Mikä on tietosuojavaikutusten arviointi (DPiA)?

Palvelus

GDPR-asetuksessa poistettiin rekisterinpitäjien vaatimus rekisteröidä henkilötietoja GIODOssa ja korvattiin velvollisuudella tehdä tietosuojavaikutusten arviointi. Onko jokaisen yrittäjän tehtävä vaikutustenarviointi henkilötietojen suojasta?

Mikä on henkilötietosuojavaikutusten arviointi?

Henkilötietojen suojavaikutusten arviointi (tunnetaan myös nimellä DPiA tai säännösten vaikutusten arviointi) on rekisterinpitäjän arvio siitä, liittyykö henkilötietojen käsittelyyn yhtiössä riski tai suuri riski rekisteröityjen oikeuksien loukkaamisesta (esim. oikeus yksityisyyteen)).

Jos yhtiössä käsiteltävien henkilötietojen tietoturvaloukkausten riski on suuri, tulee tehdä DPiA eli tunnistaa uhat, jotka voivat loukata henkilötietoja, ja ryhtyä asianmukaisiin ennaltaehkäiseviin toimenpiteisiin, jotka estävät tai minimoivat tietoturvaloukkauksen riskin. .

Henkilötietojen suojan rikkomisella tarkoitetaan tietoturvaloukkausta, joka johtaa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoutumiseen, katoamiseen, muuttamiseen, luvattomaan luovuttamiseen tai luvattomaan pääsyyn.

Tietosuojavaikutusten arviointia koskevien vaatimusten noudattamatta jättämisestä voidaan tuomita sakkoon. Toisaalta DPiA:n laiminlyönnistä silloin, kun se on välttämätöntä (henkilötietojen käsittelyn turvallisuuden loukkaamisen suuren riskin vuoksi), seurauksena voi olla jopa 10 miljoonan euron sakko tai, jos kyseessä on yritys, enintään 2 % vuotuisesta kokonaisliikevaihdosta riippuen siitä, kumpi määrä on suurempi.

Kenen on tehtävä tietosuojavaikutusten arviointi?

Vaikutustenarviointi vaaditaan erityisesti:

  • järjestelmällinen, kattava, automatisoitu henkilökohtaisten tekijöiden arviointi, jonka perusteella tehdään päätökset, joilla on oikeusvaikutuksia luonnolliseen henkilöön,

  • arkaluonteisten henkilötietojen laajamittainen käsittely,

  • yleisön saatavilla olevien paikkojen järjestelmällinen laajamittainen seuranta.

Jotta voidaan tarkistaa, tarvitaanko DPIA:ta, on suositeltavaa varmistaa, että käsittely täyttää seuraavat kriteerit:

  • arviointi ja pisteytys - profilointi ja ennustaminen, erityisesti koskien seuraavia tietoja: terveys, kiinnostuksen kohteet, sijainti,

  • automaattinen päätöksenteko, jolla on oikeudellisia vaikutuksia, esimerkiksi asiakkaiden profilointi heidän ostotottumustensa perusteella,

  • järjestelmällinen seuranta, jonka tarkoituksena on tarkkailla henkilötietojen kohdetta (esim. hotellissa, huoltoasemalla, ravintolassa jne.),

  • arkaluonteisten henkilötietojen käsittely, esimerkiksi potilastietojen kerääminen,

  • laajamittainen tietojenkäsittely,

  • käyttämällä tietojenkäsittelyyn teknisiä innovaatioita, kuten biometrisiä tietoja,

  • tiedonsiirto Euroopan unionin ulkopuolelle.

Jos rekisterinpitäjä tai yritys kohtaa yhden tai useamman edellä mainituista tilanteista, DPiA vaaditaan.

Huomio!

Rekisterinpitäjä (esim. yrittäjä) päättää itsenäisesti, onko tietosuojavaikutusten arviointi tarpeen.

Mitä tietosuojavaikutusten arvioinnin tulee sisältää?

Tietosuojavaikutusten arviointi on sisällöltään samanlainen kuin perusriskiarviointi, jonka luemme artikkelissa: Riskiarviointi GDPR:ssä - onko se todella niin kauheaa? Tietosuojavaikutusten arvioinnin tulisi sisältää erityisesti:

  • kuvaus henkilötietojen käsittelystä (esim. tuhoaminen, kerääminen jne.) ja niiden käsittelyn tarkoitus,

  • arvio tietyntyyppisten tietojen käsittelyn tarpeellisuudesta ja ilmoitus siitä, voidaanko tietty riskialtista toiminta välttää, ja jos ei, ilmoitus siitä, mihin ennaltaehkäiseviin toimenpiteisiin on ryhdytty,

  • arvioida rekisteröityjen oikeuksien ja vapauksien loukkaamisen riskiä,

  • suunnitellut toimenpiteet riskin ehkäisemiseksi ja henkilötietojen käsittelyn vaatimustenmukaisuuden osoittamiseksi.

