Tietosuojaa koskeva vaikutustenarviointi

Mitä tietosuojaa koskeva vaikutustenarviointi tarkoittaa?

Milloin tietosuojaa koskeva vaikutustenarviointi on tehtävä?

Mitä vaikutustenarviointiin on sisällyttävä?

Milloin rekisterinpitäjän on kuultava valvontaviranomaista ennen henkilötietojen käsittelyä?

Mitä tietosuojaa koskeva vaikutustenarviointi tarkoittaa?

Vaikutustenarvioinnin tarkoituksena on kuvata henkilötietojen käsittelyä, arvioida käsittelyn tarpeellisuutta ja oikeasuhteisuutta sekä arvioida henkilötietojen käsittelystä aiheutuvia riskejä ja tarvittavia toimenpiteitä, joilla riskeihin puututaan. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski. Vaikutustenarvioinnin tarkoituksena on auttaa rekisterinpitäjää tietosuoja-asetuksen vaatimusten noudattamisessa ja noudattamisen osoittamisessa.

Tietosuojaa koskeva vaikutustenarviointi olisi aloitettava mahdollisimman aikaisin henkilötietojen käsittelytoimien suunnitteluvaiheessa. Arviota on seurattava jatkuvasti ja päivitettävä aina tarpeen mukaan.

Milloin tietosuojaa koskeva vaikutustenarviointi on tehtävä?

Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn todennäköisesti kohdistuu korkea riski.

Vaikutustenarviointi on tehtävä erityisesti silloin, kun

• otetaan käyttöön uutta teknologiaa

• käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista vakaumusta tai seksuaalista suuntautumista

• on kyse järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista

• on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta.

Yllä oleva luettelo ei ole tyhjentävä. Näiden esimerkkien lisäksi voi olla muita käsittelytoimia, joihin liittyy korkea riski. Myös tällaisista käsittelytoimista on tehtävä tietosuojaa koskeva vaikutustenarviointi.

Vaikutustenarviointi on tehtävä esimerkiksi silloin, kun sairaala käsittelee terveystietoja, organisaatio kerää julkisia tietoja sosiaalisesta mediasta profiilien laatimiseksi tai laitos laatii luottoluokituksia tai petoksia koskevan kansallisen tason tietokannan. Jos rekisterinpitäjälle ei ole selvää, pitääkö vaikutustenarviointi tehdä, sitä suositellaan tehtäväksi.

Mitä vaikutustenarviointiin on sisällyttävä?

Vaikutustenarviontiin on sisällyttävä

• järjestelmällinen kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista

• arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden

• arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä

• suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet sekä mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tietosuoja-asetusta on noudatettu ja otettu huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

Milloin rekisterinpitäjän on kuultava valvontaviranomaista ennen henkilötietojen käsittelyä?

Rekisterinpitäjän on kuultava valvontaviranomaista tapauksissa, joissa tunnistettuihin riskeihin ei pystytä puuttumaan riittävästi ja jäännösriskit pysyvät korkeina.

Valvontaviranomaista on kuultava esimerkiksi silloin, kun rekisteröidyt voisivat joutua kärsimään huomattavista tai peruuttamattomista seurauksista, joita he eivät välttämättä pysty torjumaan.

Esimerkiksi:

• laiton tietoihin pääsy, joka johtaisi rekisteröityjen henkeä uhkaavaan vaaraan, irtisanomiseen tai taloudelliseen uhkaan

• riskin ilmeneminen näyttää selvältä ‒ ei ole keinoja esimerkiksi vähentää sellaisten henkilöiden lukumäärää, joilla on pääsy tietoihin jakamis-, käyttö- tai levitystapojen vuoksi tai tiedossa olevaa haavoittuvuutta ei pystytä korjaamaan.

Lisäksi rekisterinpitäjän on kuultava valvontaviranomaista aina, kun jäsenvaltion lainsäädännössä vaaditaan rekisterinpitäjiä kuulemaan valvontaviranomaista ja/tai saamaan valvontaviranomaiselta ennakkolupa.

Lue lisää:
Tietosuoja-asetus: artiklat 35‒36 ja johdanto-osan kohdat 89‒96
Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu "korkea riski" (pdf, 1.1 Mt)

 
Julkaistu 5.12.2017
Sivun alkuun |