Milloin vaikutustenarviointi, eli DPIA, on tehtävä?

Tietosuojan vaikutustenarviointi

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Se on jatkuva riskien tunnistamisen ja hallitsemisen prosessi. Vaikutustenarviointi on tehtävä aina ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa.

Vaikutuksenarviointi käytännössä

Vaikutustenarvioinnissa arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä myös toimenpiteitä, joilla riskeihin puututaan. Vaikutustenarviointi on tehtävä aina, kun käsitellään henkilötietoja joka todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille.

Vaikutustenarvioinnin tavoitteena on arvioida, onko jäljelle jäänyt riski oikeutettu ja hyväksyttävissä käsillä olevissa olosuhteissa. Vaikutustenarviointi auttaa rekisterinpitäjää tietosuojalainsäädännön vaatimusten noudattamisessa, sen dokumentoinnissa ja osoittamisessa.

Vaikutustenarviointi voi koskea yksittäistä käsittelytoimea tai käsittelytoimien ryhmää. Yhtä arviota voidaan käyttää ainoastaan samankaltaisten käsittelytoimien vaikutustenarvioinnissa.

Jatkuva prosessi

Vaikutustenarviointia on päivitettävä toimintaympäristön, lainsäädännön tai käsittelytoimista aiheutuvien riskien muuttuessa. Muutokset voivat liittyä käsittelyn kontekstiin, tarkoituksiin, käsiteltäviin henkilötietoihin (keiden henkilötietoja tai mitä henkilötietoja käsitellään), vastaanottajiin, tietojen yhdistämiseen, suojaustoimenpiteisiin, tietojen siirtoon EU:n ja ETAn ulkopuolelle tai uuden teknologian käyttöönottoon.

Päivittämisen tarvetta on lisäksi suositeltavaa arvioida säännöllisesti, esimerkiksi kahden vuoden välein.

Milloin henkilötietojen käsittely vaatii vaikutustenarviointia?

Velvoite tehdä vaikutustenarviointi voi seurata

  • tietosuoja-asetuksessa yksilöidyistä käsittelytilanteista
  • ennen sisäisen ilmoituskanavan käyttöönottoa
  • siitä, että käsittelytoimenpide on lisätty tietosuojaviranomaisen luetteloon
  • kansallisesta lainsäädännöstä.

Vaikutustenarviointi tietosuoja-asetuksessa yksilöidyissä käsittelytilanteissa

Vaikutustenarviointi on tehtävä silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Vaikutustenarviointi on tehtävä erityisesti silloin, kun

  • henkilötietojen käsittelyssä käytetään uutta teknologiaa
  • käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista vakaumusta tai seksuaalista suuntautumista
  • henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla, järjestelmällisesti ja kattavasti, ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
  • yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.
    (Lähde: Tietosuojavaltuutetun toimiston verkkosivut)Tietosuojaryhmä on laatinut ohjeen, jossa se antaa esimerkkejä tilanteista, joissa vaikutustenarviointi tulee tehdä.Ohjeen mukaan tietosuojaa koskeva vaikutustenarviointi on yleensä tehtävä myös silloin, jos henkilötietojen käsittelyssä täyttyy kaksi seuraavista kriteereistä. Mitä useampia kriteerejä käsittely täyttää, sitä todennäköisemmin se aiheuttaa korkean riskin rekisteröidyille.

    Linkki ohjeeseen: https://tietosuoja.fi/vaikutustenarviointi