Open search

    Tietosuojaa koskeva vaikutustenarviointi (DPIA)

    Tietosuojaa koskevassa vaikutustenarvioinnissa (data protection impact assessment, DPIA) arvioidaan henkilötietojen käsittelyä, käsittelyyn liittyviä riskejä ja niiden hallintakeinoja sekä tietosuoja-asetuksen mukaisten henkilötietojen käsittelyn periaatteiden toteutumista.

    DPIA on erinomainen keino huolehtia siitä, että henkilötietojen käsittelyyn liittyvät riskit on arvioitu ja hallittu asianmukaisesti – kattava vaikutustenarviointi on myös keskeinen keino huolehtia osoitusvelvollisuudesta.

    Vaikutustenarvioinnin hyödyt

    Teemme tietosuojaa koskevia vaikutustenarviointeja sekä järjestelmien ja palveluiden että käsittelyprosessien näkökulmasta. Tarkasteltavana voi olla esimerkiksi uusi tietojärjestelmä tai terveydentilaa koskevien tietojen käsittely. Sovelluskehityksessä mahdollisimman aikaisessa vaiheessa aloitettu DPIA on toimiva tapa varmistua sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden toteutumisesta.

    Tietosuojaa koskevan vaikutustenarvioinnin tuloksena saat riippumattoman ja kattavan arvion tietosuojan nykytilasta ja kehityskohteista sekä konkreettisen riskilistauksen ja priorisoidut toimenpide-ehdotukset riskien hallitsemiseksi. Vaikutustenarvioinnin avulla voi myös helposti osoittaa asiakkaille ja yhteistyökumppaneille, miten tietosuojasta on huolehdittu.

    Milloin tehdä vaikutustenarviointi?

    Tietosuoja-asetus edellyttää vaikutustenarviointia silloin, kun käsittely aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille. Riskien arvioinnissa merkitystä on muun muassa käsiteltävien tietojen luonteella, käsittelyn laajuudella ja asiayhteydellä, rekisteröityjen määrällä sekä käytetyllä teknologialla. DPIA on pakollinen silloin, kun käsitellään laajamittaisesti erityisiin henkilötietoryhmiin kuuluvia tietoja (esimerkiksi terveydentilaa koskevia tietoja) tai kun käsittelyyn liittyy profilointia tai muuta vastaavaa arviointia ja automaattista päätöksentekoa. Vaikutustenarviointi on välttämätön myös esimerkiksi silloin, kun valvotaan järjestelmällisesti yleisölle avointa tilaa. Suomessa vaikutustenarviointi vaaditaan myös ns. whistleblowing-järjestelmien yhteydessä ja tietyissä tilanteissa silloin, kun käsitellään esimerkiksi paikannustietoja.

     

    Lisätietoja:

    Jyrki Nivala

    Jyrki Nivala

    Janne Valo

    Marita Touru

    eero

    Eero Paajanen

    Ota yhteyttä