Tietosuojaa koskeva vaikutustenarviointi (DPIA) ja sen suhde tutkimuseettiseen ennakkoarviointiin

EU:n tietosuoja-asetuksen (GDPR) mukaan tietosuojaa koskeva vaikutustenarviointi (DPIA) tulee tehdä, jos henkilötietojen käsittely aiheuttaa todennäköisesti korkean riskin niille henkilöille, joiden henkilötietoja käsitellään (35 artiklan 1 kohta).

• GDPR:n 35 artiklan 3-kohdassa mainitaan tilanteita, joissa vaikutustenarviointi ”erityisesti” vaaditaan. GDPR:n esimerkit eivät ole kuitenkaan tyhjentäviä, ja DPIA voi olla tarpeen tehdä muissakin kuin 3-kohdan tarkoittamissa tilanteissa.
• Esimerkiksi 35 artiklan 3-kohdan (b) alakohdan mukaan DPIA tulee tehdä, jos käsitellään laajamittaisesti erityisiä henkilötietoryhmiä tai rikostuomioita koskevia tietoja

Erityisiä henkilötietoryhmiä ovat:

1. henkilön terveydentilaan ja sairauksiin liittyvät tiedot;
2. tiedot, joista ilmenee henkilön rotu tai etninen alkuperä, poliittiset mielipiteet, uskonnollinen tai filosofinen vakaumus tai ammattiliiton jäsenyys; tai
3. geneettisten tai biometristen tietojen käsittely henkilön yksiselitteistä tunnistamista varten sekä henkilön seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot.

Arvioitaessa, onko kyseessä laajamittainen käsittely, tulee EU:n tietosuojatyöryhmän mukaan ottaa huomioon seuraavat seikat:

• rekisteröityjen lukumäärä, joko täsmällisenä lukuna tai osuutena kyseisestä väestöstä;
• käsiteltävien henkilötietojen määrä ja/tai käsiteltävien erillisten tietoyksikköjen määrä;
• käsittelytoimen kesto tai pysyvyys;
• käsittelytoimen maantieteellinen ulottuvuus

Lisää tietoa siitä milloin DPIA on tarpeen tehdä ja keinoista selvittää liittyykö käsittelyyn todennäköisesti GDPR:ssä tarkoitettu "korkea riski":, löytyy EU:n tietosuojatyöryhmän ohjeesta. Linkki ohjeeseen: https://tietosuoja.fi/documents/6927448/8316711/Vaikutustenarviointi+fi.pdf/af51e999-5326-4223-9deb-e21bdd2e0a63/Vaikutustenarviointi+fi.pdf

EU:n tietosuojatyöryhmän ohjeessa on kuvattu muitakin tilanteita, joissa rekisteröidyille voi aiheutua korkea riski, jolloin DPIA tulee tehdä. Tällaisia tilanteita on muun muassa:

• heikossa asemassa olevien rekisteröityjen henkilötietojen käsittely, jollaisia ovat  esimerkiksi lapset, työntekijät, mielenterveysongelmista kärsivät henkilöt, turvapaikanhakijat, ikääntyneet ihmiset, potilaat sekä muut heikommassa asemassa olevat ja erityistä suojelua tarvitsevat väestöryhmät;
• tietokokonaisuuksien yhdistäminen rekisteröidyn kohtuulliset odotukset ylittävällä tavalla, kun kyseessä ovat esimerkiksi kahdesta tai useammasta eri tarkoituksiin suoritetusta ja/tai eri rekisterinpitäjien suorittamasta tiedonkäsittelytoimesta peräisin olevat tietokokonaisuudesta; sekä
• uusien teknisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen, esimerkiksi sormenjälkien ja kasvojen tunnistuksen yhdistäminen kulunvalvonnan parantamiseksi.

Lisäksi DPIA tulee tehdä Suomen tietosuojalain 31 §:n perusteella, jos tutkimuksessa käsitellään erityisiä henkilötietoryhmiä, ja tutkimuksessa halutaan poiketa tietyistä tutkittavan GDPR:n mukaisista oikeuksista. DPIA tulee toimittaa Suomen tietosuojavaltuutetun toimistoon tiedoksi ennen henkilötietojen käsittelyyn ryhtymistä, kun kyse on tutkittavan oikeuksista poikkeamisesta.

