TSV 22.03.2023
Oikeus siirtää tiedot järjestelmästä toiseen sähköpostipalvelussa
sähköposti - oikeus siirtää tiedot järjestelmästä toiseen - rekisteröidyn oikeudet
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 22.03.2023 |
| Diaarinumero: | 10048/182/20 |
Asia
Oikeus siirtää tiedot järjestelmästä toiseen
Rekisterinpitäjä
Sähköpostipalvelun tarjoaja
Hakijan vaatimukset perusteluineen
Hakija on 2.12.2020 pyytänyt tietosuojavaltuutetun toimistoa selvittämään, onko rekisterinpitäjä toteuttanut hakijan oikeuden siirtää tiedot järjestelmästä toiseen yleisen tietosuoja-asetuksen 20 artiklan mukaisesti.
Rekisterinpitäjän sähköpostipalvelu tarjoaa alustan salattujen sähköpostien lähettämiseen muille sähköpostipalvelun käyttäjille. Lisäksi muista palveluista saapuvat sähköpostit salataan käyttäjän salausavaimella, joka on salattuna sähköpostipalvelun palvelimilla käyttäjän salasanalla.
Hakijan mukaan sähköpostipalvelun maksuttomilla käyttäjillä on mahdollisuus viedä viestinsä palvelusta EML-muodossa yksi kerrallaan. Maksullisille käyttäjille on tarjolla kaksi työkalua, jotka molemmat mahdollistavat viestien viemisen massoittain.
Hakijan näkemyksen mukaan rekisterinpitäjän tulisi tarjota nämä jälkimmäiset työkalut tai vastaavat myös maksuttomille käyttäjille, eikä viestien vieminen yksittäin täytä tietosuoja-asetuksen 20 artiklan vaatimuksia.
Hakijalta saatu selvitys
Hakija on ollut 13.11.2020 yhteydessä rekisterinpitäjään ja pyytänyt saada tietonsa jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa yleisen tietosuoja-asetuksen 20 artiklan mukaisesti. Hakija on toimittanut tietosuojavaltuutetun toimistolle rekisterinpitäjän kanssa käymänsä sähköpostikirjeenvaihdon.
Rekisterinpitäjä on hakijalle 16.11.2020 lähettämässään vastauksessa todennut, että Import-Export -työkalu ei ole vielä valmis ilmaiseksi käyttäjille. Rekisterinpitäjä on kehottanut hakijaa hyödyntämään siihen asti mahdollisuutta ladata viestit yksittäin.
Hakija on tiedustellut asiaa uudelleen ja rekisterinpitäjä on 30.11.2020 lähettämässään vastauksessa todennut, että tietosuoja-asetuksen 20 artiklan soveltuvuus sähköposteihin ei olisi rekisterinpitäjän tiedon mukaan vielä täysin selvää. Rekisterinpitäjän mukaan se pyrkii tarjoamaan ominaisuuden myös ilmaiskäyttäjille, mutta kehitys vaatii aikaa ja vaivaa. Rekisterinpitäjän mukaan he eivät voi sitoutua siihen, että ominaisuus on valmis kolmen kuukauden kuluessa.
Rekisterinpitäjältä saatu selvitys
Tietosuojavaltuutetun toimisto on pyytänyt rekisterinpitäjältä selvitystä 26.9.2022. Tietosuojavaltuutetun toimisto on pyrkinyt selvittämään, miten rekisterinpitäjä toteuttaa yleisen tietosuoja-asetuksen 20 artiklan mukaisen oikeuden siirtää tiedot järjestelmästä toiseen sähköpostipalvelun yhteydessä ja toteuttaako rekisterinpitäjä oikeuden eri tavalla riippuen siitä, maksaako rekisteröity palvelun käytöstä vai ei. Rekisterinpitäjä on toimittanut selvityksen pyydetyssä määräajassa 28.10.2022.
Rekisterinpitäjän mukaan sen tarkoituksena on ollut saattaa tietojen tuontiin ja vientiin liittyvät työkalut kaikkien käyttäjien saataville. Rekisterinpitäjän mukaan käyttäjillä on aina ollut mahdollisuus tuoda ja viedä alustalle sähköposteja ja muuta henkilötietoja yksittäin manuaalisesti. Teknisistä syistä, erityisesti salausteknologioiden vuoksi, käyttäjän piti tehdä tämä itse manuaalisesti.
Rekisterinpitäjä toteaa, että he ovat työskennelleet jo jonkin aikaa automatisoidun työkalun parissa helpottaakseen tietojen viemistä massoittain. Rekisterinpitäjän mukaan he eivät ole voineet tarjota sitä koko käyttäjäkunnalle teknisistä ja kehitykseen liittyvistä syistä. Ominaisuuden käyttö rajattiin käyttäjille, joilla on tilaus (beta-versio), jotta sen vakautta ja toimivuutta voitiin testata yhä suuremmassa mittakaavassa.
