Siirry pääsisältöön

Milloin täytyy tehdä tietosuojaa koskeva vaikutustenarviointi?

Vastaus

Tietosuojaa koskeva vaikutustenarviointi on tehtävä silloin, kun on luultavaa, että käsittelystä seuraa yksilöiden oikeuksiin ja vapauksiin liittyvä korkea riski. Tietosuojaa koskeva vaikutustenarviointi pitää tehdä ainakin seuraavissa tapauksissa:

  • yksilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja kattavasti, profilointi mukaan lukien
  • arkaluonteisia tietoja käsitellään laajamittaisesti
  • yleisölle avoimia alueita valvotaan laaja-alaisesti.

Kansalliset tietosuojaviranomaiset yhdessä Euroopan tietosuojaneuvoston kanssa voivat antaa luettelon tapauksista, joissa tietosuojaa koskeva vaikutustenarviointi on tehtävä. Tietosuojaa koskeva vaikutustenarviointi pitää tehdä ennen käsittelyä, ja sitä ei pidä tehdä vain kerran vaan arvioinnin on oltava jatkuvaa. Jos kaikkia riskejä ei voida lieventää käytössä olevilla toimenpiteillä, on otettava yhteyttä tietosuojaviranomaiseen ennen käsittelyn aloittamista.

Esimerkkejä

Tietosuojaa koskeva vaikutustenarviointi pitää tehdä
Pankki vertaa asiakkaiden tietoja luottotietorekisterin tietoihin, sairaala aikoo ottaa käyttöön uuden potilastietokannan, liikenneyhtiö aikoo asentaa linja-autoihinsa videokamerat kuljettajien ja matkustajien käyttäytymisen seuraamiseksi.

Tietosuojaa koskevaa vaikutustenarviointia ei tarvitse tehdä
Kunnanlääkäri käsittelee potilaidensa henkilötietoja. Kyseisessä tapauksessa tietosuojaa koskeva vaikutustenarviointi ei ole tarpeen, koska kunnanlääkäri ei käsittele tietoja laajamittaisesti, koska potilaiden määrä on rajallinen.

Viitteet

Examples

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.