Verkkokaupan asiakastili – velvoite vai valinta?

Verkkokaupoissa vierailevia pyydetään usein luomaan tili, ennen kuin ostosten tekeminen on mahdollista. Kuluttaja saattaa pitää tätä turhauttavana ja harkita ostosten jättämistä sikseen. Mutta tilin pakollinen luominen ei liity pelkästään asiakaskokemukseen – se on myös tietosuojakysymys.

Euroopan tietosuojaneuvosto (EDPB) on ottanut asiaan kantaa julkaisemalla suositukset (2/2025), joissa selvennetään, millä edellytyksillä verkkokauppa voi vaatia asiakastaan luomaan tilin ennen ostoksen tekemistä. Vaikka lopullinen versio voi vielä tarkentua, suunta on selvä – EDPB näkee pakolliset käyttäjätilit monessa tapauksessa ongelmallisina tietosuojan näkökulmasta.

Miksi pakolliset tilit huolestuttavat?

EDPB arvioi, että tilin luominen voi johtaa henkilötietojen keräämiseen ja käsittelyyn sekä lisääntyneisiin yksityisyys- ja turvallisuusriskeihin.

Ensinnäkin tilin luomisprosessissa henkilöt tunnistetaan ostosten tekemistä varten. Tämä voi johtaa siihen, että henkilöistä kerätään muitakin kuin kaupan tekemisen kannalta välttämättömiä tietoja. Esimerkiksi jotkut verkkosivustot näyttävät käyttäjän profiilin keskeneräisenä kannustaakseen asiakasta täyttämään lisää henkilötietoja, kuten sukupuolen tai syntymäajan. Kauppias voi myös tuottaa tai päätellä uusia tietoja annettujen tietojen pohjalta.

Toiseksi asiakastiedot jäävät aktiiviseen tietokantaan pidemmäksi aikaa kuin oston suorittaminen vaatisi. Syntyy niin sanottuja orpotilejä, joita asiakas ei enää käytä, mutta jotka sisältävät edelleen henkilötietoja – ja muodostavat tietoturvariskin. Tarvetta pidempään säilytettävät henkilötiedot ovat herkempiä luvattomalle käytölle tai muille turvallisuusriskeille, koska hallinnoimattomat tai orvot tilit ovat alttiimpia esimerkiksi hyökkääjille.

Kolmanneksi käyttäjätili tekee mahdolliseksi selaushistorian linkittämisen henkilöön, mikä helpottaa kaupallista kohdentamista ja profilointia erityisesti eri ostokanavissa kerättyjä henkilötietoja yhdistämällä. Käyttäjien antamat henkilötiedot, kuten nimi ja yhteystiedot, ovat usein pysyviä ja niitä voidaan käyttää yksilöllisinä tunnisteina. Kerätyt tiedot luovat yksilöllisen sormenjäljen, jonka avulla verkkokauppiaat voivat linkittää useita verkkokäyttäjätilejä ja ymmärtää henkilöiden selaus- ja ostokäyttäytymistä.

Pakollisessa asiakastilin luomisessa ei siten ole kysymys pelkästään nimestä ja sähköpostista, vaan datan kumuloitumisesta ja asiakastietojen käyttämisestä tavalla, joka ei olisi mahdollista kertaluonteisen ostotapahtuman perusteella. EDPB pitää riskejä erityisen haitallisina silloin, kun henkilöillä ei ole muuta vaihtoehtoa käyttää tarjouksia tai tehdä ostoksia kuin asiakastilin luominen.

Mitä GDPR sanoo?

EU:n yleinen tietosuoja-asetus (GDPR) edellyttää, että jokaiselle henkilötietojen käsittelylle on oltava laillinen peruste. EDPB käy suosituksissaan läpi kolme yleisintä oikeusperustetta, joihin verkkokaupat tyypillisesti vetoavat pakollisen tilin yhteydessä.

Sopimuksen täytäntöönpano (artikla 6(1)(b))

Verkkokaupat perustelevat tavallisesti asiakastilin luomisen tarpeellisuutta sopimuksen täytäntöön panemisella. EDPB:n kanta on kuitenkin selvä: kertaluonteinen osto ei lähtökohtaisesti vaadi pakollista tiliä, vaan ostokset tulisi voida tehdä kertaluonteisena vierailijana.

EDPB katsoo, että tilauspalvelu tai jatkuva sopimussuhde voisi oikeuttaa pakollisen tilin, jos pitkäaikainen asiakassuhde sitä aidosti edellyttää. Eksklusiiviset tarjoukset voisivat olla peruste vaatia asiakastilin luomista vain aidosti suljetussa jäsenyhteisössä, kuten kutsupohjaisessa järjestelmässä tai osuuskunnassa. Sen sijaan ehdollinen ostaminen (esimerkiksi opiskelijahinnat) taas ei vaadi tiliä, sillä status voidaan todentaa muilla keinoin. Myöskään personoidut suositukset tai myynnin jälkeiset palvelut eivät edellytä käyttäjätiliä.

