Avoin
Tätä uutista voi käyttää vapaasti. Muistathan kuitenkin mainita lähteen edilex.fi.

19.6.2017 11.30 (päivitetty 22.6.2017 9.03) Asianajaja Päivi Niinimäki-Rastas: Tietosuojan vaikutustenarviointi – tehdäkö vai eikö tehdä, siinä pulma?

Asianajaja Päivi Niinimäki-Rastas: Tietosuojan vaikutustenarviointi – tehdäkö vai eikö tehdä, siinä pulma?

EU:n yleinen tietosuoja-asetus tulee voimaan 25.5.2018. Asetus sisältää paljon uusia säännöksiä suomalaisille sekä koko EU:n alueen toimijoille. Yksi näistä uusista säännöksistä on tietosuojaa koskeva vaikutustenarviointi artiklassa 35 (data protection impact assessment). 

EU:n yleinen tietosuoja-asetus tulee voimaan 25.5.2018. Asetus sisältää paljon uusia säännöksiä meille suomalaisille sekä koko EU:n alueen toimijoille. Yksi näistä uusista säännöksistä on tietosuojaa koskeva vaikutustenarviointi artiklassa 35 (data protection impact assessment). Joissain maissa vastaaviin vaikutustenarviointeihin on ohjeistettu jo pidemmän aikaa. Myös meillä Suomessa vaikutustenarviointeja on tehty etenkin, jos kyse on kansainvälisesti toimivasta organisaatiosta, jonka palveluiden ja tuotteiden keskiössä henkilötietojen käsittely on.

Euroopassa tietosuojan vaikutustenarviointi tuli laajempaan tietoisuuteen, kun Englannin tietosuojaviranomainen UK Information Commissioner's Office (ICO) julkaisi ohjeistuksen asiassa ensimmäisen kerran vuonna 2007.1 Tämän jälkeen Euroopan komissio antoi vuonna 2009 suosituksen yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa. Komissio kehotti jäsenvaltioita määrittelemään tietosuojaa koskeville vaikutustenarvioinneille kehyksen ja edistämään sitä, että RFID-operaattorit (Radio Frequency Identification, radiotaajuustunnistus) ottavat käyttöön kyseisen vaikutustenarvioinnin ennen radiotaajuustunnistusta käyttävien sovellusten käyttöönottoa. Tämä vaikutustenarviointia koskeva kehys tuli hyväksyttää EU:n tietosuojatyöryhmä WP29:llä ja se hyväksyi elinkeinoelämän ehdotuksen RFID-sovellusten vaikutustenarvioinnin kehyksestä vuonna 2011.2

Tässä vaiheessa yleinen terminologia nimesi tietosuojan vaikutustenarvioinnin nimellä privacy impact assessment eli PIA 3 , nyt tietosuoja-asetuksen ottaman nimityksen data protection impact assessment, DPIA, sijasta.

Vaikutustenarvioinnin lähtökohta on sen luonne tietosuojan edistämisen työkaluna. Arviointi ei ole vain vaatimus, vaan yksi niistä tietosuojan työkaluista, joilla edistetään sisäänrakennettua tietosuojaa. Arviointia käytetään, jo ennen tuotteen tai palvelun käyttöönottoa, arvioimaan ja ratkaisemaan niitä rekisterinpitäjien haasteita, joita liittyy yksityisyyden suojaan ja tietosuojaan. Samoin arviointi auttaa rekisterinpitäjiä kokonaisvaltaisesti ehkäisemään tietosuojaan liittyviä riskejä. Tietosuojaa koskeva vaikutustenarviointi on käytännössä lähestymistapa, jolla pyritään kartoittamaan sovelluksen, tuotteen tai palvelun merkitystä henkilötietojen käsittelyn kannalta, arvioimaan henkilötiedon käsittelyn vaikutuksia ja paljastamaan mahdollisia ongelmia ennakolta. 

Arviointiprosessi pyrkii riskien tunnistamiseen ja hallintaan samalla, kun se huomioi vastakkaisten tavoitteiden tasapainottamisen sekä henkilötietojen suojan tavoitteet. Jossain määrin nykyiset nopeat tuote/palvelukehitysprosessit saattavat mieltää arvioinnin läpiviennin aikaa vieväksi ja hankalaksi. Myös ne toimijat, joiden prosessit ovat jo hyvinkin hioutuneet, saattava huokaista syvään uuden arviointiprosessin ilmestymiselle. Osalle toimijoista tietosuojaa koskeva vaikutustenarviointi taas on vain yksi luonnollinen osa tuotekehitystä, joka tulee tehtyä muun ohella osana projektia.

Mistä vaikutustenarvioinnissa on siis kyse? 

