KHO 12.6.2026/1604

Asia

Tietosuojaa koskeva valituslupahakemus ja valitus

Muutoksenhakija

Verkkokauppa.com Oyj

Päätös, jota muutoksenhaku koskee

Helsingin hallinto-oikeus 18.2.2025 nro 978/2025

Korkeimman hallinto-oikeuden ratkaisu

Korkein hallinto-oikeus myöntää Verkkokauppa.com Oyj:lle valitusluvan ja tutkii asian.

Tietosuojavaltuutetun vaatimus ennakkoratkaisun pyytämisestä unionin tuomioistuimelta hylätään.

Verkkokauppa.com Oyj:n valitus hylätään siltä osin kuin se koskee henkilötietojen säilyttämistä. Hallinto-oikeuden päätöksen lopputulosta ei tältä osin muuteta.

Valitus hylätään myös siltä osin kuin se koskee hallinnollista seuraamusmaksua. Hallinto-oikeuden päätöstä ei tältä osin muuteta.

Yhtiön vaatimus oikeudenkäyntikulujen korvaamisesta hylätään.

Asian tausta

Tietosuojavaltuutettu on päätöksessään 6.3.2024 katsonut, että Verkkokauppa.com Oyj:n (jäljempänä myös rekisterinpitäjä ja yhtiö) toimintatapa, joka on edellyttänyt asiakkaaksi rekisteröitymistä yksittäisostoksen tekemiseksi verkkokaupassa, ei ole ollut yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan ja 25 artiklan 2 kohdan mukainen. Menettely on johtanut siihen, että myös yksittäisostosten tekijöiden tietoja on säilytetty pidempään kuin kertaostoksen toteuttaminen olisi edellyttänyt. Rekisterinpitäjä ei ole määritellyt mainittujen säännösten edellyttämällä tavalla asiakastileille keräämilleen henkilötiedoille säilytysaikoja, vaan on säilyttänyt sanottuja henkilötietoja määräämättömän ajan, ellei rekisteröity ole pyytänyt tietojensa poistamista.

Tietosuojavaltuutettu on edellä mainituista syistä antanut rekisterinpitäjälle asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet tietosuojasääntelyn mukaisiksi sekä saman artiklan 2 kohdan b alakohdan mukaisen huomautuksen 1 kohdassa mainittujen säännösten rikkomisesta. Määräyksen nojalla rekisterinpitäjän tulee määritellä verkkokauppa-asiakkaiden henkilötiedoille yleisen tietosuoja-asetuksen edellytykset täyttävä säilytysaika sekä huolehtia siitä, että se muuttaa rikkomuksen perusteena olevaa toimintatapaansa. Rekisterinpitäjän tulee lisäksi poistaa tai anonymisoida tietosuoja-asetuksen edellytykset täyttäviä säilytysaikoja vanhemmat verkkokauppa-asiakkaiden henkilötiedot ilman aiheetonta viivytystä.

Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio on päätöksellään 6.3.2024 yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan ja 83 artiklan nojalla määrännyt rekisterinpitäjän maksamaan valtiolle 856 000 euron suuruisen hallinnollisen seuraamusmaksun verkkokauppa-asiakkaiden henkilötietojen säilytysajan asianmukaisen määrittelyn laiminlyönnistä.

Hallinto-oikeus on alentanut hallinnollisen seuraamusmaksun määrän 792 639 euroon ja hylännyt valituksen muilta osin oikeudenkäyntikulujen korvaamista koskevine vaatimuksineen.

Hallinto-oikeuden mukaan tietosuojavaltuutettu on voinut katsoa, että rekisterinpitäjän toimintatapa, joka on edellyttänyt asiakkaaksi rekisteröitymistä yksittäisostoksen tekemiseksi verkkokaupassa ja joka on johtanut siihen, että myös yksittäisostoksen tekijöiden henkilötietoja on säilytetty pidempään kuin kertaostoksen toteuttamiseksi olisi ollut tarpeen, ei ole ollut tietosuoja-asetuksen mukainen.

