2.4.2025

Asia                             

Oikeus saada tutustua tietoihin

Rekisterinpitäjä

Teleoperaattori

Vireillesaattajan pyyntö ja vireillesaattajalle annettu vastaus

Annetun selvityksen mukaan rekisterinpitäjältä oli 26.2.2019 soitettu vireillesaattajalle markkinointipuhelu, minkä jälkeen vireillesaattaja on sähköpostitse pyytänyt saada tutustua itseään koskeviin tietoihin. Rekisterinpitäjän ja vireillesaattajan välillä on käyty asiasta sähköpostikirjeenvaihtoa. Vireillesaattajalta on 21.3.2019 pyydetty jäljennöstä henkilöllisyystodistuksesta, jonka rekisterinpitäjä on kertonut vastaanottaneensa sittemmin 17.4.2019. Rekisterinpitäjä on esittänyt näkemyksenään, että yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädetty määräaika alkaa kulua vasta siitä ajankohdasta, kun rekisterinpitäjälle on toimitettu tiedot pyynnön esittäneen henkilön tunnistamiseksi.

Edelleen annetun selvityksen mukaan vireillesaattaja ei ollut toimittanut rekisterinpitäjälle pyydettyä lomaketta, mistä huolimatta vireillesaattajan pyyntö on toteutettu. Vireillesaattajalle on 17.5.2019 toimitettu puhelutallenne 26.2.2019 tehdystä markkinointipuhelusta litteroituna. Tässä yhteydessä vireillesaattajalle on myös kerrottu, että mikäli vireillesaattaja on vieraillut rekisterinpitäjän verkkosivuilla, kysymys on ei-tunnistetun henkilön sivuvierailu- ja analytiikkatiedosta, jota ei yhdistetä tiettyyn henkilöön.

Tämän jälkeen vireillesaattaja on 22.5.2019 ja 28.5.2019 tiedustellut rekisterinpitäjältä, toimitetaanko hänelle vielä muita hänen henkilötietojaan tutustuttavaksi. Vireillesaattajalle on vastattu 10.6.2019. Tässä yhteydessä vireillesaattajalle oli täsmennetty, että se rekisteri, josta markkinointipuhelu on litteroitu, on sisältänyt tiedon vireillesaattajan puhelinnumerosta ja siitä päivämäärästä, jolloin markkinointipuhelu oli tehty. Vireillesaattajalle oli edelleen lisäksi täsmennetty, että ennen vireillesaattajan tekemää rekisteröidyn oikeutta koskevaa pyyntöä rekisterinpitäjä ei ole käsitellyt muita vireillesaattajan henkilöön suoraan yhdistettävissä olevia tietoja (pois lukien puhelutallenne).

Edelleen vireillesaattajalle 10.6.2019 annetussa vastauksessa oli esitetty pyydettyjen verkkovierailutietojen olevan viestinnän välitystietoja, joihin sovelletaan sähköisen viestinnän palveluista annettua lakia. Tässä yhteydessä oli niin ikään esitetty, että vireillesaattajan rekisterinpitäjälle tarjoamat lisätiedot (IP-osoite- ja evästetunnistetieto) ylipäätään sisältävät epävarmuuden siitä, että ne ovat juuri vireillesaattajaa itseään koskevia tietoja, eivätkä ne annetun vastauksen mukaan riitä todentamaan verkkoselailun todellista tekijää. Annetussa vastauksessa on viitattu yleisen tietosuoja-asetuksen 11 artiklan 1 kohdassa säädettyyn. Mainitussa artiklankohdassa säädetysti jos tarkoitukset, joihin rekisterinpitäjä henkilötietoja käsittelee, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi.

