Pseudonymisoidut ja anonymisoidut tiedot
Henkilötiedot voidaan pseudonymisoida tai anonymisoida. Niin pitkään, kun tietojen perusteella voi tunnistaa henkilön suoraan tai tiedot voidaan palauttaa takaisin tunnistettavaan muotoon, ne ovat yhä henkilötietoja ja niihin sovelletaan tietosuoja-asetusta.
Pseudonymisoidut henkilötiedot
Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Tällaiset lisätiedot täytyy säilyttää huolellisesti erillään henkilötiedoista.
Vaikka tiedot olisi pseudonymisoitu, niiden avulla yksilö voidaan edelleen erottaa joukosta ja yhdistää eri tietoaineistoissa.
Pseudonymisoidut tiedot ovat yhä henkilötietoja, ja niiden käsittelyssä on sovellettava tietosuojasäännöksiä.
Esimerkiksi henkilötietojen koodaaminen on pseudonymisointia. Koodattuja tietoja ei voida yhdistää tiettyyn henkilöön ilman koodiavainta. Koodiavaimen haltija voi kuitenkin purkaa tietoaineiston salauksen ja helposti tunnistaa uudelleen jokaisen rekisteröidyn. Henkilötiedot voidaan myös suojata peitenimillä. Esimerkiksi tietokannoissa jokin henkilöön liittyvä tieto voidaan korvata toisella. Pseudonymisointi onkin tavallista muun muassa tutkimustoiminnassa ja tilastoinnissa.
Anonymisoidut tiedot
Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tiedot voidaan esimerkiksi karkeistaa yleiselle tasolle (aggregoida) tai muuttaa tilastolliseen muotoon siten, etteivät yksittäistä henkilöä koskevat tiedot ole enää tunnistettavassa muodossa. Tunnistamisen täytyy estyä peruuttamattomasti ja siten, että rekisterinpitäjä tai muu ulkopuolinen taho ei voi enää hallussaan olevilla tiedoilla muuttaa tietoja takaisin tunnistettaviksi.
Anonymisoinnissa on otettava huomioon kaikki kohtuudella toteutettavissa olevat keinot, joiden avulla tiedot voitaisiin muuttaa takaisin tunnisteellisiksi. Tunnistamisen mahdollisuutta arvioitaessa täytyy huomioida esimerkiksi tunnistamisesta aiheutuvat kulut, tunnistamiseen tarvittava aika sekä käytettävissä oleva teknologia. Rekisterinpitäjän on varauduttava myös siihen, että kerran tehty anonymisointi voi heiketä ajan ja teknisen kehityksen myötä.
Se, voidaanko jokin tieto lopulta katsoa anonyymiksi vai ei, edellyttää tapauskohtaista arviointia. Henkilö voi olla tunnistettavissa muutenkin kuin nimen perusteella. Pelkästään nimien ja muiden yksilöintitietojen poistaminen ei siis aina tarkoita, että kaikki henkilörekisterin tiedot muuttuisivat anonyymeiksi. Kerättävä aineisto voi sisältää henkilöstä yksityiskohtaista tietoa (esim. harvinainen sairaus tai tarpeeksi tietotyyppejä) siten, että hän on välillisesti tunnistettavissa.
Myös silloin, kun rekisterinpitäjä ei poista aineistosta kaikkia alkuperäisiä, tunnistettavissa olevia tietoja ja luovuttaa tästä aineistosta osan edelleen, tuloksena olevassa aineistossa on edelleen henkilötietoja. Tällaisten aineistojen käsittelyssä on yhä noudatettava tietosuojasäännöksiä.
Lue lisää:
Mikä on henkilötieto?
Tietosuoja-asetus: artiklat 2, 4(1), 4(5); johdanto-osan kappaleet 14, 15, 26, 27, 29, 30 (EUR-Lex)
Lausunto 4/2007 henkilötietojen käsitteestä (pdf)
Lausunto 5/2014 anonymisointitekniikoista (pdf)