Siirry fondia.com -sivustolle
Sisältö koskee Suomen lainsäädäntöä.
 

Tietosuojaa koskeva vaikutustenarviointi

Tietosuojaa koskeva vaikutustenarviointi on lakisääteinen riskiarviointi, joka tulee tehdä sellaisille toiminnoille, joissa tapahtuva henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Tällainen korkea riski on olemassa muun muassa silloin, kun:

  • kyseessä on automaattinen päätöksenteko, kuten profilointi, ja päätöksenteolla on merkittäviä vaikutuksia sen kohteena oleville ihmisille

  • käsitellään laajamittaisesti arkaluontoisia henkilötietoja  

  • henkilötietojen käsittelyssä käytetään uutta teknologiaa

  • yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti

Eri maiden tietosuojaviranomaiset voivat antaa tarkempia ohjeita siitä, millaisille käsittelytoimille vaikutustenarviointi tulee tehdä. Suomessa tietosuojavaltuutettu on muun muassa päättänyt, että vaikutustenarviointi tulee tehdä:

  • tietyntyyppiselle biometristen tietojen käsittelylle

  • tietyntyyppiselle geneettisten tietojen käsittelylle

  • tietyntyyppiselle sijaintitietojen käsittelylle

  • kun poiketaan rekisteröityjen informointia koskevasta velvoitteesta tietosuoja-asetuksen 14 artiklan 5b-kohdan perusteella

  • Whistleblowing-kanavassa tapahtuvalle tietojen käsittelylle

Vaikutustenarvioinnin tekeminen ei ole määrämuotoista, mutta arvioinnin on sisällettävä seuraavat elementit:

  • järjestelmällinen kuvaus henkilötietojen käsittelystä ja käsittelyn tarkoituksista

  • arvio käsittelyn tarpeellisuudesta ja oikeasuhtaisuudesta tarkoituksiin nähden

  • riskiarvio, jossa arvioidaan rekisteröityjen oikeuksille ja vapauksille aiheutuvia riskejä

  • suunnitellut toimenpiteet tunnistettuihin riskeihin puuttumiseksi

Hankkeen suunnitteluvaiheessa tehty vaikutustenarviointi on kaikkein hyödyllisin, koska hyvin toteutetusta vaikutustenarvioinnista saadaan samalla hankkeen tietosuojavaatimukset ja se saattaa yleisestikin auttaa hankkeen tavoitteiden selkeyttämisessä. Mikäli käsittelyyn liittyvät riskit myöhemmin muuttuvat, tulee vaikutustenarviointi tehdä tältä osin uudelleen.