Rekisteröidyn oikeutta koskeva pyyntö ja lomake

Annetussa selvityksessä on korostettu, että rekisterinpitäjä käsittelee miljoonia henkilötietoja liiketoiminnassaan. Yleisen tietosuoja-asetuksen voimaan tullessa rekisterinpitäjän toiminnassa oli luotu toimintamalli rekisteröidyn oikeutta koskeviin pyyntöihin vastaamiseksi. Toimintamallin oli tarkoitus olla selkeä niin asiakkaan kuin rekisteröidyn pyyntöjä käsittelevien rekisterinpitäjän työntekijöidenkin näkökulmasta katsottuna. Rekisterinpitäjän käsittelemät muut kuin sen omia työntekijöitä koskevat henkilötiedot jakautuvat kuluttaja-asiakkaiden, yrityskäyttäjien, markkinointia vastaanottavien ja työnhakijoiden henkilötietoihin. Kutakin mainittua henkilöryhmää ja heidän henkilötietojen käsittelyään varten on oma, erillinen rekisterinsä.

Asiassa annetun selvityksen mukaan rekisterinpitäjä on selvitystä annettaessa ohjannut tekemään rekisteröidyn oikeutta koskevat pyynnöt lomakkeilla. Pyynnön on voinut tehdä joko rekisterinpitäjän tarjoamassa itseasiointipalvelussa taikka turvasähköpostitse. Mikäli pyyntö on tehty itseasiointipalvelussa, ei pyynnön tehneeltä ole edellytetty jäljennöstä henkilöllisyystodistuksesta. Itseasiointipalvelun käyttäminen on ollut mahdollista vain vahvasti tunnistautuneena. Mikäli pyyntö puolestaan on tehty sähköpostitse, on pyynnön tehneeltä henkilöltä edellytetty henkilöllisyystodistusjäljennöksen toimittamista.

Lomakkeen tarkoituksena on ollut ohjata rekisteröityä kohdistamaan pyyntönsä edellä tarkoitettuihin eri rekistereihin. Henkilö on voinut täyttää myös useamman lomakkeen ja rastittaa kaikki yhden tai useamman lomakkeen kohdat, jolloin henkilölle on joko toimitettu kaikki ne henkilötiedot, joita kysymyksessä olevissa rekistereissä on käsitelty taikka tieto siitä, että kysymyksessä olevassa rekisterissä ei hänen henkilötietojaan käsitellä. Poikkeustapauksissa pyyntöjä on käsitelty myös ilman tähän tarkoitukseen laaditun lomakkeen täyttämistä. Näin on tapahtunut myös vireillesaattajan kohdalla.  

Rekisterikohtaisen lomakkeen täyttämisen vaatimuksesta

Yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada tutustua tietoihin. Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada tutustua henkilötietoihin sekä artiklassa erikseen luetellut tiedot.

Euroopan tietosuojaneuvosto on antanut tulkintaohjeita rekisteröityjen oikeuksien käyttämisestä ja korostanut, että ellei nimenomaisesti toisin ole mainittu, yleisen tietosuoja-asetuksen 15 artiklan pyynnön on katsottava koskevan kaikkia rekisteröityä koskevia henkilötietoja. Rekisterinpitäjä voi kuitenkin pyytää rekisteröityä täsmentämään pyyntöä, jos se käsittelee suurta määrää henkilötietoja. (Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, s. 4)

Yleisen tietosuoja-asetuksen 12 artiklassa on lisäksi säädetty yksityiskohtaisista säännöistä rekisteröidyn oikeuksien käyttöä varten. Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa säädetysti rekisterinpitäjän on helpotettava 15–22 artiklan mukaisten rekisteröidyn oikeuksien käyttämistä.

Yleisessä tietosuoja-asetuksessa ei ole säädetty, että pyyntö oikeudesta saada tutustua tietoihin olisi esitettävä jossakin tietyssä määrämuodossa. Näin ollen rekisterinpitäjän harkinnassa on se, millaisia yhteydenottokanavia ja -keinoja se rekisteröidyille tätä tarkoitusta varten tarjoaa. Edellä todetusta ei kuitenkaan seuraa se, että rekisterinpitäjä voisi oletusarvoisesti jättää tutkimatta sellaiset rekisteröityjen pyynnöt, jotka on toimitettu sille muussa kanavassa taikka muulla tavoin. Todettakoon, että ylipäätään on perusteltua ottaa rekisteröityjen eriävät tilanteet huomioon ja tarjota erilaisia vaihtoehtoja ja keinoja rekisteröityjen pyyntöjen esittämiseen.

