EDPB:n vuoden 2025 täytäntöönpano
Euroopan tietosuojaneuvoston vuoden 2025 koordinoitu täytäntöönpanokehys (CEF) kohdistui GDPR:n artiklaan 17 — oikeus poistamiseen. Kolmekymmentä kaksi tietosuojaviranomaista EU:ssa ja EEA:ssa tutki samanaikaisesti, miten organisaatiot reagoivat poistamispyyntöihin. Koordinoitu lähestymistapa oli suunniteltu tunnistamaan systeemisiä puutteita yksittäisten poikkeustapausten sijaan.
Havainnot tunnistivat seitsemän toistuvaa vaatimustenmukaisuuden haastetta tutkituissa organisaatioissa:
- Huonosti dokumentoidut sisäiset menettelyt poistamispyyntöjen käsittelyssä
- Liian laaja oikeutettujen pyyntöjen hylkääminen (sallittujen poikkeusten liian laaja käyttö)
- Kohtuuttomat rasitukset yksilöille, kun he tekevät poistamispyyntöjä
- Kyvyttömyys paikantaa kaikkia henkilötietoja järjestelmien välillä poistamispyynnön käsittelyn aikana
- Liialliset viivästykset pyyntöjen käsittelyssä GDPR:n 30 päivän vastausajan ylittäen
- Riittämätön viestintä rekisteröidyille heidän pyyntöjensä tuloksista
- Tehokkaasti käytetyt anonymisointitekniikat poistamisen vaihtoehtona — erityisesti merkittiin, että organisaatiot käyttävät teknisesti puutteellista "anonymisointia", joka jättää tiedot uudelleen tunnistettaviksi
Yhdeksän tietosuojaviranomaista aloitti viralliset tutkimukset CEF-havaintojen perusteella. Seitsemäs toistuva haaste — tehoton anonymisointi — on suoraan relevantti organisaatioille, jotka käyttävät anonymisointia ensisijaisena tietojen minimointistrategiana.
Anonymisoinnin vaihtoehto poistamiselle
GDPR:n oikeus poistamiseen ei vaadi poistamista kaikissa tapauksissa. Esityksen 65 mukaan poistaminen voidaan toteuttaa anonymisoinnin avulla, kun poistaminen ei ole teknisesti mahdollista (esimerkiksi varmuuskopiointiteipissä tai integroituissa analytiikkajärjestelmissä, joissa yksittäisten tietueiden poistaminen vaatisi järjestelmän uudelleenrakentamista).
EDPB:n CEF-havainnot viittaavat siihen, että tätä vaihtoehtoa käytetään väärin: organisaatiot väittävät "anonymisoinnista" tietojen muuntamisessa, joka jättää tiedot teknisesti uudelleen tunnistettaviksi — käyttämällä sanaa välttääkseen todellisen poistamisen operatiivista taakkaa sen sijaan, että saavutettaisiin tietosuojan tulos, jonka anonymisoinnin pitäisi tarjota.
EDPB:n tekemä erottelu: todellinen anonymisointi — jossa linkkiä tietojen ja yksilön välillä ei voida palauttaa millään tietojenkäsittelijän tai kolmannen osapuolen käytettävissä olevalla keinolla — poistaa tiedot GDPR:n soveltamisalan ulkopuolelle ja tyydyttää poistamispyynnön. Pseudonymisointi — jossa uudelleen tunnistaminen on mahdollista oikealla avaimella — ei tyydytä poistamispyyntöä; rekisteröidyn henkilötiedot ovat edelleen olemassa ja ne on poistettava tai avain on tuhottava.
Käytännön vaatimustenmukaisuusstrategia
Organisaatioille, jotka käyttävät anonymisointia vaihtoehtona poistamiselle analytiikkajärjestelmissä:
Oikea arkkitehtuuri erottaa tietojen syötön (raakatiedot) tietojen analysoinnista (anonymisoidut johdannaiset). Tietosuoja syöttökerroksessa on alttiina poistamispyynnöille — kun rekisteröity käyttää artiklan 17 oikeuksia, syöttökerroksen henkilötiedot poistetaan. Anonymisoidut johdannaiset analytiikkakerroksessa — jos anonymisointi oli kattavaa ja peruuttamatonta — eivät tarvitse muutoksia, koska ne eivät enää ole henkilötietoja.
Tämä arkkitehtuuri vaatii, että anonymisointi syöttö- ja analyysirajan välillä on teknisesti pätevää: peruuttamatonta (ei tokenisointia), kattavaa (kaikki tunnisteluokat käsitelty) ja dokumentoitua (organisaatio voi osoittaa tietosuojaviranomaiselle, että anonymisointimenetelmä täyttää EDPB:n standardit). Vähittäiskauppayritys, joka anonymisoi asiakaskäyttäytymishistorian ennen analytiikkakäsittelyä, korvaten nimet ja yhteystiedot tokeneilla käännettävän salauksen alla, on pseudonymisoinut (ei anonymisoinut) tiedot — analytiikkadatassa on edelleen henkilötietoja, jotka ovat alttiina poistamispyynnöille.
Lähteet: