Mikä on tietosuojaa koskeva vaikutustenarviointi?

​

Tietosuoja-asetuksessa omaksutun riskiperusteisen lähestymistavan mukaan asetuksessa vaaditut konkreettiset toimenpiteet suhteutetaan henkilötietojen käsittelystä rekisteröidyn oikeuksille ja vapauksille aiheutuvaan riskiin. Rekisterinpitäjän on tehtävä arvio henkilötietojen käsittelyyn liittyvistä riskeistä, jotta se tämän arvion perusteella voi määritellä tarvittavat suojatoimet ja riskiin vastaavat muut organisatoriset ja tekniset toimenpiteet. Riskeillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen.

​

Tietosuojaa koskevan vaikutustenarvioinnin (data protection impact assessment, DPIA) tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä. Rekisterinpitäjän on arvioitava henkilötietojen käsittelyyn liittyviä riskejä aina ennen kuin ryhtyy käsittelemään henkilötietoja.

​

​

Milloin DPIA pitää tehdä?

​

Vaikutustenarviointi on tehtävä silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Vaikutustenarviointi on tehtävä erityisesti silloin, kun:

​

• henkilötietojen käsittelyssä käytetään uutta teknologiaa

• käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista vakaumusta tai seksuaalista suuntautumista

• henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla, järjestelmällisesti ja kattavasti, ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi

• yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

​

​

Miten DPIA-prosessi etenee käytännössä?

​

1. Alustava arviointi:
   Alustavan arvioinnin tavoitteena on kartoittaa tietyn palvelun, tietojärjestelmän tai liiketoimintaprosessin tietosuojariskit sekä määritellä se, onko kyse korkean riskin käsittelystä, joka edellyttää varsinaista tietosuojaa koskevan vaikutustenarvioinnin tekemistä.
    

2. Järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista: 
   Jos alustava arvio osoittaa, että kyse voi olla korkean riskin käsittelystä, edetään laatimaan kuvausta henkilötietojen käsittelyn luonteesta, laajuudesta, asiayhteydestä ja tarkoituksista.
   
   Kuvauksesta on käytävä ilmi mistä ja miten henkilötietoja kerätään;

   • käsittelyn tarkoitukset, käyttötavat ja toiminnallinen kuvaus käsittelytoimenpiteistä;

   • henkilötietojen käsittelyyn käytettävät resurssit
     (laitteistot, ohjelmat, ihmiset, asiakirjat tai asiakirjojen välittämiseen käytettävät kanavat);

   • henkilöt, joilla on pääsy tietoihin;

   • eri toimijat ja tarkoitukset, joihin tietoja luovutetaan;

   • tietojen säilytysaika ja kuinka tiedot hävitetään turvallisesti.
      

3. Arviointi käsittelytoimien tarpeellisuudesta ja oikeasuhtaisuudesta:
   Arvioidaan käsittelyä tietosuojaperiaatteiden tehokkaan toteuttamisen kannalta, varmistetaan rekisteröidyn oikeuksien toteuttaminen sekä tunnistetaan muut oikeudet ja vapaudet, jotka liittyvät henkilötietojen käsittelyyn.
    

4. Arviointi rekisteröityjen oikeuksiin ja vapauksiin kohdistuvista riskeistä:
   Tunnistetaan henkilötietojen käsittelyyn liittyvät riskit huomioiden käsittelyn luonne, laajuus, asiayhteys, tarkoitukset ja riskin alkuperä.
   
   Riskit voivat olla muun muassa

   • tietoturvaloukkauksia,

   • epäselvyyksiä käyttötarkoituksessa ja laillisuudessa,

   • urkintaa,

   • oikeudetonta käsittelyä,

   • puutteita henkilötietojen hyödynnettävyydessä,

   • liiallisen tai virheellisen tiedon käsittelyä.
      

5. Suunnitelma riskeihin puuttumiseksi:
   Tehdään suunnitelma keinoista, joilla voidaan pienentää riskejä.
   
   Keinoja voivat olla muun muassa

   • päätös olla käsittelemättä tietyn tyyppisiä tietoja,

   • käsittelyn kohteen täsmentäminen tai rajaaminen,

   • säilytysaikojen lyhentäminen,

   • henkilötietojen anonymisointi tai pseudonymisointi,

   • kirjallisten käsittelyohjeiden käyttöönotto,

   • ihmisen osallistumisen lisääminen automatisoituihin päätöksiin,

   • toisenlaisen tekniikan käyttäminen,

   • tietojen vaihdosta tehtyjen selkeiden sopimusten käyttöönotto,

   • kielto-oikeuden tarjoaminen rekisteröidylle mikäli se on mahdollista,

   • henkilöiden tietosuojaoikeuksien käyttöä tukevien järjestelmien ja menettelyiden käyttöönotto.
      

6. Vaikutustenarvioinnin dokumentointi:
   Dokumentoidaan edellä mainitut toimenpiteet sekä vastuutetaan ja aikataulutetaan suunnitelman implementointi ja seuranta.
    

7. Suunnitelman implementointi
    

8. Ennakkokuuleminen:
   Toteutetaan ennakkokuuleminen, jos vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle, eikä rekisterinpitäjä ole omilla toimenpiteillään saanut riskiä alhaisemmaksi.
    

9. Tietosuojavaltuutetun kirjallisten ohjeiden implementointi:
   Jos tietosuojaviranomainen hyväksyy käsittelyn ja antaa kirjallisia ohjeita, toteutetaan ohjeet käytännössä.
    

10. Seuranta:
    Seurataan toimenpiteiden toteutumista sekä käsittelyä. Uudistetaan vaikutustenarviointi, jos käsittely olennaisesti muuttuu.

​

Käytännössä DPIA edellyttää usein eri osaajien panosta. Näitä voivat olla esimerkiksi liiketoimintaprosessista vastaava henkilö, IT-arkkitehti, tietosuojavastaava ja tietoturvavastaava.

​

​

Miten Folks voi auttaa?

​

Olemme olleet mukana arvioimassa useita tietojärjestelmähankkeita, liiketoimintaprosesseja sekä datan innovatiiviseen hyödyntämiseen liittyviä kokonaisuuksia. Lisäksi olemme olleet kehittämässä DPIA-työkaluja ja -prosesseja. Avullamme saat DPIA-prosessin toteutettua ja dokumentoitua tehokkaasti, ja voit siten säästää aikaa omaan ydinliiketoimintaasi.

​