Vaikutustenarviointi

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.

Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Tavoitteena on sen arviointi, onko jäljelle jäänyt riski oikeutettu ja hyväksyttävissä käsillä olevissa olosuhteissa. Vaikutustenarviointi auttaa rekisterinpitäjää tietosuojalainsäädännön vaatimusten noudattamisessa, sen dokumentoinnissa ja osoittamisessa.

Rekisterinpitäjän on pyydettävä tietosuojavastaavan neuvoja vaikutustenarvioinnin tekemisessä, jos rekisterinpitäjä on nimennyt tietosuojavastaavan. Jos henkilötietoja käsittelee osittain tai kokonaan henkilötietojen käsittelijä, hänen on autettava vaikutustenarvioinnin tekemisessä.

Vaikutustenarviointi voi koskea yksittäistä käsittelytoimea tai käsittelytoimien ryhmää. Yhtä arviota voidaan käyttää ainoastaan samankaltaisten käsittelytoimien vaikutustenarvioinnissa.

Vaikutustenarviointi on tarkoitettu jatkuvaksi riskien tunnistamisen ja hallitsemisen prosessiksi. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa. Päivitys on tarpeen ainakin silloin, kun käsittelytoimista aiheutuvat riskit muuttuvat. Muutokset voivat liittyä käsittelyn kontekstiin, tarkoituksiin, käsiteltäviin henkilötietoihin (keiden henkilötietoja tai mitä henkilötietoja käsitellään), vastaanottajiin, tietojen yhdistämiseen, suojaustoimenpiteisiin, tietojen siirtoon EU:n ja ETAn ulkopuolelle ja uuden tekniikan käyttöönottoon.

Vaikutustenarvioinnin tekemistä koskevia vaatimuksia sovelletaan myös ennen 25.5.2018 alkaneisiin, jo käynnissä oleviin käsittelytoimiin. Rekisterinpitäjän on siis tehtävä käynnissä olevan käsittelyn osalta vaikutustenarviointi silloin, kun siihen olisi velvoite muutoinkin tietosuojalainsäädännön mukaan.

Milloin henkilötietojen käsittely vaatii vaikutustenarviointia?

Velvoite tehdä vaikutustenarviointi voi seurata

tietosuoja-asetuksessa yksilöityjen käsittelytilanteiden johdosta
siitä, että käsittelytoimenpide on lisätty tietosuojaviranomaisen luetteloon
kansallisesta lainsäädännöstä.

Vaikutustenarviointi tietosuoja-asetuksessa yksilöityjen käsittelytilanteiden johdosta

Vaikutustenarviointi on tehtävä silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Vaikutustenarviointi on tehtävä erityisesti silloin, kun

• henkilötietojen käsittelyssä käytetään uutta teknologiaa

• käsitellään laajamittaisesti rikostuomioita, rikkomuksia tai erityisiä henkilötietoryhmiä, kuten terveystietoja, etnistä alkuperää, poliittisia mielipiteitä, uskonnollista vakaumusta tai seksuaalista suuntautumista

• henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla, järjestelmällisesti ja kattavasti, ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi

• yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.

Tietosuojaryhmän ohje vaikutustenarvioinnista

Tietosuojaryhmä on laatinut ohjeen, jossa se antaa yksityiskohtaisempia ja käytännönläheisiä esimerkkejä niistä tilanteista, joissa vaikutustenarviointi tulee tehdä tietosuoja-asetuksen mukaisesti.

Ohjeen mukaan tietosuojaa koskeva vaikutustenarviointi on yleensä tehtävä myös silloin, jos henkilötietojen käsittelyssä täyttyy kaksi seuraavista kriteereistä. Mitä useampia kriteerejä käsittely täyttää, sitä todennäköisemmin se aiheuttaa korkean riskin rekisteröityjen oikeuksien ja vapauksien kannalta.

Kriteerit korkean riskin arvioimiseksi

Rekisteröidyn työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten, kiinnostuksen kohteiden, luotettavuuden, käyttäytymisen, sijainnin tai liikkumisen arviointi tai pisteytys (mukaan lukien profilointi ja ennakointi).

Esimerkiksi:

Rahoituslaitos, joka arvioi asiakkaitaan luottotoimintaan liittyvän viitetietokannan, rahanpesun ja terrorismin rahoituksen torjumiseen liittyvän tietokannan tai petoksia koskevan tietokannan valossa.
Biotekniikka-alan yritys, joka tarjoaa geenitestejä suoraan kuluttajille voidakseen arvioida ja ennakoida sairauksien riskejä tai terveysriskejä.
Yritys, joka luo käyttäytymis- tai markkinointiprofiileja, jotka perustuvat sen verkkosivuston käyttöön tai verkkosivustolla liikkumiseen.

Henkilötietoja voidaan kerätä olosuhteissa, joissa rekisteröidyt eivät välttämättä ole tietoisia siitä, kuka kerää heidän tietojaan ja miten niitä tullaan käyttämään. Lisäksi yksittäisten henkilöiden voi olla mahdotonta välttyä joutumasta tällaisen tietojenkäsittelyn kohteeksi julkisissa tai yleisölle avoimissa tiloissa. Valvonnalla voidaan tarkoittaa esimerkiksi kulunvalvontaa, kameravalvontaa tai vastaavia toimenpiteitä.

Esimerkiksi:

Rekisteröityjen tarkkailuun, seurantaan tai valvontaan käytettävä tietojenkäsittely sekä tietojen kerääminen verkkojen välityksellä.
Yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

Tähän ryhmään kuuluvat muun muassa tietosuoja-asetuksen erityiset henkilötietoryhmät sekä rikoksia ja rikkomuksia koskevat henkilötiedot. Tämän kriteerin alle voi kuulua myös henkilökohtaisia asiakirjoja, kuten sähköposteja, päiväkirjoja, muistiinpanotoiminnolla varustetun e-kirjan lukulaitteen muistiinpanoja ja henkilökohtaisen elämän tallentamiseen tarkoitettujen lifelogging-sovellusten hyvin henkilökohtaisia tietoja.

Esimerkiksi:

Potilastiedostoja ylläpitävä yleinen sairaala.
Rikoksentekijöiden tietoja säilyttävä yksityisetsivä.
Sähköinen viestintä, jonka luottamuksellisuus olisi suojattava.
Paikannustiedot, joiden kerääminen kyseenalaistaa vapaan liikkuvuuden.
Taloudelliset tiedot, joita saatetaan käyttää maksuvälinepetoksiin.
Tiedon kerääminen asiakkaan epäilyttävästä käytöksestä verkkokaupassa.

Tässä yhteydessä merkitystä voi olla myös sillä, onko rekisteröity itse vai jokin kolmas osapuoli jo saattanut tiedot yleisesti saataville. Yleisesti saataville -termille ei ole vakiintunutta määritelmää, vaan arviointi on tehtävä tapauskohtaisesti. Se, että henkilötiedot ovat yleisesti saatavilla, voidaan katsoa arvioinnin kannalta olennaiseksi, jos tietoja on odotettu käytettävän jatkossa tiettyihin tarkoituksiin.

Laajamittaisuutta arvioitaessa suositellaan ottamaan huomioon muun muassa seuraavat asiat:

asianomaisten rekisteröityjen lukumäärä, joko täsmällisenä lukuna tai osuutena tietystä ryhmästä, kuten kaupungin tai valtion väestöstä
käsiteltävien tietojen määrä ja/tai käsiteltävien erillisten tietoyksikköjen määrä
tietojenkäsittelytoimen kesto tai pysyvyys
käsittelytoimen maantieteellinen ulottuvuus.

Tietokokonaisuuksien yhteen sovittaminen tai yhdistäminen rekisteröidyn kannalta ennakoimattomalla ja odottamattomalla tavalla.

Esimerkiksi:

Rekisterinpitäjä yhdistää kahdesta tai useammasta eri tarkoituksiin suoritetusta tai eri rekisterinpitäjien suorittamasta tiedonkäsittelytoimesta peräisin olevat tietokokonaisuudet.
Yritysjärjestelytilanteessa yhdistetään kahden eri toimijan asiakasrekisterit.

Rekisteröidyn voi olla vaikeaa esimerkiksi vastustaa tietojensa käsittelyä tai käyttää muita oikeuksiaan, jos hän on heikossa asemassa rekisterinpitäjään nähden.

Heikossa asemassa olevilla tarkoitetaan esimerkiksi

lapsia
työntekijöitä
potilaita
ikääntyneitä
turvapaikanhakijoita.

Uuden tekniikan käyttöön voi liittyä uudenlaisia tietojen keräämisen ja käytön muotoja, joihin mahdollisesti liittyy henkilöiden oikeuksiin ja vapauksiin kohdistuva korkea riski. Esimerkiksi tietyillä esineiden internet (IoT) -sovelluksilla voi olla huomattava vaikutus yksittäisten henkilöiden arkielämään ja yksityisyyteen, joten ne edellyttävät tietosuojaa koskevan vaikutustenarvioinnin tekemistä.

Esimerkiksi:

Sormenjälkien ja kasvojen tunnistuksen yhdistäminen kulunvalvonnan parantamiseksi.
Rekisteröityjen oikeuksien, palvelujen tai sopimusten estäminen.
Henkilötietojen käsittelyn tavoitteena on sallia tai evätä rekisteröityjen oikeus käyttää palvelua, tehdä sopimus tai muuttaa kyseistä oikeutta.

Esimerkiksi:

Pankki arvioi asiakkaitaan luottotoimintaan liittyvän viitetietokannan valossa tehdäkseen päätöksen lainan tarjoamisesta.

Tietosuojavaltuutetun toimiston luettelo käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi

Tietosuoja-asetuksen mukaan tietosuojaviranomaisen on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä rekisterinpitäjän tulee tehdä tietosuojaa koskeva vaikutustenarviointi (tietosuoja-asetuksen 35 artikla, kohta 4). Tietosuojavaltuutetun toimisto tulee täydentämään ja päivittämään tätä luetteloa tarpeen mukaan. Luettelo annetaan myös tiedoksi Euroopan tietosuojaneuvostolle.

Tietosuojavaltuutetun toimisto katsoo, että seuraavien käsittelytoimien yhteydessä tulee tehdä vaikutustenarviointi.

1. Aina kun käsitellään geneettisiä tietoja

Geneettisillä tiedoilla tarkoitetaan henkilötietoja, jotka koskevat luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta ja jotka on saatu erityisesti kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla. (Tietosuoja-asetuksen 4 artikla 13 kohta).

2. Kun henkilötietoja käsitellään ilmiantojärjestelmien eli ns. whistleblowing-järjestelmien yhteydessä

Ilmiantojärjestelmien kautta organisaation henkilöstön jäsen tai muu taho voi nimettömänä tuoda ilmi organisaation epäeettistä ja arvojen vastaista toimintaa tai sisäisiä rikkomuksia. Ilmiantojärjestelmien tavoitteena voi olla esimerkiksi varmistaa, että organisaation päivittäisessä hallinnossa noudatetaan asianmukaisesti päätöksenteko- ja valvontajärjestelmän periaatteita.

3. Kun rekisterinpitäjä poikkeaa rekisteröidyn informoinnista tietosuoja-asetuksen 14 artiklan 5 b -kohdan perusteella

Vaikutustenarviointi on tehtävä silloin, kun rekisterinpitäjä kerää henkilötiedot muualta, kuin rekisteröidyltä ja poikkeaa tietosuoja-asetuksen 14 artiklan mukaisesta informoinnista, koska

tietojen toimittaminen osoittautuu mahdottomaksi (erityisesti, kun tietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten)
tietojen toimittaminen vaatisi kohtuutonta vaivaa (erityisesti, kun tietoja käsitellään yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten)
kun informointiin vaadittujen tietojen toimittaminen todennäköisesti estää tarkoitusten saavuttamisen tai vaikeuttaa sitä suuresti.

Tietosuojavaltuutetun toimistossa on havaittu, että tietosuoja-asetuksen 14 artiklan 5 kohdan b alakohdan suomenkielisessä käännöksessä on todennäköisesti virhe. Lisätietoa asiasta löydät täältä (kohta 2.Tunnista, mistä henkilötiedot hankitaan).

Kansallinen lainsäädäntö

Kansallisessa lainsäädännössä voidaan edellyttää vaikutustenarvioinnin tekemistä EU:n yleisen tietosuoja-asetuksen kansallisen liikkumavaran puitteissa.

Vaikutustenarviointi

Milloin henkilötietojen käsittely vaatii vaikutustenarviointia?

Vaikutustenarviointi tietosuoja-asetuksessa yksilöityjen käsittelytilanteiden johdosta

Tietosuojaryhmän ohje vaikutustenarvioinnista

Kriteerit korkean riskin arvioimiseksi

Henkilötietojen arviointi tai pisteytys

Automaattinen päätöksenteko, jolla on oikeusvaikutuksia

Rekisteröityjen järjestelmällinen valvonta

Erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely

Tietojen laajamittainen käsittely

Tietokokonaisuuksien yhdistäminen

Heikossa asemassa olevien henkilötietojen käsittely

Uusien teknisten tai organisatoristen ratkaisujen soveltaminen tai innovatiivinen käyttö

Tietosuojavaltuutetun toimiston luettelo käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi

1. Aina kun käsitellään geneettisiä tietoja

2. Kun henkilötietoja käsitellään ilmiantojärjestelmien eli ns. whistleblowing-järjestelmien yhteydessä

3. Kun rekisterinpitäjä poikkeaa rekisteröidyn informoinnista tietosuoja-asetuksen 14 artiklan 5 b -kohdan perusteella

Kansallinen lainsäädäntö

Oikopolkuja