till Verkkokauppa.com, och förelade företaget att fastställa en rimlig lagringsperiod för sina kunduppgifter och att sluta kräva att kunderna skapar ett kundkonto för att kunna göra onlineköp.
Utöver reprimanden och föreläggandet utfärdades Verkkokauppa.com med 856 000 euro för underlåtenhet att fastställa lagringsperioden för sina kunduppgifter. Enligt Dataombudsmannens byrå var Verkkokauppa.com förfarande avsiktligt, långvarigt och påverkade ett stort antal registrerade.