Mikä on DPIA ja milloin tällainen tulisi tehdä?

Yleinen tietosuoja-asetus edellyttää rekisterinpitäjää toteuttamaan tietosuojaa koskevan vaikutustenarvioinnin (DPIA) aina, kun henkilötietojen käsittelytoimet todennäköisesti aiheuttavat korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. DPIA tulee laatia ennen korkean riskin aiheuttavan henkilötietojen käsittelyn aloittamista.

Esimerkkejä todennäköisesti korkean riskin aiheuttavista käsittelytoimenpiteistä ovat rekisteröityjen järjestelmällinen valvonta, ilmiantojärjestelmät (riippumatta onko kyse ilmoittajansuojelulain mukaisesta ilmoituskanavasta vai muusta) sekä erityisten henkilötietoryhmien tai muuten hyvin henkilökohtaisten tietojen laajamittainen käsittely. Rekisterinpitäjän vastuulla on tunnistaa itse rekisteröidyille todennäköisesti aiheutuvat korkeat riskit ja toteuttaa tietosuojaa koskeva vaikutustenarviointi. Korkean riskin voi tunnistaa esimerkiksi yleisen tietosuoja-asetuksen esimerkkiluettelosta, tietosuojavaltuutetun luettelosta tai Tietosuojatyöryhmän ohjeesta.

Onko organisaatiossasi tehty vaikutustenarviointeja?

Kuvitellaanpa tilanne, jossa edustamassasi yrityksessä käytetään tekoälyä optimoimaan asiakastoimitusten sujuvuutta työntekijöiden sijaintitietojen perusteella.

Työkaverisi kysyy sinulta, liittyykö yrityksenne tekoälyjärjestelmään mitään tietosuojariskejä.

Mitä vastaat?

Tietosuojavaltuutettu on luetteloinut korkeita riskejä aiheuttavia käsittelytoimia, joihin liittyen rekisterinpitäjän on laadittava tietosuojaa koskeva vaikutustenarviointi. Tällaisia tilanteita ovat muun muassa sijaintitietojen käsittely uusien teknisten ja organisatoristen ratkaisujen innovatiivisen käytön yhteydessä (tekoäly) ja heikossa asemassa olevien rekisteröityjen sijaintietojen käsittely (työntekijät). Lisäksi Tietosuojatyöryhmän ohjeen perusteella on tunnistettavassa riskitekijät sijaintitietojen aiheuttamasta järjestelmällisestä valvonnasta, sijaintitieto luonteeltaan hyvin henkilökohtaisena tietona, rekisteröidyn heikko asema työntekijänä sekä tekoälyn käyttö uusien teknisten tai organisatoristen ratkaisujen innovatiivisena käyttämisenä.

Vastaatkin siis työkaverillesi, että olemme tunnistaneet käsittelyn riskialttiiksi ja laatineet tietosuojaa koskevan vaikutustenarvioinnin. Tässä yhteydessä olemme tunnistaneet tarkasti, millaista henkilötietojen käsittelyä asiaan liittyy ja todenneet käsittelyn tarkoituksiin nähden oikeasuhtaiseksi, jottei riskialtis käsittely sisällä mitään ylimääräistä. Käsittelyn tunnistamisen perusteella olemme osanneet arvioida juuri tässä tilanteessa rekisteröidylle mahdollisesti aiheutuvia riskejä sekä osanneet ottaa käyttöön juuri kyseisiä riskejä pienentäviä suojatoimenpiteitä. Työkaverisi kuuntelee kiinnostuneena ja tokaisee vaikuttuneena: ”Mahtijuttu!”

Privaonilta osallistava ratkaisu vaikutustenarviointiin

Privaonin tietosuoja-asiantuntijat auttavat organisaatiosi tietosuojaa koskevissa vaikutustenarvioinneissa työpajapohjaisesti. Arvioinnin lopputuloksena organisaatiosi saa järjestelmällisen kuvauksen vaikutustenarvioinnin kohteena olevista käsittelytoimista, käsittelytoimien tarpeellisuuden ja oikeasuhtaisuuden arvioinnin, arvioinnin rekisteröityjen oikeuksille ja vapauksille aiheutuvista riskeistä sekä osoitusvelvollisuuden kannalta olennaisen dokumentaation riskejä pienentävistä suojatoimenpiteistä.

Osallistava työpajatyöskentely edistää organisaatiosi vaatimustenmukaista tietosuojaa. Lisäksi hyvin laadittu vaikutustenarviointi tuo kustannussäästöjä ja kehittää organisaatiosi tietosuojaystävällistä mainetta. Vaikutustenarviointi myös kehittää asiakasluottamusta ja sitouttaa henkilöstöä tietosuojariskien tunnistamiseen ja hallintaan.

Tutustu tietosuojaa koskevaan vaikutustenarviointiin täältä.