On lähtökohtaisesti suositeltavaa, että rekisterinpitäjä tarjoaa lomakkeita rekisteröityjen oikeuksia koskevien pyyntöjen esittämistä varten. Tällaisten lomakkeiden käyttäminen saattaa helpottaa yleisessä tietosuoja-asetuksessa säädettyjen rekisteröityjen oikeuksien käyttämistä. Koska yleisessä tietosuoja-asetuksessa ei kuitenkaan edellä todetusti ole säädetty tiettyä määrämuotoa tällaisten pyyntöjen esittämiseksi, ei rekisterinpitäjä voi vaatia, että rekisteröity käyttää vain tiettyä lomaketta oikeuksiensa käyttämiseen. Rekisterinpitäjä ei voi edellyttää pyyntöjen esittämistä määrämuotoisesti, ja rekisterinpitäjän on yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa säädetysti helpotettava rekisteröidyn oikeuksien käyttämistä. Rekisterinpitäjän on käsiteltävä myös muulla tavalla tehty pyyntö, mikäli pyyntö on tehty sellaista kanavaa pitkin, jonka rekisterinpitäjä on saattanut rekisteröityjen saataville. (Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, s. 23).

Vaikka nyt käsillä olevassa asiassa vireillesaattajan pyyntö on käsitelty poikkeuksellisesti ilman rekisterikohtaisen lomakkeen toimittamista, on rekisterinpitäjä lähtökohtaisesti nyt käsillä olevan asian vireille tullessa kuitenkin säännönmukaisesti vaatinut, että rekisteröityjen oikeutta koskevat pyynnöt esitetään tällaisilla rekisterikohtaisilla lomakkeilla. Vaatimusta rekisterikohtaisen lomakkeen täyttämisestä ei ole pidettävä yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa säädettynä rekisteröidyn oikeuksien käyttämisen helpottamisena.

Vaikka rekisterinpitäjä edellä mainitusti voi pyytää rekisteröityä täsmentämään pyyntöään silloin, jos rekisterinpitäjä käsittelee suurta määrää henkilötietoja, ei tästä seuraa se, että rekisterinpitäjä voisi edes välillisesti rajoittaa rekisteröidyn oikeutta pyytää saada tutustua nimenomaisesti kaikkiin itseään koskeviin, rekisterinpitäjän käsittelemiin henkilötietoihin. (Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, s. 4). Apulaistietosuojavaltuutettu kiinnittää huomiota siihen, että rekisterinpitäjä ei ole tarjonnut rekisteröityjen käyttöön tapaa, jolla olisi mahdollista samalla kertaa pyytää saada tutustua kaikkiin niihin henkilötietoihin, joita rekisterinpitäjä kunkin rekisteröidyn osalta käsittelee. Kaikki rekisteröidyt eivät välttämättä ymmärrä, että heidän henkilötietojaan käsitellään tai saatetaan käsitellä useammassa eri rekisterissä, mikä voi johtaa siihen, että rekisteröity ei ymmärrä täyttää useampaa lomaketta yleisen tietosuoja-asetuksen 15 artiklan mukaista oikeutta käyttääkseen. Tämä voi johtaa esimerkiksi siihen, että rekisteröity saa tutustuttavakseen ainoastaan työnhakijatietonsa, vaikka hän samanaikaisesti olisi myös rekisterinpitäjän kuluttaja-asiakkaan roolissa. Useamman lomakkeen täyttäminen on myös työläämpää kuin esimerkiksi vain yhden lomakkeen täyttäminen. Vaatimusta rekisterikohtaisen lomakkeen täyttämisestä ei ole tältäkään osin pidettävä yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa säädettynä rekisteröidyn oikeuksien käyttämisen helpottamisena.

Rekisteröidyn pyyntöön vastaamisesta

Yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädetysti rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty 15–22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.

