DPIA (Data Protection Impact Assessment, eli tietosuojan vaikutustenarviointi) ei ole aina pakollinen tekoälyratkaisun käyttöönotossa, mutta se on tehtävä, jos henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille. Tämä koskee erityisesti tilanteita, joissa:

  • Käsitellään arkaluonteisia (erityisiin henkilötietoryhmiin kuuluvia) henkilötietoja kuten terveystiedot, etnisyys, poliittiset mielipiteet.
  • Käytetään tekoälyäratkaisua, joka voi vaikuttaa merkittävästi yksilön kuten asiakkaan tai työntekijän saamiin palveluihin/etuuksiin/oikeuksiin.
  • Tietoja profiloidaan automaattisesti tai tehdään päätöksiä ilman ihmisen osallistumista.
  • Tietoja siirretään EU:n/ETA:n ulkopuolelle.
  • Käsittely on laajamittaista tai kohdistuu haavoittuvassa asemassa oleviin henkilöihin.

Arviointi tehdään tapauskohtaisesti: Rekisterinpitäjän vastuulla on arvioida, aiheuttaako suunniteltu käsittely korkean riskin.

DPIA tukee myös EU:n tekoälyasetuksen vaatimusten täyttämistä, erityisesti suuririskisten järjestelmien osalta.

DPIA auttaa tunnistamaan ja hallitsemaan riskejä, joita henkilötietojen käsittely voi aiheuttaa, erityisesti kun käytetään uusia teknologioita kuten tekoälyä.

Tarkemmat ohjeet DPIA:n laatimiseen löytyvät Tietosuojavaltuutetun toimiston nettisivuilta

 

Pohdi ja kuvaa alla olevia asioita:

1. Käsittelyn kuvaus

  • Mikä on tekoälyratkaisun tarkoitus?
  • Mitä henkilötietoja käsitellään?
  • Mistä tiedot kerätään ja miten?
  • Mikä taho toimii rekisterinpitäjä (=järjestämisvastuussa oleva toimielin kuten kaupungin jokin lautakunnista) ja mahdolliset yhteisrekisterinpitäjät?
  • Kuka toimii henkilörekisterin vastuuhenkilönä ja onko häntä infottu suunnitellusta tekoälyratkaisun käyttöönotosta?
  • Yleensä vastuuhenkilön nimitieto löytyy organisaation tietosuojaselosteilta
  • Onko mukana henkilötietojen käsittelijöitä (esim. ICT-palveluntarjoajat tai muut ulkoistuskumppanit)?

2. Tarpeellisuus ja oikeusperusta

  • Mikä on käsittelyn oikeusperusta (esim. suostumus, sopimus, lakisääteinen velvoite)?
  • Onko käsittely tarpeellista ja tarkoituksenmukaista suhteessa tavoitteisiin?

3. Riskien arviointi

  • Voiko käsittely aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille?
  • Käytetäänkö automaattista päätöksentekoa tai profilointia?
  • Käsitelläänkö arkaluonteisia tietoja?
  • Kohdistuuko käsittely haavoittuvassa asemassa oleviin henkilöihin?
  • Siirretäänkö tietoja EU/ETA-alueen ulkopuolelle?

4. Vaikutukset rekisteröityihin

  • Onko kyseessä suuririskinen tekoälyjärjestelmä (lue EU:n tekoälyasetus)
  • Miten tekoälyratkaisu vaikuttaa yksilöihin (esim. päätöksenteko, syrjintä, profilointi)?
  • Onko olemassa riski virheellisistä tai harhaanjohtavista päätöksistä?

5. Riskien hallinta

  • Mitä teknisiä ja organisatorisia suojatoimia on käytössä?
  • Onko toteutettu tietoturva-auditointi?
  • Onko suunniteltu vaikutusten lieventämistoimia (esim. ihmisen osallistuminen päätöksentekoon)?

6. Rekisteröityjen oikeudet

  • Miten rekisteröity voi käyttää oikeuksiaan (esim. tarkastusoikeus, oikaisu, vastustaminen)?
  • Onko olemassa mekanismi päätösten perustelujen antamiseen?

7. Dokumentointi ja seuranta

  • Onko DPIA dokumentoitu asianmukaisesti?
  • Onko arviointi päivitetty tarvittaessa (esim. teknologian muuttuessa)?
  • Onko DPIA:n tulokset ja toimenpiteet käsitelty sisäisesti?
Tietoja

Uusi tietosuojatyöhön perehtynyt tietokirja on monipuolinen opas tietosuojatyöskentelyyn.

Organisaatioiden toimintaympäristöt muuttuvat jatkuvasti, mikä vaatii erityistä valppautta tietosuoja-asioissa. Osaava tietosuojavastaava − Tietosuojatyön haasteet ja ratkaisut kuvaa kattavasti, mihin tietosuojalla pyritään ja millaista tietosuojatyö on käytännössä. Teos käsittelee tietosuojatyötä erilaisista näkökulmista kattaen niin lainsäädännön kuin alan erityiskysymyksetkin, esimerkiksi tietosuojatyön lasten henkilötietoja käsiteltäessä.

Tietosuoja on jokaisen organisaation asia alasta riippumatta. Osaava tietosuojavastaava on luotettava opas paitsi nimetyille tietosuojavastaaville myös kaikille niille, jotka käsittelevät työssään henkilö- tai asiakastietoja: lääkäreille, juristeille, opettajille, yrittäjille...

Työnantajille teos kertoo, millaisia velvollisuuksia heillä on työntekijöiden tietoja käsitellessään. Lisäksi se lisää johdon ymmärrystä siitä, miten tietosuojatyö organisoidaan ja kenet tietosuojavastaavaksi kannattaa nimittää.

Ari Andreasson työskentelee Tampereen kaupungin tietosuojavastaavana.

Arto Ylipartanen toimii lakimiehenä vanhuus-, perhe- ja perintöoikeuteen erikoistuneessa lakitoimistossaan. Hän on työskennellyt tietosuojavaltuutetun toimistossa lähes 30 vuoden ajan. Andreasson ja Ylipartanen ovat kouluttaneet tietosuojavastaavia useita vuosia. Tämä kirja on kauttaaltaan päivitetty ja uudistettu versio heidän vuonna 2022 ilmestyneestä Osaava tietosuojavastaava ja EU:n yleinen tietosuoja-asetus (GDPR) -teoksestaan. Teoksessa on mukana myös muita alan erityisasiantuntijoita.

Alla luettavaksi yksi kirja-arvostelu teoksesta:

Osaava tietosuojavastaava – tietosuojatyön haasteet ja ratkaisut kirja- arvio - Suomen sosiaalioikeudellinen seura ry

Lisätietoa teoksesta:

Osaava tietosuojavastaava | Art House Oy

Tietoja
  1. GDPR-päivän jatkot 27.5.2025, Helsinki
  2. Tietosuojatutkimus 2024: GDPR kuuluu jo arkeen, mutta ei täysin käytäntöön
  3. GDPR Techin verkkokauppa on avattu
  4. Netumilla avoin työpaikka tietosuoja-asiantuntijalle