Tietosuojaa koskevaa vaikutustenarviointia ei ole pakollista, tai edes tarvetta, suorittaa kaikkien henkilötietojen käsittelytoimien osalta. Tietosuoja-asetuksen mukaan rekisterinpitäjän tulee tehdä tietosuojaa koskeva vaikutustenarviointi ennen henkilötietojen käsittelyn aloittamista:

  1. jos käsittely aiheuttaa todennäköisesti korkean riskin tilanteen luonnollisen henkilön oikeuksien ja vapauksien kannalta;
  2. etenkin uutta teknologiaa käytettäessä ja käyttöönotettaessa;
  3. erityisesti kun on kyse henkilötietojen järjestelmällisestä ja kattavasta automatisoituun päätöksentekoon perustuvasta arvioinnista, joka johtaa oikeusvaikutuksellisiin päätöksiin tai vastaavaan merkittävään vaikutukseen rekisteröidyn kannalta;
  4. erityisesti kun on kyse laajamittaisesta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä tai käsitellään rikostuomioita tai rikkomuksia;
  5. erityisesti kun on kyse yleisölle avoimen alueen järjestelmällisestä ja laajamittaisesta valvonnasta. 

Arviointi tulee suorittaa mahdollisimman aikaisessa vaiheessa, kun suunnitellaan uutta järjestelmää, sovellusta tai palvelua, joka käsittelee henkilötietoja. Arvioinnin tavoite on arvioida suunniteltujen käsittelytoimien vaikutukset henkilötietojen suojalle. Vaikutustenarviointi soveltuu käytännössä erityisesti laajoihin käsittelytoimiin, joissa käsitellään huomattavia määriä henkilötietoja ja jotka vaikuttavat suureen määrään rekisteröityjä. Vaikutuksenarvioinnin tekeminen on toki suositeltavaa, ei vain merkittäviä riskejä luovien käsittelytoimien yhteydessä, vaan myös yleisemmin, sillä se edesauttaa osoitusvelvollisuuden toteuttamista ja rekisterinpitäjän velvollisuuksien selvittämistä.

Mitä vaikutustenarviointi sisältää?

Tietosuoja-asetuksen mukaan arvioinnin tulee sisältää vähintään seuraavat seikat: 

  1. järjestelmällinen kuvaus käsittelytoimista ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut; 
  2. arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden; 
  3. arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; 
  4. suunnitellut toimenpiteet, suoja- ja turvallisuustoimet ja mekanismit, joiden avulla voidaan lievittää käsittelyyn kohdistuvaa riskiä ja varmistaa henkilötietojen suoja sekä asetuksen vaatimusten toteutuminen rekisterinpitäjän toiminnassa.

Vaikutuksenarviointi edellyttää tiettyä riskiarvioon perustuvaa metodia suunniteltujen käsittelytoimenpiteiden analysoimiseksi. Riskiarviointi on muutoinkin tietosuoja-asetuksen keskiössä, koska tietosuoja-asetuksen lähtökohta on riskiperusteinen lähestymistapa. Riskiarvioinnin nojalla organisaatio määrittää tarvittavat tekniset ja organisatoriset toimenpiteet varmistaakseen tietosuojan toteutumisen asetuksen vaatimalla tavalla. 

Vaikutustenarvioinnin tuloksena syntyy näkemys tarvittavista hallintakeinoista, joita tarvitaan pienentämään riskitasoa ja varmistamaan asetuksen vaatimusten toteuttaminen.

Henkilötietojen käsittelyn aiheuttamat riskit voivat esiintyä luonnollisten henkilöiden fyysisinä, aineellisina tai aineettomina vahinkoina, kuten omien henkilötietojen valvomiskyvyn menettäminen tai oikeuksien rajoittaminen, syrjintä, identiteettivarkaus tai petos, taloudelliset menetykset, pseudonymisoitumisen luvaton kumoutuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys, tai muuna merkittävänä taloudellisena tai sosiaalisena vahinkona.

EU:n tietosuojatyöryhmän tarkempia ohjeita

EU:n tietosuojatyöryhmä WP29 on jo antanut asiassa ensimmäisen lisäohjeistuksensa. Lisäksi yksityiskohtaisempaa lisäohjeistusta on vielä tulossa. Asetuksen mukaan valvontaviranomaisten on laadittava ja julkaistava luettelo käsittelytoimien tyypeistä, joiden yhteydessä vaaditaan tietosuojan vaikutustenarviointi ja samoin valvontaviranomainen voi laatia luettelon käsittelytoimien tyypeistä, joiden osalta ei sitä vaadita.

Minkälaisissa ’korkean riskin’ tilanteissa vaikutustenarviointi tulee tehdä?

