Üldmääruse artikli 4 kohaselt on pseudonüümimine „isikuandmete töötlemine sellisel viisil, et isikuandmeid ei saa enam täiendavat teavet kasutamata seostada konkreetse andmesubjektiga, tingimusel et sellist täiendavat teavet hoitakse eraldi ja andmete tuvastatud või tuvastatava füüsilise isikuga seostamise vältimise tagamiseks võetakse tehnilisi ja korralduslikke meetmeid“. Seega asendatakse pseudonüümimisel kõik inimese otsest või kaudset tuvastamist võimaldavad andmed ehk identifikaatorid pseudonüümiga, misjärel ei ole ta enam tuvastatav.

Siiski on pseudonüümimine tagasipööratav. Üldmääruses nimetatud täiendava teabe – võtme, koodi või muu tuvastamist võimaldava info – abil saab taastada algupärase seose andmete ja isiku vahel. See täiendav teave võib kõige lihtsamal kujul olla näiteks tabel inimese tuvastamist võimaldavatest andmest ja nende asendamiseks määratud pseudonüümidest. Turvalisuse tagamiseks peab seda teavet hoolega kaitsma.

Niisiis on pseudonüümimine üldmõiste kõigi andmetöötlusmeetodite kohta, mis võimaldavad nii isiku deidentifitseerimist (umbisikustamist) kui ka reidentifitseerimist (taasisikustamist). Ei tohi unustada, et pseudonüümitud andmed on endiselt isikuandmed. Isegi kui teadlased ei suuda andmetele peale vaadates isikut tuvastada, tuleb neid andmeid kohelda samamoodi kui tuvastamist võimaldavaid andmeid ja järgida tuleb kõiki andmekaitsepõhimõtteid.

Eesti õigusruumis valitsevad pseudonüümitud andmete kohta eri arusaamad. Näiteks on Andmekaitse Inspektsioon juhtinud tähelepanu IGUS-e § 7 muutmise vajaduse kohta. Nimelt sätestatakse selles: „Pseudonüümitud koeproovide, pseudonüümitud DNA kirjelduste ja pseudonüümitud terviseseisundi kirjelduste töötlemise suhtes ei kohaldata isikuandmete töötlemist reguleerivaid sätteid juhul, kui koeproove, DNA kirjeldusi või terviseseisundi kirjeldusi töödeldakse hulgana ja tingimusel, et töödeldavaid proove või kirjeldusi on üheaegselt vähemalt viie geenidoonori kohta.“ Ent üldmääruse põhjenduses 26 on öeldud, et pseudonüümitud andmeid tuleks käsitleda teabena tuvastatava füüsilise isiku kohta. Seega ei saa pseudonüümitud geneetilisi ega terviseandmeid liigitada isikustamata andmeteks, millele üldmäärus ega IKS ei kohaldu.

3.3.1.    Andmete pseudonüümimise põhjused ja aeg

Üldmääruse kohaselt suurendab pseudonüümimine isikuandmete töötlemise turvalisust ja lõimitud andmekaitset. Sealjuures tuleb järgida minimaalsuspõhimõtet: kui töötlemise käigus ei ole vaja teada isikut, kelle kohta andmed käivad, ei ole põhjendatud ka isikustatud andmete töötlemine. Seega ei puuduta pseudonüümimine vaid isikuandmete edastamist, vaid ka ühe teadusasutuse tööd või teadusprojekti, et vähendada nende teadlaste hulka, kes saavad andmete põhjal inimesi tuvastada.

Mida tundlikumad on andmed, seda vajalikum võib olla pseudonüümimine. Samuti tuleks seda kaaluda siis, kui andmeid edastatakse kolmandatele isikutele.

Isikuandmed tuleks pseudonüümida esimesel võimalusel. Näiteks mitme välismaise partneriga teadusprojektis tuleks seda teha vahetult pärast andmete kogumist ja enne analüüsiga alustamist või andmete edastamist projektipartneritele.

3.3.2.    Andmete pseudonüümijad

Nagu on öeldud Euroopa Liidu Küberturvalisuse Ameti (ENISA) 2019. aasta juhendis pseudonüümimisvõtete ja parimate tavade kohta, võib pseudonüümijaks olla kas vastutav töötleja, volitatud töötleja või usaldusväärne kolmas isik. Andmete töötlemise turvalisuse tagab aga alati vastutav töötleja.

Pseudonüümimine on kindlasti vajalik mitme asutuse ühise teadusuuringu puhul. Näiteks võivad kaks või enam partnerit olla kaasvastutavad töötlejad, kuid neil tuleb leppida kokku, et isikuandmeid koguv teadusasutus pseudonüümib andmed enne kaasvastutavatele partneritele edastamist. Sel viisil järgitakse andmetöötluse minimaalsus- ja turvalisuspõhimõtet. Samuti võib isikuandmed pseudonüümida volitatud töötleja (nt küsitlusettevõte), enne kui ta need teadusasutusele üle annab.

