EU-tuomioistuimen ratkaisu määrittelee uudelleen pseudonymisoitujen tietojen ja henkilötietojen rajat, mikä vaikuttaa sekä rekisterinpitäjiin että vastaanottajiin, kuten Deloitteen.

Written By: Anssi Laakkonen Data Protection Specialist at Privaon

Merkittävässä 4. syyskuuta 2025 annetussa ratkaisussa Euroopan unionin tuomioistuin (EUT) selvensi pseudonymisoitujen tietojen oikeudellista asemaa EU:n tietosuojalainsäädännön näkökulmasta. Tapaus koski Euroopan yhteisen kriisinratkaisuneuvoston (Single Resolution Board, SRB) pseudonymisoitujen kommenttien siirtoa osakkeenomistajilta ja velkojilta Deloittelle Banco Popular Español -pankin kriisinratkaisun yhteydessä. Euroopan tietosuojavaltuutettu (EDPS) oli aiemmin huomauttanut SRB:tä siitä, ettei Deloittea ollut ilmoitettu henkilötietojen vastaanottajaksi. EUT:n ratkaisu antaa keskeistä ohjausta siitä, onko tällaisia pseudonymisoituja tietoja pidettävä henkilötietoina erityisesti vastaanottajan näkökulmasta.

Kysymys oli siitä, muodostivatko osakkeenomistajien ja velkojien toimittamat kommentit – joihin oli liitetty yksilöllinen aakkosnumeerinen tunniste – henkilötietoja, kun ne siirrettiin Deloittelle. SRB väitti, ettei Deloitte voinut tunnistaa kommenttien takana olevia henkilöitä, joten tiedot eivät olleet henkilötietoja Deloitten näkökulmasta. EDPS puolestaan katsoi, että tiedot säilyivät henkilötietoina, koska SRB pystyi edelleen tunnistamaan henkilöt tunnisteiden avulla.

EUT totesi, että siirretyt tiedot olivat henkilötietoja SRB:lle, koska subjektiiviset tiedot, kuten mielipiteet tai arviot, liittyvät aina niiden esittäjään. Rekisterinpitäjän velvollisuus ilmoittaa tietojen siirrosta arvioidaan rekisterinpitäjän näkökulmasta tietojen keruuhetkellä riippumatta siitä, voiko vastaanottaja tunnistaa henkilöitä.

Tuomioistuin kuitenkin selvensi, ettei pseudonymisoitu tieto automaattisesti ole henkilötietoa vastaanottajalle. Ratkaisevaa on, onko vastaanottajalla “kohtuudella todennäköisiä keinoja” tunnistaa henkilö. Jos tällaisia keinoja ei ole tai ne ovat epäkäytännöllisiä, tietoja ei välttämättä pidetä henkilötietoina vastaanottajan näkökulmasta. Tuomioistuin huomautti, että jos pseudonymisoitu tieto katsottaisiin aina henkilötiedoksi, tietosuoja-asetuksen ja asetuksen (EU) 2018/1725 johdanto-osan selvennykset tunnistettavuuden arvioinnista menettäisivät merkityksensä. Tämä tulkinta on merkittävä, sillä aiemmin vallalla ollut näkemys oli, että pseudonymisoitu tieto on henkilötietoa, jos edes jollakin osapuolella on keinoja tunnistaa henkilö.

Tuomio vahvistaa, että pseudonymisoinnin ja henkilötietojen käsitteen ymmärtäminen vaatii tapauskohtaista arviointia. Deloitten kaltaisille vastaanottajille ratkaisu korostaa tarvetta selkeille sopimuksellisille ja teknisille rajoille tietojen käsittelyssä. Rekisterinpitäjille, kuten SRB:lle, se alleviivaa läpinäkyvyyden ja merkitystä tietosuojaselosteessa. Lopulta ratkaisu vahvistaa EU:n sitoutumista vahvaan tietosuojaan myös monimutkaisissa, useita toimijoita koskevissa tilanteissa.

Keskeiset huomiot organisaatioille:

1. Ilmoitusvelvollisuus koskee keruuhetkeä: Rekisterinpitäjän on ilmoitettava kaikki mahdolliset henkilötietojen vastaanottajat tietojen keruun yhteydessä riippumatta siitä, voiko vastaanottaja tunnistaa rekisteröidyt.
2. Vastaanottajan näkökulma ratkaisee tunnistettavuuden: Onko tieto henkilötietoa vastaanottajalle, riippuu tämän tosiasiallisista keinoista tunnistaa henkilö esimerkiksi yhdistämällä muihin tietoihin.
3. Loki- ja auditointikäytännöt vaativat huolellisuutta: Yksilöllisten tunnisteiden käyttö auditointitarkoituksiin on hallittava tarkasti, jotta vältetään tahattomat uudelleentunnistamisriskit.

Voit lukea koko päätöksen täältä.

Tuemme yrityksiä maailmanlaajuisesti, myös EU:n ulkopuolella, tietojen suojaamisessa ja vaatimustenmukaisuuden varmistamisessa. Ota yhteyttä jo tänään ja tutustu siihen, kuinka Privaon poistaa arvailun EU:n tietojen vaatimustenmukaisu udesta ja kehittyvistä datavaatimuksista.