EU:n uusi tietosuoja-asetus GDPR on aiheuttanut paljon keskustelua siitä, mitkä kaikki asiat lasketaan henkilötiedoiksi. Eri tahot määrittelevät eri asiat henkilötiedoiksi kuin toiset. Asetus ei siis ole tämän suhteen kovin tarkka.

Lähtökohtaisesti suoraan henkilöön liitettävät ominaisuudet ovat varmasti henkilötietoja. Tällaisia ovat esimerkiksi henkilötunnus tai nimi.

Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. (Mikä on henkilötieto? – Tietosuojavaltuutetun toimisto)

Toisessa ääripäässä on myöskin helppoja tapauksia. Asiat, jotka eivät mitenkään liity yhteenkään henkilöön, eivät luonnollisesti ole henkilötietoja.

Näiden kahden ääripään väliin jää paljon erilaisia tietoja, jotka saattavat olla henkilötietoja mutta ei kuitenkaan kaikissa tilanteissa. Esimerkiksi jotkin kaksi asiaa eivät olisi yksinään henkilötietoja mutta yhdessä ovatkin. Siksi tilannesidonnaisuus vaikuttaa kokonaisuuteen merkittävästi.

Edes henkilötietojen anonymisointi ei välttämättä tee tiedoista riittävän anonyymejä, jotta niitä ei olisi mahdollista enää tunnistaa. Esimerkiski jonkun palvelun käyttäjä numero 1 on aina se sama Matti Meikäläinen riippumatta siitä, miten sen nimi anonymisoidaan. Tässä tapauksessa tunnistamisen mahdollistaa riittävän pieni numero, joka jää helposti muistiin, vaikka käyttäjän numero ei itsessään olekaan henkilötieto.

Mitkä sitten ovat henkilötietoja?

Minun tulkintani mukaan henkilötietoja ovat kaikki pitkälläkin aasinsillalla yksittäiseen henkilöön yhdistettävät tiedot.

Täytyy kuitenkin välttyä ylilyönneiltä ja siksi pidemmän aasinsillan päässä olevat henkilötiedot ovat vähempiarvoisia, kun arvioidaan riskiluokituksia. Eli esimerkiski henkilötunnus tulee salata mutta naapurin ruohonleikkurin värille ei tarvitse tehdä mitään vaikka se olisikin ainoa sen värinen ruohonleikkuri koko maailmassa ja siten henkilöön pitkällä aasinsillalla yhdistettävissä oleva tieto.