Julkaisemme Tietosuojamalli-blogissa ajoittain koosteita ohjeista, joita joko EU:n tietosuojaviranomaisista koostuva WP29-työryhmä tai Suomen tietosuojavaltuutetun toimisto on julkaissut organisaatioiden tueksi. Ohjeet ovat yleensä melko kattavia paketteja, joten pyrimme myös tulkkaamaan avainideaa auki ja nostamaan joitain tärkeimpiä kohtia esille. Perehtymistä koko materiaaleihin toki suositellaan!
Suomenkielinen ohje tietosuojaa koskevasta vaikutustenarvioinnista
Tietosuoja-asetuksen mukaan tietosuojaa koskeva vaikutustenarviointi on tehtävä, kun henkilötietojen käsittelyyn kohdistuu todennäköisesti korkea riski. Tämä ohje pyrkii tarkentamaan, milloin ja miten vaikutustenarviointi tehdään. Vaikutustenarvioinnin tekeminen ja tulosten hyvä dokumentointi on yksi tapa osoittaa, että tärkeitä kohtia on tunnistettu ja analysoitu tarkemmin.
Henkilötietojen käsittelyn aiheuttamaa riskiä nostavat...
- rekisteröityjen suuri määrä
- henkilötietojen suuri määrä per rekisteröity
- arkaluonteisten tietoryhmien käsittely (esim. terveystiedot)
- heikossa asemassa olevat rekisteröidyt (esim. lapset)
- automaattinen päätöksenteko (esim. luottopäätös)
- rekisteröityjen järjestelmällinen valvonta
Ainakin useamman kuin yhden kriteerin täyttyessä vaikutustenarviointi kannattanee tehdä.
Onko korkea riski vai ei?
Kyllä
- Sairaala (arkaluontoisia tietoja, heikossa asemassa olevia reksiteröityjä)
Ei
- Verkkolehden postituslista (voi olla laajamittaista käsittelyä, mutta muut kriteerit eivät täyty)
Tarkkoja ohjeita vaikutustenarvionnin tarpeellisuudesta on vielä hieman haastavaa löytää. Kannattaa dokumentoida oma päätöksenne ja perusteet ylös, päädyittepä määrittelemään vaikutustenarvionnin tarpeelliseksi tai ei-tarpeelliseksi. Epäselvissä tilanteissa tietosuojaviranomaiset toki suosittelevat arvioinnin tekemään.
Muutamia muita nostoja
- rekisterinpitäjä suorittaa arvioinnin yhteistyössä vähintäänkin tietosuojavastaavan ja henkilötietojen käsittelijöiden kanssa
- tarkoituksena on kuvata tiettyä henkilötietojen käsittelyä tarkemmin (esim. tietty järjestelmä tai käsittelytilanne), arvioida käsittelystä syntyvät riskit ja tarvittaessa, jos riskit eivät ole hyväksyttävällä tasolla, määritellä toimenpiteet, joilla ne sinne saadaan
- tarkempaa toteutusta ohjeistetaan ylätasolla (esimerkkiprosessikaavio ja kuvausta löytyy ohjeista), mutta tässä paljon harkinnanvaraa jää rekisterinpitäjälle
- vaikutustenarvioinnin tekeminen ei ole kertaluontoinen tehtävä vaan jatkuva prosessi, jota tulee päivittää esim. toiminnan tai käsittelyn muuttuessa
- vaikutustenarvioinnin tarpeellisuuden, toteutuksen ja tulosten dokumentointi on osoitusvelvollisuuden kannalta tärkeää
- yhtä vaikutustenarviointia voidaan käyttää useiden samankaltaisten käsittelytoimien arviointiin
- tuotetta koskevan vaikutusternarvioinnin tapauksessa rekisterinpitäjä voi saada tietoa oman arviointinsa tueksi tuotteen toimittajan tekemästä vaikutustenarvioinnista
Tutustu koko ohjeeseen (Tietosuoja.fi)
Ohjeita tietosuojavastaaviin, tietojen siirtoon järjestelmästä toiseen ja johtavan valvontaviranomaisen määrittämiseen
Tietosuoja-asetus määrää tietyissä tilanteissa tietosuojavastaavan nimittämisestä sekä oikeudesta siirtää tiedot järjestelmästä toiseen. Nyt WP29-työryhmä julkaisi näihin asioihin vatsauksia usein kysyttyihin kysymyksiin sekä tarkempia osa-aluekohtaisia ohjeita.
