Organisaation on käsiteltävä henkilötietoja yleisen tietosuoja-asetuksen mukaisesti ja myös kyettävä osoittamaan, että se noudattaa säännöksiä. Vaatimusten noudattamiseen kuuluu sisäänrakennetun tietosuojan toteuttaminen, käsittelytoimien dokumentoiminen ja tietyissä tilanteissa myös tietosuojaa koskevan vaikutustenarvioinnin tekeminen.
Sisäänrakennettu ja oletusarvoinen tietosuoja
Rekisterinpitäjän on varmistettava tietosuojaperiaatteiden noudattaminen asianmukaisilla toimenpiteillä ja suojatoimilla sekä suunnitellessaan henkilötietojen käsittelyä että käsitellessään tietoja. Rekisterinpitäjän on myös varmistettava, että se käsittelee oletusarvoisesti vain sellaisia henkilötietoja, jotka ovat tarpeen kutakin tarkoitusta varten. Tämä koskee niin tietojen määrää, käsittelyn laajuutta, säilytysaikoja kuin tietojen saatavuutta.
Sisäänrakennettua ja oletusarvoista tietosuojaa toteuttava organisaatio huomioi ja sisällyttää tietosuojan ja yksityisyydensuojan kaikkiin toimintoihinsa ja henkilötietojen käsittelytoimiensa vaiheisiin, työkaluihin ja liiketoimintaan.
Tätä varten organisaatiosi on otettava huomioon ennen käsittelytoimien aloittamista seuraavat seikat:
- suunnitellun käsittelytoimen luonne, asiayhteys ja laajuus,
- riskit, joita suunnitelluista käsittelytoimista tai muusta liiketoiminnasta saattaa aiheutua ihmisten henkilötiedoille,
- tekniset ja organisatoriset toimenpiteet, jotka tulisi ottaa käyttöön havaittujen riskien lieventämiseksi ja henkilötietojen suojaamiseksi,
- tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että henkilötietojen käsittely (erityisesti tietojen kerääminen, säilyttäminen ja käyttö) rajoittuu ainoastaan tarpeellisiin tietoihin.
Esimerkkejä
- Kirjakauppa haluaa kasvattaa tulojaan myymällä kirjoja verkossa. Kirjakaupan omistaja haluaa luoda vakiomuotoisen lomakkeen tilausprosessia varten. Omistaja tekee ensin kaikista lomakkeen kentistä pakollisia, myös tiedot asiakkaan syntymäajasta, puhelinnumerosta ja kotiosoitteesta. Kaikki lomakkeen kentät eivät kuitenkaan ole välttämättömiä kirjojen myymiseksi ja toimittamiseksi.
Esimerkiksi sähköisen kirjan tilauksen yhteydessä asiakas voi ladata tuotteen suoraan laitteeseensa. Siksi nämä verkkolomakkeen kentät eivät voi olla pakollisia kirjojen tilaamista varten. Tämän vuoksi verkkokaupan omistaja päättää tehdä kaksi verkkolomaketta: yhden kirjojen tilaamista varten, jossa on kenttä asiakkaan osoitetta varten ja yhden e-kirjojen tilaamista varten ilman kenttää asiakkaan osoitteelle. Näin omistaja varmistaa, että vain tarvittavat tiedot kerätään. - Useita lääkäreitä työllistävä yritys kerää tietoja potilaistaan tietojärjestelmäänsä. Eri lääkäreillä saattaa olla tarve päästä käsiksi potilastietoihin esimerkiksi silloin, kun he sijaistavat toista lääkäriä, ilmoittavat potilaiden hoitoa koskevista päätöksistä sekä kirjaavat tehdyt tutkimus- ja hoitotoimet. Oletusarvoisesti pääsy tietoihin myönnetään vain niille lääkäreille, joiden tehtäväksi on määritelty kyseisen potilaan hoito.
On hyödyllistä pitää kirjaa arvioinneista ja toimenpiteistä, jotta organisaatio voi osoittaa noudattavansa sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita. Osoituksena sisäänrakennetun ja oletusarvoisen tietosuojan noudattamisesta voidaan käyttää myös hyväksyttyä sertifiointimekanismia.
Velvollisuus pitää kirjaa tietojen käsittelystä
Organisaatiolla on velvollisuus pitää kirjaa eli dokumentoida henkilötietojen käsittelytoimensa. Nämä tiedot tulee säilyttää kirjallisesti, esimerkiksi sähköisessä muodossa.
Dokumentoidut tiedot antavat yleiskuvan organisaation käsittelytoimista. Dokumentointia varten organisaatiosi on määriteltävä, mitkä sen toimista edellyttävät henkilötietojen käsittelyä (esim. rekrytointi, palkanhallinta, koulutus, kulkulupien ja käyttöoikeuksien hallinta, luettelo mahdollisista asiakkaista jne.). Jokainen näistä käsittelytoimista on kuvattava seuraavin tiedoin:
- käsittelyn tarkoitus (esim. asiakassuhde),
- käsiteltävien tietojen tyypit (esim. palkkatositteen osalta nimi, syntymäaika, palkka jne.),
- kenellä on pääsy tietoihin (esim. rekrytoinnista vastaava yksikkö, IT-palvelu, johto, palveluntarjoajat, kumppanit jne.),
- tarvittaessa tiedot henkilötietojen siirroista Euroopan talousalueen (ETA) ulkopuolelle,
- mahdollisuuksien mukaan säilytysaika (ajat, joita tietoja käytetään ja säilytetään),
- mahdollisuuksien mukaan yleinen kuvaus turvatoimista.
Käsittelytoimien dokumentoiminen kuuluu organisaatiosi johtajan vastuulle. Kirjattujen tietojen on oltava pyydettäessä sen ETA-maan tietosuojaviranomaisen saatavilla, jossa organisaatiosi toimii.
Alle 250 henkilöä työllistävien organisaatioiden ei tarvitse mainita dokumentaatiossaan puhtaasti satunnaisia toimintoja (esim. kertaluonteisia tapahtumia, kuten myymälän avaamista varten käsiteltävät tiedot).
Miten tietosuojan vaikutustenarviointi tehdään?
Mikä on tietosuojaa koskeva vaikutustenarviointi?
Jos henkilötietojen käsittely todennäköisesti aiheuttaa suuren riskin yksilöiden oikeuksille ja vapauksille, rekisterinpitäjän on tehtävä tietosuojaa koskeva vaikutustenarviointi. Tietosuojan vaikutustenarviointi on kirjallinen arvio suunnitellusta käsittelytoimesta. Sen avulla voidaan tunnistaa asianmukaiset suojatoimet riskien lieventämiseksi ja osoittaa, että rekisterinpitäjä on noudattanut lainsäädännön vaatimuksia.
Milloin tietosuojan vaikutustenarviointi pitää tehdä?
Tietosuojaa koskeva vaikutustenarviointi on tehtävä, jos henkilötietojen käsittely todennäköisesti aiheuttaa suuren riskin yksilöille. Organisaatio voi myös ennakoida suunniteltujen käsittelytoimien vaikutuksia tekemällä tietosuojan vaikutustenarvioinnin, vaikka se ei olisi pakollista.
Vaikutustenarviointi on tehtävä erityisesti silloin, kun suunniteltuun käsittelyyn liittyy
- arkaluonteisten henkilötietojen ja rikostuomioihin liittyvien tietojen laajamittainen käsittely,
- henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla (esim. profiloinnilla), järjestelmällisesti ja kattavasti, ja arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi,
- yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti.
