Lähes-PII-ongelma
GDPR:n artikla 4 määrittelee henkilötiedot "miksi tahansa tiedoksi, joka liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön." Avainsana on "tunnistettavissa oleva" — ei vain tällä hetkellä tunnistettu, vaan myös lisäkäsittelyn kautta tunnistettavissa. Arvo, joka ei ole suoraan tunnistava mutta voidaan yhdistää oikeaan henkilöön sisäisten järjestelmien kautta, on henkilötietoa GDPR:n mukaan.
Sisäiset työntekijätunnukset ovat yleisin esimerkki. "EMP-EU-123456" ei suoraan tunnista ketään. Mutta HR-tietokannassa on taulukko: EMP-EU-123456 → Maria Schmidt, Senior Engineer, München. Mikä tahansa asiakirja, joka sisältää EMP-EU-123456, voidaan yhdistää Maria Schmidtiin, jos henkilöllä on pääsy HR-tietokantaan. GDPR:n mukaan EMP-EU-123456 on henkilötietoa — se on tietoa, joka liittyy tunnistettavissa olevaan luonnolliseen henkilöön.
Sama analyysi pätee asiakastiliin (yhdistäminen CRM-tietoihin), projektikoodeihin (yhdistäminen asiakkaan henkilöllisyyteen sopimustietokannoissa), sisäisiin viitenumeroihin oikeudellisissa asioissa (yhdistäminen tapausosallistujien kanssa DMS:ssä) ja lääketieteellisiin rekisterinumeroihin ulkoisissa järjestelmissä (yhdistäminen potilastietoihin sairaalan EHR:ssä).
Organisaatiot, jotka anonymisoivat ilmeiset PII:t (nimet, sähköpostiosoitteet, kansalliset ID:t) mutta jättävät sisäiset tunnisteet koskemattomiksi, eivät ole saavuttaneet GDPR-yhteensopivaa anonymisointia. Ne ovat saavuttaneet de-anonymisoinnin kahdessa vaiheessa sen sijaan, että olisivat tehneet sen yhdessä — vaaditaan hyökkääjältä (tai liian uteliaalta työntekijältä) konsultoimaan HR-tietokantaa sen sijaan, että lukisi asiakirjan suoraan.
Käytännön kattavuusaukko
DLA Piperin 2025 GDPR-vuosikertomus havaitsi, että 34 % kaikista GDPR-sakoista liittyy riittämättömiin teknisiin toimenpiteisiin artiklan 32 mukaan — vaatimukseen toteuttaa asianmukaisia teknisiä suojatoimia. Riittämätön anonymisointi, mukaan lukien lähes tunnistavien sisäisten tunnisteiden havaitsematta jättäminen, on dokumentoitu kategoria artiklan 32 rikkomuksia.
EDPB käsitteli 900+ johdonmukaisuuden mekanismia vuonna 2024, mikä heijastaa kasvavaa valvontakoordinoinnin määrää EU:n jäsenvaltioissa. Rajat ylittävä valvonta (missä yhden maan pääasiallinen valvontaviranomainen koordinoi muiden kanssa) tarkoittaa, että artiklan 32 rikkomus EU:n rajojen yli jaetussa tietojoukossa voi laukaista koordinoitua valvontaa.
Ilman koodia -malliratkaisu
Globaalin logistiikkayrityksen vaatimustenmukaisuusryhmälle, joka anonymisoi työntekijätietoja ulkoista HR-auditointia varten:
Työntekijätunnukset seuraavat muotoa EMP-[ALUE]-[0-9]{6} — EMP-EU-123456, EMP-APAC-789012, EMP-AMER-345678. Vaatimustenmukaisuusryhmä antaa 3 esimerkkiä AI-mallin avustajalle. AI palauttaa: havaittu malli EMP-[A-Z]{2,4}-d{6}; vastaa kaikkia annettuja esimerkkejä; ehdotettu entiteettinimi: TYÖNTEKIJÄ-TUNNUS; testaa äärimmäisten tapausten mukaan, mukaan lukien erilaiset aluekoodit.
Ryhmä testaa 10 lisänäytettä, mukaan lukien EMP-DACH-000001 ja EMP-APAC-999999. Malli validoituu oikein. Mukautettu entiteetti tallennetaan GDPR-vaatimustenmukaisuuden esiasetukseen, joka jaetaan kaikille tiimin jäsenille. Kaikki 47 asiakirjaa HR-auditointipaketissa käsitellään yhdessä erässä. Kaikki työntekijätunnukset korvataan rooliin perustuvilla salanimillä. Auditointiyritys saa asiakirjoja, joita ei voida yhdistää yksittäisiin työntekijöihin minkään sisäisen tietokannan kautta.
Lähteet: