Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) har utfärdat en reprimand mot en e-postleverantör för överträdelse av artikel 20 dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad användare av en e-posttjänst (den registrerade) begärt sina uppgifter från e-postleverantören (den personuppgiftsansvarige) i ett strukturerat, allmänt använt och maskinläsbart format i enlighet med artikel 20 GDPR. Den personuppgiftsansvarige avslog begäran och angav att den registrerade kunde exportera sina e-postmeddelanden ett och ett i ett .eml-format. Vidare hävdade den personuppgiftsansvarige att det fortfarande är osäkert om artikel 20 GDPR är tillämplig på e-postmeddelanden. Den personuppgiftsansvarige uppgav att de höll på att utveckla ett import-/exportverktyg, men att verktyget ännu inte var tillgängligt för alla användare. Den registrerade begärde att Dataombudsmannens byrå skulle undersöka om den personuppgiftsansvarige uppfyllt sina skyldigheter enligt artikel 20 GDPR.
Dataombudsmannens byrå begärde en förklaring från den personuppgiftsansvarige i syfte att förstå hur denne underlättade rätten till dataportabilitet i förhållande till e-posttjänsten. Dessutom ville Dataombudsmannens byrå fastställa om den personuppgiftsansvarige behandlade denna rättighet på olika sätt beroende på om användaren betalade för tjänsten eller inte.
Enligt den personuppgiftsansvarige var deras avsikt att tillhandahålla verktyg för import och export av data för alla användare. Av tekniska skäl, till exempel krypteringsteknik, var användarna dock tvungna att själva utföra dessa uppgifter manuellt. Den personuppgiftsansvarige menade att de arbetade på ett automatiserat verktyg för att underlätta massexport av uppgifter. Den personuppgiftsansvarige förklarade dock att de inte kunde erbjuda det till hela användarbasen på grund av tekniska och utvecklingsrelaterade utmaningar. Till en början var tillgången till verktyget begränsad till användare med ett abonnemang som en betaversion, vilket gjorde det möjligt att testa dess stabilitet och funktionalitet i en gradvis större skala.
Efter Dataombudsmannens byrås begäran gjordes verktyget tillgängligt även för kunder med kostnadsfria abonnemang. Den version som släpptes till dem var samma som hade varit tillgänglig för betalande kunder i över ett år. Den registrerade hävdade att den personuppgiftsansvarige avsiktligt dröjt med att fullgöra sina skyldigheter enligt GDPR tills en utredning av tillsynsmyndigheten inletts. Under tiden hade den personuppgiftsansvarige genererat intäkter genom att ta betalt av användarna för genomförandet av de rättigheter som garanteras av GDPR, vilket resulterat i ekonomisk vinst under minst två år.
Dataombudsmannens byrå ansåg att den personuppgiftsansvarige brutit mot artiklarna 20.1 och 12.5 GDPR. Dataombudsmannens byrå betonade att det faktum att det automatiserade verktyget endast är tillgängligt för betalande kunder i praktiken lett till att det fullständiga utövandet av rätten till dataportabilitet i enlighet med artikel 20 GDPR har varit avgiftsbelagt. Vidare ansåg Dataombudsmannens byrå att den personuppgiftsansvarige inte hade genomfört den registrerades rätt kostnadsfritt i enlighet med artikel 12.5 GDPR.
Vidare noterade Dataombudsmannens byrå att en användare av e-posttjänstens kostnadsfria abonnemang kan skicka 150 e-postmeddelanden per dag. Efter bara en månads användning kan användaren således ha mer än 4 000 e-postmeddelanden inom tjänsten. Att manuellt exportera meddelanden ett i taget är långsamt och att överföra alla data skulle vara mycket tidskrävande. Som ett resultat ansåg Dataombudsmannens byrå att möjligheten att exportera e-postmeddelanden endast ett och ett i praktiken har gjort det svårt och hindrat användare från att utöva sina rättigheter enligt artikel 20 GDPR. Mot bakgrund av ovanstående utfärdade Dataombudsmannens byrå en reprimand mot den personuppgiftsansvarige.