Η ηλεκτρονική μορφή δεν περιορίζεται στην απάντηση μέσω email, αλλά μπορεί να περιλαμβάνει και την ταχυδρόμηση CD ή USB
Το ζήτημα του τρόπου ικανοποίησης της απαίτησης του άρθρου 15 παρ.3 ΓΚΠΔ εξέτασε σε πρόσφατη απόφασή της η φινλανδική αρχή προστασίας δεδομένων. Σύμφωνα με τη διάταξη αυτή, «εάν το υποκείμενο των δεδομένων υποβάλλει το αίτημα με ηλεκτρονικά μέσα και εκτός εάν το υποκείμενο των δεδομένων ζητήσει κάτι διαφορετικό, η ενημέρωση παρέχεται σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως», χωρίς ωστόσο να διευκρινίζεται από τον ενωσιακό νομοθέτη το σε τι συνίσταται η «ηλεκτρονική μορφή που χρησιμοποιείται συνήθως».
Στην υπόθεση που τέθηκε ενώπιον της φινλανδικής αρχής, ο υπεύθυνος επεξεργασίας, πάροχος υπηρεσιών τηλεφωνίας, δέχθηκε αίτημα πρόσβασης από συνδρομητή του, με το οποίο ζητείτο η χορήγηση αντιγράφου των προσωπικών δεδομένων του, όπως αυτά προέκυπταν από τη χρήση του τηλεφώνου του.
Μέρος των δεδομένων αυτών παρασχέθηκε μέσω της ειδικής ηλεκτρονικής πλατφόρμας εξυπηρέτησης συνδρομητών του παρόχου, ενώ για κάποια που δεν ήταν διαθέσιμα μέσα από την πλατφόρμα, ο πάροχος προτίμησε να τα εκτυπώσει και να τα αποστείλει στο υποκείμενο των δεδομένων ταχυδρομικά.
Ο συνδρομητής όμως είχε υποβάλει το αίτημά του ηλεκτρονικά και ανέμενε την ικανοποίησή του με τον ίδιο τρόπο. Για τον λόγο αυτό, μεταξύ των ζητημάτων που έθεσε στην καταγγελία του ήταν και αυτό του τρόπου χορήγησης των δεδομένων που είχε ζητήσει.
Ερωτηθείς από την αρχή, ο πάροχος υποστήριξε πως επέλεξε την ταχυδρόμηση των δεδομένων σε έγχαρτη μορφή, καθώς δεν είχε τη βεβαιότητα πως η διαβίβασή τους μέσω του email του συνδρομητή θα διασφάλιζε την εμπιστευτικότητα των πληροφοριών, αφού δεν μπορούσε να επιβεβαιώσει ότι το πρόσωπο που χρησιμοποίησε το email του για να αποστείλει το αίτημα ήταν πράγματι αυτός.
Η φινλανδική αρχή δέχθηκε πως, πράγματι, η ικανοποίηση των αιτημάτων των υποκειμένων προϋποθέτει κάποιους κανόνες ασφάλειας, έκρινε ωστόσο πως η πρακτική που ακολούθησε ο υπεύθυνος επεξεργασίας παραβίασε το άρθρο 15 παρ.3 ΓΚΠΔ.
Ως προς την ασφάλεια των δεδομένων, η αρχή επεσήμανε πως οι απαιτήσεις του άρθρου 6 παρ.1στ’ ΓΚΠΔ για την εμπιστευτικότητα και ακεραιότητα των δεδομένων καταλαμβάνουν και τον τρόπο ανταπόκρισης στα αιτήματα των υποκειμένων των δεδομένων. Παράλληλα, η αρχή υπενθύμισε πως, σύμφωνα με το άρθρο 12 παρ.6 ΓΚΠΔ, «όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 έως 21, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων».
Στη συγκεκριμένη περίπτωση, ωστόσο, το ζήτημα δεν ήταν τόσο περίπλοκο, όσο ο υπεύθυνος επεξεργασίας το αντιμετώπισε. Από τη στιγμή που ο υπεύθυνος επεξεργασίας παρέσχε τις αιτηθείσες πληροφορίες, τόσο ηλεκτρονικά, όσο και μέσω ταχυδρομείου, δεν θα μπορούσε να τεθεί ζήτημα επιβεβαίωσης της ταυτότητας του υποκειμένου, καθώς αυτή είχε προφανώς επιβεβαιωθεί.
Το πρόβλημα εντοπίστηκε στον τρόπο ικανοποίησης του αιτήματος και την παραβίαση της πρόβλεψης για ενημέρωση «σε ηλεκτρονική μορφή που χρησιμοποιείται συνήθως». Η φινλανδική αρχή παρατήρησε πως ο Γενικός Κανονισμός δεν προσδιορίζει σε τι συνίσταται η ηλεκτρονική αυτή μορφή, γεγονός που σημαίνει πως είναι επιτρεπτή η χρήση διαφορετικών μέσων.
Επικαλούμενη τις Κατευθυντήριες Γραμμές 1/2022 του ΕΣΠΔ για το δικαίωμα πρόσβασης (Ενότητα 5.2.5), η αρχή έκρινε πως η χορήγηση των δεδομένων του υποκειμένου μέσω ταχυδρομείου δεν ήταν κατ’ ανάγκην εσφαλμένη, το μέσο όμως που χρησιμοποιήθηκε για την αποτύπωση των δεδομένων ήταν. Τούτο διότι, εφόσον ο υπεύθυνος επεξεργασίας ήθελε, για λόγους προστασίας της εμπιστευτικότητας, να αποφύγει το email και να ταχυδρομήσει τα δεδομένα, δεν είχε παρά να αποστείλει αυτά σε ένα CD ή USB stick, αντί να τα ταχυδρομήσει εκτυπωμένα.