Rekisterinpitäjä ei ole saadun selvityksen mukaan määritellyt asiakkuuden nojalla säilytettäville henkilötiedoille lainkaan tietosuoja-asetuksen 13 artiklan 2 kohdan a alakohdan mukaista säilytysaikaa eikä säilytysajan määrittämiskriteereitä, vaan henkilötietoja on säilytetty, kunnes asiakas on pyytänyt asiakastilin poistamista. Rekisterinpitäjä on siten jättänyt henkilötietojen säilyttämisen päättymisen asiakkaan oman toiminnan varaan. Tietosuojavaltuutettu on siten voinut katsoa, että rekisterinpitäjä on rikkonut tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohtaa ja 25 artiklan 2 kohtaa, kun se ei ole määritellyt keräämiensä henkilötietojen käsittelyaikoja.

Asian ovat ratkaisseet hallinto-oikeuden jäsenet Jaana Moilanen, Jukka Reinikainen, joka on myös esitellyt asian, ja Liisa Selvenius-Hurme.

Vaatimukset korkeimmassa hallinto-oikeudessa

Verkkokauppa.com Oyj on pyytänyt valituslupaa ja vaatinut, että hallinto-oikeuden, tietosuojavaltuutetun ja seuraamuskollegion päätökset kumotaan. Toissijaisesti hallinnollista seuraamusmaksua on ainakin alennettava. Tietosuojavaltuutetun toimisto on velvoitettava korvaamaan yhtiön oikeudenkäyntikulut viivästyskorkoineen.

Tietosuojavaltuutettu on seuraamuskollegiota kuultuaan vaatinut, että valituslupahakemus ja valitus hylätään oikeudenkäyntikulujen korvaamista koskevine vaatimuksineen. Mikäli korkein hallinto-oikeus katsoo, että kysymys tietosuoja-asetuksen tulkinnasta on asiassa epäselvä, korkeimman hallinto-oikeuden tulee esittää ennakkoratkaisupyyntö unionin tuomioistuimelle.

Korkeimman hallinto-oikeuden ratkaisun perustelut

Henkilötietojen säilyttäminen

Ratkaisun lähtökohdat

Tietosuojavaltuutetun toimisto on sille tehdyn kantelun johdosta selvittänyt, onko Verkkokauppa.com Oyj:n menettely yleisen tietosuoja-asetuksen henkilötietojen säilyttämisaikoja koskevien säännösten mukaista. Tietosuojavaltuutetun päätöksen mukaan yhtiö ei ole määritellyt asiakastileilleen keräämilleen verkkokauppa-asiakkaiden henkilötiedoille säilytysaikoja, vaan se on säilyttänyt keräämiään henkilötietoja määräämättömän ajan, ellei rekisteröity ole itse pyytänyt tietojensa poistamista.

Hallinto-oikeuden päätöksen mukaan tietosuojavaltuutetun päätöksestä ei ilmene, että siinä olisi katsottu yhtiön toimintatapa, jossa edellytetään asiakkaaksi rekisteröitymistä yksittäisostoksen tekemiseksi verkkokaupassa, sellaisenaan tietosuoja-asetuksen tai muun tietosuojasääntelyn vastaiseksi. Hallinto-oikeus on siten arvioinut yhtiön toimintatavan lainmukaisuuden vain siltä osin, onko se johtanut henkilötietojen säilytysajan suhteen lainvastaiseen tilanteeseen.

Yhtiön mukaan korkeimman hallinto-oikeuden arvioitavana on ainoastaan se, onko yhtiön liiketoimintamalli johtanut henkilötietojen säilytysajan suhteen tietosuoja-asetuksen vastaiseen tilanteeseen, kun se on sitonut säilytysajat asiakkuuden kestoon.

Tietosuojavaltuutettu on korkeimmassa hallinto-oikeudessa todennut arvioineensa asiakkaaksi rekisteröitymistä koskevaa kysymystä vain rajatusti siltä osin kuin kyseinen menettelytapa johtaa henkilötietojen pidempiaikaiseen säilyttämiseen kuin yksittäisostoksen toteuttaminen edellyttäisi.

