Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en sanktionsavgift på 2 400 000 euro mot Posti Jakelu Oy för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Dataombudsmannens byrå har utrett ett klagomål från en privatperson. Posti har öppnat en elektronisk brevlåda i tjänsten OmaPosti för personen i fråga, men personen har varken gett sitt samtycke till eller begärt att en sådan brevlåda skulle öppnas. Efter att OmaPosti öppnats fick personen bland annat patientdokument via denna brevlåda, dokument han inte kunde hämta eftersom han inte hade möjlighet att använda denna typ av elektroniska tjänster.
Dataombudsmannens byrås utredning visade att OmaPosti har ingått i en mer omfattande servicehelhet som också har omfattat till exempel omsändning av post och tjänsten för eget uthämtningsställe. Av utredningen framgick också att kunderna inte kunde välja om de ville ta i bruk elektroniska OmaPosti eller inte, eftersom flera olika tjänster var förenade i ett och samma avtal. Det var inte heller möjligt att avsluta den elektroniska brevlådan utan att även andra tjänster upphörde.
Enligt Dataombudsmannens byrå får personuppgifter behandlas på basis av avtalet endast om det är nödvändigt för att fullgöra avtalets huvudsyfte. Dataombudsmannens byår ansåg att den tjänst som kunden begärt i detta fall skulle ha kunnat genomföras utan att automatiskt skapa en elektronisk postlåda. Vidare får tillgång till en viss tjänst enligt Dataombudsmannens byrå inte förutsätta att personuppgifterna också används för andra ändamål.
Dataombudsmannen konstaterade också att Posti inte tillräckligt tydligt berättat för sina kunder om aktiveringen av elektroniska brevlådan. Kunderna informerades till exempel inte om att den genast aktiveras i samband med att servicehelheten tas i bruk eller om att brev och fakturor omedelbart kan mottas i brevlådan.
Kunderna hade dessutom felaktigt informerats om att det efter att ha tagit tjänsten OmaPosti i bruk fortfarande kan få breven endast i pappersformat. I själva verket var det inte möjligt att välja ett sådant alternativ. I tjänsten OmaPosti fanns också tekniska inställningar som inte uppfyllde dataskyddskraven. Exempel på sådana var till exempel en automatiskt aktiverad funktion och en förvald kryssruta.
Mot denna bakgrund konstaterade Dataombudsmannens byrå överträdelser av artiklarna 5.1 (a), 6.1, 12.1, 13.1 (c) och 25.1 GDPR.