EU-tuomioistuin selvensi sääntöjä pseudonymisoitujen tietojen käsittelylle

Julkaisuajankohta 9.9.2025 9.00
Tyyppi:Tiedote

Euroopan Unionin tuomioistuin on antanut 4. syyskuuta ratkaisun asiassa C‑413/23 P, jossa se ottaa kantaa henkilötiedon käsitteeseen. Tuomioistuin selventää ratkaisussaan, milloin pseudonymisoituja tietoja pidetään henkilötietoina. Pseudonymisoidut tiedot eivät välttämättä ole kaikissa tilanteissa henkilötietoja, jos tiedot on suojattu niin, ettei niitä ole mahdollista yhdistää tiettyyn henkilöön. Se, pidetäänkö pseudonymisoituja tietoja edelleen henkilötietoina, vaatii tilannekohtaista arviointia.

Unionin tuomioistuin toteaa, että pseudonymisoidut tiedot eivät välttämättä ole henkilötietoja, jos niitä ei ole mahdollista yhdistää takaisin henkilöön millään keinoilla, joita organisaatiolla on todennäköisesti käytössään. Kunkin organisaation käytössä olevia keinoja on aina arvioitava tapauskohtaisesti.

Kun organisaatio luovuttaa pseudonymisoituja tietoja toiselle organisaatiolle, on arvioitava, pystyykö tietojen vastaanottaja yhdistämään tiedot tunnistettaviin henkilöihin. Jos tunnistaminen ei ole mahdollista, pseudonymisoituja tietoja ei pidetä henkilötietoina tietojen vastaanottajan näkökulmasta.

Unionin tuomioistuin toteaa lisäksi, että rekisterinpitäjän informointivelvollisuus koskee henkilötietoja siinä muodossa, jossa tiedot ovat ennen niiden luovuttamista kolmannelle osapuolelle, eli ennen mahdollista pseudonymisointia. Tuomioistuin vahvisti ratkaisussaan myös, että henkilökohtaisia mielipiteitä on pidettävä henkilötietoina, jos ne ovat yhdistettävissä tunnistettavaan henkilöön. Mielipiteet kuvaavat henkilön ajattelua ja liittyvät siksi kiinteästi häneen.

Ratkaisun taustalla oli Euroopan tietosuojavaltuutetun ja yhteisen kriisinratkaisuneuvoston (Single Resolution Board) SRB:n välinen kiista. Espanjalaisen pankin osakkeenomistajat ja velkojat olivat valittaneet Euroopan tietosuojavaltuutetulle, sillä SRB ei ollut ilmoittanut heille, että se luovuttaa heitä koskevia tietoja tilintarkastus- ja konsultointiyritykselle. Kyse oli henkilökohtaisia mielipiteitä sisältäneistä kommenteista, joita osakkeenomistajat ja velkojat olivat toimittaneet SRB:lle. Tiedot oli pseudonymisoitu ennen niiden luovuttamista eteenpäin. Euroopan tietosuojavaltuutettu totesi, että SRB:n olisi tullut kertoa henkilöille heidän henkilötietojensa luovuttamisesta.

SRB valitti Euroopan tietosuojavaltuutetun päätöksestä Unionin yleiseen tuomioistuimeen, joka kumosi päätöksen. Euroopan Unionin tuomioistuin on nyt antamassaan ratkaisussa kumonnut yleisen tuomioistuimen tuomion ja palauttanut asian sen käsiteltäväksi.

Tietosuojavaltuutetun toimisto tulee seuraavaksi arvioimaan ratkaisun vaikutuksia.

Lisätietoja:

​​​​​Euroopan Unionin tuomioistuimen tiedote englanniksi (pdf-tiedosto, curia.europa.eu)

Unionin tuomioistuimen ratkaisu C‑413/23 P (curia.europa.eu)