Asiassa on korkeimmassa hallinto-oikeudessa edellä sanotut lähtökohdat ja osapuolten yhdenmukainen käsitys huomioon ottaen ratkaistavana yksinomaan kysymys siitä, onko yhtiön menettely ollut tietosuoja-asetuksen vastaista asiakastileille kerättyjen henkilötietojen säilyttämisen osalta.

Ennakkoratkaisupyynnön tekemistä koskeva vaatimus

Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklan mukaan unionin tuomioistuimella on toimivalta antaa ennakkoratkaisu muun ohella perussopimuksen ja unionin toimielimen säädöksen tulkinnasta. Jos tällainen kysymys tulee esille sellaisessa kansallisessa tuomioistuimessa käsiteltävänä olevassa asiassa, jonka päätöksiin ei kansallisen lainsäädännön mukaan saa hakea muutosta, tämän tuomioistuimen on saatettava kysymys unionin tuomioistuimen käsiteltäväksi. Korkein hallinto-oikeus käyttää Suomessa ylintä tuomiovaltaa hallintolainkäyttöasioissa.

Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että velvollisuutta tehdä Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklassa tarkoitettu ennakkoratkaisupyyntö ei kuitenkaan ole silloin, jos kansallisessa tuomioistuimessa ei esiinny todellista epäilyä unionin tuomioistuimen olemassa olevan oikeuskäytännön soveltamismahdollisuudesta asiaan tai jos on täysin selvää, miten unionin oikeutta on kyseisessä tilanteessa asianmukaisesti sovellettava.

Kun otetaan huomioon edellä todetut asian ratkaisemisen lähtökohdat ja ne perusteet, joilla korkein hallinto-oikeus on ratkaissut asian, asiassa ei ole tullut esille sellaista kysymystä, jonka johdosta ennakkoratkaisupyynnön esittäminen olisi edellä mainittu huomioon ottaen tarpeen.

Sovellettavat oikeusohjeet

Yleinen tietosuoja-asetus

Yleisen tietosuoja-asetuksen (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) 5 artiklan 1 kohdan mukaan henkilötietojen suhteen on noudatettava muun ohella seuraavia vaatimuksia: b) ne on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla; myöhempää käsittelyä yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten ei katsota 89 artiklan 1 kohdan mukaisesti yhteensopimattomaksi alkuperäisten tarkoitusten kanssa (”käyttötarkoitussidonnaisuus”); c) niiden on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään (”tietojen minimointi”); e) ne on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten; henkilötietoja voidaan säilyttää pidempiä aikoja, jos henkilötietoja käsitellään ainoastaan yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti edellyttäen, että tässä asetuksessa vaaditut asianmukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi (”säilytyksen rajoittaminen”).

Saman artiklan 2 kohdan mukaan rekisterinpitäjä vastaa siitä, ja sen on pystyttävä osoittamaan se, että 1 kohtaa on noudatettu (”osoitusvelvollisuus”).

Asetuksen 13 artiklan 2 kohdan mukaan edellä 1 kohdassa tarkoitettujen tietojen lisäksi rekisterinpitäjän on silloin, kun henkilötietoja saadaan, toimitettava rekisteröidylle muun ohella seuraavat lisätiedot, jotka ovat tarpeen asianmukaisen ja läpinäkyvän käsittelyn takaamiseksi: a) henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit.

Asetuksen 25 artiklan 2 kohdan mukaan rekisterinpitäjän on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä velvollisuus koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. Näiden toimenpiteiden avulla on varmistettava etenkin se, että henkilötietoja oletusarvoisesti ei saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Asetuksen johdanto-osan 39 perustelukappaleessa on todettu muun ohella, että varsinkin henkilötietojen käsittelyn tarkoitusten olisi oltava nimenomaisia ja laillisia ja ne olisi määriteltävä henkilötietojen keruun yhteydessä. Henkilötietojen olisi oltava riittäviä ja olennaisia sekä rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että varmistetaan, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Henkilötietoja olisi käsiteltävä vain, jos käsittelyn tarkoitusta ei voida kohtuullisesti saavuttaa muilla keinoin. Rekisterinpitäjän olisi asetettava määräajat henkilötietojen poistoa tai niiden säilyttämisen tarpeellisuuden määräaikaistarkastelua varten, jotta voidaan varmistaa, ettei henkilötietoja säilytetä pidempään kuin on tarpeen.

Euroopan unionin perusoikeuskirja

Euroopan unionin perusoikeuskirjan 8 artiklan 1 kappaleen mukaan jokaisella on oikeus henkilötietojensa suojaan. Toisen kappaleen mukaan tällaisten tietojen käsittelyn on oltava asianmukaista ja sen on tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty, ja saada ne oikaistuksi.

Perusoikeuskirjan 16 artiklan mukaan elinkeinovapaus tunnustetaan unionin oikeuden sekä kansallisten lainsäädäntöjen ja käytäntöjen mukaisesti.

Osapuolten keskeiset kannat

Verkkokauppa.com Oyj säilyttää tietosuojavaltuutetun toimistolle antamiensa selvitysten mukaan asiakastilin rekisteröineiden asiakkaidensa tileille kerättyjä perustietoja (nimi, sähköpostiosoite ja puhelinnumero) sekä mahdollisia tilauksia koskevia tietoja ja asiakkaan aktiivista osoitetietoa koko asiakkuuden ajan. Yhtiö poistaa asiakastilille kerätyt henkilötiedot ja sulkee asiakastilin, mikäli asiakas pyytää tietojensa poistamista.

Tietosuojavaltuutettu on päätöksessään katsonut yhtiön käsitelleen henkilötietoja verkkokauppaostamisen toteuttamistarkoituksessa. Yhtiön toimintatapa, joka edellyttää asiakastilin luomista verkkokauppaostoksen tekemiseksi, on johtanut henkilötietojen tarpeettomaan säilyttämiseen ja siihen, että henkilötietojen säilytysajasta muodostuu pidempi kuin yksittäisen verkkokauppatilauksen käsittelemiseksi olisi tietosuoja-asetuksen säännösten mukaan perusteltua. Yhtiö ei ole määritellyt asiakastililleen keräämilleen henkilötiedoille säilytysaikoja, vaan on säilyttänyt niitä määräämättömän ajan, ellei rekisteröity ole pyytänyt tietojensa poistamista.

Verkkokauppa.com Oyj on esittänyt, ettei tietojen säilyttämisen tarpeellisuutta voida arvioida yksittäisen tilauksen näkökulmasta, vaan merkityksellistä on yhtiön tarjoaman palvelun luonne, johon kuuluvat verkkokauppaostamisen lisäksi digitaalisen alustan kautta tarjottavat muut asiakkuuteen liittyvät palvelut. Koska asiakkaaksi rekisteröitymisen vaatimusta ei ole sellaisenaan pidetty tietosuoja-asetuksen vastaisena, tulee myös henkilötietojen käsittely tätä tarkoitusta varten katsoa sallituksi ja yhtiön tulee voida sitoa tietojen säilytysaika asiakkuuden kestoon.

Tietosuoja-asetus ei yhtiön mukaan edellytä kiinteiden enimmäisaikojen määrittämistä. Tietosuojavaltuutetun antamalla määräyksellä puututaan yhtiön elinkeinovapauden suojaamaan lailliseen liiketoimintaan. Tietosuojavaltuutetun päätöksen pysyttäminen estäisi sitä tarjoamasta digitaalista palvelukonseptiaan nykyisessä ja sen itse valitsemassa muodossa.

Oikeudellinen arviointi ja johtopäätös

Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdasta ilmenevä henkilötietojen säilyttämisen rajoittaminen merkitsee, ettei tietoja saa säilyttää pidempään kuin niiden käyttötarkoitus edellyttää. Oletusarvoista tietosuojaa koskeva 25 artiklan 2 kohta puolestaan velvoittaa rekisterinpitäjää toteuttamaan tarvittavat toimenpiteet säilytysajan rajoittamisen varmistamiseksi.

Rekisterinpitäjän tulee asetuksen 13 artiklan 2 kohdan a alakohdan mukaisesti ilmoittaa rekisteröidylle tiedot henkilötietojen säilytysajasta tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit.

