Tietosuojavaikutusten arviointi on tärkeä osa tietoturvan kokonaisuutta. Tietosuojan tärkeyden taustavoimana on ollut vuonna 2018 velvoittavaksi tullut EU:n tietosuoja-asetus GDPR, joka sääntelee yritysten mahdollisuuksia käyttää yksittäisten henkilöiden henkilötietoja. GDPR ohjeistaa yrityksiä henkilötietojen käyttämisessä, säilyttämisessä, kopioinnissa, siirtämisessä ja poistamisessa. GDPR:n lisäksi Suomessa on voimassa tietosuojalaki, joka tarkentaa kuinka Suomessa sovelletaan GDPR- asetusta. On myös hyvä muistaa, että tietosuoja ja tietoturva ovat eri asioita. Tietosuoja suojaa henkilötietojen käyttöä, kun taas tietoturva suojaa kaiken tiedon käsittelyä. Tietosuoja on siis yksittäinen osa-alue tietoturvassa, jota säädellään erityisellä EU:n asetuksella sekä Suomen lainsäädännöllä
Mikä on tietosuojavaikutusten arviointi (DPIA)?
Tietosuojavaikutusten arviointi (DPIA; Data Processing Impact Analysis) on prosessi, jossa arvioidaan, onko henkilötietojen käsittely GDPR:n mukaista eli oikeasuhtaista.
Arvioinnissa koostetaan henkilötietojen käsittelystä seuraavat asiat:
- Mitä henkilötietoa käsitellään?
- Miten henkilötietoja käsitellään?
- Miksi tietoja käsitellään?
- Mitä riskejä käsittelyyn liittyy?
- Miten riskejä aiotaan käsitellä?
Keskeistä on määritellä arvioinnin rajaus, eli se, millaista kohdetta todellisuudessa arvioidaan. Esimerkiksi rekisteri (asiakasrekisteri, jäsenrekisteri, työntekijärekisteri, mainosrekisteri jne.), järjestelmä (HR-järjestelmä, ERP, analytiikkajärjestelmä tai DataLake) tai prosessi (luvan myöntäminen, asiakkuuden elinkaaren hallinta, työntekijän elinkaaren hallinta) voi olla tietosuojavaikutusten arvioinnin kohteena.
Kun kohteena olevasta asiasta on koottu edellisen listan mukaiset tiedot, tehdään riskianalyysi, jossa mietitään, että mitä riskejä käsittely aiheuttaa henkilölle, jonka tietoja käsitellään. Oliko esimerkiksi järjestelmässä jotain, jonka vuoksi rekisteröidyn oikeudet eivät toteudu? Tyypillisesti järjestelmässä ei ole esimerkiksi toiminnallisuutta, joka mahdollistaa tietojen poistamisen sallitun ja tarpeellisen säilytysajan jälkeen.
Kun yllä olevat asiat on arvioinnissa käsitelty, todetaan arvioinnissa se, onko käsittely oikeasuhtaista ja tarpeellista. Käytännössä tämä tarkoittaa sitä, että tässä vaiheessa pohditaan yhdessä rekisterinpitäjän kanssa, jääkö henkilölle, jonka tietoja käsitellään, mitään riskejä tietojen käsittelystä. Jos riskejä löytyy, selvitetään, kuinka nämä riskit voidaan mitigoida ja tarvitaanko jatkotoimenpiteitä. Lopuksi rekisterinpitäjä saa listan kehittämistoimenpiteistä, jotka ovat pakollisia tai suositeltavia, jotta henkilötietojen käsittely on GDPR:n mukaista. Lisäksi voidaan sopia esim. sopimusten ja/tai selosteiden tarkastamisesta tai päivittämisestä yhdessä ajan tasalle.
On myös hyvä huomioida, että vaikka tietosuojavaikutusten arvioinnin ostaisi palveluna, tekee arvioinnin aina rekisterinpitäjä ja rekisterinpitäjä on vastuussa rekisteristä.
