Vaikutustenarvioinnin tausta

Tietosuoja-asetuksen (Artikla 35) mukaan ”Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle.”. Tarkempia tietoja tästä löytyy esimerkiksi osoitteesta https://tietosuoja.fi/vaikutustenarviointi​. Vaikutustenarviointi tulee tehdä ennen kuin henkilötietojen käsittely aloitetaan.

Vaikutustenarviointi on mahdollista tehdä, vaikka nämä kriteerit eivät täyttyisikään. Mikäli tilanne on epäselvä, tulee vaikutustenarviointi tehdä.

Missä tilanteissa vaikutustenarvionti tulee tehdä?

Tietosuoja-asetuksessa mainitut erityistilanteet

​Erityisesti asetuksessa mainitaan:

• Profilointi, automaattinen päätöksenteko silloin, jos henkilökohtaisia ominaisuuksia laajasti tai järjestelmällisesti tarkastellaan
• Laajamittainen erityisten (arkaluonteisten) henkilötietojen käsittely
• Yleisölle avoimen alueen järjestelmällinen ja laajamittainen valvonta kuuluu tähän kategoriaan.

Myös esimerkiksi uusien teknisien (vaikkapa kasvotunnistus kulunvalvonnassa) ja organisatorisien innovaatioiden käyttöönotto voi edellyttää vaikutustenarvioinnin tekemistä.

Tietosuojavaltuutetun toimiston listaamat erityistilanteet

Tietosuojavaltuutetun toimisto on julkaissut listan tilanteista, joissa vaikutustenarviointi tulee tehdä aina. Lista löytyy osoitteesta https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista . Listalla on seuraavia asioita:

• Biometristen tietojen käsittelyä
• Geneettisen tiedon käsittelyä
• Sijaintitiedon käsittelyä
• Rekisteröidyn informoinnissa tapahtuvia poikkeamia
• Ilmiantojärjestelmät (Whistleblowing)​

Mikäli käsittelet näitä tietoja, tulee varmistaa onko vaikutustenarviointi tehtävä.

Muut korke​an riskin tilanteet

Korkean riskin arvioinnissa tarkastellaan seuraavia osa-alueita:

• Henkilötietojen arviointi tai pisteytys: työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten, kiinnostuksen kohteiden, luotettavuuden, käyttäytymisen, sijainnin tai liikkumisen arviointi tai pisteytys (mukaan lukien profilointi ja ennakointi).​
• Automaattinen päätöksenteko
• Rekisteröityjen järjestelmällinen valvonta
• Erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely
• Tietojen laajamittainen käsittely. Tähän liittyy mm. rekisteröityjen lukumäärä, käsiteltävien tietojen lukumäärä, käsittelyn kesto ja pysyvyys ja käsittelyn maantieteellinen laajuus.
• Tietokokonaisuuksien yhdistäminen esimerkiksi eri rekistereistä
• Heikommassa asemassa olevien henkilötietojen käsittely: esimerkiksi lapset, työntekijät, potilaat, opiskelijat
• Uusien teknisten tai organisatoristen ratkaisujen soveltaminen tai innovatiivinen käyttö
• Tilanteet, joissa käsittelytoimet estävät rekisteröityjä käyttämästä oikeutta, palvelua tai sopimusta: esimerkiksi luottotoiminnassa pankkien päätökset lainan tarjoamisesta

Mitä useampi edellä olevista kohdista toteutuu suunnitellussa henkilötietoja käsittelyssä, sitä todennäköisempää on, että vaikutustenarviointi pitää tehdä​:

• Jos edellä olevista kohdista toteutuu kaksi tai useampi, vaikutustenarvionti tulee tehdä. Kuitenkin, mikäli todetaan, että henkilötietojen käsittelystä todennäköisesti ei aiheudu korkeaa riskiä, voidaan vaikutustenarviointi jättää tekemättä. Tällöin perusteet dokumentoidaan.
• Mikäli edellä olevista kohdista toteutuu vain yksi kohta, vaikutustenarviointi pitää tehdä vain silloin, jos henkilötietojen käsittelystä todennäköisesti aiheutuu korkea riski.
• Epäselvissä tilanteissa vaikutustenarviointi tulee tehdä.

​​Vaikutustenarvioinnin tekeminen

Vaikutustenarviointi tehdään seuraavaan intranetistä löytyvään pohjaan: ​vaikutustenarviointi lomake.docx​

Riskien kokoamisessa voidaan käyttää esimerkiksi:

• Tietosuoja riskianalyysipohja.xlsx (kirjautumisen takana) tai
• VAHTI-ohjeiden mukaisia riskienhallinnan pohjia (https://www.vahtiohje.fi/web/guest/home​): VAHTI Riskiarviointi laaja.xlsx​ ja VAHTI Riskiarviointi-tyokaluohje.pdf​​

Vaikutustenarvioinnista todetaan (artikla 35), että:

• Tietosuojavastaavalta on py​ydettävä neuvoa.
• Arviointiin sisällytettävä:
  • ​Järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut
  • Arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä
  • Suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
  • Arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden

Valvovaa viranomaista tulee ennakkokuulla, mikäli vaikutustenarvion osoittaa korkeaa riskiä eikä sitä saada pienennettyä.

Oheismateriaalia

• ​Tieto​suojavaltuutetun ohje: https://tietosuoja.fi/vaikutustenarviointi
• Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista

Tietosuojavastaavalta voit kysyä lisätietoja.