Mikä on henkilötieto GDPR?

Henkilötiedon monimuotoisuus GDPR:n valossa

GDPR (General Data Protection Regulation), eli yleinen tietosuoja-asetus, on mullistanut henkilötietojen käsittelyn Euroopan unionissa. Mutta mikä oikeastaan on henkilötieto GDPR:n mukaan? Yksinkertainen vastaus ei riitä, sillä käsite on huomattavasti monimuotoisempi kuin ensi silmäyksellä voisi kuvitella.

GDPR määrittelee henkilötiedoksi kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Tämä on avainasemassa ymmärtäessämme henkilötietojen laajuuden. “Tunnistettu” tarkoittaa suoraan yksilöityä henkilöä, esimerkiksi hänen nimensä ja osoitteensa avulla. Mutta “tunnistettavissa oleva” on merkittävästi laajempi käsite.

Tunnistettavuus voi perustua monenlaisiin tietoihin, jopa sellaisiin, joita ei ensinäkemältä yhdistäisi henkilöön. Epäsuora tunnistettavuus voi syntyä esimerkiksi yhdistämällä useita tietoja, jotka yksinään ovat harmittomia, mutta yhdessä paljastavat yksilön identiteetin. Ajatellaan esimerkiksi seuraavaa yhdistelmää: ikävuosi, sukupuoli, ammatti ja asuinalue. Yksinään nämä tiedot eivät paljasta tiettyä henkilöä, mutta yhdistettynä ne voivat kaventaa mahdollisuuksia huomattavasti, jopa yhteen henkilöön tietyssä kontekstissa. Tämä tekee tietojen käsittelystä erityisen haastavaa.

GDPR:n alla henkilötiedoksi luokitellaan siten esimerkiksi:

• Nimi, osoite, sähköpostiosoite ja puhelinnumero: Nämä ovat selviä ja suoria tunnisteita.
• IP-osoite: Vaikka se ei suoraan paljasta identiteettiä, se voi olla linkitettävissä muihin tietoihin, ja siten mahdollistaa yksilön tunnistamisen.
• Evästeiden tiedot: Näiden avulla voidaan seurata käyttäjän verkkotoimintaa ja yhdistää se muihin tietoihin.
• Biometriset tiedot (esimerkiksi sormenjäljet tai kasvojentunnistus): Erittäin yksilölliset ja herkät tiedot.
• Terveyteen liittyvät tiedot: Luokitellaan erityisen suojatuiksi henkilötiedoiksi.
• Sijaintitiedot: Sekä reaaliaikaiset että aiemmat sijainnit voivat paljastaa arkaluontoisia tietoja.
• Ostoshistoria: Yhdistettynä muihin tietoihin voi paljastaa paljon yksilön elämäntavasta ja mieltymyksistä.

GDPR:n laaja henkilötietojen määritelmä korostaa tietosuojauksen merkitystä kaikilla tietojenkäsittelyn osa-alueilla. Organisaatioiden on oltava tietoisia siitä, mitä tietoja ne käsittelevät ja miten ne varmistavat tietojen asianmukaisen suojan. Epäselvissä tapauksissa on aina syytä pyrkiä varovaisuuteen ja suojata yksilöiden oikeutta tietosuojaan.