Global menu

Our global pages

Close

Asiakkaiden henkilötietojen käsittelyä koskevat säännökset

  • Finland
  • Other

21-01-2014

Kysymys

Mitä tietoja saamme asiakkaistamme kerätä? Saako tietoja kerätä myös sosiaalisen median palvelujen välityksellä?

Vastaus

Suvi-Tuulia Leppäkorpi, asianajaja, varatuomari, Asianajotoimisto Juridia Bützow Oy

Asiakkaiden henkilötietojen käsittelyä koskevat säännökset sisältyvät Suomessa pääasiassa henkilötietolakiin. Laki ei sisällä nimenomaisia säännöksiä siitä, mitä tietoja yritys saa omista asiakkaistaan kerätä. Tietojen keräämistä rajoittaa kuitenkin laissa säädetty ns. tarpeellisuusvaatimus, jonka nojalla käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia.

Käytännössä yritys voi kerätä asiakkaistaan tietoja, jotka ovat tarpeen asiakassuhteen hoitamiseksi. Yritys voi myös kerätä tietoja mahdollisten muiden ennalta määriteltyjen henkilötietojen käyttötarkoitusten toteuttamiseksi. Tietojen tulee olla asianmukaisia ja olennaisia, eivätkä ne saa olla suunniteltuun käyttötarkoitukseensa nähden liian laajoja. Viime kädessä yrityksen tulee pystyä esittämään perusteltu syy, miksi tietty tietotyyppi on asiakassuhteen hoitamiseksi tai muun määritellyn käyttötarkoituksen kannalta tarpeen. Esimerkiksi ompelijan voi olla perusteltua pitää asiakkaiden vaatekokotietokantaa palvelun toteuttamiseksi ja sujuvoittamiseksi.

Mikäli yrityksen asiakasrekisteriin on erehdyksessä talletettu tarpeettomia tietoja esimerkiksi asiakkuuden hoitamisen tai muiden ennalta määriteltyjen henkilötietojen käsittelyn tarkoitusten kannalta, yrityksen on oma-aloitteisesti asian huomatessaan tai asiakkaan vaatimuksesta poistettava asiakasta koskeva tarpeeton henkilötieto asiakasrekisteristään.

Laki ei rajaa sitä, mistä tietolähteistä yritys voi tietoja kerätä. Nimenomaista kieltoa olla keräämättä henkilötietoja esimerkiksi sosiaalisen median palvelun välityksellä ei ole, kunhan yritys ei sitäkään kautta kerää asiakkaistaan tarpeettomia tietoja. Lisäksi on huomioitava, että yrityksen tulee henkilötietojen käsittelyn suunnittelua koskevien velvoitteiden mukaisesti etukäteen määritellä, mistä henkilötiedot säännönmukaisesti hankitaan. Tyypillisesti henkilötietojen keräämisen säännönmukaiset tietolähteet mainitaan myös rekisteriselosteessa, joka jokaisen yrityksen tulee asiakasrekisteristään laatia ja pitää saatavilla.

Laissa säädetään myös ns. informointivelvoitteesta, jonka mukaan yrityksen on huolehdittava siitä, että asiakas voi saada tiedon mm. rekisterinpitäjästä ja henkilötietojen käsittelyn tarkoituksesta. Tiedot on lain mukaan annettava henkilötietoja kerättäessä ja talletettaessa, mikä on syytä ottaa huomioon, mikäli tietoja kerätään erilaisissa sosiaalisen median palveluissa. Yrityksen tulee siis huolehtia informoinnin toteuttamisesta riippumatta siitä rajapinnasta, jossa yritys asiakastietoja kerää. Lain velvoitteiden lisäksi yrityksen on syytä huomioida sosiaalisen median palveluiden, kuten Facebookin, omat säännöt, jotka saattavat sisältää jopa Suomen lakia tiukempia edellytyksiä tietojen keräämiselle.

Mikäli yrityksessä syntyy epäselvyyttä siitä, ovatko asiakkaiden henkilötietojen käsittelyä koskevat yrityksen käytännöt lain mukaisia, on suositeltavaa tarvittaessa konsultoida henkilötietolainsäädännön asiantuntijaa asian varmistamiseksi. Mahdollista on, että EU:ssa parhaillaan valmisteltavana oleva henkilötietoasetus tulee jossain määrin muuttamaan nykyisiä Suomen henkilötietolain mukaan määräytyviä hyviä käytäntöjä. Todennäköisesti kuitenkin informointivelvollisuus ja tarpeellisuusvaatimus tulevat edelleen ainakin jossain muodossa säilymään tai jopa tiukentumaan.

Artikkeli on julkaistu MARK Suomen Markkinointiliitto ry:n verkkosivuilla 14.1.2014.

< Lisätietoja antaa