Tietosuojaa koskeva vaikutustenarviointi

Tietosuojaa koskevan vaikutustenarvioinnin tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä. Jo käsittelyä suunniteltaessa tulee arvioida ja dokumentoida, millaiset riskit henkilötietojen käsittelystä ihmisille aiheutuu.

Helsingin kaupunki on julkaissut omat vaikutustenarvioinnin työkalunsa, jotka löydät tältä sivulta. Julkaisemisen tavoitteena on helpottaa tietosuojaan liittyvää yhteistyötä kaupungin ja sen palveluntuottajien välillä sekä lisätä läpinäkyvyyttä henkilötietojen käsittelyssä.

Lisäksi Helsingin kaupunki haluaa edistää sisäänrakennetun ja oletusarvoisen tietosuojan toteutumista myös kaupungin rajojen ulkopuolella antamalla vaikutustenarvioinnin työkalut kaikkien käyttöön.

Työkalujen ensimmäiset versiot julkaistiin vuonna 2019 ja päivitetyt versiot on julkaistu syksyllä 2022.

Vaikutustenarvioinnin työkalut on suunniteltu Helsingin kaupungin toimintaan, joten kaupungin ulkopuolisen käyttäjän on harkittava niiden soveltuvuutta omaan toimintaansa.

Milloin vaikutustenarviointi tulee tehdä?

Vaikutustenarviointi tehdään mm. silloin, kun uutta teknologiaa otetaan käyttöön, käsitellään arkaluonteisia tai muutoin hyvin henkilökohtaisia tietoja tai henkilötietoja käsitellään laajamittaisesti.

Vaikutustenarviointi tulee tehdä ennen kuin palvelu tai järjestelmä otetaan käyttöön.

Tutustu vaikutustenarvioinnin tekemisen ohjeeseen (pff, aukeaa uudessa välilehdessä)

Aloita alkukartoituksesta!

Vaikutustenarvioinnin alkukartoitus tulee tehdä aina, kun ryhdytään suunnittelemaan uutta prosessia, järjestelmähankintaa tai järjestelmän rakentamista kaupungin omassa järjestelmäkehityksessä.

Alkukartoitus on tehtävä myös silloin, kun suunnitellaan merkittäviä muutoksia olemassa oleviin prosesseihin ja järjestelmiin.

Alkukartoituksen kysymyksiin vastaamalla selviää, tuleeko tehdä vaikutustenarviointi vai ottaa tietosuoja huomioon tietosuojan tarkistuslistan avulla.

Tee vaikutustenarvioinnin alkukartoitus (doc, lataa tiedosto itsellesi)

Vaikutustenarviointi vai tietosuojan tarkistuslista?

Jos alkukartoitus osoittaa, että vaikutustenarviointi tulee tehdä, otetaan käyttöön vaikutustenarvioinnin työkalu.

Vaikutustenarvioinnin työkalu (xlsx, lataa tiedosto itsellesi)

Vaikutustenarvioinnin tekemisessä on havaittu hyväksi työpajamenetelmä, jossa pidetään ensin alkukokous, johon kutsutaan tarvittavat asiantuntijat. Alkukokouksessa sovitaan vastuunjaosta. Alkukokouksen jälkeen olevassa vaikutustenarvioinnin työpajassa (tai työpajoissa) asiantuntijat ovat jo ennakkoon selvittäneet vastuualueillaan olevia asioita, jolloin tietojen dokumentointi työkaluun voidaan tehdä yhteisesti.

Jos alkukartoitus on osoittanut, että henkilötietoja käsitellään, mutta varsinaista vaikutustenarviointia ei tarvitse tehdä, tulee käyttöön tietosuojan tarkistuslista.

Tietosuojan tarkistuslista (xlsx, lataa tiedosto itsellesi)

Tietosuojan tarkistuslistalta löytyvät ne asiat, jotka on aina otettava huomioon kehittämisen aikana, vaikka ei käsiteltäisi erityisen arkaluonteista tai muutoin riskialtista henkilötietoa.