Tietosuoja-asetus velvoittaa ammattiliitot vaikutustenarvioinnin tekemiseen – mistä siinä on kyse ja miksi se on erityisen tärkeää?
Mitä on vaikutustenarviointi?
Vaikutustenarviointi (DPIA – Data Protection Impact Assessment) on tietosuoja-asetuksen velvoittama toimenpide, jossa:
- organisaatio kuvaa rekisteröimiensä henkilötietojen käsittelytoimet ja -tarkoitukset,
- arvioi toimien tarpeellisuutta ja oikeasuhtaisuutta tarkoituksiinsa nähden,
- arvioi riskejä rekisteröityjen oikeuksia ja vapauksia kohtaan,
- suunnittelee toimenpiteet riskeihin puuttumiseksi sekä
- dokumentoi arvioinnin ja vie toimenpiteet käytäntöön.
Tietosuoja-asetus määrää, milloin henkilötietojen käsittely vaatii vaikutustenarviointia (ks. tarkka määritelmä Tietosuojavastaavan toimiston verkkosivuilta). Pääasiassa arviointi on tehtävä aina, kun tietojen käsittely aiheuttaa todennäköisesti korkean riskin henkilön oikeuksille ja vapauksille. Esimerkiksi rikkomusten ja rikostuomioiden, terveystietojen, poliittisten mielipiteiden, uskonnollisten vakaumusten tai päätöksiin johtavien henkilökohtaisten ominaisuuksien arviointien käsittely ovat korkean riskin alaisia tietoja. Näitä tietoja käsitellessä vaikutustenarvioinnin tarve on todennäköistä, muttei pienessä mittakaavassa tehtynä aina välttämätöntä.
Vaikutustenarviointi koostuu yleensä selvitystyöstä ja sen raportista. Vaikutustenarviointia tulisi käsitellä työkaluna, jota hyödynnetään tarvittaessa organisaation sisäisen tai ulkoisen toimintaympäristön muuttuessa ja sitä kautta riskiympäristön muuttuessa. Vaikutustenarviointia voidaan toteuttaa eri laajuisina kokonaisuuksina: se voidaan tarvittaessa kohdentaa esimerkiksi yksittäiseen tai useisiin tietojärjestelmiin, henkilörekistereihin tai henkilötietoja käsitteleviin prosesseihin.
Miksi ammattiliittojen tulee tehdä vaikutustenarviointia?
Ammattiliitot saattavat tehdä erityisten herkkien henkilötietojen käsittelyä esimerkiksi jäsenten edunvalvontatyössä mm. jäsenasioita tai jäseniin liittyvien erimielisyys- ja lakiasioita käsiteltäessä. Tilanteesta riippuen saatetaan joutua käsittelemään yhtä tai useampaa erityisiin henkilötietoryhmiin tietosuoja-asetuksessa luokiteltua tietoa. Näiden korkean sensitiivisyyden tietojen käsittelyyn löytyy vahvat perusteet ammattiliittotoimintaan liittyvästä lainsäädännöstä. Organisaatioiden tulee kuitenkin varmistua siitä, että tietosuoja-asetuksen mukaiset tekniset ja organisatoriset toimenpiteet on pantu täytäntöön rekisteröidyn oikeuksien ja vapauksien turvaamiseksi. Tähän usein sopiva keino on vaikutustenarviointi.
SC Software yhteisyökumppanina vaikutustenarvioinnissa
SC Software on tehnyt vaikutustenarviointia yhdessä useiden liittoasiakkaidensa kanssa. Vaikutustenarviointi alkaa taustaselvityksellä valitun kohdealueen (esim. tietojärjestelmä, rekisteri, prosessi) henkilötietojen käsittelystä. Haastattelemme tarvittavia kohdealueen vastuuhenkilöitä taustatietoja täsmentäen. Selvityksessä käymme läpi organisaation henkilötietojen käsittelyyn liittyviä käytänteitä kattavan kysymyslistan avulla. Lopputuloksena syntyy vaikutustenarvioinnin raportti, jonka pohjalta organisaatio voi viedä käytäntöön tarvittavat toimenpiteet. Vaikutustenarvioinnin kokonaiskustannus riippuu aina toteutettavan selvityksen laajuudesta.
Jos organisaatiolle on epäselvää, tarvitseeko sen toteuttaa vaikutustenarviointia, voidaan tämä tutkia tekemällä vaikutustenarvioinnin tarvekartoitus. Tarvekartoituksessa selvitetään, liittyykö henkilötietojen käsittelyyn sellaisia näkökulmia, jotka velvoittavat organisaation tekemään vaikutusten arvioinnin vai ei. Tarvekartoitus toimii hyvänä pohjustuksena myös varsinaiselle vaikutustenarvioinnille, mikäli tarve sille ilmenee.
Tutustu vaikutustenarvioinnin ja muihin GDPR-palveluihimme >>