Arvioi riskit ja suunnittele toimenpiteet tietosuojan toteuttamiseksi

Rekisterinpitäjän on arvioitava henkilötietojen käsittelyyn liittyviä riskejä aina, ennen kuin se ryhtyy käsittelemään henkilötietoja.

Riskianalyysin avulla rekisterinpitäjä tunnistaa jo suunnitteluvaiheessa ne toimenpiteet, joihin sen on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi. Rekisterinpitäjän on varmistettava myös tietosuojaperiaatteiden tehokas toteutuminen suhteessa käsittelyyn liittyvään riskiin.

Tietosuoja-asetuksen mukainen riskiarvio on tehtävä rekisteröidyn näkökulmasta eli rekisterinpitäjän on arvioitava

  • mitä rekisteröidyn vapauksia ja oikeuksia käsittely voi vaarantaa ja
  • mitä vahinkoja rekisteröidylle voi aiheutua suunnitellusta henkilötietojen käsittelystä.

Vahingot voivat olla fyysisiä, aineellisia tai aineettomia.

Henkilötietojen käsittelystä mahdollisesti aiheutuva vahinko tarkoittaa riskiä esimerkiksi

  • petoksen kohteeksi joutumiseen
  • taloudelliseen menetykseen
  • sosiaaliseen vahinkoon kuten maineen menetykseen
  • henkilötietojen pseudonymisoinnin kumoutumiseen.

Rekisterinpitäjän selkeä käsitys sen omasta henkilötietojen käsittelystä on hyvä pohja riskiarviolle. Arviossa on huomioitava henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.

Kun henkilötietojen käsittelystä aiheutuvat riskit rekisteröidyn oikeuksille ja vapauksille on tunnistettu, on arvioitava riskin ja siitä aiheutuvan haitan vakavuutta ja toteutumisen todennäköisyyttä. 

Riskin tunnistamisen merkitys korostuu erityisesti silloin, kun rekisterinpitäjä määrittää teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan tietosuojan toteutuminen henkilötietojen käsittelyssä. Teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan esimerkiksi henkilöstölle annettuja ohjeita tietosuojan toteuttamiseksi, omavalvonnan kautta tapahtuvaa käytönvalvontaa, tietojärjestelmien tietoturvaa, tietojen salausta ja muita suojatoimenpiteitä.

Riskien arviointi on jatkuvaa toimintaa: toimenpiteiden riittävyyttä suhteessa käsittelyyn liittyvään riskiin on arvioitava jatkuvasti ja päivitettävä tarvittaessa. Rekisterinpitäjällä on myös osoitusvelvollisuus riskiperusteisen lähestymistavan noudattamisesta.

Yksi työkalu riskien arviointiin on tietosuojaa koskeva vaikutustenarviointi.  Vaikutustenarviointi on pakollinen vain silloin, kun suunniteltu käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Rekisterinpitäjä voi kuitenkin hyödyntää vaikutustenarviointia milloin tahansa, kun se suunnittelee toimintoja, joissa on tarkoitus käsitellä henkilötietoja.