Tietosuojavastaava
- pakollinen esim. kun organisaation ydintehtävät vaativat erityisten henkilötietoryhmien laajamittaista käsittelyä
- epäselvissä tilanteissa suositellaan dokumentoimaan oma analyysi ja päätös tietosuojavastaavan tarpeellisuudesta
- tehtävänä seurata ja edesauttaa asetuksen noudattamista esim. tunnistamalla riskejä, dokumentoimalla ja toimimalla yhteyspisteenä valvontaviranomaisiin
Tietojen siirrot järjestelmästä toiseen
- olemassa kun henkilötietoja käsitelty suostumukseen tai sopimuksen olemassaoloon perustuen (ei muilla käsittelyperusteilla)
- tarkoituksena lisätä vaikutusmahdollisuuksia omien henkilötietojen suhteen, kun niiden "uudelleenkäyttö" helpottuu (esim. yhteystietolistan lataaminen sähköpostisovelluksesta tai verkkokaupasta ostetut kirjat)
- siirto-oikeus koskee rekisteröityä koskevia tietoja sekä rekisteröidyn toimittamia tietoja (ei esim. kaikkia taustatietoja palvelusta)
- tiedot toimitettava jäsennellyssä ja koneellisesti luettavassa muodossa (esim. CSV, JSON tai XML, tarpeelliset metatiedot sisältäen)
Muita nostoja
- organisaation suorittaessa "rajatylittävää" henkilötietojen käsittelyä, heillä määritellään yksi johtava valvontaviranomainen, jonka kanssa tietosuoja-asioissa asioidaan
- yleensä johtava valvontaviranomainen on sen maan valvontaviranomainen, jossa organisaation keskushallinto sijaitsee (poikkeuksia toki on)
Löydät täydet ohjeet Tietosuojavaltuutetun sivulta (Tietosuoja.fi)
Tulossa seuraavaksi: Ohjeita läpinäkyvyyteen ja suostumukseen liittyen sekä Privacy Shield -järjestelyn arviointia
EU:n tietosuojaviranomaiset ovat parhaillaan tätä kirjoittaessa koolla Brysselissä 28.‒29. marraskuuta. Agendalla on etenkin ohjeita henkilötietojen käsittelystä tiedottamiseen (läpinäkyvyys) sekä suostumuksen soveltamiseen käsittelyn oikeusperusteena.
Kokouksessa valmistellaan lisäksi Euroopan tietosuojaneuvoston (European Data Protection Board, EDPB) perustamista, joka pystyisi ratkaisemaan kiistoja kansallisten valvontaviranomaisten välillä ja hyväksymään jatkossa mm. EU-tason sertifiointimenettelyjä.
Lisäksi kokouksessa arvioidaan EU:n ja Yhdysvaltojen välistä Privacy Shield -järjestelyä. Privacy Shield -järjestelyn kautta yhdysvaltalaiset toimijat ovat voineet osoittaa omaavansa riittävän tietosuojatason, jolloin erityisiä lisätoimenpiteitä (läpinäkyvän viestinnän lisäksi) ei ole tarvittu tietojen siirtämiseksi toimijalle.
Suomea kokouksessa edustavat tietosuojavaltuutettu Reijo Aarnio ja tietosuojavaltuutetun toimiston ylitarkastaja Anna Hänninen.
Kokoamme mm. näistä teemoista tuoreimpia tiedotuksia taas tälle sivustolle, kun niitä alkaa kuulua.