24. syyskuuta 2020 | Max Atallah
Tietosuojan vaikutustenarviointi
Tietosuojan vaikutustenarviointi – eli DPIA (Data Protection Impact Assessment) – on tietosuojaa koskeva riskiarvio, joka on uhannut jäädä muiden tietosuoja-asioiden varjoon. Tästä seuraten käsittelemme tässä artikkelissa tarkemmin DPIA:ta ja sen merkitystä yrityksille.
Mikä on DPIA?
DPIA on lakisääteinen tietosuojaa koskeva riskiarvio, joka tulisi dokumentoida. Edellisestä virkkeestä voidaan poimia kolme (3) avainsanaa kuvaamaan DPIA:ta: lakisääteisyys, riskiarvio ja dokumentoitu.
DPIA:n lakisääteisyys ilmenee siitä, että DPIA:sta säädetään EU:n yleisen tietosuoja-asetuksen artikloissa 35 ja 36. Siten DPIA:ksi ei voida katsoa muuta tietosuojaa koskevaa riskiarviota kuin arviota, joka täyttää tietosuoja-asetuksen artiklojen 35 ja 36 edellytykset.
DPIA on ytimeltään riskiarvio tietosuojaa koskien, minkä vuoksi DPIA:ssa tulee ensinnäkin tunnistaa tietosuojaa koskevat riskit, arvioida riskienhallintaan käytettäviä mekanismeja ja arvioida tunnistetut riskit riskienhallintamenetelmät huomioiden. Mekanismi on varmasti monelle tuttu compliancen puolelta
DPIA tulee toteuttaa dokumentoidusti, eli DPIA:sta tulee laatia oma dokumenttinsa.
Kuka voi ja kenen pitää toteuttaa DPIA?
Mikä tahansa yritys voi halutessaan toteuttaa DPIA:n, eli tällöin ei ole väliä, onko DPIA:n suorittava yritys rekisterinpitäjä vai käsittelijä. Kun DPIA toteutetaan vapaaehtoisesti, on DPIA:n käyttötarkoitus puhtaasti arvioida tietosuojariskejä ja siten avustaa yritystä hallitsemaan henkilötietojen käsittelyyn liittyviä riskejä. Vapaaehtoisena työkaluna DPIA on oivallinen keino noudattaa osoitusvelvollisuuden periaatetta.
Tietyillä rekisterinpitäjillä voi olla velvollisuus toteuttaa DPIA. Tällöin DPIA:n käyttötarkoitus on sekä toteuttaa rekisterinpitäjän lakisääteinen velvoite että avustaa rekisterinpitäjää arvioimaan ja hallitsemaan henkilötietojen käsittelyyn liittyviä riskejä. Huomattakoon, että ainoastaan rekisterinpitäjällä voi olla lakisääteinen velvoite suorittaa DPIA, ts. käsittelijällä ei voi koskaan olla lakisääteistä velvoitetta suorittaa DPIA:ta.
Milloin rekisterinpitäjällä on velvollisuus toteuttaa DPIA?
Rekisterinpitäjällä voi olla velvollisuus toteuttaa DPIA, mikäli siitä säädetään tietosuoja-asetuksessa tai Suomen kansallisessa lainsäädännössä taikka käsittelytoimenpide on lisätty tietosuojavaltuutetun luetteloon.
Tietosuoja-asetuksen artiklan 35 nojalla rekisterinpitäjällä voi olla velvollisuus toteuttaa DPIA, jos tietynlainen henkilötietojen käsittely aiheuttaa rekisteröidyn oikeuksille ja vapauksilla korkean riskin. Tietosuoja-asetuksen perusteella korkean riskin voi aiheuttaa:
- etenkin uudenlaisen teknologian hyödyntäminen
- rekisteröityjen henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava automasoitu arviointi, jolla on merkittäviä vaikutuksia rekisteröidylle
- arkaluonteisten henkilötietojen laajamittainen käsittely tai
- yleisölle avoimen alueen laajamittainen valvonta.
Mitä taas tulee Suomen kansalliseen lainsäädäntöön, niin esimerkiksi tietosuojalain (1050/2018) 31 § sisältää säännöksen, jonka nojalla DPIA tulee toteuttaa, kun rekisteröidyn oikeuksista poiketaan tieteellisen tai historiallisen tutkimuksen taikka tilastoinnin yhteydessä.
Tietosuojavaltuutetun 21.12.2018 päivätyn luettelon nojalla rekisterinpitäjällä voi olla velvoite toteuttaa DPIA, kun se käsittelee biometrisiä henkilötietoja, geneettisiä henkilötietoja tai sijaintitietoja taikka, jos se poikkeaa rekisteröidyn informointia koskevasta velvoitteestaan tai ylläpitää whistleblowing-järjestelmää.
Kuten huomataan, tulee tarvetta DPIA:lle usein tapauskohtaisesta arvioida, sillä ei ole olemassa tyhjentäviä määräyksiä tilanteista, joissa DPIA tulisi toteuttaa.
Lopuksi
DPIA on melko tekninen instrumentti, jonka laatiminen usein vaatii asiantuntijan apua. Avustaessamme säännöllisesti tietosuojassa niin kasvu- kuin pörssiyhtiöitäkin, kuuluvat DPIA:ssa avustamiset jokapäiväiseen työhömme. Avullamme varmistat huolettoman elämän tietosuojan parissa.
24.09.2020 MAX