Korkein hallinto-oikeus toteaa, että yhtiöllä on ollut edellä mainittujen säännösten nojalla ennen käsittelyn aloittamista velvollisuus määrittää keräämilleen henkilötiedoille säilytysajat tai niiden määrittämiskriteerit, joilla varmistetaan, ettei tietoja säilytetä pidempään kuin on tarpeen käsittelyn tarkoituksen toteuttamiseksi.

Yhtiö on selvityksensä mukaan säilyttänyt henkilötietoja siihen saakka, kunnes asiakas on itse pyytänyt tietojensa poistamista. Se ei siten ole ennakkoon määritellyt henkilötiedoille säilytysaikaa. Yhtiö on kuitenkin katsonut huolehtineensa velvoitteistaan, koska henkilötietojen säilytysajat on määritelty ennalta siten, että ne ovat sidoksissa asiakkuuden kestoon. Asiassa on siten arvioitava, onko yhtiöllä ollut henkilötietojen käyttötarkoitus huomioon ottaen perusteet säilyttää tietoja niin kauan, kunnes asiakas itse lopettaa asiakkuuden.

Yhtiö harjoittaa vähittäiskauppaa sekä myymälässä että verkkokaupassa. Verkkokaupasta tilaaminen edellyttää asiakastilin luomista. Asiakastileille tilauksen tekemisen yhteydessä kerättäviä henkilötietoja on säilytetty asiakkuuden perustietojen tapaan niin kauan, kunnes asiakas on itse pyytänyt tietojen poistamista. Yhtiö on esittänyt käsittelevänsä asiakastilille talletettavia tietoja asiakkuussuhteen ylläpitämiseksi, mihin kuuluvat tilausten käsittelyn ja toimittamisen lisäksi muun muassa takuiden ja kuittien ylläpito sekä palautus- ja vaihtopalvelut.

Tietosuoja-asetuksen johdanto-osassa on todettu, että henkilötietojen rajoittaminen niiden käsittelyn tarkoitusten kannalta välttämättömään edellyttää erityisesti sen varmistamista, että henkilötietojen säilytysaika on mahdollisimman lyhyt (39 perustelukappale).

Saadun selvityksen perusteella asiakastileille kerättyjä henkilötietoja on säilytetty määräämättömän ajan, ellei asiakas ole itse pyytänyt tietojen poistamista. Tietojen säilyttämisen ei siten voida katsoa lähtökohtaisestikaan perustuneen tietosuoja-asetuksen edellyttämällä tavalla rekisterinpitäjän arvioon siitä, mikä on ollut tietojen käsittelyn tarkoituksen kannalta välttämätöntä.

Yhtiön menettely, jossa asiakastileille kerättyjä henkilötietoja on säilytetty edellä kuvatuin tavoin, on tosiasiassa johtanut siihen, että tietoja on säilytetty pidempään kuin yhtiön ilmoittaman käyttötarkoituksen mukainen tarve olisi edellyttänyt. Henkilötietojen säilyttämisaikaa ei tietojen minimoinnin, käyttötarkoitussidonnaisuuden ja säilytyksen rajoittamisen vaatimukset huomioon ottaen ole voitu perustaa yksinomaan rekisteröidyn omaan toimimisvelvoitteeseen.

Yhtiön edellä todettu menettely on näin ollen ollut tietosuoja-asetuksen henkilötietojen säilyttämistä koskevien säännösten vastaista. Lopputuloksen kannalta ei ole ratkaisevaa, onko kyse yksittäisen ostotapahtuman toteuttamiseksi kerätyistä henkilötiedoista vai muunlaiseen asiakkuuteen perustuvista henkilötiedoista, sillä henkilötietojen säilytys on ollut asiakkuuden kestosta ja luonteesta riippumatta tietosuoja-asetuksen vastaista.

Elinkeinovapaudella turvataan yritysten oikeutta harjoittaa valitsemaansa liiketoimintaa vapaasti tällaiselle toiminnalle asetettujen säännösten puitteissa. Tietosuoja-asetuksessa yrityksille rekisterinpitäjinä asetetuilla velvoitteilla suojataan erityisesti luonnollisten henkilöiden oikeutta henkilötietojen suojaan.