DPIA:ssa voi olla enemmän elementtejä kuin yllä olevat tiedot, mutta ne ovat pakollisia DPiA:lle.

Milloin ja miten DPiA-tietosuojavaikutusten arviointi tehdään?

DPiA tulee suorittaa ennen käsittelytoimintojen aloittamista (eli jo tietojenkäsittelyn suunnitteluvaiheessa). Tietosuojavaikutusten arviointi (DPiA) voidaan tehdä millä tahansa menetelmällä. GDPR osoittaa vain olennaiset elementit, jotka sen tulisi sisältää (jotka lueteltiin edellisessä otsikossa).

Arviointi tulee suunnitella siten, että se voidaan tilintarkastuksen yhteydessä esittää valvontaviranomaiselle vastuullisuusperiaatteen mukaisesti.

Huomio!

Ylläpitäjä on velvollinen suorittamaan tietosuojavaikutusten arvioinnin yhdessä tietosuojavastaavan kanssa - mikäli nimitetään.

Tietosuojavaikutusten arviointi voidaan antaa ulkopuoliselle yritykselle, mutta rekisterinpitäjä on vastuussa siitä.

Mitä tulee käsittelytoimiin, jotka olivat olemassa jo ennen GDPR:n voimaantuloa

DPiA:n laatiminen vaaditaan, jos

  • käsittelytoimenpiteet voivat aiheuttaa suuren tietoturvaloukkauksen riskin,

  • riskityypissä on tapahtunut muutos.

On kuitenkin hyvä käytäntö tarkistaa ja päivittää DPIA:ta jatkuvasti. Siksi, vaikka DPiA:ta ei vaadittaisi 25.5.2018, rekisterinpitäjän on silti suoritettava tällainen vastuullisuusarviointi aikanaan.

Näytearkki DPiA:lle - riski


Riskienarviointi tehdään useimmiten yrityksen määrittelemien kriteerien perusteella, se voi olla esimerkiksi tietyn riskin esiintymistiheyden tai todennäköisyyden sekä sen olemuksen ja vakavuuden arviointia.

Milloin DPIA:ta ei tarvitse tehdä?

DPIA ei ole pakollinen, kun:

  • on epätodennäköistä, että käsittely voi johtaa suureen riskiin luonnollisten henkilöiden oikeuksien ja vapauksien loukkaamisesta,

  • käsittelyn luonne, laajuus ja tarkoitus ovat samanlaisia ​​kuin käsittely, jolle on jo tehty vaikutustenarviointi,

  • käsittelytoimella on oikeusperusta - eli kun tietyntyyppistä käsittelyä säännellään säädöksillä (laki, asetus),

  • käsittely on sisällytetty henkilötietosuojaviraston pääjohtajan laatimaan valinnaiseen luetteloon "käsittelytoimista, joihin ei sovelleta vaikutustenarviointia",

  • kun valvontaviranomainen on tarkastanut käsittelytoimenpiteet ennen toukokuuta 2018 tietyin edellytyksin eivätkä ne ole muuttuneet.

Aloita ilmainen 30 päivän kokeilujakso ilman ehtoja!

Henkilötietojen suojasta vastaavan (DPO) rooli DPiA:ssa

Jos yritys on nimittänyt tietosuojavastaavan, DPiA:n suorittamisvelvollisuudesta tulee kuulla hänen kanssaan ja tehdä vaikutustenarviointi yhdessä hänen kanssaan.

Art. työryhmän ohjeet. 29 tietosuojavaltuutettua koskevassa säännöksessä suosittelee, että rekisterinpitäjä ja henkilötietojen käsittelijä pyytävät neuvoa tarkastajalta muun muassa seuraavissa asioissa:

  • pitäisikö tietosuojavaikutusten arviointi tehdä,

  • mitä menetelmiä olisi käytettävä tietosuojavaikutusten arvioinnissa,

  • pitäisikö yrityksen sisäinen DPIA tehdä vai ulkoistaa,

  • mitä suojatoimia (mukaan lukien tekniset ja organisatoriset toimenpiteet) sovelletaan rekisteröityjen oikeuksiin ja etuihin kohdistuvien uhkien lieventämiseksi,

  • onko DPIA suoritettu asianmukaisesti ja ovatko sen tulokset tietosuojavaatimusten mukaisia ​​(jatketaanko käsittelyä vai ei ja mitä suojatoimia sovelletaan).

