top of page

Milionová pokuta za zakládání elektronických poštovních schránek

Obrázek autora: Josef BátrlaJosef Bátrla

Finská pošta zaplatí pokutu ve výši 2,4 milionu eur za porušení GDPR. Svým zákazníkům totiž bez jejich souhlasu automaticky vytvářela elektronické poštovní schránky. Dozorový úřad tento postup jasně odsoudil.

Finský dozorový úřad uložil finské poště Posti Jakelu Oy pokutu ve výši 2,4 milionu eur (cca 60,3 milionu korun). Pokuta byla udělena za automatické vytváření elektronických poštovních schránek pro zákazníky bez jejich výslovného souhlasu a bez možnosti tuto službu odmítnout (opt-out). Tento postup porušoval GDPR a měl dopad na téměř dva miliony zákazníků.


Automatické zakládání schránek

Předmětný případ byl zahájen v červenci roku 2021 stížností, jejímž odesílatelem byl jeden ze zákazníků finské pošty. Zákazník ve stížnosti upozornil na to, že jeho dokumenty a faktury byly automaticky zasílány do elektronické poštovní schránky, do níž se nikdy nepřihlásil. Po provedení šetření finský dozorový úřad zjistil, že elektronická poštovní schránka byla nastavena tak, že se automaticky vytvořila každému zákazníkovi, který využíval obecné poštovní služby. Aktivace schránky byla součástí všeobecných podmínek, jež musel zákazník přijmout.


Zákazníci si k užívání obecných poštovních služeb museli vytvořit účet „OmaPosti“, jenž představoval elektronickou poštovní schránku propojenou s širším balíčkem obecných poštovních služeb. Vytvořením účtu se zákazníci automaticky přihlásili k elektronické poštovní schránce. Bez účtu „OmaPosti“ přitom zákazníci nemohli plně využívat obecné poštovní služby. Zákazník si tak nemohl vybrat, zda elektronickou poštovní schránku využije, či nikoliv, neboť jednotlivé služby byly propojeny v jedné smlouvě. Elektronickou poštovní schránku nebylo možné ani zrušit, aniž by zanikly i ostatní služby, se kterými byla spojena.


Mobilní verze aplikace „OmaPosti“ obsahovala možnost volby mezi fyzickým a elektronickým doručováním. Drobným písmem pod touto otázkou však bylo uvedeno, že volba se týká pouze toho, zda zákazník bude přijímat elektronickou poštu pouze od některých odesílatelů, nebo od všech odesílatelů. Tato volba tak nebyla pro zákazníky dostatečně jasná. Informace o tom, že se elektronická poštovní schránka automaticky aktivuje, byly tak často skryté v poznámkách drobným písmem, a navíc se nezobrazovaly všem zákazníkům v závislosti na tom, jaké zařízení používali a jakou velikost písma si vybrali. Pokud se zákazníci pokusili manuálně zaškrtnout, od kterých odesílatelů si přejí přijímat elektronickou poštu, zůstal na obrazovce skrytý předem zaškrtnutý checkbox „Povolit elektronické kopie“.

Elektronická poštovní schránka byla založena až 2 milionům zákazníků,kteří využili služby pošty

Uvedené zpracování osobních údajů mělo být založeno na základě čl. 6 odst. 1 písm. b) GDPR, tedy na základě zákonného zpracování, jež je nezbytné pro splnění smlouvy. Pošta argumentovala tím, že si zákazníci mohli vybrat, zda chtějí dostávat svou poštu fyzicky, nebo elektronicky, a zákazníci byli informováni o tom, že mohou přijímat svou poštu elektronicky, což však nebyla zcela pravda.


Pošta dále uvedla, že prohlížečová verze aplikace „OmaPosti“ zobrazovala oznámení, které zákazníky informovalo, že obdrží elektronickou kopii své fyzické pošty s tím, že si mohou vybrat, zda ji chtějí. Také zákazníky informovala o tom, že pro ně bude vytvořena elektronická poštovní schránka. Pošta však přiznala, že uvedené informace nebyly v souladu se skutečností a že zákazníci nemohli přijímat pouze fyzickou poštu bez elektronické kopie.


V čem spočívalo porušení GDPR?

Finský dozorový úřad posuzoval dva body, a to:


  • zda pošta dostatečně informovala zákazníky o zpracování podle požadavků čl. 5 odst. 1 písm. a), čl. 12 odst. 1, čl. 13 odst. 1 písm. c) a čl. 25 odst. 1 GDPR; a

  • zda se pošta mohla při zřizování elektronické schránky dovolávat čl. 6 odst. 1 písm. b) GDPR.


Finský dozorový úřad konstatoval, že pošta nedokázala zákazníky dostatečně informovat o tom, jak budou jejich osobní údaje zpracovány. Zejména chybělo jasné sdělení, že elektronická poštovní schránka bude automaticky vytvořena a aktivována okamžitě po registraci. Text v podmínkách obsahoval pouze vágní formulace, které mohly zákazníky zmást. Místo jasné formulace byla totiž uvedena slova, jež mohla u zákazníků vzbudit dojem, že funkce zřízení elektronické pošty je volitelná. Z tohoto důvodu nebyly splněny požadavky GDPR.


Finský dozorový úřad dále rozhodl, že vytvoření elektronické poštovní schránky nebylo nezbytné pro poskytování základních poštovních služeb, které si zákazník objednal. Některé poštovní služby zahrnuté do balíčku obecných poštovních služeb mohly být poskytovány i bez této schránky, a pošta se tak nemohla při zpracování opírat o zákonnost zpracování dle čl. 6 odst. 1 GDPR.


Finský dozorový úřad také objasnil, že pokud se smlouva skládá z několika služeb, které mohou být poskytovány nezávisle na sobě, musí být nezbytnost automatického zpracování osobních údajů pro každou jednotlivou službu posouzena samostatně, což se v daném případě nestalo.

Nezbytnost automatického zpracování osobních údajů musí být pro každou službu posouzena samostatně

Následky pro poštu

Porušování GDPR v daném případě trvalo více než šest let a mělo dopad na téměř dva miliony uživatelů. Vzhledem k rozsahu porušení a množství zpracovaných osobních údajů byla pokuta stanovena na 2,4 milionu eur na základě ročního obratu pošty.


Případ finské pošty je jasným varováním pro obdobné subjekty, že při zpracování osobních údajů musí být zachována transparentnost vůči zákazníkům, dobrovolnost služeb a minimalizace zpracování osobních údajů. Zákazníci by též měli být ostražití i při používání služeb poskytovaných státními podniky, jakými jsou například pošty.


Comments


Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 - 2022 by Josef Bátrla.

bottom of page