Go to front page
Data Protection Ombudsman

21.11.2019

Data Protection Ombudsman

Decisions of the Data Protection Ombudsman on the interpretation of the EU General Data Protection Regulation, the Act on the Processing of Personal Data in Criminal Matters and the Personal Data Act

Rekisteröidyn oikeus saada pääsy tietoihin sähköisesti

Keywords
oikeus saada pääsy tietoihin, tietojen toimitustapa
Year of case
2019
Date of Issue
Register number
4881/163/2019
Legal basis
EU:n yleisen tietosuoja-asetuksen mukainen päätös

ASIA
Hakija oli pyytänyt rekisterinpitäjää toimittamaan tämän antaman lausunnon sähköpostitse. Rekisterinpitäjä kieltäytyi tästä tietoturvaan vedoten ja toimitti lausunnon postissa siitä huolimatta, että hakija oli viitannut EU:n tietosuoja-asetuksen 15 artiklaan ja siihen, että tämän artiklan nojalla hänelle kuuluu määräysvalta asiakirjan toimitustavasta. Hakijan mukaan rekisterinpitäjän käytössä oli turvaposti ja muu tarvittava tekninen välineistö sähköisen aineiston toimittamiseksi tietoturvallisesti.

Rekisterinpitäjä vetosi selvityksessään yleiseen käytäntöön, jonka mukaan sähköposti ei ole kyseisen rekisterinpitäjän käyttämä palvelukanava. Rekisterinpitäjällä oli kuitenkin käytössään tietoturvallinen sähköposti ja myös ohjeet sen käyttämiseksi.

TIETOSUOJAVALTUUTETUN PÄÄTÖS
Tietosuoja-asetuksen 15 artikla koskee rekisteröidyn oikeutta saada pääsy tietoihin. Säännöksen mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto siitä, käsitteleekö se kyseistä rekisteröityä koskevia henkilötietoja ja, jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei rekisteröity toisin pyydä.

Rekisteröidyn oikeuksien käyttämisessä ja toteuttamisessa noudatettavista menettelytavoista on säädetty tietosuoja-asetuksen 12 artiklassa. Sen 3 kohdan mukaan, jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

Kyseisen asetuksen 32 artiklassa säädetään käsittelyn turvallisuudesta. Sen 1 kohdassa säädetään seuraavasti: ”Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi esimerkiksi henkilötietojen salaus”. Turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin.

Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Se, että rekisterinpitäjä ei lähettänyt lausuntoa hakijalle hänen pyytämällään tavalla sähköisesti, vaikka sillä oli käytössään tietoturvallinen sähköpostiyhteys, oli tietosuoja-asetuksen vastaista.

Päätös on lainvoimainen.

SOVELLETUT LAINKOHDAT
EU:n yleinen tietosuoja-asetus (2016/679) 12, 15, 32 ja 58 artikla

Top of page