GDPR edellyttää vaikutusten selvittämistä ja tarpeellisten toimenpiteiden kuvaamista GDPR 35 artiklan 7 kohdan mukaisesti.

DPIA vaaditaan myös Suomen tietosuojalain 31 §n perusteella, jos tutkimuksessa käsitellään erityisiä henkilötietoryhmiä ja halutaan poiketa tietyistä tutkittavan GDPR:n mukaisista oikeuksista

• DPIA:lle on olemassa mallipohja,
  • Asiakirjapohja: Vaikutustenarviointi (DPIA) tutkimuksille 
• DPIA:a tehtäessä on konsultoitava Aallon tietosuojavastaavaa (GDPR 35 artiklan 2 kohta).
• DPIA tulee lisäksi toimittaa Suomen tietosuojaviranomaiselle tiedoksi, Aallon tietosuojavastaavan kautta, kun kyse on tutkittavan oikeuksista poikkeamisesta.

GDPR:n mukaan DPIA tulee tehdä ennen kuin henkilötietojen käsittelyä voidaan aloittaa. DPIA tulee liittää tutkimuseettiseen lausuntopyyntöön.

35 artikla

Tietosuojaa koskeva vaikutustenarviointi

1. Jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.

2. Tietosuojaa koskevaa vaikutustenarviointia tehdessään rekisterinpitäjän on pyydettävä neuvoja tietosuojavastaavalta, jos sellainen on nimitetty.

3. Edellä 1 kohdassa tarkoitettu tietosuojaa koskeva vaikutustenarviointi vaaditaan erityisesti tapauksissa joissa:

a) luonnollisten henkilöiden henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi, joka perustuu automaattiseen käsittelyyn, kuten profilointiin, ja johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi;

b) laajamittainen käsittely, joka kohdistuu 9 artiklan 1 kohdassa tarkoitettuihin erityisiin henkilötietoryhmiin tai 10 artiklassa tarkoitettuihin rikostuomioita tai rikkomuksia koskeviin tietoihin; tai

c) yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.

- - -

7.  Arvioinnin on sisällettävä vähintään:

a)  järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja  käsittelyn tarkoituksista,  mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;

b)  arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;

c)   arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja

d)  suunnitellut  toimenpiteet  riskeihin puuttumiseksi,  mukaan lukien suoja- ja  turvallisuustoimet  ja  mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.

- - -

9.  Rekisterinpitäjän on tapauksen mukaan pyydettävä rekisteröityjen tai näiden edustajien näkemyksiä suunnitelluista käsittelytoimista, ilman että  tämä saa  vaikuttaa kaupallisten  tai  yleisten etujen suojeluun tai  käsittelytoimien turvallisuuteen.

- - -

11.Rekisterinpitäjän on  tehtävä  tarvittaessa uudelleentarkastelu  arvioidakseen, tapahtuuko  käsittely  tietosuojaa koskevan vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu

36 artikla

Ennakkokuuleminen

1.  Rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos 35 artiklassa säädetty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.

2.  Jos valvontaviranomainen katsoo, että suunniteltu 1 kohdassa tarkoitettu käsittely rikkoisi tätä asetusta, erityisesti jos  rekisterinpitäjä ei  ole  riittävästi tunnistanut tai  pienentänyt riskiä,  valvontaviranomaisen on  enintään kahdeksan viikon kuluessa kuulemispyynnöstä annettava kirjallisesti ohjeet rekisterinpitäjälle tai tapauksen mukaan henkilötietojen käsittelijälle ja se voi käyttää 58 artiklassa tarkoitettuja valtuuksiaan. Määräaikaa voidaan jatkaa kuudella viikolla ottaen huomioon suunnitellun  käsittelyn  monimutkaisuus. Jos  sovelletaan jatkettua määräaikaa, valvontaviranomaisen on ilmoitettava rekisterinpitäjälle ja tarvittaessa henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa pyynnön vastaanottamisesta. Näitä määräaikoja voidaan pidentää, kunnes valvontaviranomainen on saanut tiedot, joita se on mahdollisesti pyytänyt kuulemista varten.