Ennakkoneuvottelut tietosuojaviraston johtajan kanssa

Jos DPiA osoittaa, että henkilötietojen tietoturvaloukkauksen riski (esim. laiton pääsy tietoihin, joka johtaa hengenvaaraan) on olemassa, kun rekisterinpitäjä:

  • ei soveltaisi riskin minimoivia toimenpiteitä tai

  • ei pysty riittävästi vähentämään kyseistä riskiä tai

  • toteutetuista toimenpiteistä huolimatta riskit ovat edelleen korkeat

- Ennen käsittelyn aloittamista rekisterinpitäjän tulee raportoida henkilötietosuojaviraston (PUODO) pääjohtajalle. Neuvottelujen tuloksena PUODO voi antaa suosituksia ja ohjeita siitä, mitä toimenpiteitä ylläpitäjän tulee toteuttaa henkilötietojen suojaamiseksi.

Työryhmän 29 ohjeistus DPiA:sta

Työryhmä 29 on EU-lainsäädännön mukaisesti nimitetty riippumattomien asiantuntijoiden ryhmä antamaan suosituksia GDPR:n täytäntöönpanosta. Puolaa edustaa työryhmässä henkilötietojen suojasta vastaava ylitarkastaja.

Työryhmän 29 päätehtävänä on edistää GDPR:n yhtenäistä soveltamista kaikissa EU-maissa ja antaa ohjeita henkilötietojen suojaa koskevien säännösten soveltamisesta.

Yksi WP29-asiakirjoista koskee sääntelyn vaikutusten arviointia "Tietosuojavaikutusten arviointia koskevat ohjeet ja auttaa määrittämään, voiko käsittely" olla suuren riskin mukainen "asetuksen 2016/679 mukaisesti".

"Ohjeissa" ryhmä ehdottaa, mitkä kriteerit tulisi ottaa huomioon valmisteltaessa henkilötietojen suojan vaikutusten arviointia. Lisäksi tämä asiakirja sisältää tietoa mm.

  • mitä DPiA koskee,

  • mitkä tietojenkäsittelytoimenpiteet ovat DPiA:n alaisia,

  • miten henkilötietosuojavaikutusten arviointi tehdään,

  • milloin ottaa yhteyttä valvontaviranomaiseen

  • henkilötietosuojatarkastajaa koskevat ohjeet.

Tietosuojavaikutusten arvioinnin kriteerit GDPR:n mukaiseksi

Työryhmä 29 ehdotti seuraavia kriteerejä, jotta voidaan varmistaa, että tietosuoja-arviointi suoritetaan GDPR-vaatimusten mukaisesti. Ohjeiden mukaan DPiA noudattaa GDPR:ää, jos:

  • järjestelmällinen kuvaus käsittelystä annetaan:

    • käsittelyn luonne, laajuus, konteksti ja tarkoitukset on otettu huomioon,

    • Rekisteri sisältää henkilötietoja, tietoja vastaanottajista ja henkilötietojen säilytysajasta,

    • on tunnistettu resurssit, joiden kanssa henkilötiedot joutuvat kosketuksiin (laitteistot, ohjelmistot, verkot, ihmiset, tutkimukset tai opintojen välityskanavat);

  • Tietojenkäsittelyn tarpeellisuutta ja oikeasuhteisuutta arvioitiin:

    • mainitaan toimenpiteet, jotka aiotaan toteuttaa asetuksen noudattamisen varmistamiseksi,

    • on osoitettu toimenpiteitä, jotka edistävät rekisteröityjen oikeuksien turvaamista:

      • tiedottaa rekisteröidylle,

      • oikeus saada tietoja ja oikeus siirtää tietoja,

      • oikeus oikaista ja poistaa tietoja,

      • oikeus vastustaa ja oikeus rajoittaa käsittelyä,

      • suhde prosessoriin,

      • suojatoimet kansainväliselle tiedonsiirrolle;

  • rekisteröityjen oikeuksien ja vapauksien loukkaamisriskin hallinnassa toteutettiin toimia:

    • riskin lähde, luonne, erityisyys ja vakavuus on otettu huomioon,

    • riskilähteet on otettu huomioon,

    • riskin mahdolliset seuraukset on tunnistettu,

    • henkilötietojen turvallisuuteen kohdistuvia uhkia on tunnistettu

    • riskin todennäköisyys ja vakavuus arvioitiin,

    • riskin poistamiseksi suunnitellut toimenpiteet tunnistetaan.