Useimmissa tapauksissa käsittelytoimet, jotka täyttävät kaksi seuraavista kriteereistä, tulisi arvioida tietosuojan vaikutustenarvioinnin avulla:
- arviointi tai pisteytys,
- automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaava merkittävä vaikutus,
- järjestelmällinen valvonta,
- arkaluonteisten tai erittäin henkilökohtaisten tietojen käsittely,
- tietojen laajamittainen käsittely,
- tietoaineistojen yhteensovittaminen tai yhdistäminen,
- haavoittuvassa asemassa olevia rekisteröityjä koskevien tietojen käsittely,
- uuden teknologian tai organisatoristen ratkaisujen soveltaminen tai innovatiivinen käyttö,
- käsittely itsessään estää henkilöitä käyttämästä oikeuttaan tai käyttämästä palvelua tai sopimusta.
Do I need to carry out a DPIA?
Answer the questions through our interactive flowchart to find out!
Is the processing likely to result in high risks?
Do any exceptions apply?
- the processing operation envisaged is very similar to a processing which was the subject of a DPIA;
- the type of processing is in an exemption list that your data protection authority may have adopted;
- the processing operation is authorised under EU or national law.
Do I need to carry out a DPIA?
Yes, you need to carry out the DPIA
Any high risks remaining after the DPIA?
Do I need to carry out a DPIA?
No DPIA needed
Consult your Data Protection Authority
No need to consult your Data Protection Authority
Vinkit vaikutustenarviointiin
Ota yhteyttä sen ETA-maan tietosuojaviranomaiseen, jossa organisaatiosi päätoimipaikka sijaitsee, ja selvitä, onko heillä julkisesti saatavilla luettelo vaikutustenarviointia edellyttävistä käsittelytoimista ja sellaisista käsittelytoimista, jotka eivät edellytä tietosuojan vaikutustenarviointia.
Esimerkkejä siitä, milloin tietosuojan vaikutustenarviointia voidaan vaatia:
- Biometristen tietojen käsittely, kuten sormenjälkien tai kasvonpiirteiden skannaus potilaiden tunnistamiseksi
- Haavoittuvassa asemassa olevien henkilöiden tietojen käyttäminen markkinointitarkoituksiin, kuten ostosten ennakointiin
- Mobiilisovellus, joka seuraa henkilön sijaintia
Esimerkkejä siitä, milloin tietosuojan vaikutustenarviointia ei välttämättä vaadita
- Suunniteltu käsittely on hyvin samankaltainen kuin käsittely, josta on jo tehty tietosuojaa koskeva vaikutustenarviointi
- Käsittely sisältyy vapaaehtoiseen kansallisen tietosuojaviranomaisen laatimaan luetteloon käsittelytoimista, joihin ei vaadita tietosuojan vaikutustenarviointia
- Käsittely on sallittu EU:n tai kansallisen lainsäädännön nojalla
Mitä tietosuojan vaikutustenarvioinnin tulisi sisältää?
Tietosuojaa koskevaan vaikutustenarviointiin tulee sisältyä:
- Kuvaus suunnitellusta käsittelytoimesta ja sen tarkoituksesta
- Arviointi käsittelytoimen tarpeellisuudesta ja oikeasuhteisuudesta
- Käsittelytoimesta mahdollisesti aiheutuvat riskit
- Toimenpiteet, joilla riskeihin puututaan
Ennakkokuuleminen tietosuojan vaikutustenarvioinnin aikana
Jos rekisterinpitäjä ei löydä riittäviä toimenpiteitä riskien vähentämiseksi hyväksyttävälle tasolle (eli jäännösriskit ovat edelleen liian suuria), sen on kuultava tietosuojaviranomaista. Tällöin rekisterinpitäjän on annettava tietosuojaviranomaiselle seuraavat tiedot:
- Käsittelyyn osallistuvien rekisterinpitäjien, yhteisrekisterinpitäjien ja henkilötietojen käsittelijöiden vastuualueet
- Käsittelytoimen tarkoitus ja tieto siitä, miten käsittely suoritetaan
- Toimenpiteet, joita suunnitellaan henkilötietojen suojaamiseksi
- Tarvittaessa organisaation tietosuojavastaavan yhteystiedot
- Kyseinen tietosuojaa koskeva vaikutustenarviointi.
