DPIA vaikutustenarviointi – milloin sitä tarvitaan?
Rami Lappalainen
Mikä vaikutustenarviointi?
Vaikutustenarviointi on keskeinen osa riskienhallintaa ja tietosuojan varmistamista erityisesti opetustoimessa, jossa käsitellään nuorten henkilötietoja. Vaikutustenarvioinnin avulla voidaan varmistaa, että henkilötietojen käsittely on turvallista ja tietosuoja-asetuksen mukaista.
Erityisesti nuorten henkilötietojen kohdalla vaikutustenarviointi on tärkeää, koska alaikäiset eivät välttämättä ymmärrä henkilötietojensa käsittelyn kaikkia seurauksia. Tällöin rekisterinpitäjän eli kunnan ja opetustoimen on varmistettava, että tietojen käsittely on turvallista ja asianmukaista.
On tärkeää arvioida, miten tietoja käsitellään, missä niitä säilytetään ja kuinka ne suojataan mahdollisilta tietoturvaloukkauksilta.
Milloin vaikutustenarviointi on tarpeen?
Vaikutustenarviointi tulee tehdä aina, kun tietojenkäsittelyyn liittyy merkittäviä riskejä rekisteröityjen oikeuksille ja vapauksille. Opetustoimen kontekstissa tämä voi tarkoittaa esimerkiksi uusien digitaalisten sovellusten käyttöönottoa, joissa käsitellään oppilaiden laajoja tai erityisiä henkilötietoja. Tällöin on tärkeää arvioida, miten tietoja käsitellään, missä niitä säilytetään ja kuinka ne suojataan mahdollisilta tietoturvaloukkauksilta.
Milloin vaikutustenarviointia ei tarvita?
Aluksi rekisterinpitäjän tulee tunnistaa ja arvioida riskit, joita tietojen käsittely voi aiheuttaa rekisteröidyille. Prosessi alkaa alkukartoituksella, jossa käydään läpi pääkohdat millaista tietoa järjestelmässä käsitellään ja onko varsinaista aikaavievää vaikutustenarviointia tarpeellista tehdä.
Alkukartoitukseen kannattaa hyödyntää Opetushallituksen valmista lomaketta, jonka kysymyksiin vastataan kyllä/ei -tyyppisesti. Kaavakkeen täyttö kannattaa tehdä uuden ohjelmiston toimittajan asiantuntijoiden avulla. Jos lomakkeen pisteytys vaatii vaikutustenarvioinnin tekemisen tulee se tehdä ennen järjestelmän käyttöönottoa.
Kaikissa tapauksissa vaikutustenarviointi ei kuitenkaan ole tarpeellista. Mikäli sovelluksessa ei käsitellä laajoja, arkaluonteisia tai erityisiä henkilötietoja ja tietoja ei tallenneta ulkomaisille tai tuntemattomille pilvipalvelimille tai luovuteta kolmansille osapuolille tarpeettomasti, on epätodennäköistä, että vaikutustenarviointiin on tarvetta.
Alfons ja vaikutustenarviointi
Alfons on alun alkujaan suunniteltu juuri tästä näkökulmasta. Tietokantaamme tallentuu ainoastaan minimoidut henkilötiedot ja kaikki tiedot tallennetaan Suomessa sijaitsevaan palvelinkeskukseen. Olemme erityisen tarkkoja siitä, että tietoja käsitellään vain tarkoituksenmukaisiin käyttötarkoituksiin.
Usein analytiikka ja lokitiedot ovat pimeä kohta, joiden tallentamia tietoja on vaikea määritellä mihin ne siirtyvät ja kuinka niitä hyödynnetään. Meillä nämäkin tiedot tallennetaan järjestelmän sisäisesti samaan turvalliseen kotimaiseen palvelinkeskukseen. Näistä syistä johtuen vaikutustenarviointia ei Alfonsin käyttöönotossa tarvita.
Vaikka vaikutustenarviointia ei tarvita, tulee rekisterinpitäjän tehdä tietosuojan tarkastelu ja varmistua siitä, että olemassa olevat suojatoimet ovat riittäviä. Olemme tässä tarkastelussa tukenasi. Jos haluat tietää lisää meidän tietosuojaan liittyvistä periaatteista ota yhteyttä [email protected]. Olemme täällä juuri sinua varten!