Tietosuoja-asetuksen mukaiset velvoitteet koskevat elinkeinonharjoittajia yleisesti. Tietosuojavaltuutettu on päätöksessään käyttänyt sille asetuksen mukaan kuuluvia toimivaltuuksia, joilla on puututtu yhtiön henkilötietojen säilyttämistä koskeviin rikkomuksiin. Tietosuojavaltuutetun asettamat velvoitteet eivät estä yhtiötä harjoittamasta elinkeinotoimintaa, eikä päätös merkitse elinkeinovapauden kiellettyä rajoittamista.

Tietosuojavaltuutettu on edellä todetun perusteella voinut antaa yhtiölle tietosuoja-asetuksen 58 artiklan 2 kohdan d alakohdan mukaisen määräyksen saattaa käsittelytoimet henkilötietojen säilyttämisen osalta asetuksen mukaisiksi sekä 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen asetuksen rikkomisesta. Tämän vuoksi ja kun otetaan huomioon korkeimmassa hallinto-oikeudessa esitetyt vaatimukset ja asiassa saatu selvitys, hallinto-oikeuden päätöksen lopputuloksen muuttamiseen ei tältä osin ole perusteita.

Hallinnollinen seuraamusmaksu

Korkeimmassa hallinto-oikeudessa esitetyt kannat

Verkkokauppa.com Oyj on katsonut, ettei seuraamusmaksu ole oikeasuhtainen seuraamus väitettyyn rikkomukseen nähden. Maksun perusteena oleva rikkomus on ollut tulkinnanvarainen, ja yhtiön toimintaan olisi siten tullut puuttua muilla korjaavilla toimivaltuuksilla kuten antamalla varoitus, huomautus tai määräys. Väitetty rikkomus ei ole muodostanut riskiä tai aiheuttanut vahinkoa rekisteröidyille. Yhtiön ei ole osoitettu menetelleen tuottamuksellisesti tai tahallisesti. Se, että yhtiö on tietoisesti valinnut asiakkaiden rekisteröitymistä edellyttävän liiketoimintamallin, ei osoita tietoista valintaa tietosuoja-asetuksen vaatimusten rikkomisesta. Vastaavalla tavalla harjoitetaan verkkokauppaliiketoimintaa myös kaikkialla muualla unionin alueella. Yhtiö on prosessin aikana pyrkinyt kehittämään henkilötietojen käsittelyä esimerkiksi poistamalla passiiviset asiakastilit. Se ei ole myöskään käsitellyt tai säilyttänyt henkilötietoja huolimattomasti eivätkä sen suojatoimet ole olleet riittämättömiä.

Maksun suuruudessa olisi tullut ottaa huomioon yhtiön markkinaolosuhteet sekä sen toimialaan vaikuttava geopoliittinen tilanne sekä makrotalouden suhdanne kuten inflaatiosta ja taantumasta seuranneet vaikutukset liikevaihtoon ja liiketulokseen.

Seuraamusmaksun suuruus ei ole samantasoinen muille yhtiöille määrättyjen maksujen kanssa. Maksu on euromäärältään ja suhteutettuna liikevaihtoon sekä erityisesti liikevoittoon poikkeuksellisen ankara.

Tietosuojavaltuutettu on todennut, että tietosuojavaltuutetun seuraamuskollegio on jo aiemmin määrännyt seuraamuksia asioissa, joissa on ollut kyse henkilötietojen säilyttämistä koskevien velvoitteiden laiminlyönnistä. Lisäksi seuraamusmaksuasioita koskeva yleiseurooppalainen linja on kehittynyt ensimmäisten seuraamusmaksupäätösten jälkeen. Tietosuoja-asetuksen sääntelyllä tavoitellaan samantasoisia seuraamusmaksuja sääntöjen rikkomisesta jäsenvaltioissa. Yhtiölle määrätty seuraamusmaksu lukeutuu pienimpien joukkoon liikevaihtoon suhteutettuna. Maksu on myös asetuksen mukainen enimmäismäärä huomioon ottaen maltillinen.

