Sisältöön

Tapaus Verkkokauppa.com - SecMeter

Ohita valikko
Ohita valikko

Tapaus Verkkokauppa.com

Yritysturvallisuus > Tietosuoja
Ohita valikko
KHO:n Verkkokauppa.com ratkaisu


KHO:n (KHO 12.6.2026/1604) Verkkokauppa.com-ratkaisu ymmärrettiin julkisuudessa osittain väärin. Kyse ei ollut pakollisen rekisteröitymisen kiellosta.

Korkeimman hallinto-oikeuden (KHO) 12.6.2026 antama ratkaisu Verkkokauppa.comia koskevassa tietosuojatapauksessa on herättänyt paljon huomiota.

Uutisoinnissa korostui tieto siitä, että yhtiö joutuu maksamaan lähes 800 000 euron seuraamusmaksun GDPR-rikkomuksista. Moni otsikko antoi myös vaikutelman, että pakollinen asiakastilin luominen verkkokaupassa olisi todettu lainvastaiseksi. Varsinainen ratkaisu oli kuitenkin tätä kapeampi.
KHO rajasi asian henkilötietojen säilyttämiseen
KHO totesi päätöksessään, että asiassa ei ollut ratkaistavana kysymys siitä, saako verkkokauppa edellyttää asiakkaalta rekisteröitymistä ostoksen tekemiseksi. Ratkaistavana oli yksinomaan se, oliko Verkkokauppa.comin tapa säilyttää asiakastileille kerättyjä henkilötietoja tietosuoja-asetuksen mukainen.

Myös tietosuojavaltuutettu oli korkeimmassa hallinto-oikeudessa todennut arvioineensa rekisteröitymisvaatimusta vain siltä osin kuin se vaikutti henkilötietojen säilyttämiseen.

Tämä tarkoittaa, ettei KHO ottanut kantaa siihen, onko pakollinen käyttäjätili verkkokaupassa sellaisenaan sallittu tai kielletty liiketoimintamalli.

Ongelma oli tietojen säilyttäminen käytännössä ikuisesti
Verkkokauppa.comin käytännön mukaan verkkokaupan käyttö edellytti asiakastilin luomista. Tilille kerättyjä henkilötietoja säilytettiin niin kauan kuin asiakkuus oli voimassa, ja asiakkuus päättyi käytännössä vasta silloin, kun asiakas itse pyysi tietojensa poistamista.

KHO:n mukaan yhtiö ei ollut määritellyt henkilötiedoille säilytysaikoja eikä niiden määrittämiskriteerejä tietosuoja-asetuksen edellyttämällä tavalla. Tietojen säilyttämisen päättyminen oli jätetty asiakkaan oman toiminnan varaan.

Tuomioistuimen mukaan GDPR:n keskeinen periaate on, että henkilötietoja säilytetään vain niin kauan kuin niiden käsittelyn tarkoitus edellyttää. Rekisterinpitäjän on itse arvioitava ja määriteltävä tämä aika tai ainakin ne perusteet, joilla säilytysaika määräytyy.

Asiakkuus ei yksin riittänyt perusteeksi
Verkkokauppa.com puolusti käytäntöään sillä, että kyse ei ollut pelkästä yksittäisestä ostotapahtumasta. Yhtiön mukaan asiakkuuteen liittyi useita palveluja, kuten takuukäsittely, kuittien säilytys, palautukset, vaihdot ja muut digitaalisen asiakkuuden ominaisuudet. Näin ollen tietojen säilyttämisen tuli olla sidoksissa asiakkuuden kestoon.

KHO ei kiistänyt sitä, että tällaiset palvelut voivat muodostaa hyväksyttävän käsittelytarkoituksen. Ongelmaksi muodostui kuitenkin se, että tietojen säilyttämistä ei ollut rajattu millään tavalla. Asiakastileille kerättyjä tietoja säilytettiin määräämättömän ajan, ellei asiakas itse ryhtynyt toimiin niiden poistamiseksi.

Ratkaisun ydin kiteytyy KHO:n toteamukseen, jonka mukaan henkilötietojen säilyttämisaikaa ei voida perustaa yksinomaan rekisteröidyn omaan toimimisvelvoitteeseen.

Merkittävä viesti koko verkkokauppa-alalle
Ratkaisun vaikutukset ulottuvat Verkkokauppa.comia laajemmalle. Monien yritysten tietosuojaselosteissa todetaan edelleen, että tietoja säilytetään "niin kauan kuin asiakkuus on voimassa". KHO:n ratkaisu viittaa siihen, ettei tällainen muotoilu välttämättä yksin riitä, jos asiakkuus voi jatkua käytännössä rajattomasti ilman aktiivista käyttöä.

