EUT tiukentaa pseudonymisoitujen henkilötietojen tulkintaa
10. syyskuuta 2025 | Max Atallah
Milloin henkilötieto lakkaa olemasta henkilötieto? Tähän ydinkysymykseen Euroopan unionin tuomioistuin otti kantaa tuoreessa EDPS v. SRB -ratkaisussaan (C-413/23 P). Tapaus sai alkunsa, kun yhteinen kriisinratkaisuneuvosto (SRB) siirsi konsulttiyhtiö Deloittelle 1104 kirjallista huomautusta, jotka Banco Popularin entiset osakkeenomistajat ja velkojat olivat toimittaneet korvausasiaa koskevassa kuulemismenettelyssä.
SRB oli erottanut huomautukset niiden laatijoiden henkilötiedoista antamalla kullekin 33-numeroisen satunnaiskoodin. Vain SRB:llä säilyi avain, jolla koodi voitiin yhdistää huomautuksen jättäneeseen henkilöön. SRB ei ollut ilmoittanut tietosuojaselosteessaan, että osallistujien huomautuksia siirrettäisiin Deloittelle arvioitavaksi. Deloitte sai huomautukset pelkillä koodeilla varustettuna ilman koodiavainta, joten yhtiö ei voinut tunnistaa huomautusten laatijoita (kohdat 23–29).
Kiistan ydin oli, pitikö SRB:n ilmoittaa siirrosta etukäteen. SRB väitti, että koska Deloitte ei voinut yhdistää huomautuksia henkilöihin, kyse ei ollut henkilötiedoista Deloitten näkökulmasta. Euroopan tietosuojavaltuutettu (EDPS) katsoi päinvastoin, että tiedot olivat pseudonymisoituja henkilötietoja, koska SRB:llä säilyi avain henkilöiden tunnistamiseen. Tässä artikkelissa käymme läpi ratkaisun keskeisimmät kohdat ja tarkastelemme, miten ratkaisu vaikuttaa pseudonymisointia hyödyntävien rekisterinpitäjien toimintaan.
Mitä henkilötieto tarkoittaa ja miten pseudonymisointi vaikuttaa siihen
EU-viranomaisten tietosuoja-asetuksen (2018/1725) 3(1) artiklan mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Määritelmä on identtinen EU:n yleisen tietosuoja-asetuksen (2016/679) 4 artiklan 1 alakohdan kanssa. Asetuksen 2018/1725 johdanto-osan 5 perustelukappaleen mukaan asetusten yhteneväiset säännökset tulkitaan yhdenmukaisesti. EDPS v. SRB -ratkaisun linjaukset soveltuvat siten suoraan GDPR:n tulkintaan.
Asetuksen 2018/1725 johdanto-osan 16 kappale ja GDPR:n johdanto-osan 26 kappale selventää, että tietosuojaperiaatteita sovelletaan kaikkiin tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä koskeviin tietoihin. Tunnistettavuuden arvioinnissa on otettava huomioon kaikki keinot, joita rekisterinpitäjä tai muu henkilö voi kohtuullisen todennäköisesti käyttää henkilön tunnistamiseen suoraan tai epäsuorasti. Arvioinnissa huomioidaan kaikki objektiiviset tekijät, kuten tunnistamisesta aiheutuvat kulut, siihen tarvittava aika sekä käytettävissä oleva teknologia.
Pseudonymisointi tarkoittaa GDPR:n 4 artiklan 5 kohdan mukaan henkilötietojen käsittelyä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja. Nämä lisätiedot on säilytettävä erillään ja niihin on sovellettava teknisiä ja organisatorisia toimenpiteitä. Pseudonymisoidut tiedot ovat edelleen henkilötietoja, koska ne voidaan yhdistää henkilöön lisätietojen avulla. Pseudonymisointi eroaa siten anonymisoinnista, jossa yhteys henkilöön katkaistaan pysyvästi. Tietosuojaperiaatteita ei pitäisi soveltaa anonyymeihin tietoihin eli tietoihin, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.
Milloin tieto on henkilötietoa ja läpinäkyvyysvelvoite
Vaikka vuoden 1995 tietosuojadirektiivi (95/46/EY) sisälsi jo henkilötiedon käsitteen, GDPR:n mukainen merkitys on direktiivin aikaista henkilötiedon käsitettä laajempi. WP29-tietosuojaryhmä oli lausunnossaan 4/2007 tarkastellut direktiivin määritelmää neljän keskeisen osatekijän kautta (kaikenlaiset tiedot, koskeva, tunnistettu tai tunnistettavissa oleva sekä luonnollinen henkilö) ja esittänyt, että tieto liittyy henkilöön, kun läsnä on vähintään yksi kolmesta vaihtoehtoisesta tekijästä: sisältö, tarkoitus tai tulos. Nämä tekijät eivät ole kumulatiivisia, ja sama tieto voi liittyä eri henkilöihin eri tekijöiden kautta.