Vaikutustenarvioinnin jälkeen – Testaa, kehitä, tarkista!
Kun tietosuojaa koskeva vaikutustenarviointi on laadittu, se on testattava ja sitä on parannettava tarvittaessa. Kun olet suorittanut käsittelytoimesi, arvioi uudelleen, vastaako vaikutustenarviointisi käsittelytoimea.
Käytännesäännöt
Riippuen siitä, missä organisaatiosi sijaitsee ETA-alueella, rekisterinpitäjiä tai henkilötietojen käsittelijöitä voivat edustaa erilaiset järjestöt tai muut tahot. Nämä tahot voivat laatia käytännesääntöjä, kuten tietosuojamekanismeja, joita rekisterinpitäjät ja henkilötietojen käsittelijät voivat noudattaa varmistaakseen, että ihmisten henkilötietoja kunnioitetaan yleisen tietosuoja-asetuksen mukaisesti.
Käytännesäännöillä pyritään erityisesti varmistamaan, että
- henkilötietoja käsitellään oikeudenmukaisella ja avoimella tavalla,
- tarkoitukset, joita varten henkilötietoja käsitellään, ovat laillisia,
- henkilötiedot pseudonymisoidaan,
- henkilöille, joiden tietoja käsitellään, kerrotaan tietojen käsittelystä läpinäkyvästi
- suostumus ihmisten tietojen, erityisesti lapsiin liittyvien henkilötietojen, käsittelyyn on asianmukaisesti pyydetty,
- kaikki tekniset ja organisatoriset toimenpiteet, joilla varmistetaan henkilöiden tietojen turvallinen käsittely, on toteutettu,
- henkilötietojen tietoturvaloukkausten ilmoittamismenettelyjä noudatetaan,
- menettelyjä ja suojatoimia, jotka liittyvät henkilötietojen siirtoon ETA:n ulkopuolelle noudatetaan,
- tuomioistuinmenettelyihin ja kiistanratkaisuun liittyviä menettelyjä noudatetaan.
Vinkki
- Ota yhteyttä siihen tahoon, joka valmistelee käytännesäännöt. Ne voivat auttaa sinua yleisen tietosuoja-asetuksen vaatimusten noudattamisessa.
Sertifiointi
Mikä on tietosuojasertifiointi?
Organisaatio, joka saa tietosuojasertifikaatin, voi käyttää sitä osoittaakseen, että sen käsittelytoimet ovat yleisen tietosuoja-asetuksen mukaisia.
ETA-maiden tietosuojaviranomaiset voivat esimerkiksi
- antaa tietosuojasertifikaatteja oman sertifiointijärjestelmänsä perusteella,
- myöntää itse tietosuojasertifikaatteja oman sertifiointijärjestelmänsä perusteella, mutta siirtää arviointiprosessin kokonaan tai osittain kolmansille osapuolille,
- perustaa oman sertifiointijärjestelmänsä ja antaa erillisille tahoille tehtäväksi myöntää sertifikaatteja,
- kannustaa markkinoita kehittämään sertifiointimekanismeja,
- arvioida sertifiointielinten sertifiointijärjestelmiä.
Sertifiointielimen tehtävänä on myöntää, tarkistaa ja peruuttaa sertifioinnit sertifiointimekanismin ja hyväksyttyjen kriteerien perusteella.
Sertifiointielinten on dokumentoitava arvionsa organisaatiosi käsittelytoimista, joihin voidaan myöntää tietosuojasertifiointi.
Organisaationi on saanut tietosuojasertifikaatin, mitä seuraavaksi?
Organisaatiosi suorittaman käsittelytoiminnon tietosuojasertifiointi on voimassa enintään kolme vuotta, mutta se voidaan uusia tai peruuttaa. Sertifioinnin säilyttämiseksi organisaatiosi on jatkuvasti ja johdonmukaisesti toteutettava sertifioituun tietosuojatoimeen liittyviä toimenpiteitä.