Käsitteletkö kuitenkin henkilötietoja?

10.6.2019

Henkilötietojen käsittelytaidot ovat tärkeitä, koska harvoin tehdään sellaista tutkimusta, jossa niitä ei käsiteltäisi ollenkaan.

Milloin tutkimuksen yhteydessä käsitellään henkilötietoja? Kysymys mietityttää monia tutkimusta tekeviä. Usein ajatellaan, että henkilötietoja ovat vain nimi, henkilötunnus, nimenmukainen sähköpostiosoite sekä mahdollisesti valokuva, josta henkilön voi tunnistaa.

Henkilötiedon käsite on kuitenkin varsin laaja, ja EU:n yleisen tietosuoja-asetuksen myötä se on entisestään laajentunut. Tietosuoja-asetuksen mukaisesti henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa käytettävissä olevien tunnistetietojen perusteella. Tunnistaminen pitää kuitenkin onnistua kohtuullisesti käytettävissä olevin keinoin.

Suoraan henkilön voi tunnistaa ainakin nimestä, nimenmukaisesta sähköpostiosoitteesta, henkilötunnuksesta, valokuvasta, äänestä tai biometrisista tunnisteista, joita ovat muun muassa silmän iiris ja sormenjälki. Vaikka ei käsittelisi ollenkaan suoria tunnisteita, niin henkilön voi tunnistaa, jos käsittelyssä on riittävästi epäsuoria tunnisteita.

Henkilötiedoista ei ole mahdollista koota täydellistä luetteloa, vaan mikä tahansa luonnolliseen henkilöön liitettävissä oleva tieto on henkilötieto.

Epäsuorilla tunnisteilla tarkoitetaan henkilötietoja, joista ketään ei voi tunnistaa suoraan, mutta henkilö on kuitenkin tunnistettavissa kohtuullisen helposti. Jos esimerkiksi tiedetään ammattinimike ja työpaikka, on melko helppo tunnistaa, kuka on kyseessä.

Epäsuoria tunnisteita ovat muun muassa osoite, ip-osoite, puhelinnumero, ammattinimike, työpaikka, sukupuoli ja annettu asema, esimerkiksi puheenjohtajuus. Henkilötiedoista ei ole mahdollista koota täydellistä luetteloa, vaan mikä tahansa luonnolliseen henkilöön liitettävissä oleva tieto on henkilötieto.

Mitä ovat henkilötiedot?

Milloin sitten tutkimuksessa käsitellään henkilötietoja? Henkilötiedon käsite on hyvin laaja. Kaikki ne tiedot, jotka voidaan yhdistää elävään ihmiseen, ovat henkilötietoja. Käytännössä on siis varsin vaikeaa löytää sellainen tutkimus, jossa ei käsiteltäisi mitään henkilötietoja.

Käytännössä on varsin vaikeaa löytää sellainen tutkimus, jossa ei käsiteltäisi mitään henkilötietoja.

Kun tutkitaan puun siemeniä, ne eivät sinällään toki ole henkilötietoja. Jos kuitenkin tiedetään, mistä metsästä ne on kerätty, ei ole kovin vaikeaa selvittää kyseisen metsän rekisterinnumeroa ja sitä kautta metsän omistajaa, jolloin kyse voikin olla jo henkilötiedosta. Tutkimuskohteena voi olla koira, joista moni on nykyään tunnistusmerkitty mikrosirulla. Mikrosiru taas voidaan tulkita henkilötiedoksi, koska sen avulla on kohtuullisella vaivalla saatavissa tieto koiran omistajasta. Toki tarvitaan mikrosirunlukija, jotta koiran tunnistusnumeron pystyy tietoonsa saamaan, mutta sellaisen hankkiminen ei vaadi kohtuutonta vaivaa.

Pseudonymisointi ja anonymisointi

Henkilötiedot voidaan pseudonymisoida tai anonymisoida, jolloin tunnistaminen vaikeutuu tai tulee mahdottomaksi. Pitää kuitenkin muistaa, että niin pitkään, kun tietojen perusteella voi tunnistaa henkilön suoraan tai epäsuorien tunnisteiden avulla, ne ovat yhä henkilötietoja ja niihin sovelletaan tietosuoja-asetusta. Pseudonymisointi ja anonymisointi ovat siis myös henkilötietojen käsittelyä, vaikka lopputuloksena olisikin aineisto, joka ei enää ole henkilötietoa.

Pseudonymisointi tarkoittaa henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön ilman lisätietoja. Lisätiedot, esimerkiksi koodiavain, jonka avulla tunnistettavuus palautetaan, säilytetään erillään henkilötiedoista. Pseudonyymit tiedot ovat edelleen henkilötietoja ja niiden käsittelyyn sovelletaan tietosuojalainsäädäntöä.

Anonymisointi tarkoittaa henkilötietojen käsittelyä niin, että henkilöä ei enää voida tunnistaa niistä. Tunnistamisen täytyy kuitenkin estyä peruuttamattomasti ja siten, että kukaan ei voi enää muuttaa tietoja takaisin tunnistettaviksi, ja alkuperäiset tunnisteelliset tiedot on hävitetty. Anonymisoituja tietoja ei tulkita henkilötiedoiksi, ja niiden käsittelyyn ei sovelleta tietosuojalainsäädäntöä.

Henkilötietojen käsittely

Miten sitten tulisi toimia, kun käsittelee henkilötietoja tutkimuksessaan? Rekisterinpitäjän (tutkija tai tutkimusorganisaatio) on pystyttävä käytännössä osoittamaan, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti. Tätä tarkoittaa lainsäädännössä mainittu osoitusvelvollisuus. Toimenpiteitä ja dokumentteja osoitusvelvollisuuden toteuttamiseksi ovat muun muassa.

  • Seloste käsittelytoimista eli henkilötietojen käsittelyn yleinen kuvaus
  • Informointikäytännöt
  • Käsittelyn oikeusperustetta koskevat arviot (esim. jos käsittely perustuu suostumukseen, niin rekisterinpitäjän tulee voida osoittaa suostumuksen olemassaolo)
  • Mahdolliset vaikutustenarvioinnit ja ennakkokuulemiset
  • Henkilötietojen tietoturvaloukkauksia koskeva prosessi
  • Henkilötietojen käsittelyyn liittyvät sopimukset
  • Henkilötietojen siirtoja koskevat dokumentit

Henkilötietojen käsittelyyn liittyviä toimenpiteitä on koostettu esimerkiksi Itä-Suomen yliopistossa yhteen kaavioon. Jo tutkimusaihiota miettiessä kannattaa ottaa yhteyttä oman organisaation tietosuojavastaavaan ja selvitellä yhdessä hänen kanssaan, liittyykö tutkimukseen henkilötietojen käsittelyä ja millaisia ”voimisteluliikkeitä” tulee tehdä, jotta käsittely täyttää tietosuojalainsäädännön vaatimukset.

Helena Eronen on Itä-Suomen yliopiston tietosuojavastaava.