Tietosuojaa koskeva vaikutustenarviointi

17.10.2022Ohjesivut

On tärkeää tunnistaa tilanteet, joissa henkilötietojen käsittelyyn liittyy mahdollisesti korkeita riskejä rekisteröidyn oikeuksille ja vapauksille. Jos suunniteltu henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin, rekisterinpitäjän on tehtävä tietosuojaa koskeva vaikutustenarviointi. Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Tietosuojaa koskeva vaikutustenarviointi voidaan tehdä myös silloin, kun tietosuoja-asetus ei edellytä vaikutustenarvioinnin tekoa.

Lue lisää vaikutustenarvioinneista tietosuojavaltuutetun toimiston verkkosivuilta:

Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.

Euroopan tietosuojaneuvoston ohjeet

Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä.Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.

Tietosuojavaltuutetun toimiston päätökset

Vaikutustenarvioinnin tekoon on otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:

  • Tietosuojavaltuutetun päätös luetteloksi käsittelytoimista, joiden yhteydessä on tehtävä vaikutustenarviointi
  • Henkilötietojen käsittelyn vaikutustenarviointi, käsittelyperuste ja rekisteröityjen informointi Apulaistietosuojavaltuutettu katsoi, että rekisterinpitäjä ei ollut pystynyt osoittamaan, että henkilötietojen käsittely turvakameravalvonnan yhteydessä vastasi yleisen tietosuoja-asetuksen oikeutettua etua koskevia vaatimuksia. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä oli informoinut puutteellisesti kanta-asiakasohjelman yhteydessä tapahtuvan automaattisen päätöksenteon olemassaolosta ja sitä koskevasta henkilötietojen käsittelystä. Apulaistietosuojavaltuutettu katsoi myös, että rekisterinpitäjä ei ollut osoittanut täyttäneensä yleisen tietosuoja-asetuksen velvoitteita koskien vaikutustenarviointia ja selostetta käsittelytoimista. Apulaistietosuojavaltuutettu havaitsi puutteita myös osapuolten roolien määrittelyä, käsittelyn informointia ja tietojen minimointia koskevien tietosuoja-asetuksen velvoitteiden toteuttamisessa (8393/161/2019).