TSV 18.12.2024
Rekisterinpitäjän oikeus periä kohtuullinen hallinnollinen maksu rekisteröidyltä
rekisteröidyn oikeuksien toteuttamisen maksuttomuus - hallinnollinen maksu - tietojen toimittaminen sähköisesti - tarkastusoikeus
| Säädösperusta: | EU:n yleisen tietosuoja-asetuksen mukainen päätös |
|---|---|
| Antopäivä: | 18.12.2024 |
| Diaarinumero: | TSV/8668/2024 |
Apulaistietosuojavaltuutetun päätös rekisterinpitäjän oikeudesta periä kohtuullinen hallinnollinen maksu rekisteröidyltä
Asia
Henkilötietojen suojaamisen riittävyys sekä rekisterinpitäjän oikeus vaatia kuluihin perustuvaa hallinnosta maksua rekisteröidyltä
Rekisterinpitäjä
Kansaneläkelaitos
Rekisteröidyn vaatimukset perusteluineen
Rekisteröity on ollut yhteydessä tietosuojavaltuutetun toimistoon ja kertonut saaneensa 16.8.2024 rekisterinpitäjältä tekstiviestin. Tekstiviestin mukaan hänelle on postitettu muistitikku, joka on liittynyt hänen rekisteröitynä tekemäänsä tarkastuspyyntöön. Viestissä on ollut myös salasana, jonka avulla muistitikun tiedot saa käyttöönsä.
Rekisteröity on todennut, että muistitikkua turvallisempi ja nopeampi tapa toimittaa hänen pyytämänsä tiedot olisi ollut turvaposti, joka rekisterinpitäjällä on käytössä.
Rekisterinpitäjältä saatu selvitys
Rekisterinpitäjä on vastannut tietosuojavaltuutetun toimiston sille asiassa lähettämään selvityspyyntöön.
Rekisterinpitäjä on käsitellyt rekisteröidyn asian yleisen tietosuoja-asetuksen mukaisena rekisteröidyn pyyntönä tarkastaa omat tietonsa.
Rekisteröidylle on lähetetty 16.8.2024 tekstiviesti tämän ilmoittamaan puhelinnumeroon samaan aikaan, kun kyseinen suojattu muistitikku on lähetetty rekisteröidylle rekisterinpitäjän Postin seurannalla varustettuna pakettina. Postin toimitustietojen mukaan lähetys on 19.8.2024 luovutettu vastaanottajalle ilman vastaanottokuittausta.
Rekisterinpitäjä on 1.8.2024 jälkeen vastaanottanut vireillesaattajan kaksi kirjaamoon lähettämää sähköpostiviestiä. Víesteissään vireillesaattaja on kertonut, ettei ole saanut vastausta tarkastuspyyntöönsä. Tämän johdosta rekisterinpitäjä on selvittänyt asiaa Postin kanssa. Tämän jälkeen rekisterinpitäjä on vastannut rekisteröidylle, että Postin mukaan paketti on tälle toimitettu.
Vireillesaattaja on 2.9.2024 lähettämässään sähköpostiviestissä edelleen todennut, ettei hän ole muistitikkua vastaanottanut. Tämän vuoksi hänelle on 6.9.2024 lähetetyssä sähköpostissa kerrottu, että rekisterinpitäjä toimittaa hänelle tiedot uudelleen suojatulla muistitikulla tällä kertaa kirjattuna kirjeenä, joka tulee noutaa postitoimipaikasta. Kaiken kaikkiaan rekisterinpitäjä on lähettänyt salasanasuojatut muistitikut kahteen otteeseen, 10.9. sekä 1.10.2024 kirjattuna kirjeenä, joka on tullut noutaa lähimmästä postitoimipaikasta.
Vireillesaattaja on 12.9.2024 lähettänyt viestin rekisterinpitäjälle, jossa hän on kertonut veloittavansa 120 euroa alkavalta tunnilta sekä taksikulut, jos hän hakee hänelle lähetetyn vastauksen tarkastuspyyntöön postista. Muussa tapauksessa lähetys palautuu takaisin rekisterinpitäjälle. 10.9.2024 lähetetty lähetys on palautunut rekisterinpitäjälle noutamattomana 1.10.2024.
