EU:n tuomioistuimen päätös selventää pseudonymisoitujen tietojen henkilötietokohtelua

Euroopan unionin tuomioistuin (EU:n tuomioistuin) on antanut merkittävän päätöksen koskien pseudonymisoitujen tietojen käsittelyä ja niiden luokittelua henkilötiedoiksi EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti. Päätöksessä todetaan, että tietojen henkilötietoluonne ei ole absoluuttinen, vaan riippuu siitä, onko tiedon vastaanottajalla todellisuudessa mahdollisuus tunnistaa henkilö.

Asiaa käsitelleessä oikeustapauksessa EU:n viranomainen oli pseudonymisoinut kommentoijien tietoja ennen niiden lähettämistä ulkopuoliselle palveluntarjoajalle. EU:n tuomioistuin päätti, että palveluntarjoajalle toimitetut tiedot eivät olleet henkilötietoja, koska palveluntarjoajalla ei ollut käytössään keinoja tai lisätietoa pseudonymisoinnin purkamiseksi. Viranomainen oli toteuttanut teknisiä ja organisatorisia toimenpiteitä, jotka estivät tehokkaasti tietojen yhdistämisen henkilöihin.

Päätös selventää, että pseudonymisointi itsessään ei tarkoita tietojen anonymisointia. Jos vastaanottajalla ei ole realistista mahdollisuutta saada selville alkuperäistä henkilöllisyyttä tai yhdistää tietoja henkilöön teknisten ja organisatoristen toimenpiteiden vuoksi, tiedot voidaan katsoa anonymiksi kyseisen vastaanottajan näkökulmasta. Samat tiedot voivat kuitenkin olla henkilötietoja toiselle taholle, jolla on pääsy purkumateriaaleihin.

Konsulttiyhtiö dhpg toteaa, että tuomio tuo selkeyttä ja helpotusta muun muassa tekoälykehitykseen ja tutkimusprojekteihin, joissa käsitellään suuria tietomääriä. Samalla se herättää uusia kysymyksiä erityisesti sopimusperusteisessa tiedonkäsittelyssä, kuten silloin kun pseudonymisoituja tietoja siirretään sopimuskäsittelijälle. Vaikka käsittelijällä ei olisi keinoja tietojen yhdistämiseksi, vastuu tietosuojasta säilyy alkuperäisellä tiedon luovuttajalla.