GDPR vaatimus:
Yritysten on pystyttävä osoittamaan, miksi henkilötietojen säilyttäminen on edelleen tarpeellista, sekä määriteltävä säilytysajat tai niiden objektiiviset kriteerit. Pelkkä asiakkaan mahdollisuus pyytää tietojen poistamista ei täytä tietosuoja-asetuksen vaatimuksia.

GDPR 5 artikla 1 kohta e alakohta, säilytyksen rajoittaminen on keskeinen säännös. Henkilötiedot on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Tästä seuraa kaksi asiaa:

  1. yrityksen on tiedettävä, mikä käsittelyn tarkoitus on
  2. yrityksen on pystyttävä perustelemaan, miksi tietojen säilyttäminen on edelleen tarpeellista kyseisen tarkoituksen toteuttamiseksi.

GDPR 13 artikla 2 kohta a alakohta, säilytysajan ilmoittaminen. GDPR edellyttää, että rekisteröidylle kerrotaan henkilötietojen säilytysaika tai, jos se ei ole mahdollista, tämän ajan määrittämiskriteerit. Tästä seuraa vaatimuksena joko:

  1. ilmoittaa konkreettinen aika (esim. 5 vuotta), tai
  2. ilmoittaa objektiiviset kriteerit (esim. 2 vuotta viimeisestä kirjautumisesta, takuuajan päättymiseen asti jne.).

GDPR 25 artikla 2 kohta, oletusarvoinen tietosuoja. Tämä artikla velvoittaa rekisterinpitäjää toteuttamaan organisatoriset ja tekniset toimenpiteet, jotka rajoittavat myös säilytysaikaa. Eli yrityksen pitää itse rakentaa prosessit, joilla vanhat tiedot poistetaan tai anonymisoidaan.

GDPR 5 artikla 2 kohta, osoitusvelvollisuus (accountability). Tämä on usein aliarvostettu mutta erittäin tärkeä kohta. Rekisterinpitäjä vastaa siitä ja sen on pystyttävä osoittamaan, että 5 artiklan periaatteita on noudatettu. Pelkkä väite "säilytämme tietoja niin kauan kuin tarvitaan" ei riitä. Yrityksen pitää pystyä näyttämään:

  1. mikä tarkoitus on,
  2. kuinka kauan tietoja säilytetään,
  3. miksi juuri tämä aika on tarpeellinen.

Miksi asiakkaan poistopyyntö ei riitä?
Tämä ei itse asiassa lue GDPR:ssä sanasta sanaan, vaan KHO johtaa sen edellä mainituista artikloista. Ratkaisun keskeinen lause on: "Henkilötietojen säilyttämisaikaa ei tietojen minimoinnin, käyttötarkoitussidonnaisuuden ja säilytyksen rajoittamisen vaatimukset huomioon ottaen ole voitu perustaa yksinomaan rekisteröidyn omaan toimimisvelvoitteeseen."

Toisin sanoen "Säilytämme tietoja ikuisesti, kunnes asiakas pyytää poistamista." ei riitä. Asiakkaille on kerrottava, että säilytämme tietoja esimerkiksi 2 vuotta viimeisestä asioinnista, minkä jälkeen ne poistetaan automaattisesti, ellei lainsäädäntö tai aktiivinen asiakkuus edellytä pidempää säilytystä."

KHO:n ratkaisussa juuri tämä ero oli Verkkokauppa.comin kannalta ratkaiseva. Yritys oli siirtänyt vastuun säilytysajan päättymisestä asiakkaalle, vaikka GDPR:n mukaan vastuu kuuluu rekisterinpitäjälle.

Seuraamusmaksu jäi voimaan
KHO hylkäsi myös Verkkokauppa.comin vaatimuksen seuraamusmaksun poistamisesta tai alentamisesta. Hallinto-oikeus oli aiemmin alentanut tietosuojavaltuutetun määräämän 856 000 euron maksun 792 639 euroon yhtiön vuoden 2023 liikevaihdon perusteella.

Hallinto-oikeus katsoi rikkomuksen olleen pitkäaikainen, järjestelmällinen ja suurta määrää rekisteröityjä koskenut. KHO ei nähnyt perusteita muuttaa tätä arviota.
Ratkaisun todellinen merkitys

KHO:n päätöksen tärkein viesti ei ole se, että verkkokauppa ei voisi vaatia asiakastiliä. Sen sijaan tuomioistuin korostaa GDPR:n keskeistä periaatetta, henkilötietoja ei saa säilyttää määräämättömän ajan vain siksi, että käyttäjätili on olemassa.

Vastuu säilytysajan määrittelystä kuuluu rekisterinpitäjälle, ei asiakkaalle. Juuri tämän velvollisuuden Verkkokauppa.comin katsottiin laiminlyöneen.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön