Suoraan sisältöön

Tietosuojaa koskeva vaikutustenarviointi

Tietosuojaa koskevan vaikutustenarvioinnin tarkoituksena on tunnistaa, arvioida ja hallita henkilötietojen käsittelyyn liittyviä riskejä. Jo käsittelyä suunniteltaessa tulee arvioida ja dokumentoida, millaiset riskit henkilötietojen käsittelystä ihmisille aiheutuu.

Helsingin kaupunki on julkaissut omat vaikutustenarvioinnin työkalunsa. Julkaisemisen tavoitteena on helpottaa tietosuojaan liittyvää yhteistyötä kaupungin ja sen palveluntuottajien välillä sekä lisätä läpinäkyvyyttä henkilötietojen käsittelyssä.

Lisäksi Helsingin kaupunki haluaa edistää sisäänrakennetun ja oletusarvoisen tietosuojan toteutumista myös kaupungin rajojen ulkopuolella antamalla vaikutustenarvioinnin työkalut kaikkien käyttöön.

Vaikutustenarvioinnin työkalut on suunniteltu Helsingin kaupungin toimintaan, joten kaupungin ulkopuolisen käyttäjän on harkittava niiden soveltuvuutta omaan toimintaansa.

Milloin vaikutustenarviointi tulee tehdä?

Vaikutustenarviointi tehdään mm. silloin, kun uutta teknologiaa otetaan käyttöön, käsitellään arkaluonteisia tai muutoin hyvin henkilökohtaisia tietoja tai henkilötietoja käsitellään laajamittaisesti.

Vaikutustenarviointi tulee tehdä ennen kuin palvelu tai järjestelmä otetaan käyttöön.

Aloita alkukartoituksesta!

Vaikutustenarvioinnin alkukartoitus tulee tehdä aina, kun ryhdytään suunnittelemaan uutta prosessia, järjestelmähankintaa tai järjestelmän rakentamista kaupungin omassa järjestelmäkehityksessä.

Alkukartoitus on tehtävä myös silloin, kun suunnitellaan merkittäviä muutoksia olemassa oleviin prosesseihin ja järjestelmiin.

Alkukartoituksen kysymyksiin vastaamalla selviää, tuleeko tehdä vaikutustenarviointi vai ottaa tietosuoja huomioon tietosuojan tarkistuslistan avulla.

Vaikutustenarviointi vai tietosuojan tarkistuslista?

Jos alkukartoitus osoittaa, että vaikutustenarviointi tulee tehdä, otetaan käyttöön vaikutustenarvioinnin työkalu ja riskianalyysilomake.

Vaikutustenarvioinnin tekemisessä on havaittu hyväksi työpajamenetelmä, jossa pidetään ensin alkukokous, johon kutsutaan tarvittavat asiantuntijat. Alkukokouksessa sovitaan vastuunjaosta. Alkukokouksen jälkeen olevassa vaikutustenarvioinnin työpajassa (tai työpajoissa) asiantuntijat ovat jo ennakkoon selvittäneet vastuualueillaan olevia asioita, jolloin tietojen dokumentointi työkaluun voidaan tehdä yhteisesti.

Jos alkukartoitus on osoittanut, että henkilötietoja käsitellään, mutta varsinaista vaikutustenarviointia ei tarvitse tehdä, tulee käyttöön tietosuojan tarkistuslista.

Tietosuojan tarkistuslistalta löytyvät ne asiat, jotka on aina otettava huomioon kehittämisen aikana, vaikka ei käsiteltäisi erityisen arkaluonteista tai muutoin riskialtista henkilötietoa.



JAA
26.11.2019 10:31