Tietosuojaa koskeva vaikutustenarviointi: mitä, miksi ja milloin?

Tietosuojaa koskeva vaikutustenarviointi (DPIA: Data Protection Impact Assessment) on yksi uusista tietosuoja-asetuksen mukanaan tuomista henkilötietojen käsittelyyn liittyvistä velvoitteista. Kyse on eräänlaisesta itsearviointityökalusta henkilötietojen käsittelyyn liittyvien riskien hallitsemiseksi. Vaikutustenarvioinnin tarkoituksena on tunnistaa ja arvioida henkilötietojen käsittelyyn liittyviä riskejä ja pyrkiä minimoimaan niitä etukäteen.

Vaikutustenarviointia ei ole velvollisuutta tehdä kaikesta henkilötietojen käsittelystä. Tietosuoja-asetuksessa on yksilöity tiettyjä henkilötietojen käsittelytoimia, jotka edellyttävät DPIA:n tekemistä ennen käsittelyn aloittamista. Lisäksi kansalliset tietosuojaviranomaiset voivat antaa täsmentäviä luetteloita käsittelytoimista, joiden osalta DPIA tulee tehdä.

Milloin vaikutustenarviointia vaaditaan?

Tietosuoja-asetuksen mukaan rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.

Tietosuojaa koskeva vaikutustenarviointi tulee tehdä erityisesti tapauksissa, joissa kyseessä on henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu esimerkiksi profilointiin, ja johtaa päätöksiin, joilla on henkilöä koskevia vaikutuksia. Vaikutustenarviointi vaaditaan esimerkiksi myös silloin, kun kyseessä on laajamittainen käsittely, joka kohdistuu tietosuoja-asetuksen mukaisiin erityisiin henkilötietoihin, kuten terveystietoihin, tai jos kyseessä on julkisen alueen järjestelmällinen valvonta, kuten kameravalvonta.

Lisäksi Suomessa tietosuojavaltuutetun toimisto on antanut listan yksittäisistä henkilötietojen käsittelytoimista, joiden osalta tulee laatia DPIA. Tietosuojavaltuutetun listan mukaan vaikutustenarviointi tulee tehdä esimerkiksi käsiteltäessä geneettisiä tietoja, tai mikäli yrityksessä on käytössä ns. ilmiantojärjestelmä (whistleblowing). Lisäksi vaikutustenarviointi on tehtävä esimerkiksi silloin, kun rekisterinpitäjä kerää henkilötiedot muualta kuin rekisteröidyltä ja poikkeaa tietosuoja-asetuksen mukaisesta informoinnista.

Vaikutustenarviointi on työkalu riskien hallitsemiseen ja tunnistamiseen

Tietosuojaa koskeva vaikutustenarviointi on tarkoitettu henkilötietoja käsitteleville tahoille jatkuvaksi työkaluksi riskien hallitsemiseen ja tunnistamiseen. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista. DPIA ja sen johtopäätökset tulee dokumentoida asianmukaisesti. Lisäksi rekisterinpitäjän tulee olla aktiivinen ja seurata potentiaalisia käsittelyyn liittyviä riskejä sekä uhkia. Rekisterinpitäjän on tarvittaessa tehtävä uudelleentarkastelu sen arvioimiseksi, tapahtuuko henkilötietojen käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti. Vaikutustenarviointia tulee päivittää siinä tapauksessa, jos käsittelytoimista aiheutuvat riskit muuttuvat esimerkiksi käsittelytarkoitusten, tietojen siirron tai uuden tekniikan vuoksi.

Vaikutustenarviointia tehdessä tulee muun muassa laatia kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista, arvioida käsittelyn tarpeellisuutta ja oikeasuhteisuutta tarkoituksiin nähden sekä arvioida mahdollisia riskejä. Lisäksi arvioinnin tulisi sisältää toimenpiteet riskeihin puuttumiseksi, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tietosuoja-asetusta noudatetaan. Mikäli organisaatioon on nimetty tietosuojavastaava, tulee hänet ottaa mukaan DPIA:n toteutukseen. Lisäksi tietyin poikkeuksin myös niitä henkilöitä tai heidän edustajiaan, joiden tietoja käsitellään, tulisi kuulla osana DPIA:n suorittamista. Mikäli rekisterinpitäjän oman arvion mukaan käsittelyyn liittyy edelleen korkea riski, jota ei rekisterinpitäjän arvion mukaan ole mahdollista pienentää riittävästi, tulee DPIA:n osalta kuulla tietosuojaviranomaista lisäohjeiden saamiseksi.

Sen ohella, että tietosuoja-asetus velvoittaa tiettyjen käsittelytoimien osalta tekemään vaikutustenarvioinnin, se on myös yksi keino osoittaa, että yritys noudattaa tietosuoja-asetusta. Vaikutustenarvioinnin avulla on myös mahdollista arvioida oman organisaation tietosuojan tasoa ja lisätä henkilöstön tietoisuutta.

Lisätiedot:

Ville Kukkonen, Associate, puh. +358 40 745 6784, [email protected]