Vaikutustenarviointi

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.

Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Tavoitteena on sen arviointi, onko jäljelle jäänyt riski oikeutettu ja hyväksyttävissä käsillä olevissa olosuhteissa. Vaikutustenarviointi auttaa rekisterinpitäjää tietosuojalainsäädännön vaatimusten noudattamisessa, sen dokumentoinnissa ja osoittamisessa.

Rekisterinpitäjän on pyydettävä tietosuojavastaavan neuvoja vaikutustenarvioinnin tekemisessä, jos rekisterinpitäjä on nimennyt tietosuojavastaavan.  Jos henkilötietoja käsittelee osittain tai kokonaan henkilötietojen käsittelijä, hänen on autettava vaikutustenarvioinnin tekemisessä.

Vaikutustenarviointi voi koskea yksittäistä käsittelytoimea tai käsittelytoimien ryhmää. Yhtä arviota voidaan käyttää ainoastaan samankaltaisten käsittelytoimien vaikutustenarvioinnissa. 

Vaikutustenarviointi on tarkoitettu jatkuvaksi riskien tunnistamisen ja hallitsemisen prosessiksi. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa. Päivitys on tarpeen ainakin silloin, kun käsittelytoimista aiheutuvat riskit muuttuvat. Muutokset voivat liittyä käsittelyn kontekstiin, tarkoituksiin, käsiteltäviin henkilötietoihin (keiden henkilötietoja tai mitä henkilötietoja käsitellään), vastaanottajiin, tietojen yhdistämiseen, suojaustoimenpiteisiin, tietojen siirtoon EU:n ja ETAn ulkopuolelle ja uuden tekniikan käyttöönottoon.

Vaikutustenarvioinnin tekemistä koskevia vaatimuksia sovelletaan myös ennen 25.5.2018 alkaneisiin, jo käynnissä oleviin käsittelytoimiin. Rekisterinpitäjän on siis tehtävä käynnissä olevan käsittelyn osalta vaikutustenarviointi silloin, kun siihen olisi velvoite muutoinkin tietosuojalainsäädännön mukaan.

Milloin henkilötietojen käsittely vaatii vaikutustenarviointia?

Velvoite tehdä vaikutustenarviointi voi seurata

  • tietosuoja-asetuksessa yksilöityjen käsittelytilanteiden johdosta
  • siitä, että käsittelytoimenpide on lisätty tietosuojaviranomaisen luetteloon
  • kansallisesta lainsäädännöstä. 

Vaikutustenarviointi tietosuoja-asetuksessa yksilöityjen käsittelytilanteiden johdosta

Vaikutustenarviointi on tehtävä silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Vaikutustenarviointi on tehtävä erityisesti silloin, kun

  • henkilötietojen käsittelyssä käytetään uutta teknologiaa
  • käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista vakaumusta tai seksuaalista suuntautumista
  • henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla, järjestelmällisesti ja kattavasti, ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi
  • yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaryhmän ohje vaikutustenarvioinnista

Tietosuojaryhmä on laatinut ohjeen, jossa se antaa yksityiskohtaisempia ja käytännönläheisiä esimerkkejä niistä tilanteista, joissa vaikutustenarviointi tulee tehdä tietosuoja-asetuksen mukaisesti.

Ohjeen mukaan tietosuojaa koskeva vaikutustenarviointi on yleensä tehtävä myös silloin, jos henkilötietojen käsittelyssä täyttyy kaksi seuraavista kriteereistä.  Mitä useampia kriteerejä käsittely täyttää, sitä todennäköisemmin se aiheuttaa korkean riskin rekisteröityjen oikeuksien ja vapauksien kannalta.

Kriteerit korkean riskin arvioimiseksi