9. Kirjallinen vaikutustenarviointi – Kenellä se täytyy olla, ja mitä sen kuuluu sisältää?

Kirjallinen vaikutustenarviointi – Kenellä se täytyy olla ja mitä sen kuuluu sisältää – sivun aiheet:

  • Mikä vaikutustenarviointi on, ja ketä se koskee?
  • Missä tilanteissa vaikutustenarvionti kuuluu tehdä?
  • Mikä on sen tarkoitus?
  • Mitä vaikutustenarvionti sisältää?

Vaikutusten­arviointi on kirjallinen riskiarvio henkilötietojen käsittelystä

Vaikutustenarviointi on rekisteröidyn näkökulmasta tehtävä asiakirja jossa pyritään tunnistamaan:

  • mitä oikeuksia ja vapauksia käsittely voi vaarantaa 
  • mitä vahinkoa käsittelystä voi aiheutua

Kun henkilötietojen käsittelystä aiheutuvat riskit rekisteröidyn oikeuksille ja vapauksille on tunnistettu, on arvioitava riskin ja siitä aiheutuvan haitan vakavuutta ja toteutumisen todennäköisyyttä. 

https://tietosuoja.fi/vaikutustenarviointi

tietosuoja.fi – Tietosuojan vaikutustenarvioinnin ohje (luonnos 2021)

Tietosuojatyöryhmä: Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö
käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”

 

Vaikutustenarvionti on tehtävä silloin, kun käsittely aiheuttaa todennäköisesti korkean riskin rekisteröidyn oikeuksille ja vapauksille.

Vaikutustenarvionti on tehtävä kun:

  • Käsitellään erityisten henkilötietoryhmien tietoja.
  • Käsitellään henkilötietoja automaattisesti ja arvioidaan henkilökohtaisia ominaisuuksia (profilointi, analyysievästeet).
  • Käsitellään sijaintitietoja.
  • Käsittelyssä käytetään uudentyyppistä teknologiaa.
  • Käsitellään laajasti rikostuomioita tai rikkomuksia.
  • Valvotaan yleisölle avointa aluetta järjestelmällisesti ja laajamittaisesti.

https://tietosuoja.fi/luettelo-vaikutustenarviointia-edellyttavista-kasittelytoimista

Vaikutusten­arvioinnilla varmistetaan turvallinen ja lainmukainen käsittely

Sen tarkoituksena on

Minimoida henkilö­tietojen käsittelyyn liittyviä riskejä.

Arvioida onko jäljelle jäänyt riski oikeutettu ja hyväksyttä­vissä.

Auttaa rekisterin­pitäjää tietosuoja­lain noudatta­misessa.

Todistaa viranomaisille, että tietosuoja­lakia on noudatettu.

Yhtä yksittäistä tietosuojaa koskevaa vaikutusten­arviointia voidaan käyttää useiden saman­tyyppisten käsittely­toimien arviointiin.

Vaikutusten­arviointia ei siis tarvitse tehdä uudelleen sellaisille käsittely­toimille, joiden luonne, laajuus, asiayhteys, tarkoitus ja riskit ovat samankaltaisia. Ts. jos asia on jo kertaalleen tutkittu ja dokumentoitu.

Vaikutustenarviointiin tarkoitettu lomake Kaikenkattava- ja Sote -tietosuojapakettiin

Vaikutustenarvioinnin sisältö

  • kuvataan järjestelmäl­lisesti käsittelytoimet ja käsittelyn tarkoitukset.
  • arvioidaan henkilötietojen käsittelyn tarpeellisuus ja oikea­suhtaisuus
  • arvioidaan rekisteröidyn oikeuksia ja vapauksia koskevat riskit.
  • suunnitellaan toimenpiteet riskeihin minimoimiseksi. 

Vaikutuksenarvionti voi koskea yksittäistä käsittelytoimea tai käsittelytoimien ryhmää.

%d bloggaajaa tykkää tästä: