Mikä on DPIA ja milloin tällainen tulisi tehdä?
Useimmat organisaatiot laativat erilaisia tietosuoja-arviointeja jo ennen GDPR:n voimaan tuloa. GDPR toi kuitenkin mukanaan uuden vaatimuksen laatia tietosuojaa koskeva vaikutustenarviointi (DPIA) aina, kun henkilötietojen käsittelytoimet todennäköisesti aiheuttavat korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Esimerkkejä tällaisista todennäköisesti korkean riskin aiheuttavista käsittelytoimenpiteistä ovat rekisteröityjen järjestelmällinen valvonta, sekä erityisten henkilötietoryhmien tai muuten hyvin henkilökohtaisten tietojen käsittely.
Rekisterinpitäjän vastuulla on tunnistaa tarve vaikutustenarvioinneille ja ne on tehtävä ennen käsittelytoimien aloittamista. Mikäli vaikutustenarviointia ei ole tehty käsittelytoimille, jotka vaativat vaikutustenarvioinnin tekemistä, tulee sellainen laatia pikimmiten.
Kuvitellaanpa tilanne, jossa edustamassasi yrityksessä käytetään Whistleblowing-järjestelmää, jonka kautta voidaan tuoda ilmi organisaation epäeettistä ja arvojen vastaista toimintaa tai sisäisiä rikkomuksia. Whistleblowing-järjestelmä on yrityksen julkisilla nettisivuilla ja kuka tahansa voi joko anonyymisti tai omalla nimellään lähettää väärinkäytösepäilyn sen kautta.
Työkaverisi kysyy sinulta, liittyykö yrityksenne Whistleblowing-järjestelmään mitään tietosuojariskejä?
Mitä vastaat?
Suomen tietosuojavaltuutettu on listannut nettisivuillaan erilaisia henkilötietojen käsittelytilanteita, jolloin rekisterinpitäjän on ehdottomasti laadittava vaikutustenarviointi. Tällaisia tilanteita ovat muun muassa biometristen ja geneettisten tietojen sekä sijaintitietojen laajamittainen käsittely. Lisäksi tietosuojavaltuutettu on erikseen maininnut pakollisena vaikutustenarvioinnin kohteena Whistleblowing-järjestelmät.
Vastaatkin siis työkaverillesi, että olemme laatineet Whistleblowing-järjestelmäämme koskevan vaikutustenarvioinnin ja tunnistaneet siitä aiheutuvat tietosuojariskit. Laadimme samalla selkeän toimenpidelistauksen lieventääksemme tunnistettuja riskejä. Työkaverisi kuuntelee kiinnostuneena ja tokaisee vaikuttuneena: ”Mahtijuttu!”
Privaon tarjoaa konsultointipalveluna tietosuoja-asiantuntijoidensa toteuttamaa työpajapohjaisesti fasilitoitua vaikutustenarviointia, jonka lopputuloksena edustamasi yritys saa järjestelmällisen kuvauksen vaikutustenarvioinnin kohteena olevista käsittelytoimista, käsittelytoimien tarpeellisuuden ja oikeasuhtaisuuden arvioinnin, arvioinnin rekisteröityjen oikeuksille ja vapauksille aiheutuvista riskeistä, sekä osoitusvelvollisuuden kannalta olennaisen dokumentaation.
Osallistava työpajatyöskentely edistää organisaatiosi vaatimustenmukaista tietosuojaa. Lisäksi hyvin laadittu vaikutustenarviointi tuo kustannussäästöjä ja kehittää organisaatiosi tietosuojaystävällistä mainetta. Vaikutustenarviointi myös kehittää asiakasluottamusta ja sitouttaa henkilöstöä tietosuojariskien tunnistamiseen ja hallintaan.
Tutustu tietosuojaa koskevaan vaikutustenarviointiin palveluna täältä.