@S_Etukortti lupasi poistaa vanhat tiedot

11.11.2014

Yritykset tallentavat asiakkaistaan tarkkoja henkilörekisterejä. Usein tietoja tallennetaan enemmän kuin on tarkoituksenmukaista. Tällä kertaa keskustelua vanhojen tietojen poistamisesta käytiin S-ryhmän kanssa.

S-ryhmä toteuttaa esimerkillisesti tarkastuspalvelun, jolla rekisteröity voi käyttää oikeuttaan tarkastaa häntä koskevat henkilörekisteriin tallennetut tiedot. Henkilötietolain takaama oikeus maksuttomaan tietojen tarkistamiseen toteutuu monessa muussa rekisterissä hankalasti ja usein vain kerran vuodessa. S-ryhmän tarkastuspalvelun avulla omien tietojen tarkastaminen onnistuu verkkopalvelusta linkin klikkauksella vain pienellä viiveellä.

Tein tietopyynnön itseäni koskevista tiedoista jo keväällä ennen uuden palvelun käyttöönottoa. Ilmeni, että S-ryhmän asiakasomistaja- ja asiakasrekisterissä oli edelleen tallennettuna minua koskevia tietoja yli kymmenen vuoden takaa. Tiedoissa oli mm. vanhoja asunto-osoitteita ja tietoja rinnakkaiskorttien haltijoista.

Tiedustelin S-ryhmän asiakaspalvelusta perustetta näin vanhojen tietojen säilyttämiseen. Minulle vastattiin ylimalkaisesti velvoitteen tietojen säilyttämiseen seuraavan osuuskuntalaista. Lain mukaan tietoja pitäisi S-ryhmän mukaan säilyttää määräaika jäsenyyden päättymisestä. Minun jäsenyyteni kyseisessä osuuskaupassa oli päättynyt yli kymmenen vuotta aiemmin. Perustelu ei kestä tarkastelua, sillä en löytänyt osuuskuntalaista kyseistä velvoitetta. Kirjanpitolakikin rajoittaa tositteiden säilytysvelvoitteen kuuteen vuoteen.

En hyvällä yrittämiselläkään S-ryhmän rekisteriselostetta lukiessa osannut kuvitella, millä edellytyksellä näin vanhoja minua koskevia tietoja käsitellään. Tietojen käsittelyn eräs tyypillisesti viitattu tarkoitus on markkinointi sekä liiketoiminnan suunnittelu ja kehittäminen. Kaukaa hakien voisi ajatella, että vanhoja ostotietoja säilyttämällä voitaisiin piirrellä trendikäyriä ja yrittää päätellä, miten yksittäisen kuluttajan ostotottumukset kehittyvät ajan kuluessa. En silti ymmärrä, miksi tällaiset tiedot pitäisi pystyä kytkemään tiettyyn kuluttajaan. Toisaalta, olisi pelottavaa, jos näin tarkkaa profilointia edes suunniteltaisiin.

Tarkensin kysymystäni ja sain vastaani viikkoja kestäneen hiljaisuuden muurin.

Noin neljän viikon kuluttua sain vastauksen, jossa ystävällinen henkilö S-ryhmän asiakasomistajapalvelusta vastasi, että minua koskevat tiedot poistetaan kuukauden sisällä. Viesti oli lyhyt ja en saanut vastauksia kysymyksiini tietojen pitkistä säilytysajoista. Minulle kerrottiin, että tietojen poistamisen kattavaa automatiikkaa kehitetään, mikä sinällään huojensi huoltani.

Silti lupaus tietojeni kertaluontoisesta poistamisesta jätti kysymyksiä. Kuinka vanhoja tietoja muista asiakkaista säilytetään? Jos minun tietoihini oli kytketty myös muiden henkilöiden (rinnakkaiskorttien haltijat) tietoja, näkyykö minun tietojani muiden henkilöiden listauksissa? Onko henkilötietojen käsittelyn suunnittelu ollut perusteellista, jos näin perustavanlaatuista asiaa ei oltu suunniteltu? Miksi kysymykseen vastaamisessa kesti viikkoja?

Todennäköistä on, että juuri yksikään yritys ei poista rekistereistään vanhoja henkilötietoja säännönmukaisesti ja suunnitellusti. En muista nähneeni yhdessäkään rekisteriselosteessa kerrottavan, kuinka pitkään tietoja säilytetään. Tietosuojavaltuutetun ohjeissa tietosuoja- ja rekisteriselosteesta sellaista ei vaaditakaan. Henkilötietolain vaatimukset ovat kuitenkin minimi. Rekisterinpitäjä voi oma-aloitteisesti kertoa laajemmin käytänteistään henkilötietojen käsitttelyssä.

Euroopan komissio uutisoi 12 maaliskuuta 2014 Euroopan Parlamentin sementoineen tukensa komission henkilötietojen suojan uudistukselle. Kolmas uudistuksen neljästä pilarista on oikeus unohtua ja oikeus henkilötietojen poistamiseen. Henkilöllä on oikeus pyytää tietojen poistamista, jos niiden käsittelylle ei ole oikeutettua perustetta.

Jo nyt Suomessa voimassa olevassa henkilötietolaissa on esitetty tarkoituksenmukaisuuden käsite. Henkilötietoja voi käsitellä vain, jos sille löytyy henkilötietolain mukainen edellytys ja jos käsittely on rekisterille määritetyn käyttötarkoituksen mukaista.

S-ryhmän tapauksessa minua koskevien tietojen käsittelylle ei löytynyt edellytystä tai tarkoitusta, joten tiedot oli poistettava.

Olen jo jatkanut projektia vanhojen tietojen poistamisessa ja pyytänyt tietoa minua koskevista tiedoista Keskon asiakasrekisteristä. Jouduin tekemään pyynnön kirjeitse. Jo reilu kaksi viikkoa on kulunut ja mitään vastausta ei ole kuulunut.

Seuraavaksi mielenkiinnon kohteeksi sopisi vaikkapa teleoperaattorit. Minua koskevia tietoja on valtavan monessa rekisterissä. Tuskin edes tiedän, missä kaikkialla tietojani käsitellään, vaikka henkilötietolaissa rekisterinpitäjiä on velvoitettu informointiin.