Milloin vaikutustenarviointi pitää tehdä?
Tietosuojavaikutusten arviointi on tehtävä silloin, kun suunnitellaan henkilötietojen käsittelyä, joka todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille.
Kuulostaa hämärältä, vai mitä?
Yritystoiminnassa tällaisia tilanteita ovat esimerkiksi:
- Henkilötietoja käsittelevän uuden teknologian käyttöönotto (otetaan käyttöön analytiikkaa, automaattista päättelyä, tiedon koostamista tekoälyllä, automaattinen päätöksentekojärjestelmä)
- Yrityksessä käsitellään erityisiä henkilötietoryhmiä kuten terveystietoja, biometrisiä tunnisteita tai henkilön yksilöllisiä ominaispiirteitä
- Henkilöihin kohdistuu teknistä valvontaa; henkilön sijainti (GPS) tallennetaan esim. työaikaleimauksen yhteydessä tai henkilöitä valvotaan kameravalvonnan keinoin (kameravalvonta otetaan käyttöön tai sen tarkoitusta tai laajuutta muutetaan) kun henkilön henkilökohtaisia ominaisuuksia (esim. maksukykyä, biometrisiä tunnisteita jne.) arvioidaan automaattityökalun avulla (tarkka lista: Vaikutustenarviointi | Tietosuojavaltuutetun toimisto).
Arvioinnin tulos voidaan esittää esimerkiksi tietosuojavaltuutetulle, joka on saapunut tarkastamaan henkilötietojen käsittelyn oikeellisuutta yrityksessä.
Vaikutustenarviointi saattaa olla myös toistuva prosessi yrityksen toiminnassa, sillä se täytyy tehdä uudestaan, jos henkilötietoja käsittelevä järjestelmä päivitetään, uusitaan tai käyttöön otetaan uusi järjestelmä.
Kuinka toteutamme tietosuojavaikutusten arvioinnin asiakkaillemme?
Toteutamme tietosuojavaikutusten arvioinnin asiakkaallemme yhdessä asiakkaan kanssa yllä kuvatun prosessin mukaisesti; tietosuojavaltuutetun ohjetta ja aihetta koskevaa ISO –standardia (ISO/IEC 29134:2017) hyödyntäen. On tärkeää, että arviointi tehdään yhteistyössä, jotta asiakkaalle syntyy ymmärrys siitä, kuinka monialaisesti tietosuoja voi vaikuttaa yrityksen toimintaan, sillä henkilötietoja saatetaan käsitellä yllättävän monessa paikassa. Hyvänä esimerkkinä henkilötietojen käsittelystä, joka joskus unohtuu, ovat järjestelmien varmuuskopiot ja lokitiedostot. Tapauksessa, jossa yritys käsittelee henkilötietoja esimerkiksi IT-järjestelmässään, on usein huolehdittu erinomaisesti järjestelmän toimivuudesta ja sen osalta tietosuoja on kunnossa, mutta järjestelmän varmuuskopioista on saattanut unohtua tietosuojan mukaiset menettelyt. Varmuuskopiot kuitenkin luetaan myös rekisteriksi, jolloin myös nämä on otettava huomioon tietosuojan vaikutusten arvioinnissa. Usein myös integraatioväylille ja niiden muisteihin voi jäädä henkilötietoa, joka tulee huomioida käsittelyä suunniteltaessa.
Onko organisaatiollanne tarve tietosuojavaikutusten arvioinnille? 2NS on toteuttanut tietosuojavaikutusten arviointeja usealle organisaatiolle, esimerkiksi FISE:lle, Kuljetus Säteri Oy:lle sekä Perhehoitoliitolle, jonka kokemuksia arvioinnista voit lukea lisää blogistamme. Kerromme mielellämme lisää palvelustamme myös teille, ota yhteyttä!