Postille seuraamusmaksu OmaPosti-palvelun tietosuojapuutteista
Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Postille 2,4 miljoonan euron seuraamusmaksun tietosuojasäännösten vastaisesta käytännöstä OmaPosti-palvelussa. Posti oli luonut asiakkaille automaattisesti sähköisen OmaPosti-postilaatikon ilman erillistä pyyntöä. Tietosuojavaltuutettu toteaa, että sähköiset palvelut ovat merkittävä osa digitaalista yhteiskuntaa, ja ne on toteutettava sääntöjen mukaan.
Tietosuojavaltuutetun toimisto selvitti sähköisen OmaPosti-postilaatikon luomiseen liittyvää henkilötietojen käsittelyä. Tietosuojavaltuutetulle oli kanneltu kirjeiden välittymisestä Postin verkkopalveluun ilman asiakkaan antamaa lupaa.
OmaPosti-postilaatikko on ollut sidoksissa laajempaan palvelukokonaisuuteen, johon ovat kuuluneet myös esimerkiksi postin uudelleenlähetys ja Oma Noutopiste -palvelu. Selvityksessä kävi ilmi, että asiakas ei voinut valita, ottaako hän käyttöön OmaPosti-laatikon vai ei, koska eri palvelut olivat kytköksissä toisiinsa yhdessä sopimuksessa. Sähköistä postilaatikkoa ei myöskään voinut lakkauttaa ilman, että muutkin palvelut lakkaavat.
”Asiakkaalle on voinut tulla yllätyksenä, että hänelle on luotu sähköinen postilaatikko, vaikka hän on pyytänyt jonkin muun palvelun. Henkilö on voinut saada postia sähköiseen postilaatikkoon tietämättään, ja tämä voi johtaa ongelmiin esimerkiksi laskujen kanssa”, tietosuojavaltuutettu Anu Talus toteaa.
Henkilötietoja saa käsitellä sopimuksen perusteella vain, jos se on välttämätöntä sopimuksen pääkohteen toteuttamiseksi. Tietosuojavaltuutettu katsoo, että asiakkaan pyytämä palvelu olisi voitu toteuttaa ilman automaattista sähköisen postilaatikon luomista. Tietyn palvelun saaminen ei voi edellyttää, että henkilötietoja käytetään myös muihin tarkoituksiin. Tästä virheellisestä toimintatavasta määrättiin Postille seuraamusmaksu. Seuraamusmaksun määrään vaikuttaa yhtiön liikevaihto.
Asiakkaille olisi tullut kertoa selkeämmin palvelusta
Tietosuojavaltuutettu havaitsi myös, että Posti ei kertonut asiakkailleen riittävän selvästi OmaPosti-postilaatikon aktivoitumisesta. Asiakkaalle ei esimerkiksi kerrottu, että sähköinen postilaatikko aktivoituu heti palvelukokonaisuuden käyttöönoton yhteydessä ja että sinne voi välittömästi alkaa saapua esimerkiksi kirjeitä ja laskuja.
”On keskeistä, että digitaalista identiteettiä ja postilaatikkoa kehitetään kiinteäksi osaksi digitalisoituvaa yhteiskuntaa. Digitaalinen yhteiskunta toimii vain, jos se perustuu luottamukseen. Tämän vuoksi sillä on suuri merkitys, miten tekniset ratkaisut on toteutettu. Ihmisten on voitava tietää, millaisia palveluja heille luodaan”, Talus sanoo.
Lisäksi asiakkaille oli virheellisesti kerrottu, että OmaPosti-palvelun käyttöönoton jälkeen voi halutessaan saada kirjeet edelleen vain paperipostina. Tosiasiassa tällaista vaihtoehtoa ei kuitenkaan ollut mahdollista valita. Posti on kertonut korjanneensa virheellisen tiedon.
Postille annettiin puutteista huomautus ja se määrättiin korjaamaan käytäntönsä.
Postia ohjattiin huomioimaan tietosuoja palvelujen kehittämisessä alusta lähtien
OmaPosti-palvelussa oli myös teknisiä asetuksia, jotka eivät täyttäneet tietosuojavaatimuksia. Tällaisia olivat esimerkiksi automaattisesti aktivoituva valintakytkin ja valmiiksi rastitettu valintaruutu.
Posti on ilmoittanut korjaavansa asetuksia niin, että postin vastaanottaminen pelkästään sähköisesti ei enää ole valmiiksi valittuna. Postin mukaan asiakas voi jatkossa valita, haluaako hän vastaanottaa paperikirjeistään sähköisiä kopioita OmaPosti-laatikkoon.
Tietosuojavaltuutettu ohjasi Postia huomioimaan, että sähköiset palvelut on alusta lähtien rakennettava niin, että niissä käsitellään ainoastaan tarpeellisia henkilötietoja.
Tietosuojavaltuutetun ja seuraamuskollegion päätökset (pdf)
Lisätietoja:
Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766
Seuraamuskollegion päätöksenteosta ja rekisterinpitäjien oikeusturvasta säädetään kansallisessa tietosuojalaissa. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Kollegio on toimivaltainen määräämään hallinnollisia seuraamusmaksuja tietosuojalainsäädännön rikkomisesta. Seuraamusmaksujen enimmäismäärä on neljä prosenttia yrityksen liikevaihdosta tai 20 miljoonaa euroa.