WP29 on vielä lopulliseen muotoonsa vahvistamattomassa ohjeistuksessaan käsitellyt muun muassa seuraavia seikkoja. Arvioitaessa sitä, milloin käsittelystä aiheutuu korkean riskin tilanne luonnollisen henkilön oikeuksien ja vapauksien kannalta, tulee WP29:n mukaan arvioida, onko käsittelyssä kyse seuraavista tilanteista:

  1. arviointi ja analysointi, kuten profilointi ja ennakointi, erityisesti liittyen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin tai kiinnostuksen kohteisiin, luotettavuuteen tai käyttäytymiseen, sijaintiin tai liikkumiseen;
  2. automaattiset päätökset, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat vastaavalla tavalla merkittävästi;
  3. järjestelmällinen valvonta, jossa käsittelyllä tarkkaillaan, valvontaan ja kontrolloidaan luonnollisia henkilöitä;
  4. arkaluontoiset tiedot;
  5. tietoja käsitellään laajamittaisesti;
  6. tiedot on yhdistetty, esimerkiksi kahdesta tai useammasta käsittelytoiminnasta, joilla on eri tarkoitus ja/tai eri rekisterinpitäjät, sillä tavoin, että se ylittää rekisteröityjen kohtuulliset odotukset;
  7. tiedot koskevat heikommassa asemassa olevia luonnollisia henkilöitä;
  8. uudenlainen käyttömuoto ja uudenlainen teknologia, uudet käyttösovellukset;
  9. tietosiirrot kolmansiin maihin EU:n ulkopuolelle;
  10. kun käsittely itsessään estää rekisteröityjä käyttämästä oikeutta tai palvelua tai sopimusta.

Mitä useammasta kohdasta kyseisessä käsittelyssä on kyse, sitä suurempaa riskiä käsittelystä saattaa aiheutua. WP29:n kannan mukaan, mikäli ainakin kaksi tai useampia arviointikriteerejä täyttyy, tulee vaikutustenarviointi tehdä.

Tuleeko jo olemassa oleville käsittelyprosesseille tehdä vaikutustenarviointi?

Tietosuoja-asetuksen mukainen vaikutustenarviointi tulee pakollisena toimena tehdä niiden käsittelytoimien osalta, jotka aiheuttavat korkean riskin tilanteita artiklan 35 mukaisesti ja jotka käynnistyvät tietosuoja-asetuksen soveltamisen alettua 25.5.2018. WP29 kuitenkin suosittaa vaikutustenarvioinnin tekemistä myös ennen toukokuuta 2018 niille tällaisille käsittelytoimille, joita jo nyt valmistellaan. Samoin WP29 korostaa, että rekisterinpitäjän on tarvittaessa uudelleentarkasteltava käsittelyä arvioidakseen, tapahtuuko käsittely tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu. 

Erityisesti jos käsittelyssä tapahtuu merkittävä muutos toukokuun 2018 jälkeen, katsottaisiin henkilötietojen käsittely näissä tapauksissa uudeksi käsittelytoimeksi, joka saattaisi vaatia vaikutustenarvioinnin tekemistä. Tällainen muutos voisi olla esimerkiksi uuden teknologian käyttöönotto tai henkilötietojen käyttäminen uutta tarkoitusta varten. Ainakin mikäli henkilötietojen käsittelyyn liittyvä riskiarvio muuttuu, tulee vaikutustenarviointia uudelleen tarkastella.

Tietosuojan vaikutustenarviointi voi olla tarpeen myös, jos käsittelytoimen hallinnollinen tai sosiaalinen toimintakenttä muuttuu; esimerkiksi kun automatisoitujen päätösten merkitys on muuttunut merkittävämmäksi, aiempaan verraten uuden tyyppisiä rekisteröityjä pidetään heikommassa asemassa olevina tai alttiina syrjinnälle tai henkilötietoja aiotaankin siirtää maahan, joka on irtaantunut EU:sta.

WP29-työryhmän ehdotus on, että tietosuojan vaikutustenarviointia tulisi päivittää ja uudelleen tarkastella vähintään joka kolmas vuosi tai useamminkin riippuen käsittelyn luonteesta ja muutoksista.

Millä mallilla ja metodologialla vaikutustenarvioinnin voi suorittaa?