Rekisteröity on myös 3.10.2024 lähettämässään sähköpostissa rekisterinpitäjälle toistanut kulu- ja korvausvaatimuksensa. 1.10.2024 lähetetty lähetys on palautunut takaisin rekisterinpitäjälle 22.10.2024.
Kaiken kaikkiaan tiedot on siis lähetetty rekisteröidylle kolme erillistä kertaa.
Rekisteröity on 22.10.2024 lähettänyt rekisterinpitäjän kirjaamoon sähköpostiviestin, jossa hän on todennut, ettei ole vieläkään saanut vastausta 18.7.2024 tehtyyn tarkastuspyyntöön. Hänelle on vastattu 12.11.2024. Vastauksessa on todettu, että hänelle lähetetään hänen pyytämänsä tiedot, mutta niistä peritään häneltä rekisterinpitäjälle lähettämisestä aiheutuvat postikulut 14,91 euroa. Rekisterinpitäjä ei myöskään korvaa noutamisesta aiheutuvia kustannuksia.
Rekisteröidyn vastine
Asiassa ei ole pyydetty vastinetta rekisterinpitäjän selvitykseen rekisteröidyltä, koska sitä on pidetty hallintolain (434/2003) 34 § 2 momentin 5 kohdassa tarkoitetulla tavalla ilmeisen tarpeettomana. Vastineen hankkiminen ei muuttaisi asian ratkaisutapaa. Asia voidaan ratkaista tietosuojavaltuutetun tietoon saatetun pyynnön sekä rekisterinpitäjän antaman selvityksen perusteella.
Sovellettava lainsäädäntö
Yleisen tietosuoja-asetuksen 15 artiklassa on säädetty rekisteröidyn oikeudesta saada pääsy tietoihin. Yleisen tietosuoja-asetuksen 15 artiklan 1 kohdan mukaan rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin.
Yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaan, jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.
Yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan mukaan 15 artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjällä on 12 artiklan 5 kohdan a alakohdan mukaan oikeus periä kohtuullinen maksu ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset.
Oikeudellinen kysymys
Asiassa tulee ratkaistavaksi yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan tulkinta siitä, mitä tarkoitetaan rekisteröidyn oikeuksien toteuttamisen maksuttomuudella. Lisäksi ratkaistavaksi tulee, miten yleisen tietosuoja-asetuksen 15 artiklan 3 kohtaa rekisterinpitäjän velvollisuudesta toimittaa pyydetyt tiedot yleisesti käytetyssä sähköisessä muodossa tulee tapauksessa tulkita.
Tämän jälkeen tulee ratkaistavaksi, onko asiassa tarpeen antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan c alakohdan mukainen määräys rekisterinpitäjälle noudattaa asiassa rekisteröidyn pyyntöä.
Apulaistietosuojavaltuutetun päätös ja perustelut
Määräystä ei anneta.
Perustelut
Rekisterinpitäjän antaman selvityksen mukaan se on lähettänyt rekisteröidyn pyytämät tiedot kolmeen eri otteeseen rekisteröidylle.
Ensimmäisellä kerralla tiedot on lähetetty ilman vaatimusta vastaanottokuittauksesta, kuitenkin käyttäen postin seurantapalvelua. Kun rekisteröity on ilmoittanut, ettei hän ole saanut kyseistä lähetystä, on samat tiedot lähetetty hänelle kahdella erillisellä lähetyksellä, joita rekisteröity ei ole noutanut postitoimipaikasta.
Käsillä olevassa asiassa on kiistatonta, että rekisterinpitäjä on lähettänyt pyydetyt tiedot sähköisessä muodossa, kuten rekisteröity on pyytänyt. Sen sijaan rekisteröidyn puolelta on kyseenalaistettu sähköisen toimitusmuodon tapa ja sen tietoturvallisuus.
Apulaistietosuojavaltuutettu toteaa, että yleisessä tietosuoja-asetuksessa ei oteta tarkemmin kantaa sähköisen muodon tapaan, jota rekisterinpitäjän tulisi käyttää. Yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan mukaan, rekisteröidyn sähköisesti tekemään pyyntöön tulee vastata yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää.
Euroopan tietosuojaneuvosto on antanut ohjeen 1/2022 rekisteröidyn oikeuksista, joissa on käyty läpi asioita, jotka tulisi ottaa huomioon yleisen tietosuoja-asetuksen 15 artiklaan perustuvan rekisteröidyn oikeuden toteuttamistavassa.
