Sisältöön

Tapaus Gigantin emoyhtiö - SecMeter

Ohita valikko
Ohita valikko

Tapaus Gigantin emoyhtiö

Yritysturvallisuus > Tietosuoja
Ohita valikko
Gigantin emoyhtiölle miljoonasakot


Norjan tietosuojaviranomainen määräsi kesäkuun alussa elektroniikkajätti Elkjøpille 20 miljoonan Norjan kruunun eli noin 1,85 miljoonan euron hallinnollisen seuraamusmaksun. Päätös ei ole lainvoimainen.

Julkisuudessa ei ole toistaiseksi kerrottu, että Elkjøp olisi tehnyt päätöksestä valituksen, mutta yhtiöllä on mahdollisuus hakea muutosta Oslon käräjäoikeudessa (Oslo District Court).

Päätös koski yhtiön asiakasklubia, jonka jäseninä oli yli kuusi miljoonaa ihmistä Pohjoismaissa. Mukana olivat myös suomalaiset Gigantti-klubin asiakkaat.

Tapaus on yksi merkittävimmistä pohjoismaisista tietosuojaratkaisuista viime vuosina. Tapaus ei liittynyt tietomurtoon, hakkereihin tai vuotaneisiin asiakastietoihin. Sen sijaan viranomaisten huomio kohdistui siihen, millä perusteella henkilötietoja kerättiin, miten niitä käytettiin ja mitä asiakkaille kerrottiin.
Kyse ei ollut tietovuodosta vaan suostumuksesta
Norjan tietosuojaviranomainen katsoi, että Elkjøpin asiakasklubin suostumusmalli ei täyttänyt GDPR:n vaatimuksia. Asiakkaille ei kerrottu riittävän täsmällisesti kaikkia tarkoituksia, joihin heidän tietojaan käytettiin, eikä suostumus ollut riittävän yksilöity. Viranomaisen mukaan asiakkaat antoivat käytännössä yhden yleisen suostumuksen useisiin eri käyttötarkoituksiin.

Ratkaisussa korostettiin, että markkinointi, profilointi, analytiikka ja tietojen käyttö eri markkinointityökaluissa ovat GDPR:n näkökulmasta erillisiä tarkoituksia. Asiakkaan on voitava ymmärtää, mihin hän suostuu, ja antaa tarvittaessa erillinen suostumus eri käyttötarkoituksiin.

Tämä on merkittävä viesti kaikille kanta-asiakasohjelmia käyttäville yrityksille. Monissa järjestelmissä asiakas hyväksyy yhdellä rastilla pitkän listan erilaisia henkilötietojen käsittelytapoja, vaikka GDPR:n lähtökohta on tarkoitusten eriyttäminen.

Viranomaiset löysivät neljä erillistä rikkomusta
Suostumusongelma ei ollut ainoa havaittu puute. Viranomaisen mukaan Elkjøp käytti asiakastietoja myös uusiin markkinointitarkoituksiin ilman riittävää oikeusperustetta.

Yhtiö ei ollut dokumentoinut asianmukaisesti niin sanottua oikeutetun edun arviointia eräissä markkinointikäytännöissä. Asiakkaiden tietopyyntöihin vastaamisessa havaittiin myös merkittäviä viiveitä.

Erityisen vakavana pidettiin sitä, että osa asiakkaiden tietojen käytöstä liittyi niin sanottuun audience matching -toimintaan, jossa asiakastietoja hyödynnetään kohderyhmien muodostamiseen eri markkinointikanavissa. Viranomaisen mukaan tällainen uusi käyttötarkoitus ei voinut perustua alkuperäiseen suostumukseen.

Pohjoismainen tapaus, joka koskee myös Suomea
Koska Elkjøp Nordic toimii useissa maissa, asia käsiteltiin EU:n ja ETA-alueen rajat ylittävänä GDPR-tapauksena. Norjan tietosuojaviranomainen toimi johtavana valvojana, mutta myös Suomen, Ruotsin, Tanskan ja Islannin tietosuojaviranomaiset osallistuivat päätöksentekoon.

Tämä tarkoittaa käytännössä sitä, että ratkaisu ei ole vain norjalainen tulkinta. Tapaus heijastaa laajempaa eurooppalaista näkemystä siitä, miten asiakasklubien henkilötietoja saa käyttää.

Sakko olisi voinut olla paljon suurempi
Mielenkiintoinen yksityiskohta on sakon koko. GDPR sallii seuraamusmaksun, joka voi olla enintään 20 miljoonaa euroa tai neljä prosenttia konsernin maailmanlaajuisesta liikevaihdosta.

Elkjøpin tapauksessa viranomaiset laskivat seuraamusmaksun perusteeksi koko brittiläisen Currys-konsernin liikevaihdon, mikä olisi teoriassa mahdollistanut satojen miljoonien eurojen sakon. Lopullinen 20 miljoonan Norjan kruunun maksu jäi tästä huomattavasti pienemmäksi.

