Läppäri ja lukko

Tietosuojaa koskeva vaikutustenarviointi (DPIA)

Tietosuojaa koskevassa vaikutustenarvioinnissa (Data Protection Impact Assessment, DPIA) arvioidaan henkilötietojen käsittelytoimia, käsittelyyn liittyviä riskejä ja niiden hallintakeinoja sekä tietosuoja-asetuksen mukaisten käsittelyperiaatteiden toteutumista. DPIA on erinomainen keino huolehtia siitä, että henkilötietoja käsitellään lainmukaisesti ja että käsittelyyn liittyvät riskit on hallittu asianmukaisesti. Kattava vaikutustenarviointi on keskeinen keino huolehtia tietosuojan osoitusvelvollisuudesta.

Vaikutustenarvioinnin hyödyt

Teemme tietosuojaa koskevia vaikutustenarviointeja sekä järjestelmien ja palveluiden että käsittelyprosessien näkökulmasta. Tarkasteltavana voi olla esimerkiksi uusi tietojärjestelmä, pilvipalvelu tai terveydentilaa koskevien tietojen käsittely. Sovelluskehityksessä mahdollisimman aikaisessa vaiheessa aloitettu DPIA on toimiva tapa varmistua sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden toteutumisesta. 

Tietosuojaa koskevan vaikutustenarvioinnin tuloksena saat riippumattoman ja kattavan arvion tietosuojan nykytilasta ja kehityskohteista sekä konkreettisen riskilistauksen ja priorisoidut toimenpide-ehdotukset riskien hallitsemiseksi. Vaikutustenarvioinnin avulla voi myös helposti osoittaa asiakkaille ja yhteistyökumppaneille, miten tietosuojasta on huolehdittu. Instan työpajapohjainen DPIA-palvelu toimii myös hyvänä koulutustilaisuutena vaikutustenarviointiin osallistuville organisaatiosi työntekijöille.

Milloin tehdä vaikutustenarviointi?

Tietosuoja-asetus edellyttää vaikutustenarviointia silloin, kun käsittely aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille. Käsittelyn aiheuttamaa riskiä arvioitaessa merkitystä on muun muassa käsiteltävien henkilötietojen luonteella, käsittelyn laajuudella ja asiayhteydellä, rekisteröityjen määrällä sekä käytettävällä teknologialla.

DPIA on pakollinen silloin, kun käsitellään laajamittaisesti erityisiin henkilötietoryhmiin kuuluvia tietoja (esimerkiksi terveydentilaa koskevia tietoja) tai kun käsittelyyn liittyy profilointia tai muuta vastaavaa arviointia ja automaattista päätöksentekoa.

Vaikutustenarviointi on välttämätön myös esimerkiksi silloin, kun valvotaan järjestelmällisesti yleisölle avointa tilaa. Suomessa vaikutustenarviointi vaaditaan myös ns. whistleblowing-järjestelmien yhteydessä ja tietyissä tilanteissa silloin, kun käsitellään esimerkiksi paikannustietoja.



Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.