Jos en esiinny omalla nimelläni, minua ei voi tunnistaa
Usein ajatellaan, että henkilötiedoilla viitataan ihmisten nimiin, yhteystietoihin ja vaikkapa syntymäaikaan. Henkilötiedoiksi voidaan kuitenkin laskea melkeinpä mikä vain tieto, joka voidaan jollakin tavoin yhdistää johonkin tiettyyn henkilöön. Samaten henkilötietojen käsittelyä voi olla hyvinkin monenlainen tietojen kerääminen, tallentaminen, muuttaminen, siirtäminen ja poistaminen. Henkilötietojen käsitteen laajuuden ymmärtäminen on tärkeää yksityisyyden ja henkilötietojen suojan toteuttamiseksi, sillä yksittäinen henkilö voidaan tunnistaa jo hyvinkin mitättömiltä tuntuvien tietojen perusteella. Liian suppea käsitys henkilötiedoista voi johtaa henkilötietojen virheelliseen käsittelyyn ja estää ihmisiä valvomasta tietosuojaoikeuksiaan.
Euroopan unionin yleisessä tietosuoja-asetuksessa henkilötiedot on määritelty laajasti, jotta yksilöitä voitaisiin suojella laittomalta tietojenkäsittelyltä – riippumatta siitä, tapahtuuko käsittely automaattisesti vai manuaalisesti. Henkilötietoihin lukeutuu paljon muutakin kuin pelkät henkilöä koskevat yksilöintitiedot, kuten nimet tai yhteystiedot, sillä ne kattavat kaikki tiedot, joiden perusteella henkilö voidaan tunnistaa joko suoraan tai epäsuorasti.
Henkilötietojen määrittelyssä juuri tunnistettavuus on tärkeä käsite: jos tieto voidaan yhdistää tiettyyn henkilöön, se katsotaan henkilötiedoiksi. Esimerkiksi päivämäärä 01.01.2000 voi paljastaa syntymäpäivän, mutta se ei ole henkilötieto, jos sitä ei voida yhdistää kehenkään. EU:n oikeuskäytännössä esimerkiksi IP-osoitteet ja ajoneuvon valmistenumero on katsottu henkilötiedoksi, sillä niistä henkilö voidaan kohtuudella tunnistaa lisätietojen avulla. Lisäksi biometriset tiedot, kuten sormenjäljet tai kasvojentunnistus, terveystiedot, laitteiden sijaintitiedot (leveysaste, pituusaste, korkeus) ja jopa verkkokäyttäytyminen, kuten selaustottumukset ja kiinnostuksen kohteet, ovat henkilötietoja.
Yleinen tietosuoja-asetus edellyttää vahvempaa suojaa tietyille arkaluonteisille henkilötiedoille. Tällaisia ovat esimerkiksi tiedot henkilön etnisestä alkuperästä, poliittisista näkemyksistä, uskonnollisesta vakaumuksesta, ammattiyhdistysten jäsenyydestä, geneettisistä ja biometrisistä tiedoista, terveydentilasta ja seksuaalisesta suuntautumisesta. Myös lasten henkilötiedot, kuten koulutiedot tai lasten käyttämien sovellusten tai verkkosivustojen, kuten YouTube Kidsin, TikTokin ja Pokémon Gon, kautta kerätyt verkkotunnisteet, vaativat erityistä suojaa lasten vasta kehittymässä olevien valmiuksien vuoksi, vaikka tietoja ei luokiteltaisi arkaluonteisiksi tiedoiksi. Lisäksi rikostuomioihin ja rikoksiin liittyvien tietojen käsittely on erittäin rajoitettua, ja tuoreen EU-tuomioistuimen ratkaisukäytännön mukaan jopa rikostuomioita koskevien tietojen suullinen luovuttaminen on henkilötietojen käsittelyä.
Nykyisessä, yhä useammin tekoälyä soveltavassa ympäristössä laaja henkilötietojen suoja on välttämätön. Tekoälyteknologiat, kuten kasvojentunnistus ja käyttäytymisen seuranta, käsittelevät usein arkaluonteisia henkilötietoja. Henkilötietojen määrittely laajasti tähtää siihen, että monenlaiset henkilöön yhdistettävät tietotyypit saisivat tarpeellisen suojan.
Kuuntele podcast-jakso
▶ 2 min