Arvio, jossa puntaroidaan rekisterinpitäjän suunnitteleman toiminnan vaikutuksia rekisteröityjen oikeuksille ja vapauksille. Vaikutustenarvioinnin tarkoituksena on perusteellisesti määrittää ja kuvata, kuinka henkilötietoja käsitellään tietyn käsittelytarkoituksen kannalta sekä hallita tähän liittyviä tietosuojariskejä.
Mihin arviointi kohdistuu?
Tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assessment, DPIA) kohteena on käsittelytoimi eli toiminta, johon liittyy henkilötietojen käsittelyä ja jolla pyritään saavuttamaan jokin päämäärä tai tavoite.
Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa.
Lopputuloksena on arvio henkilötietojen käsittelyn vaikutuksista rekisteröityihin ja päätös:
- voidaanko jatkaa niin kuin on suunniteltu?
- täytyykö toimintatapaa muuttaa?
- täytyykö henkilötietojen käsittely keskeyttää tai peruuttaa?
Milloin vaikutustenarviointi pitää tehdä?
EU:n Yleinen tietosuoja-asetus (General Data Protection Regulation, GDPR) vaatii vaikutustenarvioinnin suorittamista erityisesti tapauksissa, joissa:
- yksilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja kattavasti (profilointi mukaan lukien) automaattisen käsittelyn keinoin ja joilla on henkilöä koskevia oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia
- arkaluonteisia tietoja käsitellään laajamittaisesti
- yleisölle avoimia alueita valvotaan laajamittaisesti ja järjestelmällisesti
Suomen tietosuojavaltuutettu on määrittänyt, että ”Whistleblowing” eli ilmiantojärjestelmän käyttäminen vaatii aina vaikutustenarvioinnin tekemisen.
Pähkinänkuoressa, tietosuojaryhmä ohjeistaa, että vaikutustenarviointi on (todennäköisesti) viimeistään syytä tehdä silloin kun kaksi seuraavista kriteereistä täyttyy:
- Henkilön arviointi tai pisteytys tämän henkilötietojen avulla
- Automaattinen päätöksenteko, jolla on oikeus- tai muita merkittäviä vaikutuksia
- Järjestelmällinen valvonta
- Erityisiin henkilötietoryhmiin kuuluvien tai muuten ”hyvin henkilökohtaisten tietojen” käsittely
- Henkilötietojen laajamittainen käsittely
- Tietokokonaisuuksien yhdistäminen ennakoimattomalla ja odottamattomalla tavalla
- Heikossa asemassa olevien henkilötietojen käsittely
- Uuden teknologian tai organisatorisen ratkaisun soveltaminen tai innovatiivinen käyttö
Atean palvelut vaikutustenarvioinnin tukena
Atean tietosuoja-asiantuntijat voivat auttaa vaikutustenarvioinnin tekemisessä sen mukaan, kuinka paljon asiakas apua tarvitsee.
Vaihtoehto 1: Asiakasta tukeva palvelu
- Koulutamme asiakasta toteuttamaan ja dokumentoimaan vaikutustenarvioinnin itse.
- Annamme asiakkaalle tietoa, neuvoja ja ohjausta vaikutustenarvioinnin eri vaiheista ja niiden toteuttamisesta käytännössä.
- Voimme toteuttaa palvelun samalla kertaa 1-3 organisaatiolle, mikäli vaikutustenarvioinnin aihe on kaikilla organisaatioilla täysin sama.
Vaihtoehto 2: Kokonaisvaltainen palvelu
- Ohjaamme asiakasta vaikutustenarvioinnin toteuttamisessa.
- Autamme asiakasta vaikutustenarvioinnin kohteena olevien asioiden selvittämisessä.
- Dokumentoimme vaikutustenarvioinnin asiakkaan avustuksella.
Molemmissa tapauksessa toteutamme vaikutustenarvioinnit Suomen Tietosuojavaltuutetun toimiston ohjeistukseen perustuvalla mallilla.
Kysy lisää
Janne Konttinen
Advisor, Education
Janne Konttisen vastuulla on opetukseen ja oppimiseen liittyvien palveluiden suunnittelu ja johtaminen. Hänen erityisosaamistaan ovat kaikki koulun digitalisaatioon liittyvät asiat. Jannen toimialuetta on koko Suomi.
Simon Koivumaa
Apple Business Manager
Simon Koivumaalla erinomaiset taidot kaikissa koulun digitalisaatioon liittyvissä asioissa. Hän on toiminut opettajana ja tvt-kouluttajana Suomessa ja Ruotsissa.