Lakisääteinen velvoite (artikla 6(1)(c))

Jotkut verkkokaupat perustelevat pakollista tiliä lain vaatimuksilla, kuten vero- ja kirjanpitovelvoitteilla. EDPB torjuu tämän perustee, sillä kirjanpitovelvoitteet rajoittuvat laskujen säilyttämiseen, eikä niiden täyttäminen edellytä asiakastilin olemassaoloa. Myöskään asiakkaan tunnistaminen GDPR:n mukaisten rekisteröityjen oikeuksien käyttämiseksi ei vaadi erillistä tiliä.

Oikeutettu etu (artikla 6(1)(f))

Kolmas tyypillinen peruste on rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu. Tilausten seuranta ja muokkaaminen, asiakasuskollisuuden vahvistaminen ja myöhempien tilausten helpottaminen eivät oikeuta vaatimaan asiakastilin luomista, jos tavoitteet voidaan saavuttaa vaihtoehtoisin tavoin, kuten sähköpostitse tai vierastilin kautta.

EDPB on arvioinut, että edellytykset sopimuksen täytäntöönpanon, lakisääteisen velvoitteen tai oikeutetun edun oikeusperusteeseen vetoamiselle täyttyvät harvoin, koska useimmiten tällainen asiakastilin luomiseen liittyvä tietojen kerääminen ja käsittely on tarpeetonta taustalla olevien tarkoitusten saavuttamiseksi. Tarkoitukset voitaisiin yleensä saavuttaa käyttämällä vähemmän tunkeilevia keinoja kuin tilin luomisen vaatimus.

Vieraskäyttö – EDPB:n suosittelema vaihtoehto

Vaatimus luoda asiakastili tarjousten käyttämiseksi tai ostoksen tekemiseksi ei täytä GDPR:ssä asetettuja laillisuusvaatimuksia, jos tilin luominen ei ole tarpeen kyseisten tarkoitusten saavuttamiseksi. EDBP on suosituksissaan arvioinut, että edellytykset lakisääteisen velvoitteen, sopimuksen täytäntöönpanon tai oikeutetun edun oikeusperusteeseen vetoamiselle täyttyvät harvoin. Useimmiten tällainen tilin luomiseen liittyvä käsittelytoiminta on tarpeetonta taustalla olevien käsittelytarkoitusten saavuttamiseksi, toisin sanoen tarkoitukset voitaisiin yleensä saavuttaa käyttämällä vähemmän tunkeilevia keinoja kuin tilin luomisen vaatimus.

EDPB arvioi, että mahdollisuus selata verkkosivustoa ja tehdä ostoksia vieraana näyttää olevan tehokkain tapa kerätä henkilötietoja laillisesti. Se myös edistää turvallisempaa verkkoympäristöä, joka on paremmin linjassa läpinäkyvyyden, tietojen minimoinnin sekä tietosuojan ja -turvan velvoitteiden kanssa. Vieraskäytön lisäksi myös vapaaehtoinen tili on hyväksyttävä vaihtoehto edellyttäen, että asiakastilin luominen on aidosti vapaaehtoista. Esimerkiksi lisäpalvelut, kuten tilaushistoria tai kanta-asiakasohjelma, voivat motivoida asiakasta luomaan tilin vapaaehtoisesti.

EDPB:n selkeä viesti on siten, että useimmissa tapauksissa henkilöille tulisi tarjota aito valinta: luo tili tai jatka vieraskäyttäjänä. EDPB pitää vieraskäyttöä yksityisyyden kannalta suotuisimpana vaihtoehtona.

Lopuksi

EDPB:n suositusten tarkoituksena on parantaa käyttäjien yksityisyyden suojaa verkkokaupoissa. Suositusten lopullinen versio voi tarkentua, mutta linja tuskin muuttuu olennaisesti: tietosuoja on suunniteltava osaksi palvelua, ei jälkikäteen lisättävä kerros.

Verkkokaupat, jotka reagoivat proaktiivisesti ja tarjoavat asiakkailleen aidot valinnanmahdollisuudet, eivät pelkästään noudata lakia – ne rakentavat samalla asiakasluottamusta ja vahvistavat brändiään. Henkilöt ovat yhä tietoisempia oikeuksistaan, ja läpinäkyvä tietojen käsittely on merkittävä kilpailuetu. Ne yritykset, jotka näkevät tietosuojan mahdollistajana rajoitteen sijaan, ovat tulevaisuudessa vahvimmassa asemassa.

Tarvitsetko apua verkkokauppasi tilikäytäntöjen arvioinnissa tai GDPR-vaatimustenmukaisuuden varmistamisessa? Tietosuojatiimillämme on laaja kokemus tietosuoja-asetuksen vaatimusten käytännön soveltamisesta eri toimialoilla.