Rekisterinpitäjän mukaan ominaisuus on kuitenkin viime aikoina katsottu riittävän vakaaksi, jotta se voidaan antaa käyttöön koko käyttäjäkunnalle. Rekisterinpitäjä toteaa, että viestien tuonti ja vienti on nyt mahdollista myös ilmaiskäyttäjille.
Rekisterinpitäjä on vahvistanut, että kaikki käyttäjät voivat automaattisesti tuoda ja viedä sähköposteja tietokoneella luettavassa muodossa, eikä oikeutta siirtää tiedot toteuteta eri tavalla riippuen siitä, onko käyttäjä maksava asiakas vai ei.
Hakijan vastine
Hakijalle on annettu 10.11.2022 mahdollisuus antaa asiassa vastine. Hakija on toimittanut vastineen 22.11.2022.
Hakija on vastineessaan vahvistanut, että sähköpostipalvelun Import-Export -sovellus on nyt saatavilla myös ilmaisille käyttäjille ja se toimii ilmaisten tunnusten kanssa. Hakija toteaa vastineessaan muun muassa seuraavaa:
Kahden vuoden jälkeen rekisterinpitäjä siis totesi, että työkalu onkin riittävän stabiili sallittavaksi myös ilmaiskäyttäjille, ja tämä "sattumalta" osui ajanjaksoon välittömästi TSV:n tiedustelun jälkeen.
Sovelluksen versio, joka on nyt tarjolla ilmaiskäyttäjille, on 1.3.3.
Tämä versio on ollut saatavilla jo 2021-08-17 (esim. [2]), eli loppukäyttäjille annettavaan sovellukseen muutoksia ei ole tehty yli vuoteen, eikä tehty tässäkään yhteydessä.
Nähdäkseni rekisterinpitäjä on tehnyt tietoisen valinnan viivytellä GDPR:n mukaisten vaatimusten täyttämisestä, kunnes joku tietosuojaviranomaisista aloittaa selvitykset asiasta. Sillä välin GDPR:n takaamien oikeuksien toteuttamisesta on vaadittu rahaa käyttäjiltä, joten tässä tapauksessa yritys on hyötynyt asiasta taloudellisesti vähintään vajaan kahden vuoden ajan.
Oikeudellinen kysymys
Tietosuojavaltuutettu arvioi ja ratkaisee asian yleisen tietosuoja-asetuksen (EU) 2016/679 pohjalta. Asiassa on ratkaistavana:
1. Onko rekisterinpitäjä toteuttanut rekisteröidyn oikeuden siirtää tiedot järjestelmästä toiseen yleisen tietosuoja-asetuksen 20 artiklan 1 kohdassa ja 12 artiklan 5 kohdassa säädetyn mukaisesti?
Tietosuojavaltuutetun päätös
Rekisterinpitäjä ei ole toteuttanut rekisteröidyn oikeutta siirtää tiedot järjestelmästä toiseen yleisen tietosuoja-asetuksen 20 artiklan 1 kohdassa ja 12 artiklan 5 kohdassa säädetyn mukaisesti.
Huomautus
Tietosuojavaltuutettu antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen.
Tietosuojavaltuutettu huomauttaa, että hakijalle annettu mahdollisuus viedä sähköpostiviestit yksi kerrallaan ei ole täyttänyt yleisen tietosuoja-asetuksen 20 artiklan 1 kohdassa säädettyä velvollisuutta toteuttaa rekisteröidyn oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu.
Tietosuojavaltuutettu huomauttaa, että automatisoidun työkalun antaminen vain maksavien asiakkaiden käyttöön on käytännössä johtanut siihen, että tietosuoja-asetuksen 20 artiklan mukaisen oikeuden käyttäminen täysimääräisesti on ollut maksullista. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut hakijan oikeutta 12 artiklan 5 kohdan edellyttämällä tavalla maksuttomasti.
Perustelut
Sovellettavasta lainsäädännöstä
Yleisen tietosuoja-asetuksen 20 artiklan 1 kohdassa on säädetty oikeudesta siirtää tiedot järjestelmästä toiseen:
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos
a) käsittely perustuu suostumukseen 6 artiklan 1 kohdan a alakohdan tai 9 artiklan 2 kohdan a alakohdan nojalla tai sopimukseen 6 artiklan 1 kohdan b alakohdan nojalla; ja
b) käsittely suoritetaan automaattisesti.
Tietosuoja-asetuksen 12 artiklan 5 kohdan mukaisesti 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34 artiklan nojalla tehnyt toimenpiteet ja annettavat tiedot ovat rekisteröidylle maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko
a) periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
b) kieltäytyä suorittamasta pyydettyä toimea.
Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.
Oikeuden soveltuminen sähköpostipalvelussa käsiteltäviin sähköpostiviesteihin
Rekisterinpitäjä on hakijalle 30.11.2020 lähetetyssä vastauksessa todennut, että 20 artiklan mukaisen oikeuden soveltuvuus sähköposteihin ei olisi rekisterinpitäjän tiedon mukaan vielä täysin selvää.
Euroopan tietosuojaneuvostoa edeltävä 29 artiklan mukainen tietosuojatyöryhmä (WP29) on julkaissut 13.12.2016 oikeutta tietojen siirtämiseen järjestelmästä toiseen koskevat ohjeet. Ohje sisältää useita esimerkkejä, joissa viitataan nimenomaisesti sähköpostipalveluntarjoajiin. Oikeuden soveltamisesta on siis ollut saatavilla ohjeistusta jo useita vuosia ennen, kun hakija on ollut yhteydessä rekisterinpitäjään.
WP29 on edellä mainitussa ohjeessa katsonut, että oikeus tietojen siirtämiseen järjestelmästä toiseen kattaa rekisteröidyn tietoisesti ja aktiivisesti toimittamat tiedot sekä hänen toimintansa tuottamat henkilötiedot. Tietosuojavaltuutettu katsoo, että sähköpostipalvelussa lähetetyt ja vastaanotetut sähköpostiviestit ovat hakijan toimittamia ja hänen toiminnastansa syntyneitä tietoja, jotka koskevat hakijaa.
Rekisterinpitäjän tietosuojaselosteessa todetaan, että palvelun tiliä koskevien tietojen käsittely perustuu käyttäjän suostumukseen. Tietosuojavaltuutettu katsoo lisäksi, että sähköpostipalvelun yhteydessä tapahtuva henkilötietojen käsittely on 20 artiklan 1 kohdan b alakohdan tarkoittamalla tavalla automaattista. Edellä mainituin perustein tietosuojavaltuutettu katsoo, että tietosuoja-asetuksen 20 artiklaa sovelletaan kyseessä oleviin henkilötietoihin.
Tietojen siirtämisestä yksi kerrallaan
Tietojen siirtämistä koskevan 20 artiklan 1 kohdassa todetaan, rekisteröidyllä on oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu. Rekisterinpitäjä ei siis saa estää tai vaikeuttaa tietojen siirtämistä. Kuten WP29 on 20 artiklaa koskevassa ohjeessaan todennut, oikeuden tarkoituksena on lisätä rekisteröityjen vaikutusmahdollisuuksia omien henkilötietojensa suhteen, koska se ”helpottaa henkilötietojen siirtämistä tai kopioimista tietojärjestelmäympäristöstä toiseen”.
Sähköpostipalvelun ilmaisversion käyttäjällä on mahdollisuus lähettää 150 sähköpostiviestiä päivässä. Näin ollen jo kuukauden käytön jälkeen käyttäjällä voi olla palvelussa yli 4000 sähköpostiviestiä. Viestien vieminen manuaalisesti yksitellen on hidasta ja johtaa siihen, että kaikkien tietojen siirtäminen olisi hyvin aikaa vievää. Voidaan siis katsoa, että mahdollisuus viedä sähköpostiviestit ainoastaan yksi kerrallaan on käytännössä vaikeuttanut ja estänyt käyttäjiä siirtämästä henkilötietojaan. Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut hakijan oikeutta siirtää tiedot järjestelmästä toiseen yleisen tietosuoja-asetuksen 20 artiklan 1 kohdassa säädetyn mukaisesti.
Oikeuden toteuttamisen maksullisuudesta
Rekisterinpitäjän selvityksen mukaan automatisoidun työkalun käyttö rajattiin maksaville käyttäjille palvelun vakauden ja toimivuuden testaamiseksi.
Tietosuojavaltuutettu huomauttaa, että asiassa on kysymys tietosuoja-asetuksessa säädetyn rekisteröidyn oikeuden toteuttamisesta. Pääsääntöisesti oikeuksien käyttämisen on oltava rekisteröidylle maksutonta. Automatisoidun työkalun antaminen vain maksavien asiakkaiden käyttöön on käytännössä johtanut siihen, että tietosuoja-asetuksen 20 artiklan mukaisen oikeuden käyttäminen täysimääräisesti on ollut maksullista.
Jos rekisterinpitäjä katsoo, että rekisteröidyn pyyntö on 12 artiklan 5 kohdan mukaisesti ilmeisen perusteeton tai kohtuuton, se voi joko periä kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimea. Rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus. Käsillä olevassa tapauksessa rekisterinpitäjä ei ole osoittanut, miksi hakijan pyyntö olisi ollut ilmeisen perusteeton tai kohtuuton.
Tietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toteuttanut hakijan oikeutta 12 artiklan 5 kohdan edellyttämällä tavalla maksuttomasti.
Sovelletut lainkohdat
Perusteluissa mainitut
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Päätöksen on tehnyt tietosuojavaltuutettu Anu Talus.
Päätös on lainvoimainen.