Icon
Henkilötietojen pseudonymisointi – ai siis mikä? IABlogi

Henkilötietojen pseudonymisointi – ai siis mikä?

07.03.2017 | Sanoma

Sana pseudonyymi viittaa yleiskielessä salanimeen tai vaikkapa keskustelupalstan nimimerkkiin, jolla ihminen esiintyy. Joskus myös puhutaan pseudonyymista datasta, jolla taas viitataan tietoon, joka ei sellaisenaan ole yhdistettävissä yksittäiseen henkilöön. Se mitä pseudonyymilla tarkoitetaan missäkin yhteydessä, ei ehkä ensi ajattelemalta ole kovin mielenkiintoista tai tärkeää. Pseudonymisoiminen on kuitenkin yksi uusista EU:n yleisen tietosuoja-asetuksen määritelmistä, ja näin ollen kaikkien henkilötietoja käsittelevien tulisi ymmärtää mitä asetuksenmukainen pseudonymisointi oikein on.

Asetusta valmisteltaessa monet tahot toivoivat pseudonyymista tiedosta pelastajaa sääntelyn monimutkaisilta vaatimuksilta. Tämä ei kuitenkaan mennyt läpi. Onkin hyvä huomata, että asetuksessa määritellään nimenomaan sitä, mitä pseudonymisointi on eikä mitä pseudonyymi tieto on. Pseudonymisoinnilla viitataan siis tiedon suojaamistoimeen, jolla on merkitystä oletusarvoisen tietosuojan sekä tiedon suojaamisvelvollisuuden toteuttamisessa. Asetuksen mukaan, myös tieto, joka on läpikäynyt pseudonymisointiprosessin, on edelleen henkilötietoa ja asetuksen vaatimuksia sovelletaan siihen lähes täysimääräisesti.

Määritelmän mukaan ’pseudonymisoimisella’ tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja, edellyttäen että tällaiset lisätiedot säilytetään erillään ja niihin sovelletaan teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, ettei henkilötietojen yhdistämistä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tapahdu.

Määritelmä voidaan purkaa seuraavasti:

  • Tiettyyn henkilöön yhdistettävissä olevat henkilötiedot korvataan esimerkiksi numerotunnisteilla tai muutetaan sellaiseen muotoon, ettei henkilö ole enää tunnistettavissa ilman lisätietoja
  • Tunnistamisen mahdollistavat lisätiedot säilytetään erillään muusta tiedosta ja varmistetaan teknisesti ja hallinnollisesti ettei tietoja yhdistetä

Käytännössä pseudonymisointi voi toimia esimerkiksi asiakasrekisterin suojaamistoimenpiteenä ja sitä voidaan käyttää käyttöoikeuksien hallinnassa. Jos asiakasrekisteristä erotetaan asiakkaan suoraa tunnistavat tietoluokat kuten nimi ja henkilötunnus, on lopputuloksena jo kevyesti pseudonymisoitu tietomassa. Pseudonymisointia on kuitenkin arvioitava yksittäistapauksissa ja sitä ei tulisi pitää tiukan määrämuotoisena prosessina siinä mielessä, että se, mikä jossain tilanteessa riittävällä tavalla pseudonymisoi tietomassan, ei välttämättä riitä toisessa tilanteessa. Usein tulisikin suorien tunnisteiden lisäksi korvata myös epäsuorat, mutta helposti henkilöön yhdistettävät tiedot, kuten posti- ja sähköpostiosoite sekä puhelinnumero.

Tietosuoja-asetus vaatii, että henkilötietoja käsittelevät vähintäänkin harkitsevat pseudonymisointiprosessien implementoimista. Muutamissa asetuksen artikloissa on suoria viittauksia ja kannusteita pseudonymisointiin. Henkilötiedon pseudonymisointi voi olla sisäänrakennetun ja oletusarvoisen tietosuojan (Art 25) toteuttamista. Henkilötiedot voidaan pseudonymisoimalla muuttaa ei-tunnistavaan muotoon silloin, kun ei ole tarpeen tunnistaa luonnollista henkilöä. Jos henkilötiedot on pseudonymisoitu, voi rekisterinpitäjä käyttää pseudonymisointia argumenttina arvioitaessa tietojen käyttöä uusiin käyttötarkoituksiin. Henkilötiedon pseudonymisoinnilla voidaan myös toteuttaa käsittelyn turvaamisvelvollisuutta (Art 32). Käytännössä esimerkiksi tietovuototilanteessa rekisterinpitäjän riskit ovat pienempiä, jos vuoto kohdistuu tietoon, joka on pseudonymisoinnilla muutettu ei-tunnistavaan muotoon.

Digitaalisessa mainonnassa käytettävät henkilötiedot ovat usein luonteeltaan sellaisia, ettei niitä voi alun perinkään yhdistää tiettyyn rekisteröityyn ilman lisätietoja. Esimerkiksi evästetiedoista ei sellaisenaan voi yleensä voi tunnistaa tiettyä henkilöä. Tilanne on eri, jos evästeeseen yhdistetään esimerkiksi kirjautumistietoja tai IP-osoite voidaan tunnistaa tietylle henkilölle kuuluvaksi. Tällä hetkellä on epäselvää missä määrin pseudonymisointia voidaan hyödyntää tilanteessa, jossa rekisterinpitäjällä ei itsellä ole alun perinkään mahdollista yhdistää tietoja tiettyyn henkilöön, eli käytännössä tunnistamiseen tarvittavia lisätietoja ei ole käytössä. Näissä tilanteissa pseudonymisointi, kuten se on tietosuoja-asetuksessa määritelty, ei ole määritelmällisesti mahdollista. Lähtökohtaisesti voidaan kuitenkin ajatella, että kaikki toimenpiteet, joilla tiedosta pyritään tekemään vähemmän tunnistavaa, ovat tietosuoja-asetuksen näkökulmasta suositeltavia ja toteuttavat ainakin sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Käytännössä tämä voisi evästeiden osalta tarkoittaa esimerkiksi IP-osoitteen poistamista datasta tai eväste- tai muiden tunnisteiden sotkemista ennen kuin niitä käytetään esimerkiksi mainontaan tai analytiikkaan.