3.3.3.    Andmete pseudonüümimise meetodid

Asutuse või projektipõhiste pseudonüümimispõhimõtete kehtestamisel võib lähtuda ENISA juhendist pseudonüümimisvõtete ja parimate tavade kohta, kus soovitatakse pseudonüümimismeetodi valikule läheneda riskipõhiselt. Riskidena võetakse arvesse võimalikke ründeid pseudonüümitud andmestikele, andmete tundlikkust, käideldavust ja nende kaitsmise vajadust.

Enamasti ei piisa pseudonüümimiseks vaid inimese nime ja isikukoodi asendamisest pseudonüümiga, vaid kaaluma peab kõiki andmeid, mis on temaga lihtsasti seostatavad. Tähtis on ka andmete tüüp – näiteks ei sobi identifikaatorite pseudonüümimine kujutiste ja pildiliste andmete puhul, kuid see on kasulik, kui kujutiste failinimed või metaandmed sisaldavad identifikaatoreid, millel on isikute tuvastamist võimaldavad tunnused. Pseudonüümitud andmete töötleja ei tohi suuta andmete taga peituvaid isikuid tuvastada.

Identifikaatorite asendamiseks pseudonüümiga on eri viise:

• loenduripõhisel pseudonüümimisel kasutatakse määratud järjestuse alusel genereeritud numbreid identifikaatorite asendamiseks. Selle meetodi eelis on lihtsus ja see, et loenduri määratud numbril puudub otsene seos asendatava identifikaatoriga;
• juhuarvude genereerimisel asendatakse samuti identifikaatorid arvudega, kuid seda tehakse juhuslikult. Juhuarvud on loenduripõhisest meetodist turvalisemad, sest pseudonüüme ei genereerita järjestikku. Meetodi miinus on aga see, et kahele identifikaatorile võidakse määrata sama pseudonüüm. Selle tõenäosust saab vähendada, kui genereerida pikemaid numbreid;
• krüptograafiline räsifunktsioon võimaldab krüpteerida suvalise pikkusega identifikaatorid kindla pikkusega koodiks. Räsifunktsioon on ühesuunaline ehk pöördumatu, mis tähendab, et räsikoodi alusel on äärmiselt keeruline välja arvutada algset väärtust. Samuti on see kollisioonikindel ehk ei leidu kaht identifikaatorit, mis annavad tulemuseks sama räsikoodi. Et aga sama sisendi korral on tulemuseks sama räsi, on algset identifikaatorit ja räsifunktsiooni teades võimalik andmed depseudonüümida;
• võtmepõhisel räsimisel kasutatakse peale räsifunktsiooni salajast võtit pseudonüümide arvutamiseks. Võtmepõhine räsimine annab lisakindluse, et räsikoodi põhjal ei ole võimalik identifikaatorit välja arvutada;
• sümmeetrilisel krüpteerimisel kasutatakse krüpteerimiseks ja dekrüpteerimiseks ühtainust salajast võtit;
• väiksema andmestiku korral saab pseudonüüme luua ka käsitsi, näiteks asendada inimesega seotud identifikaatorid ja kvaasiidentifikaatorid[1] üldnimetusega intervjueeritav A või uuritav M45. Nimede asendamine initsiaalidega või mõne kvaasiidentifikaatori pesudonüümimine ei pruugi aga pakkuda tuvastamise eest kuigi tugevat kaitset. Juhuslikud pseudonüümid on pea alati turvalisemad kui süsteemipärased.

Olenemata meetodist on oluline kaitsta pseudonüümimise saladust – võtit, koodi, meetodit või muid andmeid, mis võimaldavad ühendada pseudonüümi isikuga. Kui see saladus küberründe tulemusena lekib, on võimalik tuvastada inimesed kõigis andmestikes, mis on pseudonüümitud kujul koostatud. Veelgi ohtlikum on selline rünne juhul, kui kasutatakse alati ühesugust pseudonüümimismeetodit. Sel juhul võib tekkida väga tõsine privaatsuse riive.

Saladuse hoidmiseks peaks juurdepääs depseudonüümimisteabele olema võimalikult vähestel inimestel, kuid neid peaks olema rohkem kui üks, et olla valmis olukorraks, kus teabe valdajaga midagi juhtub või kui ta töölt lahkub.

[1] Kvaasiidentifikaator on sugu, vanus, rahvus või muu tunnus, mis eraldiseisvalt ei suuda isikut üheselt tuvastada, aga võimaldab koos teiste tunnustega luua otsese identifikaatori, mis viitab konkreetsele isikule.