Ratkaisu osoittaa kuitenkin, että viranomaiset ovat valmiita määräämään merkittäviä seuraamuksia myös tilanteissa, joissa kyse ei ole tietomurrosta vaan henkilötietojen käyttötarkoitusten ja suostumusten puutteellisesta hallinnasta.

Osa laajempaa eurooppalaista kehitystä
Elkjøpin tapaus ei ole yksittäinen poikkeus. Euroopassa tietosuojaviranomaiset ovat viime vuosina kohdistaneet valvontaa erityisesti digitaaliseen markkinointiin, profilointiin ja henkilötietojen jakamiseen kolmansille osapuolille.

Norjassa tunnetuin esimerkki on Grindr-tapaus, jossa deittisovellus sai miljoonaluokan seuraamusmaksun käyttäjätietojen jakamisesta ilman pätevää suostumusta. Viranomaiset korostivat tuolloin samaa periaatetta kuin Elkjøpin tapauksessa, käyttäjälle on kerrottava selkeästi, mitä tietoja kerätään, mihin niitä käytetään ja kenelle niitä luovutetaan.

Myös Norjan tietosuojaviranomainen on viime vuosina lisännyt valvontaa verkkosivujen analytiikka- ja seurantatekniikoihin liittyen. Tarkastuksissa on havaittu useita tapauksia, joissa henkilötietoja on välitetty kolmansille osapuolille ilman asianmukaista oikeusperustetta tai riittävää informointia.

Mitä yritysten kannattaa tästä oppia?
Elkjøp-ratkaisun tärkein opetus on, että GDPR:n näkökulmasta ongelmaksi voi muodostua myös täysin laillisen liiketoiminnan yhteydessä tapahtuva henkilötietojen käyttö, jos käyttötarkoitukset eivät ole riittävän läpinäkyviä.

Yrityksen on pystyttävä osoittamaan:

  • mitä tietoja kerätään,
  • mihin tarkoitukseen niitä käytetään,
  • millä oikeusperusteella käsittely tapahtuu,
  • kenelle tietoja luovutetaan,
  • ja miten asiakkaan oikeudet toteutuvat käytännössä.

Pelkkä yleinen suostumus markkinointiin ei enää välttämättä riitä. Mitä monimutkaisemmaksi asiakasdatan hyödyntäminen muuttuu, sitä tarkemmin myös suostumusten ja käyttötarkoitusten on oltava määriteltyjä.

Elkjøpin tapaus osoittaa, että GDPR:n suurimmat riskit eivät nykyisin välttämättä liity tietomurtoihin. Yhä useammin viranomaisten huomio kohdistuu siihen, ymmärtääkö asiakas todella, mihin hänen tietojaan käytetään ja onko hänellä ollut aito mahdollisuus päättää siitä itse.

GDPR-säännökset, joihin Elkjøp-tapauksessa todennäköisesti viitattiin

Artikla 6 Käsittelyn lainmukaisuus
Henkilötietojen käsittelylle on oltava GDPR:n mukainen oikeusperuste. Julkisuudessa olleiden tietojen perusteella viranomaiset katsoivat, ettei kaikkia henkilötietojen käsittelytoimia voitu perustaa pätevään suostumukseen tai muuhun asianmukaiseen oikeusperusteeseen. GDPR:n mukaan henkilötietojen käsittely on lainmukaista vain, jos jokin artiklassa 6 luetelluista käsittelyperusteista täyttyy.

Artikla 7 Suostumuksen ehdot
Tapauksen keskeinen kysymys näyttää liittyneen suostumuksen pätevyyteen. GDPR edellyttää, että suostumus on:

  • vapaaehtoinen
  • yksilöity
  • tietoinen
  • yksiselitteinen

Jos rekisteröity ei saa riittävästi tietoa henkilötietojen käyttötarkoituksista, suostumusta ei voida pitää pätevänä.

Artiklat 12–14 Läpinäkyvyys ja informointi
Julkisuudessa olleiden tietojen mukaan asiakkaille ei kerrottu riittävän selkeästi:

  • mihin henkilötietoja käytettiin
  • mahdollisista tietojen vastaanottajista
  • henkilötietojen uusista käyttötarkoituksista

GDPR:n mukaan rekisteröidylle on annettava muun muassa tiedot:

  • käsittelyn tarkoituksista
  • käsittelyn oikeusperusteista
  • henkilötietojen vastaanottajista
  • henkilötietojen säilytysajoista tai niiden määräytymisperusteista

Artikla 21 Vastustamisoikeus
Jos henkilötietoja käytetään suoramarkkinointiin, rekisteröidyllä on oikeus vastustaa käsittelyä milloin tahansa.

Koska tapaus liittyi kanta-asiakasohjelmaan ja markkinointiin, myös tämä artikla on voinut olla arvioinnin kannalta merkityksellinen, vaikka julkisten tietojen perusteella ei voida varmuudella sanoa, että seuraamus olisi perustunut nimenomaan artiklan 21 rikkomiseen.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön