Tietosuoja-asetuksen soveltamisesta uutta ohjeistusta

Tietosuoja-asetuksen soveltamisesta uutta ohjeistusta

Kirjoittanut: Antti-Pekka Keränen Aihe: Ajankohtaista
EU:n tietosuojavaltuutettujen työryhmä (WP29) on antanut uutta ohjeistusta tietosuoja-asetuksen soveltamisesta, tällä kertaa koskien tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assessment, DPIA) laatimisesta.

Rekisterinpitäjä on velvollinen toteuttamaan erillisen tietosuojaa koskevan vaikutustenarvioinnin (Data Protection Impact Assessment, DPIA), jos henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin henkilö oikeuksien ja vapauksien kannalta. Ohjeistuksessaan WP29 on erityisesti kiinnittänyt huomiota sellaisten seikkojen arvioimiseen, joissa DPIA on tehtävä todennäköisen korkean riskin takia. WP29:n ohjeistuksen mukaan arvioinnissa on huomioitava seuraavia seikkoja:

  • arviointi tai pisteytys (esimerkiksi henkilön työsuorituksen analysointi tai ennakointi)
  • automaattinen päätöksenteko, jolla on oikeudellisia tai muutoin merkittäviä vaikutuksia henkilölle
  • systemaattinen valvonta julkisilla paikoilla
  • arkaluontoisten tietojen käsittely
  • laajamittainen tietojen käsittely
  • tietojen yhdistely useammasta lähteestä
  • heikommassa asemassa olevien rekisteröityjen tietojen käsittely (esim. lapset ja työntekijät)
  • uusien teknologioiden käyttöönottaminen
  • tietojen siirto EU:n ulkopuolelle tai
  • jos rekisteröidyn henkilön on tietojen käsittelyn johdosta hankalampi käyttää oikeuksiaan.

Mitä useamman yllä mainituista kriteereistä tietojen käsittely täyttää, sitä suuremmalla todennäköisyydellä tietojen käsittely aiheuttaa korkean riskin. WP29:n kannanoton mukaan kahden tunnusmerkin täyttyminen indikoi todennäköistä korkeaa riskiä tietojen käsittelyssä, jolloin DPIA on laadittava. Tätä tunnusmerkistöä käyttäen esimerkiksi työntekijöiden valvonta ja työntekijöiden tietojen käsittely EU:n ulkopuolella johtaa velvoitteeseen laatia DPIA.

DPIA on tehtävä ennen tietojen käsittelyn aloittamista. On hyvä huomata, että velvollisuus laatia DPIA koskee niitä prosesseja, jotka aloitetaan vasta asetuksen voimaantulon 25.5.2018 jälkeen, mutta WP29 suosittelee DPIA:n tekemistä jo ennen tätä aloitettuja prosesseja.

Minimissään DPIA:n on sisällettävä seuraavat asiat:

  1. järjestelmällinen kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista;
  2. arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;
  3. arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä;
  4. suunnitellut toimenpiteet riskeihin puuttumiseksi.

DPIA:n laajuus voi kuitenkin vaihdella tapauskohtaisesti riippuen riskin luonteesta.

Tietosuoja-asetusta sovelletaan 25. toukokuuta 2018 alkaen. Avustamme mielellämme yrityksiä tietosuoja-asetukseen valmistautumisessa ja sen vaatimusten täyttämisessä.

Ota yhteyttä.

Viimeisimmät artikkelit