电子信息提供要求

fabiha01

《通用数据保护条例》（GDPR）在第 15 至 22 条中赋予受数据处理影响的人员个人权利。知情权是受影响者的基本权利之一。这篇博文将探讨以电子方式提供信息的可能性和要求。

根据艺术获取信息的权利。 15 GDPR 作为起点
信息权已载入《1979 年第 15 条》。 15 GDPR。因此，数据主体有权向数据控制者索取有关其存储的个人数据的信息（GDPR 第 15（1）条）。除了数据本身之外，控制者还必须提供更多信息，例如B.处理的目的和存储期限。 GDPR 第 15（3）条还规定了获取个人数据副本的权利。

数据主体主张其信息权利的要求很少。具体而言，信息权不受特定形式的约束。因此，数据主体可以选择通过邮寄、电子方式（例如电子邮件）、电话或亲自提交其信息请求。

信息提供形式
负责人现在必须问自己应该以何种形式提供这些信息。根据具体情况，信息还可以通过邮寄、电子方式或根据数据主体的要求以口头方式提供。通常，信息请求必须采用接收请求的相同方法来答复。

如果数据主体以电子方式提交信息请求，则必须根据《数据保护条例》第 6 条以通用电子格式提供该信息。 GDPR 第 12（3）条第 4 句和第 13 条。 GDPR 第 15（3）条第 3 句 - 除非数据主体另有规定。 “常见电子格式”例如是 PDF 格式。 GDPR 第 63 条第 4 句还为控制者提供了向数据主体提供安全系统远程访问权限的选项，通过该系统他们可以直接访问其个人数据。

通信保密是基本要求
当提供信息时，大量的个人数据会定期传输给数据主体。敏感的个人数据成为信息的一部分（例如健康数据）的情况并不少见。因此，印度商务传真列表 负责人必须保证通信的机密性，并确保未经授权的第三方无法访问数据。这更适用于电子信息。如果通过电子邮件提供信息，则文件附件应受安全密码保护，并且必须通过其他通信方式（例如通过电话）将密码传达给数据主体。

因提供信息的技术不安全而被罚款

2020 年，勃兰登堡州数据保护和文件访问专员公署 (LDA Brandenburg) 对一家公司处以六位数的罚款，该公司通过电子邮件回复了信息请求，但不久之后就在另一封电子邮件中提供了受保护文件附件的密码（LDA Brandenburg，《2020 年数据保护活动报告》，第 49 页及后续页）。第二封电子邮件仅使用默认的传输层安全性 (TLS) 加密，该协议仅保护电子邮件的传输路径。该电子邮件在发件人和收件人的电子邮件服务器上均未加密。

由于存在其他相同的违规行为，勃兰登堡地方发展局对违反第 14 条的规定启动了罚款程序。 GDPR 第 32 条规定，控制者有义务采取适当的技术和组织措施来保护个人数据。认定违规的决定性因素是电子邮件发送与时间以及内容相关的紧密联系。因此，拦截电子邮件通信的未经授权的第三方可以通过读取第二封电子邮件中以纯文本传输的密码来打开第一封电子邮件的加密附件。此外，这些信息还包含需要特别保护的敏感个人数据。

作为防止未经授权访问的适当措施，监管机构建议对电子邮件进行端到端加密，同时也对邮件服务器上的电子邮件进行加密。或者，也可以通过另一个通信渠道传达密码。

黑森州电子信息提供监管机构
黑森州数据保护和信息自由专员公署 (HBDI) 也在其当前活动报告中处理了电子信息提供问题（HBDI，2023 年活动报告，第 132 页及后续页）。此事的背景是，有人通过电子邮件向地址经销商发送了信息请求，但在一个月的法定期限内没有收到回复。在 HBDI 发起的诉讼过程中，发现该公司通过邮寄方式将信息发送到公司注册的地址。但这是当事人以前的地址，因此信息无法成功传递。

HBDI 首先提请公司注意 Art 的要求。 GDPR 第 12 条第 (3) 款 (4) 项规定，如果数据主体以电子方式提交信息请求（如本案所示），则必须以通用电子格式提供信息。然而，在目前情况下，应该考虑到在地址交易和新客户获取领域，不存在直接的客户关系，而且几乎不可能验证电子邮件地址。数据主体可能会将对额外身份证明文件（例如身份证或授权书）的要求视为一种障碍和扩展的数据收集。因此，HBDI 告知该公司，由控制者设置的对其自身数据的安全远程访问也是提供信息的一种选择。

地址经销商与 HBDI 合作实施了这些要求，具体如下：以电子方式请求信息的数据主体将收到直接的电子反馈，该反馈透明地宣布从电子到邮政的媒介变化，并为数据主体提供这种变化的可理解的理由（有关门户网站的安全问题以及合法性和身份验证不足）。随后发送的信息函包含清晰的文件编号和易于理解的信息文本。如果数据主体仍然需要其个人数据的电子副本，则他或她可以随时使用唯一文件编号向控制者提出请求。

通过邮政广告信的原始地址、信息信中使用的地址以及文件编号的提及，控制者无疑能够识别请求信息的人，从而提供电子信息。