The organization must establish and maintain a documented procedure for implementing pseudonymisation and other privacy-enhancing techniques when processing personal data. These measures aim to minimize the risk of identifying individuals during data processing, sharing, or disclosure.

The procedure should include the following key requirements:

• Replace, mask, or remove identifiers and data elements that could reveal an individual’s identity.
• Ensure re-identification is possible only under authorized and controlled conditions.
• Apply pseudonymisation methods appropriate to the level of risk and the nature of processing activities.
• Document and regularly review pseudonymisation procedures and safeguards to confirm effectiveness.
• Ensure consistent application across all systems and processing operations to maintain confidentiality, integrity, and security of personal data.

Kun henkilötietoja käsitellään tieteellisiin, tutkimus- tai tilastollisiin tarkoituksiin ilman suostumusta, organisaation olisi toteutettava ja dokumentoitava erityiset suojatoimet. Näihin on sisällyttävä:

• Tarkoituksen selkeä määrittely käsittelytoimien kirjaamisessa.
• Tietojen minimointiperiaatteiden soveltaminen.
• Pseudonymisoinnin käyttäminen silloin, kun se ei estä tutkimustarkoitusta.
• Arvioidaan ja lievennetään mahdollisia kielteisiä vaikutuksia rekisteröityjen oikeuksiin ja etuihin.

Organisaation on määritettävä tilanteet, joissa henkilötietojen tai muiden luottamuksellisten tietojen suojaaminen on erityisen tärkeää, ja tarvittaessa toteutettava tällaisen tiedon piilottamista sopivan vahvuisilla menetelmillä, esimerkiksi naamiointia (masking), pseudonymisointia tai anonymisointia hyödyntäen.

Anonymisoinnin ja pseudonymisoinnin lisäksi mahdollisia käytettäviä tekniikoita ovat mm.:

• salaus
• merkkien nollaus tai poistaminen
• arvojen vaihtaminen
• arvojen korvaaminen hasheilla