Hallinto-oikeuden soveltamat oikeusohjeet ja päätöksen keskeiset perustelut

Hallinto-oikeus on sovellettavina oikeusohjeina maininnut tietosuoja-asetuksen 58 artiklan (valtuudet) 2 kohdan i alakohdan ja 83 artiklan (hallinnollisten sakkojen määräämisen yleiset edellytykset) 1–5 kohdat.

Hallinto-oikeus on katsonut, että yhtiön tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan ja 25 artiklan 2 kohdan vastaisen toimintatavan vakavuutta osoittaa osaltaan se, että yhtiö on rekisterinpitäjänä jättänyt kokonaan määrittämättä säilytysajat ja jättänyt henkilötietojen poistamisen vaatimisen rekisteröidyn vastuulle. Rikkomus on ollut toistuvaa ja säännönmukaista ja kestänyt useita vuosia sekä koskenut huomattavaa määrää rekisteröityjä.

Hallinto-oikeus on todennut, ettei asetuksen rikkomista ole voitu pitää hetkellisenä eikä yksittäisestä virheestä johtuvana, vaan se on ilmentänyt välinpitämättömyyttä, mihin nähden menettely on voitu katsoa tahalliseksi tai tuottamukselliseksi. Rikkominen on ollut järjestelmällistä ja pitkäaikaista, koska yhtiön käytössä oleva verkkokaupan tilausjärjestelmä on ollut sellainen, ettei siinä ole ollut mahdollista tehdä yksittäistilausta ilman rekisteröintiä.

Yhtiö ei ole ryhtynyt myöskään riittäviin toimiin rekisteröidylle aiheutuneen vahingon lieventämiseksi ottaen muun muassa huomioon, että henkilötietojen säilyttäminen ja poistaminen on jäänyt seuraamuskollegion päätöksen jälkeen toteutettujen toimien myötä edelleen merkittävällä tavalla asiakkaan vastuulle.

Hallinto-oikeus on ottanut arvioinnissaan huomioon sen, ettei kyse ollut erityisiä henkilötietoryhmiä koskevasta käsittelystä eikä tiedossa ole ollut yhtiötä koskevia aiempia tietosuojasääntelyn rikkomisia.

Edellä kuvattuja seikkoja kokonaisuutena arvioiden hallinto-oikeus on katsonut, että yhtiön henkilötietojen käsittelyssä on niiden säilyttämisen osalta tapahtunut sellaisia laajamittaisia ja osin vakavia asetuksen rikkomuksia, että hallinnollisen seuraamusmaksun määräämistä on voitu pitää tehokkaana, oikeasuhtaisena ja varoittavana valvontakeinona.

Yhtiö oli esittänyt valitusvaiheessa selvitystä vuoden 2023 liikevaihdostaan. Tietosuojavaltuutettu oli hallinto-oikeudelle antamassaan lausunnossa katsonut, että seuraamusmaksun määrää on kyseisen selvityksen perusteella muutettava siten, että määrä alennetaan 792 639 euroon. Hallinto-oikeus on pitänyt kyseistä määrää oikeasuhtaisena, tehokkaana ja varoittavana puuttumisena rikkomuksiin.

Korkeimman hallinto-oikeuden johtopäätökset

Kun otetaan huomioon edellä ilmenevät hallinto-oikeuden päätöksen perustelut ja hallinto-oikeuden soveltamat oikeusohjeet sekä korkeimmassa hallinto-oikeudessa esitetyt vaatimukset ja asiassa saatu selvitys, hallinto-oikeuden päätöksen muuttamiseen ei tältä osin ole perusteita.

Oikeudenkäyntikulut

Asian näin päättyessä ja kun otetaan huomioon oikeudenkäynnistä hallintoasioissa annetun lain 95 §, Verkkokauppa.com Oyj:lle ei ole määrättävä maksettavaksi korvausta oikeudenkäyntikuluista korkeimmassa hallinto-oikeudessa.

Asian ovat ratkaisseet oikeusneuvokset Petri Helander, Taina Pyysaari, Monica Gullans, Toni Kaarresalo ja Emil Waris. Asian esittelijä Elina Ranz.