Vaikutustenarvioinnissa on tarkasteltava erityisesti suunniteltuja toimenpiteitä sekä suojatoimia ja mekanismeja, joiden avulla lievennetään riskiä ja varmistetaan henkilötietojen suoja sekä osoitetaan, että tietosuoja-asetusta on noudatettu. Seuraava WP29-työryhmän laatima kaavio esittää vaikutustenarviointiprosessin yksinkertaistettuna jatkuvana prosessina ja perustuen asetuksen mukaiseen arvioinnin vähimmäissisältöön.4


WP29 korostaa tietosuoja-asetuksen mukaista riskiarvion lähtökohtaa, jossa arvioidaan nimenomaan sitä riskiä, joka kohdistuu luonnollisten henkilöiden oikeuksiin tai vapauksiin. Tietosuoja-asetus jättää liikkumavaraa organisaatioille suorittaa vaikutustenarviointi kullekin toimijalle parhaimmin sopivalla tavalla. WP29 korostaa kuitenkin, että arvioinnin tulee olla aito ja sen tulee tähdätä havaittujen riskien hallintaan oikeilla tietosuojatoimenpiteillä.

Tuleeko tietosuojan vaikutustenarviointi julkaista?

Vaikutustenarvioinnin julkaisemista ei tietosuoja-asetuksessa vaadita, vaan rekisterinpitäjä saa päättää asiasta itse. Toki WP29 mainitsee, että suuren yleisön silmissä arviointiraportin tai sen osa julkaiseminen saattaa lisätä luottamusta rekisterinpitäjän toimiin, olla erityinen merkki osoitusvelvollisuuden täyttämisestä sekä läpinäkyvästä henkilötietojen käsittelystä. 

Käytännönvinkkejä

Vielä ei ole saatavilla valmiita yhtenäisiä vaikutustenarviointimalleja, vaan jokaisen organisaation on kehitettävä oma mallinsa. Useissa maissa kansalliset tietosuojaviranomaiset tai myös tietyt toimijasektorit ovat määritelleet tietosuojan vaikutusarvioinnin menettelytapoja. Kukin näistä menettelymalleista on soveltuva, kunhan se täyttää asetuksen vähimmäisvaatimukset ja tuottaa aidon arvion riskistä ja keinoista sen hallitsemiseksi ja vähentämiseksi. Useissa organisaatioissa, joissa tuote- ja palvelukehitysprojektit ovat arkipäivää, monenlaiset hallinnolliset riski- ja muut arvioinnit liittyvät olennaisesti kehitystyöhön.

Arviointiprosessi ja tulokset on hyvä dokumentoida, jotta toteutetut toiminnot voidaan jälkikäteen todentaa ja niihin voidaan palata. Käytettäessä määrämuotoista dokumentointimallia, voidaan tuloksia lisäksi vertailla ja toteutettuja toimenpiteitä voidaan seurata. Dokumentaatio on tärkeä osa osoitusvelvollisuuden toteuttamista. Sillä osoitetaan asetuksen noudattamista sekä asianmukaisten toimenpiteiden suorittamista.

1 ICO, ‘Executive summary of Privacy impact assessments’ https://ico.org.uk/media/for-organisations/documents/1042837/trilateral-report-executive-summary.pdf 

2 WP 29, ‘Lausunto 5/2010 elinkeinoelämän ehdottamasta kehyksestä RFID-sovellusten yksityisyyden suojaa ja tietosuojaa’ http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2010/wp175_fi.pdf (2.6.2017); WP 29, ’Lausunto 9/2011’ http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp180_fi.pdf)

3 ICO, ’Conducting privacy impact assessments code of practice’, https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf 

4 WP 29, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether pro-cessing is “likely to result in a high risk” for the purposes of Regulation 2016/679, http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Lähteet ja lisätietoja:

EU:n yleinen tietosuoja-asetus

http://eur-lex.europa.eu/legal-content/FI/TXT/PDF/?uri=CELEX:32016R0679&from=en

Tietosuojavaltuutetun toimisto, Opas: Miten valmistautua EU:n tietosuoja-asetukseen? 

http://tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojavaltuutetuntoimisto/oppaat/1Em8rT7IF/Miten_valmistautua_EUn_tietosuoja-asetukseen.pdf

Valtiovarainministeriö, EU-tietosuojan kokonaisuudistus VAHTI-raportti 1/2016

https://www.vahtiohje.fi/c/document_library/get_file?uuid=ddb05959-40d1-435f-af23-fd20fc21d63f&groupId=10229

UK Information Commissioner's Office, Executive summary of Privacy impact assessments

https://ico.org.uk/media/for-organisations/documents/1042837/trilateral-report-executive-summary.pdf

UK Information Commissioner's Office, Conducting privacy impact assessments code of practice 

https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf

WP 29, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether pro-cessing is “likely to result in a high risk” for the purposes of Regulation 2016/679

http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Päivi Niinimäki-Rastas
Asianajaja
Asianajotoimisto DLA Piper Finland Attorneys Ltd

Toimittaja: Sara Taivainen, Edilex-toimitus (sara.taivainen@edita.fi)