Selvyyden vuoksi on tässä yhteydessä korostettava, että yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädetysti lähtökohtana on se, että rekisteröidyn oikeus toteutetaan ilman aiheetonta viivytystä, eli toisin sanoen niin pian kuin mahdollista. Mikäli pyydetyt tiedot on mahdollista toimittaa kuukautta lyhyemmässä ajassa, näin on myös toimittava. (Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, s. 6).

Euroopan tietosuojaneuvoston tulkintaohjeissa todetusti pyyntöön vastaamiseen kuluva aika on laskettava asetuksen (ETY, Euratom) N:o 1182/71 mukaisesti, mikä tarkoittaa, että määräaika pyynnön vastaamiseen alkaa pyynnön esittämispäivästä. (Neuvoston asetus (ETY, Euratom) N:o 1182/71, annettu 3 päivänä kesäkuuta 1971, määräaikoihin, päivämääriin ja määräpäiviin sovellettavista säännöistä). Kuukausina ilmaistu määräaika päättyy määräajan viimeisen päivän kuluttua umpeen, joka järjestysnumeroltaan vastaa määräajan alkamispäivää. Jos tämän ajanjakson viimeinen päivä osuu viikonlopulle tai yleiselle vapaapäivälle, pyyntöön on vastattava viimeistään seuraavana työpäivänä.

Mikäli rekisterinpitäjä ei tunnista pyynnön esittänyttä henkilöä, pyynnön käsittelyä voidaan lykätä siihen asti, kunnes rekisterinpitäjä on saanut pyynnön esittäneeltä henkilöltä tarvittavat lisätiedot. Edellytyksenä on kuitenkin se, että rekisterinpitäjä on pyytänyt lisätietoja ilman aiheetonta viivytystä. (Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, s. 53).

Vireillesaattaja on tehnyt rekisteröidyn oikeutta koskevan pyynnön rekisterinpitäjälle 26.2.2019. Rekisterinpitäjän ja vireillesaattajan välillä on käyty asiasta sähköpostikirjeenvaihtoa. Vireillesaattajalta on 21.3.2019 pyydetty jäljennöstä henkilöllisyystodistuksesta, jonka vireillesaattaja on sittemmin joko 15.7.2019 tai 17.4.2019 rekisterinpitäjälle myös toimittanut. (Tältä osin virellesaattajan ja rekisterinpitäjän kertoma eroaa toisistaan). Vireillesaattajalle on 17.5.2019 toimitettu puhelutallenne 26.2.2019 tehdystä markkinointipuhelusta litteroituna.

Rekisterinpitäjä on pyytänyt vireillesaattajalta jäljennöstä vireillesaattajan henkilöllisyystodistuksesta 21.3.2019, eli vasta 23 päivää sen jälkeen, kun vireillesaattaja on esittänyt alkuperäisen pyyntöönsä. (Selvyyden vuoksi on todettava, että tässä yhteydessä ei ole arvioitu sitä, onko rekisterinpitäjällä ylipäätään ollut perusteltua syytä pyytää jäljennöstä vireillesaattajan henkilöllisyystodistuksesta.) Rekisterinpitäjän ei voida katsoa pyytäneen tässä tarkoitettuja lisätietoja ilman aiheetonta viivytystä.

Koska rekisterinpitäjä ei ollut esittänyt lisätietopyyntöään ilman aiheetonta viivytystä ja koska vireillesaattajan pyyntöä ei ollut toteutettu kuukauden määräajassa, ei rekisterinpitäjä ole noudattanut yleisen tietosuoja-asetuksen 12 artiklan 3 kohdassa säädettyä velvollisuutta vastata vireillesaattajan pyyntöön säädetyssä määräajassa. Vireillesaattajan oikeus puhelutallenteen osalta on lopulta toteutettu vajaa kolme kuukautta tehdyn pyynnön jälkeen. Selvyyden vuoksi on tässä yhteydessä vielä todettava, että rekisterinpitäjä ei ole esittänyt, että määräaikaa olisi tullut jatkaa ottaen huomioon pyyntöjen monimutkaisuus ja määrä.

