21.11.2019

Rekisteröidyn oikeus saada pääsy tietoihin sähköisesti

ASIA
Hakija oli pyytänyt rekisterinpitäjää toimittamaan tämän antaman lausunnon sähköpostitse. Rekisterinpitäjä kieltäytyi tästä tietoturvaan vedoten ja toimitti lausunnon postissa siitä huolimatta, että hakija oli viitannut EU:n tietosuoja-asetuksen 15 artiklaan ja siihen, että tämän artiklan nojalla hänelle kuuluu määräysvalta asiakirjan toimitustavasta. Hakijan mukaan rekisterinpitäjän käytössä oli turvaposti ja muu tarvittava tekninen välineistö sähköisen aineiston toimittamiseksi tietoturvallisesti.

Rekisterinpitäjä vetosi selvityksessään yleiseen käytäntöön, jonka mukaan sähköposti ei ole kyseisen rekisterinpitäjän käyttämä palvelukanava. Rekisterinpitäjällä oli kuitenkin käytössään tietoturvallinen sähköposti ja myös ohjeet sen käyttämiseksi.

TIETOSUOJAVALTUUTETUN PÄÄTÖS
Tietosuoja-asetuksen 15 artikla koskee rekisteröidyn oikeutta saada pääsy tietoihin. Säännöksen mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto siitä, käsitteleekö se kyseistä rekisteröityä koskevia henkilötietoja ja, jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, ellei rekisteröity toisin pyydä.

Rekisteröidyn oikeuksien käyttämisessä ja toteuttamisessa noudatettavista menettelytavoista on säädetty tietosuoja-asetuksen 12 artiklassa. Sen 3 kohdan mukaan, jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

Kyseisen asetuksen 32 artiklassa säädetään käsittelyn turvallisuudesta. Sen 1 kohdassa säädetään seuraavasti: ”Ottaen huomioon uusin tekniikka ja toteuttamiskustannukset, käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava riskiä vastaavan turvallisuustason varmistamiseksi esimerkiksi henkilötietojen salaus”. Turvallisuustason arvioimisessa on kiinnitettävä huomiota erityisesti käsittelyn sisältämiin riskeihin.

Tietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen. Se, että rekisterinpitäjä ei lähettänyt lausuntoa hakijalle hänen pyytämällään tavalla sähköisesti, vaikka sillä oli käytössään tietoturvallinen sähköpostiyhteys, oli tietosuoja-asetuksen vastaista.

Päätös ei ole vielä lainvoimainen.

SOVELLETUT LAINKOHDAT
EU:n yleinen tietosuoja-asetus (2016/679) 12, 15, 32 ja 58 artikla

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.