Laaja määritelmä tiedoista, tiedostoista ja niiden käsittelystä

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

Luulemme tietävämme, mitä henkilötiedot ovat (huomaa, että termiä ei käytetä yksikössä, luultavasti siksi, että niiden käsittelyn aloittamiseksi on kerättävä vähintään kaksi tietoa – esimerkiksi nimi ja osoite). Mutta varovaisuuden vuoksi ja virheiden välttämiseksi otamme huomioon asetuksen 4 artiklassa esitetyn määritelmän: ”kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot; ’tunnistettavissa oleva luonnollinen henkilö’ on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti, erityisesti viittaamalla tunnisteeseen, kuten nimeen, henkilötunnukseen, sijaintitietoihin, verkkotunnisteisiin tai yhteen tai useampaan kyseiselle luonnolliselle henkilölle ominaiseen fyysiseen, fysiologiseen, geneettiseen, henkiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen tekijään.”

Vaikka sanamuoto on kaikkea muuta kuin yksiselitteinen, se ei jätä epäilystäkään termin laajasta merkityksestä. Kaikki henkilöön liitetyt "tiedot" ovat henkilötietoja. Henkilön "identiteettiin" liittyvien adjektiivien luettelo korostaa tarvittaessa sanan "tiedot" soveltamisalaa. 

CNIL selvensi henkilötietojen käsitettä tietosuojalain 2 artiklaa koskevassa kommentissaan: "Tietoja pidetään 'henkilökohtaisina', kun ne koskevat suoraan tai epäsuorasti tunnistettuja luonnollisia henkilöitä. Henkilö tunnistetaan esimerkiksi silloin, kun hänen nimensä esiintyy tiedostossa."

Henkilö on tunnistettavissa, kun tiedosto sisältää tietoja, jotka mahdollistavat hänen epäsuoran tunnistamisensa (esim. IP-osoite, nimi, rekisterinumero, puhelinnumero, valokuva, biometriset elementit, kuten sormenjälki, DNA, kansallinen opiskelijatunnus (INE), tietojoukko, jonka avulla henkilö voidaan syrjiä tietyssä väestössä (tietyt tilastotiedostot), kuten esimerkiksi asuinpaikka ja ammatti sekä sukupuoli ja ikä). Tiedot, joita saatetaan pitää anonyyminä, voivat olla henkilötietoja, jos ne mahdollistavat tietyn henkilön tunnistamisen epäsuorasti tai ristiviittausten avulla. Nämä voivat itse asiassa olla tietoja, jotka eivät liity henkilön nimeen, mutta jotka mahdollistavat hänen tunnistamisensa ja hänen tapojensa tai makunsa tuntemisen helposti.

Tässä mielessä henkilötietoihin luetaan myös kaikki tiedot, jotka ristiinviittaamalla mahdollistavat tietyn henkilön tunnistamisen (esim. sormenjälki, DNA, asuinkuntaan liittyvä syntymäaika)...

GDPR:n soveltamisalasta on jätetty pois valtioiden turvallisuuteen liittyvät toimet (16^e johdantokappale), ja tietenkin puhtaasti kotimaisia toimintoja (artikla 2). Toisaalta asetus koskee kaikkia yrityksiä (ja hallintoelimiä sekä organisaatioita ja yhdistyksiä), jotka käsittelevät Euroopan kansalaisten tietoja, riippumatta siitä, ovatko ne sijoittautuneet mantereelle vai eivät. Vastaavasti, jos yritys käyttää EU:n ulkopuolella sijaitsevaa alihankkijaa, myös jälkimmäisen on toimittava asetuksen mukaisesti (artikla 3).

Koska nämä tiedot tallennetaan tiedostoihin, huomioikaamme myös sanan määritelmä: "mikä tahansa jäsennelty henkilötietojen joukko, johon pääsee käsiksi tiettyjen kriteerien mukaisesti, olipa tämä joukko keskitetty, hajautettu tai toiminnallisesti tai maantieteellisesti jaettu." Tässäkin on selvää, ettemme voi olla ovelia yrittäessämme tallentaa tietoja tietokantoihin, joita ei voitaisi kutsua "tiedostoiksi". Työkalumme ei ainoastaan luokiteltaisiin uudelleen, vaan valvontaviranomainen pitäisi tätä epäilemättä myös raskauttavana olosuhteena.

Samoin käsityöläinen, joka vastustaa tietokoneistamista ja säilyttää asiakkaistaan paperisia tiedostoja aakkosjärjestyksessä, ei voi välttää GDPR:ää (artikla 2, kohta 1).

Koska tiedostojen sisältämät tiedot on tarkoitus käsitellä, niitä on suojattava. Mitä on käsittely? ”Kaikki toiminnot tai toimintojen kokonaisuudet, joita kohdistetaan henkilötietoihin tai henkilötietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen tai muuttaminen, haku, kysely, käyttö, luovuttaminen siirtämällä, levittämällä tai muulla tavoin asettamalla saataville, yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai tuhoaminen” (artikla 4, kohta 2). Sanaluettelo on lähes tyhjentävä: heti kun kosketamme tietoihin, käsittelemme niitä, ja siksi kuulumme asetuksen piiriin. Sitäkin suuremmalla syyllä profilointia – tietojen käsittelyä käyttäytymisen arvioimiseksi tai ennustamiseksi – on valvottava tarkasti.

GDPR suosittelee pseudonymisointia aina kun mahdollista, jotta tietoja ei voida enää yhdistää luonnolliseen henkilöön ilman lisätietoja. ”Henkilötietojen pseudonymisointi voi vähentää rekisteröityihin kohdistuvia riskejä ja auttaa rekisterinpitäjiä ja käsittelijöitä täyttämään tietosuojavelvoitteensa” (28).^e harkiten).  

Käsittelyn valvonta on äärimmilleen venytetty, koska se ulottuu rajojen yli. Euroopan unionin ulkopuolelle siirrettyihin tietoihin sovelletaan edelleen EU:n lainsäädäntöä, tietenkin siirron, mutta myös mahdollisen myöhemmän käsittelyn osalta. Voidaan myös pohtia, voiko syntyä oikeudellisia kiistoja, erityisesti Kiinan tai Yhdysvaltojen kanssa. Asetuksessa suositellaan sitovien yrityssääntöjen (BCR) allekirjoittamista tai mallisopimuslausekkeiden käyttöönottoa, jotka eurooppalainen elin on validoinut.

Lopuksi selvennetään, että henkilötietojen tietoturvaloukkaus on "tietoturvaloukkaus, joka johtaa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, katoamiseen, muuttamiseen, luvattomaan luovuttamiseen tai niiden käyttöön antamiseen" (artikla 4, kohta 12). Tässäkin tapauksessa termi on siis ymmärrettävä hyvin laajasti.