20 miljoonan euron ero
GDPR:n artikla 83 asettaa enimmäissakot 20 miljoonaan euroon tai 4 %:iin maailmanlaajuisesta vuotuisesta liikevaihdosta, kumpi onkaan suurempi, vakavimmista rikkomuksista. Ero anonymisoinnin ja pseudonymisoinnin välillä määrittää, sovelletaanko GDPR:ää lainkaan tietoaineistoon - ja sovelletaanko enimmäissakkoja.
GDPR:n johdanto-osan 26 määrittelee anonymisoinnin kynnysarvon: "Tietosuojaperiaatteita ei pitäisi siten soveltaa anonyymiin tietoon, nimittäin tietoon, joka ei liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön tai henkilötietoihin, jotka on tehty anonyymeiksi siten, että rekisteröityä ei voida tunnistaa tai ei enää voida tunnistaa." Avainsana: "ei tai ei enää tunnistettavissa" - millään kohtuudella todennäköisesti käytettävissä olevalla tavalla, rekisterinpitäjän, minkä tahansa käsittelijän tai minkä tahansa kolmannen osapuolen toimesta.
GDPR:n artikla 4(5) määrittelee pseudonymisoinnin: "henkilötietojen käsittely siten, että henkilötietoja ei voida enää liittää tiettyyn rekisteröityyn ilman lisätietojen käyttöä, edellyttäen, että tällaiset lisätiedot pidetään erillään." Pseudonymisoitu tieto ei ole nimenomaisesti anonyymi - se "ei voi enää liittyä... ilman lisätietojen käyttöä." Pseudonymisoitu tieto pysyy henkilötietona GDPR:n mukaan.
Käytännön seuraus: organisaatio, joka uskoo analytiikkatietoaineistonsa olevan "anonymisoitu" (GDPR:n ulkopuolella), kun se todellisuudessa on "pseudonymisoitu" (GDPR:n sisällä), on tehnyt virheellisiä artikla 30 ROPA -merkintöjä, riittämättömiä rekisteröityjen oikeuksien menettelyjä, puutteellisia säilytysaikoja, puuttuvia tietojen siirron turvatoimia kaikessa rajat ylittävässä analytiikkakäsittelyssä ja ei ole mekanismia vastata poistamisoikeuspyyntöihin. Jokainen näistä puutteista on itsenäinen GDPR:n rikkomus.
CEF:n täytäntöönpanosignaali
EDPB:n vuoden 2025 koordinoidussa täytäntöönpanokehikossa on erityisesti tunnistettu "tehokkaat anonymisointitekniikat, joita käytetään vaihtoehtona poistamiselle" toistuvana vaatimustenmukaisuuden epäonnistumisena. Tämä havainto viittaa siihen, että tietosuojaviranomaiset arvioivat anonymisoinnin laatua, eivät vain anonymisointivaiheen läsnäoloa tai puuttumista.
Alankomaiden tietoanalytiikkayrityksen käyttötapaus havainnollistaa oikeaa lähestymistapaa: yritys, joka tarjoaa "anonymisoituja" asiakastietoaineistoja kolmansille osapuolille, käyttää Redact-menetelmää (henkilötietojen pysyvä poistaminen ilman token-mappingia). Tuloksena oleva tietoaineisto ei sisällä reittiä uudelleentunnistamiseen - ei avainta, ei token-taulukkoa, ei hash-esikuvaa - täyttäen GDPR:n johdanto-osan 26 kynnysarvon. DPO dokumentoi tämän päätöksen DPIA:ssa: käytetty menetelmä, katetut tunnistetyypit, peruuttamattomuusperuste, jäljelle jäävän uudelleentunnistamisriskin arviointi. Tietoaineisto on GDPR:n soveltamisalan ulkopuolella. GDPR:n velvoitteet (mukaan lukien rekisteröityjen oikeudet, säilytysrajat ja siirtoturvatoimet) eivät koske kolmansien osapuolien tutkimuskopioita.
Menetelmän valinta vaatimustenmukaisuustavoitteen mukaan
GDPR:n soveltamisalan ulkopuolella (todellinen anonymisointi): Käytä Redactia (pysyvä poisto) tai Hashia (korkean entropian, ei-arvaamattomien arvojen osalta). Dokumentoi anonymisoinnin peruste. GDPR:n velvoitteita ei sovelleta tulokseen.
GDPR:n soveltamisalan sisällä vähennetyn riskin kanssa (pseudonymisointi): Käytä Replacea, Maskia tai Encryptia. Kaikki GDPR:n velvoitteet jatkuvat. Pseudonymisointi vähentää vahinkoriskiä luvattomasta pääsystä, mutta ei poista GDPR:n soveltamisalaa.
Hallittu peruuttamattomuus (tutkimus, auditointi, löytö): Käytä Encryptia asiakastiedoilla. GDPR soveltuu. Avainten säilytysjärjestelyjen on täytettävä EDPB:n ohjeiden 05/2022 avainten erotteluvaatimukset. Dokumentoi pseudonymisoinnin alue.