Tärkeyksien arviointi

Järjestelmän, rekisterin tai käsittelytilanteen tärkeyden ja riskitason arviointi

Tietosuojatyössä on järkevää suhteuttaa keskittymistä ja esimerkiksi turvallisuustoimenpiteitä henkilötietojen käsittelyn aiheuttaman riskin mukaan. Tätä kutsutaan ns. riskiperusteiseksi lähestymistavaksi.

Suosittelemme tunnistamaan tärkeimpiä kohtia arvioimalla käsittelyriskiä järjestelmä-, rekisteri ja käsittelytilannekohtaisesti. Tämä artikkeli antaa vinkkejä tärkeyden määrittelyyn.

Kun olette määritelleet tärkeydet, pureutukaa tärkeimpiin tarkemmin esim. vaikutustenarviointien avulla, joiden kautta tunnistetaan tarkempia yksittäisiä riskejä ja ideoidaan niitä hallitsevia turvallisuustoimenpiteitä.

Käsittelyn riskitasoa voi arvioida esimerkiksi seuraavien kriteerien pohjalta:

Tietovuodon vaikutukset - kuinka haitallista rekisteröidyille on, jos tietoja päätyy vääriin käsiin?suuria vaikutuksia aiheuttavat esimerkiksisuuri henkilötietoryhmien määräsensitiiviset tiedot (etninen alkuperä, ammattiliiton jäsenyys, terveystiedot, jne.)erityiset henkilöryhmät (esim. lapset)Tietovuodon todennäköisyys - kuinka usein, laajasti ja hallitsemattomasti henkilötietoja käsitellään?suurta todennäköisyyttä kasvattavat esimerkiksisäännöllinen henkilötietojen käsittelysuuri käsittelijöiden määräväljä ohjeistus ja valvonta käsittelytoimien suorittamisessaRiippuvuus käsittelystä - kuinka iso ongelma aiheutuu, jos tätä käsittelyä ei yhtäkkiä pystytäkään toteuttamaan?

Riippuvuutta lisäävät esimerkiksiEi mahdollisuutta tarvittaessa korvata toimiaKorvaavaa järjestelmää tai kumppania hankala löytääKumppanien arvaamattomuus - tunnemmeko tarkasti käsittelyyn liittyvien kumppanien toimintatavat?

Arvaamattomuutta laskevat esimerkiksiHyvin laaditut sopimuksetHyvä suojaprofilointi kumppanille

Analyysin jälkeen voitte pistää asioita tärkeysjärjestykseen tekemällä valinnan Korkea | Keskiverto | Matala. Näin analyysin tulos näkyy aina selkeästi asianomaisissa listauksissa.

P.s. Mikäli toteatte analyysin perusteella, että tietystä henkilötietojen käsittelystä voi aiheutua korkeaa riskiä, on syytä toteuttaa tarkempaa vaikutustenarviointia, jossa tunnistetaan tärkeimpiä riskejä ja luodaan niitä hallitsevia toimenpiteitä juuri tämän käsittelytoimen suhteen.