EU-tuomioistuin vahvisti vihdoinkin tämän lähestymistavan todetessaan, että tieto koskee tunnistettua tai tunnistettavissa olevaa henkilöä, kun se liittyy tähän henkilöön sisältönsä, tarkoituksensa tai vaikutuksensa vuoksi (kohta 55). Tuomioistuin kuitenkin sovelsi näitä kriteerejä kategorisesti mielipiteiden osalta. Se totesi, että henkilökohtaiset mielipiteet ja näkemykset liittyvät väistämättä niiden laatijaan, koska ne ilmentävät ihmisen ajattelua (kohta 58). Tämä linjaus perustui nk. Nowak-ratkaisuun (C-434/16), jossa kokeen tarkastajan merkinnät katsottiin henkilötiedoiksi (kohta 59).
Tapauksessa keskeinen kiista koski sitä, muuttuiko huomautusten oikeudellinen luonne pseudonymisoinnin myötä. SRB väitti, että koska Deloitte ei voinut tunnistaa huomautusten laatijoita, tiedot eivät olleet Deloittelle henkilötietoja, eikä yhtiötä siksi tarvinnut mainita tietosuojaselosteessa vastaanottajana. EDPS puolestaan katsoi, että pseudonymisoidut tiedot säilyvät henkilötietoina pelkästään sen vuoksi, että SRB:llä oli hallussaan koodiavain henkilöiden tunnistamiseen.
Tuomioistuin linjasi, että pseudonymisointi voi tosiasiallisesti vaikuttaa siihen, pidetäänkö tietoja henkilötietoina, mikäli tekniset ja organisatoriset toimenpiteet ovat omiaan estämään tietojen yhdistämisen rekisteröityyn (kohta 75). SRB:n hallussa oleva koodiavain tarkoitti, että huomautukset olivat SRB:n näkökulmasta yhä henkilötietoja (kohta 76). Deloitten osalta tilanne saattoi olla toinen, mikäli toteutetut toimenpiteet tosiasiallisesti estivät yhtiötä tunnistamasta rekisteröityjä (kohta 77). Henkilötiedon käsite ei ole rajaton vaan edellyttää tunnistettavuutta (kohta 88).
Tuomioistuimen ratkaisu teki kuitenkin selväksi, että pseudonymisoinnin mahdollinen vaikutus henkilötietojen luonteeseen ei ulotu informointivelvollisuuteen. Rekisterinpitäjän velvollisuus informoida rekisteröityä henkilötietojen vastaanottajista määräytyy tietojen keräämishetken mukaan ja rekisterinpitäjän näkökulmasta, ei sen mukaan, minkä luonteisina tiedot myöhemmin siirretään vastaanottajalle (kohta 111). Tämä velvollisuus ei poistu sillä, että rekisterinpitäjä aikoo myöhemmin pseudonymisoida tiedot ennen niiden siirtämistä vastaanottajalle. Näin ollen SRB:n olisi tullut mainita Deloitte vastaanottajana tietosuojaselosteessa riippumatta siitä, että tiedot pseudonymisoitiin ennen siirtoa (kohta 113).
Lopuksi
EU-tuomioistuimen EDPS v. SRB -ratkaisu vahvistaa, että henkilötiedon käsite ei ole rajaton, mutta jättää monia käytännön kysymyksiä avoimiksi. Tuomioistuimen mukaan henkilökohtaiset mielipiteet ovat aina henkilötietoja, koska ne ilmentävät laatijansa ajattelua. Jos kaikki ajattelun ilmentymät ovat henkilötietoja, koskeeko tämä myös virtuaalimaailmoissa tehtyjä rakennelmia, digitaalista taidetta tai algoritmien avulla luotuja teoksia? Toisaalta pseudonymisointi saattaa heikentää rekisteröidyn asemaa, kun vastaanottaja ei voi tunnistaa häntä eikä rekisteröity siten voi käyttää oikeuksiaan.
Ratkaisu vaikuttaa erityisesti olemassa oleviin tietojenkäsittelysopimuksiin, joissa henkilötietojen käsittelijät pseudonymisoivat rekisterinpitäjien dataa omiin liiketoimintatarkoituksiin ja siirtävät sitä eteenpäin alihankkijoille, analytiikkakumppaneille tai konsernin sisäisille yksiköille. Rekisterinpitäjän on käytännössä tunnettava ja dokumentoitava koko käsittelyketju, sillä rekisteröityjä on informoitava kaikista mahdollisista vastaanottajista jo tietojen keräämishetkellä riippumatta siitä, että data pseudonymisoidaan myöhemmin. Rekisterinpitäjällä on ratkaisun myötä painava selvitysvelvollisuus käsittelijöidensä alihankkijaverkostoista.
Lisäksi rekisterinpitäjän vastuulle jää pseudonymisoinnin tehokkuuden osoittaminen. Lähtökohtaisesti pelkkä käsittelijän vakuutus siitä, että alihankkija ei voi tunnistaa rekisteröityjä, ei riitä. Rekisterinpitäjän on arvioitava, estävätkö tekniset ja organisatoriset toimenpiteet vastaanottajaa yhdistämästä tietoja rekisteröityihin esimerkiksi ristiintarkistuksen tai muiden käytettävissä olevien tietolähteiden avulla. Vastuu pseudonymisoinnin onnistumisesta säilyy siten aina rekisterinpitäjällä, vaikka itse käsittelytoimi ulkoistettaisiin.
Artikkelin laadintaan osallistui juristiharjoittelijamme Niko Hannolainen, CIPP/E.