Edellytys henkilöllisyystodistusjäljennöksen toimittamisesta

Todettakoon asiassa olevan asiallisesti kysymys myös pyynnön esittäneen henkilön tunnistamisesta, mitä kysymystä 29 artiklan mukainen tietosuojatyöryhmä on sivunnut antamiensa suuntaviivojen yhteydessä (oikeutta tietojen siirtämiseen järjestelmästä toiseen koskevat ohjeet, WP 242 rev.01, hyväksytty 13.12.2016, viimeksi tarkistettu ja hyväksytty 5.12.2017). Mainituissa suuntaviivoissa on todettu, että yleisessä tietosuoja-asetuksessa ei ole säännöksiä siitä, miten rekisteröidyn henkilöllisyys on todennettava.

Ottaen huomioon yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan c alakohdassa säädetty, rekisterinpitäjän ei tulisi pyytää pyynnön esittäneeltä henkilöltä enempää tietoja kuin hänen tunnistamisekseen on tarpeen. Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Tietyn henkilötiedon käsittely olisi sallittua vain, jos käsittelyn tarkoitusta ei ole mahdollista saavuttaa muilla tavoin. (Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, versio 2.0, annettu 20.lokakuuta 2020, s. 22.) Käytännössä kussakin tilanteessa tulisi näin ollen kerätä mahdollisimman vähän henkilötietoja.

Edellä esitetyn perusteella voidaankin todeta, että rekisterinpitäjän ei tulisi pyytää pyynnön esittäneeltä henkilöltä enempää tietoja kuin tämän tunnistamiseksi on tarpeen. Asiassa annetussa selvityksessä on todettu, että ennen markkinointipuhelua rekisterinpitäjä on käsitellyt ainoastaan vireillesaattajan puhelinnumerotietoa. Rekisterinpitäjä ei siis ole ennen tehtyä markkinointipuhelua käsitellyt vireillesaattajan henkilöllisyystodistukseen sisältyviä henkilötietoja. Tämä tarkoittaa, että henkilöllisyystodistukseen sisältyvät tiedot on pyydetty ainoastaan vireillesaattajan tunnistamista varten, mikä puolestaan tarkoittaa, että rekisterinpitäjä kerää rekisteröidyn tunnistamiseksi enemmän tietoa kuin sillä on alun perin ollut. Tämä taas tarkoittaa sitä, että rekisterinpitäjä ei esimerkiksi voi verrata sille nyt toimitettuja tietoja sillä jo aiemmin hallussa olleisiin henkilötietoihin.

Ottaen huomioon edellä todetun, vireillesaattajan henkilöllisyystodistukseen sisältyvät tiedot on katsottava lisätiedoiksi, joiden pyytämisestä on säädetty yleisen tietosuoja-asetuksen 12 artiklan 6 kohdassa. Rekisterinpitäjä voi pyytää toimittamaan lisätietoja vain silloin, kun rekisterinpitäjällä on perusteltua syytä epäillä 15–21 artiklan mukaisen pyynnön tehneen luonnollisen henkilön henkilöllisyyttä. Tämä ei kuitenkaan tarkoita, että rekisterinpitäjä voisi esittää kohtuuttomia vaatimuksia tai edellyttää pyynnön esittäneeltä henkilöltä sellaisia henkilötietoja, jotka eivät ole olennaisia tai tarpeellisia henkilön ja pyydettyjen henkilötietojen välisen yhteyden todentamiseksi. Rekisterinpitäjän ei tule pyytää pyynnön esittäneeltä henkilöltä enempää henkilötietoja kuin on tarpeen pyynnön esittäneen henkilön tunnistamiseksi. Asiaa oikeasuhteisuutta arvioidessaan rekisterinpitäjän on otettava huomioon käsiteltävien henkilötietojen tyyppi, pyynnön luonne, asiayhteys sekä kaikki vahingot, joita oikeudettomasta luovuttamisesta voisi seurata. (Ohjeet 1/2022 rekisteröityjen oikeuksista – oikeus tutustua tietoihin, versio 2.1, hyväksytty 28. maaliskuuta 2023, s. 27.)