Ohjeen kohdan 134 mukaan ”Rekisterinpitäjä voi kulloisenkin tilanteen mukaan päättää toimittaa jäljennöksen käsiteltävistä tiedoista yhdessä lisätietojen kanssa eri tavoin, esimerkiksi sähköpostitse, postitse tai itsepalvelutyökalun avulla. Kuten 15 artiklan 3 kohdassa säädetään, jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava yleisesti käytetyssä sähköisessä muodossa, paitsi jos rekisteröity toisin pyytää. Rekisterinpitäjän on joka tapauksessa harkittava asianmukaisia teknisiä ja organisatorisia toimenpiteitä, mukaan lukien asianmukainen salaus, kun tietoja toimitetaan sähköpostitse tai verkossa käytettävillä itsepalvelutyökaluilla.”
Apulaistietosuojavaltuutettu toteaa, että yleisen tietosuoja-asetuksen 15 artiklan 3 kohdan viimeistä lausetta ”paitsi jos rekisteröity toisin pyytää.” ei tule tulkita siten, että rekisteröidyn pyynnön perusteella rekisterinpitäjän tulisi toimittaa tiedot jollakin tietyllä, yksittäisen rekisteröidyn vaatimalla tavalla, jos rekisterinpitäjän valittu tapa toimittaa tiedot sähköisesti täyttää edellä selostetut edellytykset yleisesti käytössä olevasta muodosta ja riittävistä teknisistä ja organisatorisista toimenpiteistä.
Rekisterinpitäjä on voinut toimittaa tiedot myös muulla tavoin sähköisesti kuin rekisteröidyn pyytämällä tavalla, kunhan sähköiset tiedot ovat olleet asianmukaisesti suojattu. Rekisterinpitäjä on toteuttanut suojausvelvoitetta käyttämällä muistitikkua, joka on ollut salasanalla suojattu. Salasanan lähettäminen erikseen tekstiviestitse rekisteröidylle vähentää riskiä siitä, että tietoja joutuu sivullisen haltuun tilanteessa, jossa muistitikku olisi kuljetuksen aikana joutunut vääriin käsiin. Tältäkään osin käsillä olevassa tapauksessa ei ole syytä epäillä, että rekisterinpitäjä ei olisi noudattanut tietojen suojaamisvelvoitetta asiassa.
Apulaistietosuojavaltuutettu toteaa, että vaikka lähtökohtaisesti rekisterinpitäjän tulee toimittaa 15 artiklan mukaiset tiedot maksuttomasti, siitä ei voi tehdä päätelmää, että rekisterinpitäjän tulisi suorittaa rekisteröidylle maksu hänen käyttämästään ajasta noutaa hänelle lähetetyt tiedot postitoimipaikasta tai maksaa hänelle kulut taksinkäytöstä lähetystä noutaessaan.
Rekisterinpitäjä on lähettänyt rekisteröidyn pyytämät tiedot tietosuojavaltuutetun toimistolle annetun selvityksen mukaan kolmasti. Rekisteröidyn mukaan hän ei ole ensimmäistä lähetystä vastaanottanut, minkä jälkeen rekisterinpitäjä on lähettänyt samat tiedot kahdesti rekisteröidylle saantitodistusta vastaan, mutta rekisteröity ei ole noutanut saapuneita lähetyksiä. Rekisterinpitäjä on voinut vaatia yleisen tietosuoja-asetuksen 12 artiklan 5 kohdan a alakohdan perusteella neljännestä lähetyksestä muodostuvat postikulut hallinnollisina kustannuksina rekisteröidyltä.
Muutoksenhaku
Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään Itä-Suomen hallinto-oikeuteen.
Valitusosoitus on liitteenä.
Tiedoksianto
Päätös annetaan tiedoksi hallintolain (434/2003) 60 §:n mukaisesti postitse saantitodistusta vastaan.
Lisätietoja päätöksestä antaa asian esittelijä
Ylitarkastaja Terhi Rehtonen, puh. 029 56 66703
Asian on ratkaissut apulaistietosuojavaltuutettu Annina Hautala
Ratkaisu ei ole lainvoimainen.