Tietosuoja-asetus ohjaa organisaatioita keskittämään eniten huomiota ja riskienhallinnallisia toimenpiteitä henkilötietojen käsittelyyn, josta aiheutuu korkein riski rekisteröityjen oikeuksille ja vapauksille.
Vaikutustenarvioinnin pääideana on:
- analysoida tiettyä henkilötietojen käsittelyprosessia tai rekisteriä tarkemmin
- tunnistaa oleellisimmat käsittelyriskit
- suunnitella ja toteuttaa riskejä hallitsevat toimenpiteet
Työ vaikutustenarviointien parissa alkaa niiden tarpeellisuuden arvioinnilla. Tätä kannattaa tehdä Tietosuojamallissa etenkin järjestelmien ja käsittelytilanteiden riskitasoa arvioimalla.
Vaikutustenarviointien tarpeellisuus?
Tietosuojamallissa vaikutustenarvioinnit ovat työkalu yleisen riski- ja turvallisuusanalyysin tarkentamiseksi. Niitä kannattaa toteuttaa silloin, kun tunnistamme korkeaa riskiä sisältävää henkilötietojen käsittelyä, jossa esimerkiksi käsitellään isoja tietomääriä, sensitiivisiä tietoja tai tehdään automatisoitua päätöksentekoa, jolla on oikeusvaikutuksia rekisteröidyille.
Suosittelemme tutustumaan artikkeliin Tärkeyksien arviointi.
Vaikutustenarviointien läpikäynti ja dokumentointi Tietosuojamallissa
Tietosuojamalli auttaa sinua listaamaan toteutetut sekä suunnitellut vaikutustenarvioinnit ja dokumentoimaan niiden oleellisimmat tulokset:
Mihin arviointi kohdistuu?
- Vaikutustenarviointi kohdistuu yleensä joko kriittiseen tietojärjestelmään tai käyttötarkoitukseen
- Kohdistaminen auttaa tunnistamaan riskejä, jotka ovat relevantteja juuri tälle käsittelylle
Onko käsittelyprosessia erityishuomiota vaativia piirteitä?
- Iso tietojen liikkuvuus tai esimerkiksi voimakas nojaaminen oikeutettuun etuun voivat vaatia erityishuomiota nimenomaan näille kohdille
- Lisätukea saat halutessasi fakta-sivuston vaikutustenarviointia käsittelevästä artikkeleista
Millaisia riskejä käsittelystä aiheutuu?
- Vaikutustenarvioinnin päätuloksia ovat nimenomaan tähän käsittelyyn liittyvät riskit
Käsittele riskit sekä turvallisuustoimenpiteet
- Tunnistettujen riskien suhteen teidän on tehtävä päätös: onko riski tällaisenaan hyväksyttävä?
- Ei-hyväksyttäville riskeille meidän tulee tehdä lisää turvallisuuskäytäntöjä, jotka joko pienentävät riskin todennäköisyyttä tai vakavuutta
Yhteenveto tuloksista
- Tämän kohdan tarkoituksena on rohkaista tekemään myös kattavampi vapaamuotoinen yhteenveto arvioinnin tuloksista
- Voitte kirjoittaa tulokset suoraan Tietosuojamalliin tai liittää erillisen tiedoston, jossa ne kuvataan
Kriittisissä henkilötietojen käsittelyprosesseissa voi olla järkevää etsiä ulkopuolista asiantuntemusta avuksi toteuttamaan vaikutustenarviointia, jotta saatte löydettyä riskit ja riskienhallintatoimenpiteet ulkopuolisen näkökulman avulla.
Tähän artikkeliin liittyvät muut artikkelit
Muu sisältö kategoriassa
"
Dokumentaatio: Tietosuoja
"
.png)
