Kysymys: Mikä on vaikutustenarviointi ja milloin se täytyy tehdä?
Asiakkaamme on kysynyt, olemmeko tehneet vaikutustenarvioinnin henkilötietojen käsittelystä tarjoamassamme palvelussa. Mitä tämä tarkoittaa? Onko meillä velvollisuus tehdä vaikutustenarviointi ja jos on, miten meidän pitäisi toimia?
Legalbuddy vastaa
Hei ja kiitos kysymyksestäsi!
Vaikutustenarviointi (DPIA, Data Protection Impact Assessment)
Mikä on vaikutustenarviointi?
Vaikutustenarviointi, jota kutsutaan myös DPIA:ksi (Data Protection Impact Assessment), on prosessi, jossa tarkastellaan henkilötietojen käsittelyn riskejä luonnollisten henkilöiden oikeuksien ja vapauksien näkökulmasta. Vaikutustenarvioinnin tekeminen on yleisen tietosuoja-asetuksen (GDPR) mukainen vaatimus. Prosessin aikana arvioidaan, minkälaisia riskejä henkilötietojen käsittelyyn liittyy, ja laaditaan suunnitelmia, käytänteitä ja toimenpiteitä tunnistettujen riskien hallitsemiseksi.
Vaikutustenarvioinnin tarpeellisuus
Vaikutustenarviointi on tehtävä, jos suunnitellaan henkilötietojen käsittelyä, joka todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. Jotta voidaan arvioida, aiheuttaako henkilötietojen käsittely riskin luonnollisten henkilöiden oikeuksille ja vapauksille, on ensin analysoitava käsittelyn luonnetta, laajuutta, asiayhteyttä ja tarkoitusta. Analysoinnissa tulee kiinnittää erityistä huomiota siihen, minkälaisia riskejä kyseinen henkilötietojen käsittely tuo mukanaan ja minkälaisia turvatoimia voidaan pitää sopivina tunnistettujen riskien hallitsemiseksi. Jos tämän analysoinnin jälkeen katsotaan, että henkilötietojen käsittelyyn liittyy edelleen korkea riski yksilön oikeuksien ja vapauksien kannalta, teillä on velvollisuus suorittaa vaikutustenarviointi.
Erityistapaukset, joissa vaikutustenarviointi on tehtävä
GDPR:ssä on lisäksi säädetty, että vaikutustenarviointi on erityisesti tehtävä seuraavissa tapauksissa:
- Luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja jonka perusteella tehdään päätöksiä, joilla on oikeudellisia tai muuten vastaavanlaisia merkittäviä vaikutuksia luonnollisiin henkilöihin.
- Laajamittainen arkaluonteisten tai rikostuomioihin ja rikkomuksiin liittyvien henkilötietojen käsittely.
- Järjestelmällinen ja laajamittainen julkisten tilojen valvonta.
Tarvitsetteko lisää apua?
Tapauksessanne tulisi siis aloittaa arvioimalla, aiheuttaako henkilötietojen käsittely toiminnassanne korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Mikäli tarvitsette apua vaikutustenarviointiprosessissa, voitte ottaa meihin yhteyttä!
Käynnistä tietosuojatyösi tehokkaasti kiinteähintaisella paketilla, joka sisältää olennaiset asiakirjat ja asiantuntijaneuvontaa.
Lue lisää palvelusta- Voimmeko julkaista yritystapahtumista kuvia, joissa näkyy tapahtumaan osallistuneita henkilöitä?
- Tarvitaanko konserniin kuuluvien yhtiöiden välille tietojenkäsittelysopimus?
- Milloin ja kenen välillä tietojenkäsittelysopimus pitää solmia?
Tarvitsetko yrityksessäsi oikeudellista voimaa?
Kokeile digitaalista yrityslakimiestämme ilmaiseksi kuukauden ajan - Yrityksille suunnattu lakiasiaintuki ja sopimusten hallinta
Kokeile Legalbuddy Plussaa