Firma kurierska Posti z Finlandii zapłaci 2,4 mln euro za praktyki niezgodne z RODO w związku z usługą elektronicznej skrzynki pocztowej. Spółka przetwarzała dane osobowe w ramach usługi elektronicznej bez podstawy prawnej i nie wykonując w pełni obowiązku informacyjnego. Naruszyła także regułę privacy by default.
Opracowanie: Michał Kowalski
Sprawa dotyczyła praktyk stosowanych przez fińską firmę kurierską Posti. Firma ta w związku z innymi usługami (np. punktem odbioru) automatycznie zakładała elektroniczną skrzynkę pocztową dla swoich klientów, w związku z czym dochodziło do przetwarzania danych osobowych. Usługa ta, nazywana OmaPosti, była realizowana bez wniosku klienta. Innymi słowy, nie można było skorzystać z innych usług firmy Posti bez automatycznego utworzenia skrzynki pocztowej. W efekcie nie można było zrezygnować z tej usługi bez rezygnacji z innych usług firmy. Klient mógł nawet nie wiedzieć, że ma taką skrzynkę i że wpływają na nią wiadomości.
W ocenie fińskiego organu nadzorczego praktyka taka godziła w RODO. Przede wszystkim nie istniała podstawa przetwarzania danych osobowych w ramach takiej usługi. Przetwarzanie to nie było konieczne do wykonywania umowy łączącej administratora z klientem. Administrator nie mógł więc powołać się na art. 6 ust. 1 lit. b RODO.
Dane osobowe mogą być przetwarzane na podstawie art. 6 ust. 1 lit. b RODO tylko wtedy, gdy mają one służyć wykonaniu głównego celu umowy.
Poza naruszeniem zasady legalizmu firmie zarzucono niespełnienie obowiązku informacyjnego. Klient nie był informowany o aktywacji elektronicznej skrzynki, wskutek czego mogło dochodzić do przetwarzania danych osobowych w ramach tej usługi, o czym klient mógł nie wiedzieć. Wszak na utworzoną skrzynkę mogły przychodzić różnego rodzaju faktury i listy.
Ostatnie z naruszeń polegało na nieprzestrzeganiu zasady domyślnej ochrony danych (privacy by default). Stosowane przez firmę ustawienia techniczne polegały na automatycznej aktywacji funkcji i wstępnym zaznaczeniu pola wyboru, w zakresie odbierania poczty wyłącznie drogą elektroniczną.
Usługi elektroniczne należy od samego początku konstruować w taki sposób, aby przetwarzane były wyłącznie niezbędne dane osobowe (art. 25 RODO).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