Asiassa on ollut kysymys markkinointipuhelusta ja sen sisällön luovuttamisesta pyynnön esittäneelle henkilölle. Mikäli rekisterinpitäjä ei ole tunnistanut vireillesaattajaa puhelinnumerotiedon ja tehdyn markkinointipuhelun ajankohdan perusteella, rekisterinpitäjä olisi esimerkiksi voinut esittää vireillesaattajalle täsmentäviä kysymyksiä markkinointipuhelun kulusta ja/tai sen sisällöstä. Apulaistietosuojavaltuutettu katsookin, että pyytäessään vireillesaattajalta henkilöllisyystodistusjäljennöstä, rekisterinpitäjä on edellyttänyt ja lopulta myös käsitellyt vireillesaattajan tunnistamiseksi laajempaa joukkoa henkilötietoja kuin vireillesaattajan tunnistamiseksi on tai olisi ollut tarpeen. Rekisterinpitäjä ei ole nyt käsillä olevassa asiassa noudattanut yleisen tietosuoja-asetuksen 12 artiklan 6 kohdassa ja 5 artiklan 1 kohdan c alakohdassa säädettyä edellyttäessään, että vireillesaattaja toimittaa sille jäljennöksen henkilöllisyystodistuksestaan yleisen tietosuoja-asetuksen 15 artiklan mukaista oikeutta käyttääkseen.

Sovelluspalvelinten lokitiedostoihin ja analytiikkatietokantoihin mahdollisesti sisältyvät tiedot

Yleisen tietosuoja-asetuksen 11 artiklan 1 kohdassa säädetysti jos tarkoitukset, joihin rekisterinpitäjä käsittelee henkilötietoja, eivät edellytä tai eivät enää edellytä, että rekisterinpitäjä tunnistaa rekisteröidyn, rekisterinpitäjällä ei ole velvollisuutta säilyttää, hankkia tai käsitellä lisätietoja rekisteröidyn tunnistamista varten, jos tämä olisi tarpeen vain tämän asetuksen noudattamiseksi. Yleisen tietosuoja-asetuksen 11 artiklan 2 kohdassa puolestaan on säädetty, että edellä mainituissa tapauksissa 15 artiklaa ei sovelleta, paitsi jos rekisteröity 15 artiklan mukaista oikeutta käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa.

Yleisen tietosuoja-asetuksen 12 artiklan 2 kohdassa on puolestaan säädetty, että 11 artiklan 2 kohdassa tarkoitetuissa tapauksissa rekisterinpitäjä ei saa kieltäytyä toimimasta rekisteröidyn pyynnöstä tämän 15 artiklan mukaisen oikeuden käyttämiseksi ellei rekisterinpitäjä osoita, ettei se pysty tunnistamaan rekisteröityä.

Nyt käsillä olevassa asiassa vireillesaattaja on ilmoittanut voivansa toimittaa rekisterinpitäjälle lisätietoja saadakseen tutustua myös mahdollisiin sovelluspalvelinten lokitiedostoihin ja analytiikkatietokantoihin mahdollisesti sisältyviin henkilötietonsa. Vireillesaattaja ei kuitenkaan ole rekisterinpitäjälle tällaisia lisätietoja toimittanut. Ottaen huomioon edellä mainitun yleisen tietosuoja-asetuksen 11 artiklan 2 kohdan sanamuodon paitsi jos rekisteröity 15 artiklan mukaista oikeutta käyttääkseen antaa lisätietoja, joiden avulla hänet voidaan tunnistaa, apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toiminut vastoin yleisen tietosuoja-asetuksen 11 artiklassa säädettyä. Mikäli vireillesaattaja tosiasiallisesti olisi toimittanut rekisterinpitäjälle lisätietoja, joiden avulla hänet olisi voitu tässä tarkoituksessa tunnistaa, olisi yleisen tietosuoja-asetuksen 15 artikla tullut asiassa myös tältä osin sovellettavaksi.