Euroopan unionin tuomioistuimen tuore ratkaisu (C-413/23 P, 4.9.2025) saattaa jäädä syksyn merkittävimmäksi mutta aliarvostetuksi tietosuojapäätökseksi. Ratkaisu koskee pseudonymisoidun datan luonnetta ja sen suhdetta GDPR:n soveltamisalaan – ja sillä voi olla laajempia vaikutuksia terveysdatan toissijaiseen käyttöön kuin vielä on julkisesti ymmärretty. Tuomioistuin linjasi, että kaikki pseudonymisoitu tieto ei automaattisesti ole henkilötietoa. Keskeinen kysymys on, voiko tiedon vastaanottaja realistisesti tunnistaa yksilön käytettävissään olevien keinojen avulla.
Jos tunnistaminen ei ole tosiasiallisesti mahdollista, pseudonymisoitu data voi jäädä GDPR:n täyden soveltamisalan ulkopuolelle – edellyttäen, että hallintorakenteet, eettiset menettelyt ja tietoturvatoimet ovat riittävät, ja että rekisterinpitäjä säilyttää kaikki suojamekanismit hallussaan. Tämä niin kutsuttu “relative identifiability” –testi tekee pseudonymisoinnista jatkossa tilanne- ja roolikohtaisen arviointikysymyksen.
Sama datasetti voi olla henkilötietoa yhdelle toimijalle, mutta ei toiselle, jos jälkimmäinen ei voi käytännössä tunnistaa henkilöitä.
Miksi päätös on merkittävä Suomessa
Päätös on toistaiseksi saanut yllättävän vähän huomiota, vaikka sillä on erityisen suuri merkitys suomalaisessa toimintaympäristössä. Suomessa tietosuojavaltuutetun toimiston linjaukset ovat olleet varovaisia: pseudonymisoitu tieto on katsottu käytännössä aina henkilötiedoksi, vaikka vastaanottajalla ei olisi realistista mahdollisuutta tunnistaa henkilöä. EU-tuomioistuimen ratkaisu haastaa tätä tulkintaa. Se ei poista GDPR:n velvoitteita, mutta tarkentaa ja suhteellistaa pseudonymisoinnin arviointia – erityisesti tutkimuksen, toissijaisen käytön ja datan jakamisen yhteydessä. Samaan aikaan Suomessa on vireillä hallituksen esitys 87/2025, joka koskee lakia sosiaali- ja terveystietojen toissijaisesta käytöstä. Esityksessä pyritään sujuvoittamaan tietolupamenettelyjä ja täsmentämään sääntelyä – ja sen taustalla on osin sama ajatus kuin EU-ratkaisussa: pseudonymisointi ja anonymisointi on arvioitava realistisesti ja käyttötarkoitus huomioiden, ei mekaanisesti.
Mitä tämä käytännössä tarkoittaa
- Rekisterinpitäjän vastuu säilyy.
Vaikka data olisi pseudonymisoitua ja vastaanottajan näkökulmasta ei-henkilökohtaista, rekisterinpitäjän on edelleen noudatettava GDPR:n periaatteita ja osoitettava, että suojaus on riittävä.
- Tunnistettavuuden arviointi on tehtävä kirjallisesti.
Arvio siitä, onko henkilön tunnistaminen “realistisesti mahdollista”, on dokumentoitava ja päivitettävä, jos teknologia tai olosuhteet muuttuvat.
- Sopimuksellinen ja eettinen ohjaus korostuu.
Datansiirtoihin liittyvissä sopimuksissa ja käyttölupamenettelyissä on määriteltävä, ettei vastaanottaja saa yrittää re-identifiointia ja että käsittely pysyy sovitun tarkoituksen piirissä.
- Hallintorakenteet ja läpinäkyvyys ratkaisevat.
Päätös ei avaa “vapaata kaistaa” datan käyttöön, vaan korostaa vastuullisen tiedonhallinnan ja potilaiden luottamuksen merkitystä.
Suomi päivittää sääntöjä – tuomioistuimen ratkaisu muuttaa pseudonymisoinnin tulkintaa
Suomessa tämä ratkaisu tarjoaa mahdollisuuden tarkistaa ja päivittää pseudonymisointia koskevia tulkintoja viranomaisten, tutkimuslupamenettelyiden ja koulutussisältöjen tasolla.
Kansallinen toisiolain uudistus ja EU-tuomioistuimen linjaus tukevat toisiaan: ne mahdollistavat tutkimus- ja kehittämistoiminnan vastuullisen edistämisen ilman, että yksityisyyden suojaa heikennetään.
Jos päätös otetaan Suomessa tosissaan, se voi parantaa tutkimusdatan hyödynnettävyyttä, sääntelyn ennakoitavuutta ja potilaiden luottamusta – juuri niitä elementtejä, joihin tuleva eurooppalainen terveysdata-avaruus (EHDS) lopulta rakentuu.
Jaakko Viitanen
VP, Datasääntely ja tiedonhallinta
Puh +358 40 565 0430
jaakko.viitanen@lawder.fi
