Joulukuun puolivälissä EU-maiden tietosuojaviranomaisista koostuvat WP29-työryhmä julkaisi taas ohjeita tietosuoja-asetuksen soveltamiseen. Tässä mahdollisimman tiivis ja selkeäkielinen tulkkauksemme ohjeiden tärkeimmistä sisällöistä.
Sovellusohje tietosuojaa koskevasta vaikutustenarvioinnista
Tietosuoja-asetuksen mukaan tietosuojaa koskeva vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Tämä ohje pyrkii tarkentamaan, milloin ja miten vaikutustenarviointi tehdään. Vaikutustenarvioinnin tekeminen ja tulosten hyvä dokumentointi on yksi tapa osoittaa, että tärkeitä kohtia on tunnistettu ja analysoitu tarkemmin.
Henkilötietojen käsittelyn aiheuttamaa riskiä nostavat...
- rekisteröityjen suuri määrä
- henkilötietojen suuri määrä per rekisteröity
- arkaluonteisten tietoryhmien käsittely (esim. terveystiedot)
- heikossa asemassa olevat rekisteröidyt (esim. lapset)
- automaattinen päätöksenteko (esim. luottopäätös)
- rekisteröityjen järjestelmällinen valvonta
Ainakin useamman kuin yhden kriteerin täyttyessä vaikutustenarviointi kannattanee tehdä.
Onko korkea riski vai ei?
- Kyllä
Sairaala (arkaluontoisia tietoja, heikossa asemassa olevia reksiteröityjä)
- Ei
Verkkolehden postituslista (voi olla laajamittaista käsittelyä, mutta muut kriteerit eivät täyty)
Tarkkoja ohjeita vaikutustenarvionnin tarpeellisuudesta on vielä hieman haastavaa löytää. Kannattaa dokumentoida oma päätöksenne ja perusteet ylös, päädyittepä määrittelemään vaikutustenarvionnin tarpeelliseksi tai ei-tarpeelliseksi. Epäselvissä tilanteissa tietosuojaviranomaiset toki suosittelevat arvioinnin tekemään.
Muutamia muita nostoja
- rekisterinpitäjä suorittaa arvioinnin yhteistyössä vähintäänkin tietosuojavastaavan ja henkilötietojen käsittelijöiden kanssa
- tarkoituksena on kuvata tiettyä henkilötietojen käsittelyä tarkemmin (esim. tietty järjestelmä tai käsittelytilanne), arvioida käsittelystä syntyvät riskit ja tarvittaessa, jos riskit eivät ole hyväksyttävällä tasolla, määritellä toimenpiteet, joilla ne sinne saadaan
- tarkempaa toteutusta ohjeistetaan ylätasolla (esimerkkiprosessikaavio ja kuvausta löytyy ohjeista), mutta tässä paljon harkinnanvaraa jää rekisterinpitäjälle
- vaikutustenarvioinnin tekeminen ei ole kertaluontoinen tehtävä vaan jatkuva prosessi, jota tulee päivittää esim. toiminnan tai käsittelyn muuttuessa
- vaikutustenarvioinnin tarpeellisuuden, toteutuksen ja tulosten dokumentointi on osoitusvelvollisuuden kannalta tärkeää
- yhtä vaikutustenarviointia voidaan käyttää useiden samankaltaisten käsittelytoimien arviointiin
- tuotetta koskevan vaikutusternarvioinnin tapauksessa rekisterinpitäjä voi saada tietoa oman arviointinsa tueksi tuotteen toimittajan tekemästä vaikutustenarvioinnista
Katso täysimittainen lähde
Data Protection Working Party 29
Data Protection Working Party 29 koostuu eri EU-maiden tietosuojaviranomaisista ja työskentelee säännöllisesti antaakseen tarkentavia ohjeita mm. GDPR-asetuksen soveltamiseen.
Kommentoi tai kysy muilta!