Tietosuojavaltuutettu antoi Keskolle toukokuussa 2023 määräyksen siitä, että ostotiedot voidaan säilyttää vain niiden käyttötarkoitusta vastaavan ajan verran. Toukokuussa annettu määräys muuttui lainvoimaiseksi juuri ennen joulua eli 19.12.2023.
Tiedotteessa aiheeseen liittyen Tietosuojavaltuutettu toteaa seuraavaa:
Riskit nousevat, jos tietoja säilytetään pitkäaikaisesti. Ostotiedoista voidaan päätellä yksityiskohtaistakin tietoa henkilön elämäntilanteesta, elintavoista ja liikkumisesta. Käytännössä riskit voisivat konkretisoitua esimerkiksi mahdollisissa tietovuototilanteissa.
Yleisesti Tietosuojavaltuutetun toimiston kanta on se, että organisaatioilla on velvollisuus rajoittaa henkilötietojen säilyttämistä - ja että säilytysaikojen pitää olla lähtökohtaisesti niin lyhyitä kuin mahdollista.
Päätös vesittää samalla myös S-ryhmän aikeet siitä, että bonuskortin ostohistoria säilyisi käytännössä ikuisesti S-ryhmän hallussa. Ilta-sanomille annetussa haastattelussa S-ryhmä kertoo, että se ei ollut tietoinen Tietosuojavaltuutetun päätöksestä silloin kun ryhmä tiedotti bonusjärjestelmän säilytysaikojen muutoksista.
Hyvä päätös. Vuosien ostodatasta pystyy taitava datanpyörittelijä rekonstruoimaan melkein mitä tahansa.
Tulee mieleen se ikivanha keissi missä joku jenkkiläinen kauppaketju oli lähettänyt perheen tyttären ostokäytöksen perusteella tyyliin vaippamainoksia kotiin ennen kuin kukaan muu perheestä oli tiennyt raskaudesta mitään.
No äsken tuli tällainen sähköposti ja mielestäni tää on todella karmivaa, sekä tekee mieli jatkossa vaan välttää kyseistä liikettä.
En edes muistanut, että olin käyny passikuvassa tuolla.
S-ryhmä kertoo, että se ei ollut tietoinen Tietosuojavaltuutetun päätöksestä silloin kun ryhmä tiedotti bonusjärjestelmän säilytysaikojen muutoksista.
Joopajoo. Eiköhän tuokin konserni maksa sen verran monelle lakihenkilölle palkkaa, että tuommoisten pitäisi kyllä olla aivan täysin selvää. En tosin poissulkisi mahdollisuutta siitä, että joku pöhinäkerho on saanut loistoidean™ ja jättänyt lakipuolen konsultoimatta.
Noin muuten oman ostohistorian seuranta pidemmältä aikaa voisi olla ihan mielenkiintoistakin ja itse laiskana saattaisin jopa antaa nuo tiedot s-mafialle ihan vapaaehtoisesti, jos vaihtoehto siihen on olemassa ja käyttöehdot on edes suunnilleen järkeviä (l. dataa ei ainakaan myydä kolmansille osapuolille) ja datalle saa lisäarvoa jonkinmoisen analytiikan kautta. Ja tietysti vain jos suostumus pitää erikseen vahvalla tunnistautumisella antaa käyttöön (opt-in vs opt-out).