Påföljdsavgift för Posti för dataskyddsbrister i tjänsten OmaPosti

Påföljdskollegiet vid dataombudsmannens byrå har påfört Posti en påföljdsavgift på 2,4 miljoner euro för förfarande i strid med dataskyddsbestämmelserna i tjänsten OmaPosti. Posti hade automatiskt skapat en elektronisk OmaPosti-brevlåda för kunderna utan deras separata begäran. Dataombudsmannen konstaterar att elektroniska tjänster är en betydande del av det digitala samhället och att de ska genomföras enligt reglerna.

Dataombudsmannens byrå utredde behandlingen av personuppgifter i anslutning till att den elektroniska brevlådan OmaPosti skapades. Ett klagomål hade framförts till dataombudsmannen om att brev förmedlas till Postis webbtjänst utan medgivande från kunden.

Elektroniska brevlådan har ingått i en mer omfattande servicehelhet som också har omfattat till exempel omsändning av post och tjänsten för eget uthämtningsställe. Av utredningen framgick att kunderna inte kunde välja om de ville ta i bruk elektroniska OmaPosti eller inte, eftersom flera olika tjänster var förenade i ett och samma avtal. Det var inte heller möjligt att avsluta den elektroniska brevlådan utan att även andra tjänster upphörde.

"Det kan ha kommit som en överraskning för kunderna att en elektronisk brevlåda har skapats för dem även om de hade begärt en annan tjänst. En person har kunnat få post i den elektroniska brevlådan utan att veta om det, och det här kan leda till problem till exempel med räkningar", konstaterar dataombudsmannen Anu Talus.

Personuppgifter får behandlas på basis av avtalet endast om det är nödvändigt för att fullgöra avtalets huvudsyfte. Dataombudsmannen anser att den tjänst som kunden begärde skulle ha kunnat genomföras utan att automatiskt skapa en elektronisk postlåda. Tillgång till en viss tjänst får inte förutsätta att personuppgifterna också används för andra ändamål. Posti påfördes en påföljdsavgift för det här felaktiga förfarandet. Påföljdsavgiftens belopp fastställs enligt bolagets omsättning.

Kunderna borde ha informerats tydligare om tjänsten

Dataombudsmannen lade också märke till att Posti inte tillräckligt tydligt berättade för sina kunder om aktiveringen av elektroniska brevlådan. Kunderna informerades till exempel inte om att den genast aktiveras i samband med att servicehelheten tas i bruk eller om att brev och fakturor omedelbart kan mottas i brevlådan.

"Det är viktigt att den digitala identiteten och brevlådan utvecklas till en integrerad del av det digitala samhället. Det digitala samhället fungerar endast om det bygger på förtroende. Därför är det av stor betydelse hur de tekniska lösningarna har genomförts. Människor måste få veta hurdana tjänster som skapas för dem", säger Talus.

Kunderna hade dessutom felaktigt informerats om att det efter att ha tagit tjänsten OmaPosti i bruk fortfarande kan få breven endast i pappersformat. I själva verket var det inte möjligt att välja ett sådant alternativ. Posti har meddelat att den felaktiga informationen har korrigerats.

Posti gavs en anmärkning om bristerna och ålades att korrigera sitt lagstridiga förfarande.

Posti uppmanades att beakta dataskyddet redan från början av i utvecklingen av tjänsterna

I tjänsten OmaPosti fanns också tekniska inställningar som inte uppfyllde dataskyddskraven. Exempel på sådana var till exempel en automatiskt aktiverad funktion och en förvald kryssruta.

Posti har meddelat att inställningarna åtgärdas så att alternativet att ta emot post enbart elektroniskt inte längre är förvalt. Enligt Posti kan kunderna i fortsättningen välja om de vill ta emot elektroniska kopior av sina pappersbrev i eketroniska brevlådan.

Dataombudsmannen uppmanade Posti att beakta att de elektroniska tjänsterna redan från början ska utformas så att de endast behandlar nödvändiga personuppgifter.

Dataombudsmannens och påföljdskollegiets beslut på finska i Finlex

Mer information:

Dataombudsmannen Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.