Mikä sitten on pseudonymisoinnin ja anonymisoinnin ero? Pseudonymisointi on tekniikka, jolla pyritään vähentämään tietyn tiedon suoraa tunnistavuutta esim. korvaamalla tiettyjä tietoja satunnaisella tunnisteella. Pseudonymisoitu tieto olisi kuitenkin edelleen lisätietojen avulla yhdistettävissä yksittäiseen henkilöön. Anonymisoinnilla taas pyritään siihen, että tiedosta tulee sellaista, ettei sitä voida missään tilanteessa (edes jonkun toisen hallussa olevan tiedon avulla) yhdistää tiettyyn luonnolliseen henkilöön. Pseudonymisointia voidaan siis käyttää anonymisoinnin yhteydessä, mutta useinkaan se ei yksistään riitä muuttamaan tietoa anonyymiin muotoon varsinkaan silloin, jos rekisterinpitäjä haluaa edelleen tallentaa tunnistamiseen tarvittavat lisätiedot.

Käytännön esimerkkejä siitä, miten pseudonymisointia voidaan hyödyntää:

  • Suojataan asiakasrekisteri niin, että korvataan tai poistetaan sieltä suorat tunnisteet sekä sellaiset tunnisteet, jotka on helppo yhdistää tiettyyn henkilöön. Siirretään poistetut tiedot toiseen järjestelmään, jonne voidaan määritellä tiukemmat pääsyoikeudet ja korkeampi tietoturva.
  • Pseudonymisoidaan asiakasrekisterin tiedot, jotta voitaisiin perustellummin käyttää pseudonymisoitua dataa uusiin käyttötarkoituksiin, jotka liittyvät esimerkiksi tuotekehitykseen tai raportointiin.
  • Pseudonymisoidaan asiakasta koskevat tiedot asiakkuuden loppuessa niin, että tiettyjä tietoja voidaan edelleen hyödyntää esimerkiksi raportoinnissa tai mallintamisessa, mutta tietoja ei voi enää yhdistää tiettyyn asiakkaaseen.
  • Pseudonymisoidaan tietomassa, kun ei ole enää tarpeen säilyttää sitä tunnistavassa muodossa.

Kirjoittaja Laura Tarhonen on yksityisyyden suojaan ja tietosuojaan erikoistunut lakimies, joka työskentelee Sanoman tietosuojaohjelmassa asiantuntijana.

05.12.2022

Mainostajat vahvasti mukana IAB Finlandin hallituksessa 2023

IAB Finlandin syyskokouksessa 30.11.2022 päätettiin tulevan vuoden painopisteistä ja valittiin yhdistykselle uusi hallitus. Vuonna 2023 IAB Finlandin kattoteema on digimainonnan vastuullisuus ja IAB:n kaksitoistahenkisessä hallituksessa on medioiden sekä palveluntarjoajien lisäksi mukana ennätysmäärä mainostajia.

lue lisää

18.11.2022

Videomainonnalla menee kovaa Euroopassa ja Suomessa

IAB Europe julkaisee vuosittain AdEx Bencmark raportin, joka mittaa ja arvioi Euroopan digitaalisen mainonnan panostuksia kattaen kaikkiaan 28 eri markkinaa. Tästä täydessä AdEx raportissa kuvataan eri formaattien ja kanavien vaikutukset Euroopan digitaaliseen mainontaan, joka päätyi 30,5 prosentin vuotuiseen kasvuun vuonna 2021. Euroopan koko digitaalisen mainonnan panostukset olivat vuonna 2021 92 miljardia euroa.

lue lisää

15.11.2022

IAB Jäsenesittely: Aste Helsinki ja Teemu Martikainen

Tässä blogisarjassa tutustumme IAB:n uusiin jäseniin hieman paremmin! Nyt on vuorossa Aste Helsinki ja Teemu Martikainen

lue lisää

01.11.2022

Miten julkaisija voi aloittaa brand safety -työn?

Bränditurvallisuus eli brand safety on ollut digitaalisessa mainonnassa puheenaiheena jo vuosia. Sen tärkeys on vain korostunut viime vuosien tapahtumien - maailmanlaajuisen pandemian sekä Ukrainassa sodittavan sodan – takia. Varsinkin uutismediat ovat joutuneet arvioimaan tarkasti millaisessa sisällössä on sopivaa näyttää mainontaa, ja onko asiassa niin sanottuja harmaan sävyjä. Toinen tärkeä alue bränditurvallisuuden kannalta ovat palvelut, joissa sisältö on kävijöiden itse tekemää ja julkaisemaa, kuten myynti-ilmoitukset, blogit, vlogit yms., jotka kaikessa runsaudessaan voivat olla aivan laidasta laitaan; erittäin turvallista, tai erittäin haitallista brändeille.

lue lisää