Vaikutustenarviointi eli Data Protection Impact Assessment – siis mikä?

Tietosuoja-asetuksen perusteisiin kuuluu henkilötietojen käsittelyn suunnittelu. Hyvä suunnitelma johtaa yleensä hyvään toteutukseen, mutta valitettavasti sekään ei riitä. Toteutusta pitää valvoa: on varmistettava, että toteutus todella vastaa suunniteltua.

Siispä – Plan – Do – Check – Act. Kuulostaa yksinkertaiselta, mutta kuten Suomessakin on nähty ensimmäisten GDPR-sanktioiden myötä, toteutus ei välttämättä vastaa suunniteltua.

Käynnistyvän projektin alussa on hyvä miettiä vaikutustenarvioinnin (DPIA) tarpeellisuutta.

Mikäli DPIA (eli Data Protection Impact Assessment) osoittaa, että henkilötietojen suojaan kohdistuu korkea riski, tietosuojavaltuutetun ennakkokuuleminen on pakollinen. Tämä voi olla haasteellista projektin aikataulutuksen osalta, sillä asetuksen mukaan (artikla 36 ) tietosuojavaltuutetun on annettava viimeistään kahdeksan viikon kuluessa ohjeet rekisterinpitäjälle. Määräaika voi kuitenkin venyä tästä vielä kuudella lisäviikolla. Tämä voi siis venyttää projektia yli kolmella kuukaudella.

Vaikutustenarviointi voidaankin kytkeä suunniteltuun projektiin näin:

Mitäs jos kylmästi jättää vaikutustenarvioinnin tekemättä?

Siinä on melkoinen riski. Esimerkkinä suomalainen yhtiö, joka otti käyttöön ääntä ja kuvaa tallentavan kameravalvontajärjestelmän eikä tehnyt vaikutustenarviointia. Toukokuussa 2020 tietosuojavaltuutettu määräsi yhtiölle kokonaisuutena hallinnollisen sakon, joka oli 0,8 prosenttia liikevaihdosta. Sakkoon vaikuttivat myös muut puutteet henkilötietojen käsittelyssä.

Milloin se kannattaa tehdä?

Otetaan esimerkiksi yhtiö, jolla on tehdasalueellaan vanhentunut kulunvalvonta, jonka uusiminen on tarpeen. Tässä vaiheessa aletaan miettiä, onko tarpeen tallentaa kävijöiden autojen rekisteritunnus, tallennetaanko tiedot pilveen vai palvelimessa toimivaan sovellukseen ja otetaanko käyttöön uusia palveluja, jotka voivat johtaa tietojen siirtoon Yhdysvaltoihin. Tärkeitä kysymyksiä – erityisesti tuo viimeinen, sillä Privacy Shield ei enää toimi mekanismina.

Tässä tilanteessa suosittelemme vaikutustenarvioinnin tekemistä. Siihen löytyy ohjeet Tietosuojavaltuutetun sivulta. Myös meiltä saat työskentelyä tukevan taulukon pyytämällä (juha@gdprtech.com). Taulukkomme on muokattu yrityskäyttöön Vantaan ja Helsingin kaupungin tekemien taulukoiden ja ohjeiden pohjalta.

Henkilötietoja suojattaessa riskien hallinta on pääroolissa.
Muistetaan siis ”Plan – Do – Check ja Act”: tuumasta toimeen, varmistetaan tekeminen – ja korjataan tarvittaessa.