Pseudonyymi tieto ei aina ole henkilötietoa, mutta joskus on

Laura Jaatinen

Blogit Teknologia ja data

15.10.2025

Euroopan unionin yleinen tietosuoja-asetus eli ns. GDPR soveltuu aina, kun käsitellään henkilötietoja. Henkilötiedolla tarkoitetaan kaikkea tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa, kuten nimeä ja yhteystietoja. Henkilötietoja voidaan kuitenkin anonymisoida tai pseudonymisoida, jolloin niiden kohtelu tietosuojamielessä muuttuu.

Anonymisointi tarkoittaa, että alun perin henkilötietona ollutta tietoa on käsitelty siten, ettei henkilö ole siitä enää millään perusteella tunnistettavissa. Pseudonymisointi puolestaan tarkoittaa sitä, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman joitain lisätietoja, kuten koodiavainta tai vastaavaa. Käytännössä siis, vaikka henkilötieto olisi pseudonymisoitu, tiedot ovat edelleen jollain keinolla yhdistettävissä tiettyyn henkilöön. Tästä syystä tietosuoja-asetus soveltuu pseudonyymiin tietoon. Anonymisoituun tietoon asetus taas ei sovellu, sillä anonymisoidusta tiedosta henkilöitä ei ole enää tunnistettavissa millään keinoin.

Euroopan unionin tuomioistuin antoi 4. syyskuuta ratkaisun (asia C‑413/23 P), jossa se selvensi sitä, milloin pseudonymisoituja tietoja pidetään henkilötietoina. Ratkaisussa otettiin kantaa siihen, milloin luonnollinen henkilö on tunnistettavissa pseudonyymistä tiedosta. Tapauksessa oli kyse henkilötietojen siirrosta toiselle organisaatiolle siten, että siirretyt tiedot olivat pseudonymisoituja, mutta vastaanottavalla organisaatiolla ei ollut mahdollisuutta poistaa pseudonymisointia. Se ei siis saanut siirtävältä organisaatiolta niitä lisätietoja, joita tarvittiin pseudonymisoinnin poistamiseen, eli lisätietojen ja henkilötietojen yhdistämiseen toisiinsa.

Tuomioistuin totesi ratkaisussaan, että pseudonymisointi voi käsiteltävän asian olosuhteiden mukaan tosiasiallisesti estää muita henkilöitä kuin rekisterinpitäjää, eli tässä tapauksessa siirtävää organisaatiota, tunnistamasta henkilöä. Pseudonyymit tiedot eivät välttämättä siis ole henkilötietoja, jos organisaatiolla ei ole mahdollisuutta millään keinolla yhdistää tietoja takaisin siten, että henkilö olisi niistä tosiasiassa tunnistettavissa. Tuomioistuin toteaa näin ollen, että pseudonyymin tiedon henkilötietoluonnetta on aina arvioitava tapauskohtaisesti ja kunkin organisaation käytössä olevien keinojen perusteella.

Jos siis organisaatio luovuttaa toiselle organisaatiolle pseudonymisoituja tietoja, on arvioitava, pystyykö vastaanottaja tosiasiassa purkamaan pseudonymisoinnin eli yhdistämään tiedot luonnolliseen henkilöön jollain tavalla. Jos vastaanottava organisaatio ei pysty yhdistämään tietoja, eli henkilöt eivät ole tunnistettavissa sen toimesta, ei myöskään pseudonyymejä tietoja pidetä henkilötietona vastaanottavassa organisaatiossa. Tämä tarkoittaa käytännössä sitä, että kyseiseen pseudonyymiin tietoon ei tällöin sovelleta tietosuoja-asetusta.

Edellä mainittu ratkaisu on hyödyllinen täsmennys tietosuoja-asetuksen pseudonyymiä henkilötietoa koskevaan soveltamiskäytäntöön. Jatkossa on tapauskohtaisesti arvioitava, katsotaanko vastaanottavassa organisaatiossa pseudonyymi tieto henkilötiedoksi vai ei. Jos vastaanottavalla organisaatiolla ei ole koodiavainta tai muita vastaavia lisätietoja pseudonymisoinnin purkamiseen, voi olla, että kyseisiä tietoja ei pidetä lainkaan henkilötietoina eikä tietosuoja-asetusta sovelleta.

Laura Jaatinen