EU:n yleisen tietosuoja-asetuksen mukainen vaikutustenarviointi (DPIA) : riskit ja niiden vaikutukset luonnollisen henkilön oikeuksiin ja vapauksiin
Himanka, Paula (2018)
Himanka, Paula
Tampereen ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018073014400
https://urn.fi/URN:NBN:fi:amk-2018073014400
Tiivistelmä
EU:n yleistä tietosuoja-asetusta sovelletaan 25.5.2018 alkaen kaikissa EU-maissa. Tietosuoja-asetus korvaa tämänhetkisen henkilötietojen käsittelyä koskevan lainsäädännön kansallista liikkumavaraa lukuun ottamatta. Vielä hallituksen esityksenä oleva kansallinen tietosuojalaki tulee Suomessa vastaamaan yleislakina tähän tarpeeseen.
Kun henkilötietojen käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, on rekisterinpitäjän toteutettava tietosuojaa koskeva vaikutustenarviointi eli arvioitava henkilötietojen käsittelyn vaikutukset henkilötietojen suojalle. Arvioinnissa tulee myös puuttua havaittuihin riskeihin toteuttamalla riittävät suojakeinot riskien pienentämiseksi tai poistamiseksi. Tämän lisäksi tietosuoja-asetuksessa on omaksuttu yleinen riskiperusteinen lähestymistapa; tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet tulee suhteuttaa henkilötietojen käsittelystä aiheutuvaan riskiin. Riskiperusteinen lähestymistapa ohjaa rekisterinpitäjiä kokonaisvaltaiseen tietosuojariskien huomiointiin ja tukee osoitusvelvollisuuden toteuttamista.
Opinnäytetyö on tulkintalainopillinen tutkielma, jonka empiirisessä osassa käytettiin laadullisena menetelmänä avoimia haastatteluja. Työn tavoitteena oli perehtyä vaikutustenarviointiin liittyvään sääntelyyn ja ohjaukseen sekä tunnistaa henkilötietojen käsittelyyn liittyviä riskejä ja niiden vaikutuksia luonnollisen henkilön oikeuksiin ja vapauksiin. Työn tarkoituksena oli laatia selkeä ja ymmärrettävä kooste sääntelyn perusteista ja ajanmukaisesta tulkintaohjeistuksesta. Työn oheismateriaalina tuotettiin toimeksiantajan käyttöön ohje vaikutustenarviointien laatimiseksi sekä tietosuojan riski- ja vaikutusanalyysi yleisimmistä riskeistä. Opinnäytetyö sisältyy toimeksiantajan laajempaan prosessiin tietosuoja-asetuksen velvoitteiden implementoimiseksi tämän hallintoon.
Vaikutustenarvioinnin sääntely on uutta. Se antaa raamit, mutta jättää rekisterinpitäjälle laajasti tulkinnanvaraa vaikutustenarviointien käytännön toteuttamisesta. Myös kansallinen lainsäädäntö ja ohjaus ovat vielä keskeneräiset. Yhdessä oikeuskäytännön kanssa ne määrittelevät aikanaan vaikutustenarvioinnin sääntelyn tarkemman tulkinnan. Uudet teknologiat, käytännesäännöt, menetelmät ja toimijoiden väliset yhteistyömuodot tarjoavat monenlaisia lähestymistapoja vaikutustenarviointien tutkimiseen jatkossa.
Kun henkilötietojen käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, on rekisterinpitäjän toteutettava tietosuojaa koskeva vaikutustenarviointi eli arvioitava henkilötietojen käsittelyn vaikutukset henkilötietojen suojalle. Arvioinnissa tulee myös puuttua havaittuihin riskeihin toteuttamalla riittävät suojakeinot riskien pienentämiseksi tai poistamiseksi. Tämän lisäksi tietosuoja-asetuksessa on omaksuttu yleinen riskiperusteinen lähestymistapa; tietosuoja-asetuksen velvoitteet ja asianmukaiset suojatoimet tulee suhteuttaa henkilötietojen käsittelystä aiheutuvaan riskiin. Riskiperusteinen lähestymistapa ohjaa rekisterinpitäjiä kokonaisvaltaiseen tietosuojariskien huomiointiin ja tukee osoitusvelvollisuuden toteuttamista.
Opinnäytetyö on tulkintalainopillinen tutkielma, jonka empiirisessä osassa käytettiin laadullisena menetelmänä avoimia haastatteluja. Työn tavoitteena oli perehtyä vaikutustenarviointiin liittyvään sääntelyyn ja ohjaukseen sekä tunnistaa henkilötietojen käsittelyyn liittyviä riskejä ja niiden vaikutuksia luonnollisen henkilön oikeuksiin ja vapauksiin. Työn tarkoituksena oli laatia selkeä ja ymmärrettävä kooste sääntelyn perusteista ja ajanmukaisesta tulkintaohjeistuksesta. Työn oheismateriaalina tuotettiin toimeksiantajan käyttöön ohje vaikutustenarviointien laatimiseksi sekä tietosuojan riski- ja vaikutusanalyysi yleisimmistä riskeistä. Opinnäytetyö sisältyy toimeksiantajan laajempaan prosessiin tietosuoja-asetuksen velvoitteiden implementoimiseksi tämän hallintoon.
Vaikutustenarvioinnin sääntely on uutta. Se antaa raamit, mutta jättää rekisterinpitäjälle laajasti tulkinnanvaraa vaikutustenarviointien käytännön toteuttamisesta. Myös kansallinen lainsäädäntö ja ohjaus ovat vielä keskeneräiset. Yhdessä oikeuskäytännön kanssa ne määrittelevät aikanaan vaikutustenarvioinnin sääntelyn tarkemman tulkinnan. Uudet teknologiat, käytännesäännöt, menetelmät ja toimijoiden väliset yhteistyömuodot tarjoavat monenlaisia lähestymistapoja vaikutustenarviointien tutkimiseen jatkossa.