04 syys Henkilötietojen käsittely ja kryptattu tieto

Tietosuoja-asetuksen käytännön tulkinta salatun henkilötiedon käsittelyn osalta on ollut vähän toimijoista riippuen vaihtelevaa. Ongelmallinen tämä voi olla tietojärjestelmien ulkoistustilanteessa. Tänään saimme tarkennuksen tietosuojavaltuutetun toimistolta asiasta. 

Kun henkilötietoa käsitellään sopimusperusteisesti, on rekisterinpitäjä velvollinen ohjeistamaan käsittelijän ja määrittelemään käsittelyn tarkoituksen. Vaikka sopimuksella olisi erikseen kielletty ulkoistuskumppanilta henkilötietojen muuttaminen tai esillehaku, tulkitaan pelkkä henkilötietoon pääsy jo henkilötietojen käsittelyksi (“katseluyhteys”). Sopimus ei tässä siis riitä määrittelemään sitä, mikä on henkilötietojen käsittelyä, vaan sen tekninen mahdollisuus on tärkeämpi määrittäjä.

Jos henkilötiedot ovat ulkoistuskumppanilla salatussa muodossa, on kyse silti henkilötietojen käsittelystä, mikäli tiedot ovat palautettavissa luettavaan muotoon. Tämä pätee myös sellaisessa tapauksessa, vaikka salausavaimet olisivat vain rekisterinpitäjän hallussa, eikä ulkoistuskumppanilla olisi avaimia käytettävissään. Perusteena on se, että järjestelmän tiedot yhdistettynä johonkin muuhun tietoon, tekee niistä luettavia.

Riskienhallinnan näkökulmasta tulkinta on perusteltu. Voihan olla, että salausavainten suoja pettää. Jos ulkoistuskumppani on hoitanut itse henkilötiedon suojaamisen liian kevyesti luottaen salaukseen, voivat tiedot mahdollisesti päätyä luettavassa muodossa asiattoman tahon haltuun. Riskiperusteinen lähestymistapa henkilötiedon suojaamiseen on nimenomaan eräs tärkeä määrittävä tekijä tietosuoja-asetuksessa.

Henkilötieto on siis henkilötietoa, oli se salattua tai ei. Ja käsittelyksi tulkitaan jo pelkkä pääsy henkilötietoon.

4.9.2017, Jari Ala-Varvi, tietosuojavastaava, Opsec Oy