Rekisteröidyn oikeus saada pääsy tietoihin sähköisesti
- Asiasanat
- oikeus saada pääsy tietoihin, tietojen toimitustapa
- Tapausvuosi
- 2019
- Antopäivä
- Diaarinumero
- 4881/163/2019
- Säädösperusta
- EU:n yleisen tietosuoja-asetuksen mukainen päätös
ASIA
Hakija oli pyytänyt rekisterinpitäjää toimittamaan tämän antaman lausunnon sähköpostitse. Rekisterinpitäjä kieltäytyi tästä tietoturvaan vedoten ja toimitti lausunnon postissa siitä huolimatta, että hakija oli viitannut EU:n tietosuoja-asetuksen 15 artiklaan ja siihen, että tämän artiklan nojalla hänelle kuuluu määräysvalta asiakirjan toimitustavasta. Hakijan mukaan rekisterinpitäjän käytössä oli turvaposti ja muu tarvittava tekninen välineistö sähköisen aineiston toimittamiseksi tietoturvallisesti.
Rekisterinpitäjä vetosi selvityksessään yleiseen käytäntöön, jonka mukaan sähköposti ei ole kyseisen rekisterinpitäjän käyttämä palvelukanava. Rekisterinpitäjällä oli kuitenkin käytössään tietoturvallinen sähköposti ja myös ohjeet sen käyttämiseksi.
TIETOSUOJAVALTUUTETUN PÄÄTÖS
Tietosuoja-asetuksen 15 artikla koskee rekisteröidyn oikeutta saada pääsy tietoihin. Säännöksen mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto siitä, käsitteleekö se kyseistä rekisteröityä koskevia henkilötietoja ja, jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei rekisteröity toisin pyydä.
Rekisteröidyn oikeuksien käyttämisessä ja toteuttamisessa noudatettavista menettelytavoista on säädetty tietosuoja-asetuksen 12 artiklassa. Sen 3 kohdan mukaan, jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.
Kyseisen asetuksen 32 artiklassa säädetään käsittelyn turvallisuudesta. Sen 1 kohdassa säädetään seuraavasti: ”Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi esimerkiksi henkilötietojen salaus”. Turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin.
Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Se, että rekisterinpitäjä ei lähettänyt lausuntoa hakijalle hänen pyytämällään tavalla sähköisesti, vaikka sillä oli käytössään tietoturvallinen sähköpostiyhteys, oli tietosuoja-asetuksen vastaista.
Päätös on lainvoimainen.
SOVELLETUT LAINKOHDAT
EU:n yleinen tietosuoja-asetus (2016/679) 12, 15, 32 ja 58 artikla