Tietosuojaa koskevasta vaikutusten arvioinnista tarkentavia ohjeita

EU:n yleisen tietosuoja-asetuksen mukaan vaikutusten arviointia on tehtävä, kun henkilötietojen käsittelyyn kohdistuu korkea riski. Vaikutuksia on arvioitava esimerkiksi silloin, kun käsitellään suuria määriä arkaluonteisia tietoja tai käytetään uutta teknologiaa. WP29-tietosuojatyöryhmän julkaisema opas tarkentaa, milloin ja miten vaikutusten arviointi toteutetaan.

Tietosuoja-asetuksessa rekisterinpitäjän velvoitteet määritellään riskiperusteisesti. Velvollisuudet ja tarvittavat suojatoimet määräytyvät sen mukaan, kuinka riskialtista henkilötietojen käsittely on rekisteröidyn oikeuksille ja vapauksille. Uudessa oppaassa kerrotaan vaikutusten arviointiin liittyvistä käytännöistä ja riskien määrittelystä.

Vaikutusten arvioinnista julkaistu opas on englanninkielinen, mutta se käännetään EU:n toimesta myös suomeksi ja ruotsiksi. Käännösten julkaisuajankohtaa ei ole ilmoitettu.

Opas: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 (pdf)