Vaikutustenarviointi (DPIA) on tietosuoja-asetuksen (GDPR, (EU) 2016/679) edellyttämä riskien arviointi, jossa henkilötietojen käsittelystä aiheutuvia riskejä ja niiden vaikutuksia tulee arvioida rekisteröidyn oikeuksien ja vapauksien kannalta. Artikla 35 edellyttää vaikutustenarvioinnin tekemistä ennen henkilötietojen käsittelyä, silloin kun se todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. WP29-työryhmä on antanut ohjeistuksen tietosuojaa koskevasta vaikutustenarvioinnista.

Riskitekijöiden kartoittaminen ei ole niin hankalaa kuin luulisi. Todennäköisesti useassa organisaatiossa henkilötietoja sisältäviä tulosteita jää lojumaan tulostimille, tietosuojattavaa materiaalia kerätään pöydän kulmalle tai laatikkoon myöhempää hävittämistä varten, työaseman lukitseminen kahvitauon ajaksi unohtuu eikä näytönsuojakalvosta ole tietoakaan. Luonnollisesti riskien tunnistamista helpottaa henkilötiedon ja sen käsittelyn käsitteiden ymmärtäminen, organisaation toiminnan tunteminen ja sen hahmottaminen, millaista henkilötietoa ja millä tavoin organisaation eri toiminnoissa käsitellään. Vähintäänkin jokaisessa organisaatiossa käsitellään omien työntekijöiden tietoja - jotka siis ovat myöskin henkilötietoja.

Ovatko riskit todennäköisiä sekä suuria? Millaista tietoa käsitellään ja missä laajuudessa? Voiko riskin toteutumisen seurauksena olla esimerkiksi fyysisiä, aineellisia tai aineettomia vahinkoja tai syrjintää (automaattinen päätöksenteko, profilointi)? Käsitelläänkö erityisiin henkilötietoryhmiin kuuluvaa tietoa (aik. arkaluonteiset tiedot)? Salassa pidettäviä tietoja? Saattaako käsittely johtaa identiteettivarkauteen tai petokseen (kun käytetään esimerkiksi tietovuodon yhteydessä internetiin päätyneitä henkilötietoja…) ja sitä kautta taloudellisiin menetyksiin (…erilaisten tavaroiden ostamiseen tai sopimusten tekemiseen rekisteröidyn nimiin)? Voiko riskinä olla rekisteröidyn maineen vahingoittuminen (joku julkaisee ne kaameimmat pikkujoulutallenteet some-kanavassa ilman asianomaisten lupaa)? Salassa pidettävän tai luottamuksellisen tiedon voi menettää vain kerran. Riskit rekisteröidylle voivat olla kiusalliset, nöyryyttävät tai jopa fataalit, mikäli esimerkiksi turvakiellon alainen tieto päätyy vääriin käsiin.

Millä tasolla ja minkä verran vaikutustenarviointeja pitäisi tehdä? Yksi per organisaatio, yksi per rekisteri, yksi per käsittelytoimi tai -prosessi?  Ohjeita tai hyviä käytänteitä lainsäädännön ja WP29-työryhmän ohjeen tulkitsemiseksi ei vielä ole. Rekisterinpitäjän vastuulla on kuitenkin varmistaa, että vaikutustenarviointi tulee tehdyksi tarvittaessa. Rekisterinpitäjä vastaa myös niistä tilanteista, joissa vaikutustenarviointia ei ole tehty; tällainenkin mahdollinen päätös - ja sen perustelut - kannattaa siis dokumentoida.

On ehdottoman tärkeää, että tietosuoja ja tietoturva nähdään organisaatiossa hyvänä, toimintaa ja imagoa tukevana asiana, johon kannattaa investoida. Ennen kuin arvioidaan yksittäisiä riskejä henkilötietojen käsittelytoiminnoissa, pitäisikö lähteäkin liikkeelle ylätasolta? Onko organisaation johdon sitoutumattomuus tietosuoja-asetuksen noudattamiseen riski, joka todennäköisesti aiheuttaa  suurimman riskin rekisteröidyn oikeuksille ja vapauksille? Näkymättömiin riskeihin ja niiden hypoteettisiin vaikutuksiin rekisteröidylle investointia saattaa olla hankalaa myydä johdolle. Voi olla, että halutaan mieluummin mennä riskillä ja katsoa miten käy; miettiä asiaa sitten kun se on ajankohtaista eli kun riski realisoituu. Siinä kohtaa tilanteen selvittämiseen, mahdollisiin hallinnollisiin sakkoihin, oikeudenkäyntikuluihin ja vahingonkorvauksiin liittyvät taloudelliset menetykset saattavat kuitenkin olla moninkertaiset varautumisen ja suunnittelun aiheuttamiin kuluihin verrattuna - maineriskin vaikutuksista puhumattakaan.

Millä tavalla teidän organisaatiossanne on valmistauduttu vaikutustenarviointien tekemiseen?

 

Paula Himanka

kirjoittaja on loppuvaiheen oikeustradenomiopiskelija, joka tekee lopputyötään vaikutustenarvioinnista ja

toimii projektisuunnittelijana Tampereen kaupungin GDPR-projektissa