Tietosuojaa ja tiedonsiirtoja koskevat vaikutustenarvioinnit – missä tilanteissa DPIA ja TIA tulee tehdä?

EU:n yleinen tietosuoja-asetus 2016/679 (General Data Protection Regulation, GDPR) on EU-jäsenvaltioissa suoraan sovellettava asetus, joka sääntelee henkilötietojen käsittelyä organisaatioissa. Monia GDPR:n organisaatiolle asettamia velvoitteita arvioidaan sitä vasten, millaisia riskejä henkilötietojen käsittelytoiminnassa on (ns. riskiperusteinen lähestymistapa). GDPR:n mukaan rekisterinpitäjällä on velvollisuus osoittaa, että se on noudattanut asetuksen vaatimuksia – vaikutustenarvioinnin ohella tämä vaatii runsaasti erilaista tietosuojadokumentaatiota, kuten käsittelytoimiselosteet, tietosuojaselosteet, kirjalliset ohjeet henkilötietojen käsittelystä henkilöstölle, tietojenkäsittelysopimukset (data processing agreement, DPA) henkilötietojen käsittelijöiden kanssa, käsittelyperusteen dokumentointi ja tasapainotesti käsittelyn perustuessa oikeutettuun etuun, sekä tietoturvaloukkausten dokumentointi.

Tietosuojaa koskeva vaikutustenarviointi

Tietosuojaa koskeva vaikutustenarviointi on prosessi, joka auttaa organisaatioita tunnistamaan ja vähentämään henkilötietojen käsittelytoimintaan liittyviä riskejä. Riskejä voivat olla esimerkiksi käsiteltävien henkilötietojen suuri määrä, terveystietojen tai muiden arkaluonteisten henkilötietojen käsittely, haavoittuvassa asemassa olevien rekisteröityjen henkilötietojen käsittely, uudet teknologiat, yhdistetyt henkilötietokannat ja tiedonsiirrot Euroopan talousalueen ulkopuolelle, näihin kuitenkaan rajoittumatta. GDPR:ssä säädetään tilanteista, missä vaikutustenarviointi on pakollista suorittaa, minkä lisäksi tietosuojaviranomaiset voivat julkaista luetteloa käsittelytoimista, minkä yhteydessä vaikutustenarviointi on suoritettava. Lisäksi Suomen kansallisessa tietosuojalaissa on säädetty vaikutustenarvioinnin vaativista käsittelytilanteista.

Pelkkä vaikutustenarvioinnin olemassaolo ei kuitenkaan riitä, vaan sen on myös sisällöltään vastattava GDPR:n vaatimuksia. Esimerkiksi Helsingin hallinto-oikeuden, joka on käsitellyt rekisterinpitäjien tekemiä valituksia tietosuojaviranomaisen päätöksistä, joissakin ratkaisuissa on katsottu, että vaikka vaikutustenarviointi on sinänsä tehty, sen sisältö ei ole täyttänyt GDPR:n vaatimuksia.

Vaikutustenarvioinnin tekemiseen on väistämättä käytettävä aikaa ja vaivaa, eikä sen tulisi olla organisaatiossa vain yhden henkilön tehtävä. Usein vaikutustenarviointeihin on otettava mukaan, suunnitellusta käsittelytoiminnasta ja käytettävistä tietojärjestelmistä riippuen, esimerkiksi HR-, markkinointi- ja IT-asioista vastaavia henkilöitä juridisen neuvonantajan lisäksi. Myös rekisteröityjen eli käsittelytoiminnan kohteena olevien henkilöiden (kuten työntekijöiden tai asiakkaiden), näkemyksiä suunniteltuun käsittelytoimintaan tulisi kerätä. Useinkaan DPIA:n, tai varsinkaan TIA:n, tekeminen ei ole mahdollista ilman henkilötietoja käsittelevän palveluntarjoajan osallistumista – palveluntarjoaja kun tuntee esim. toimittamansa pilvipalvelun tekniset ominaisuudet ja tietoturvan paremmin kuin tällaista palvelua hankkiva rekisterinpitäjäasiakas.

Vaikka vaikutustenarviointia ei olisikaan pakko toteuttaa, se on erittäin hyödyllinen työkalu käsittelytoimien suunnittelussa ja osoitusvelvollisuuden toteuttamisessa.

Tiedonsiirtoja koskeva vaikutustenarviointi, Transfer Impact Assessment (TIA)

GDPR-riskien alla oma asiansa on henkilötietojen siirtäminen ETA-alueen ulkopuolelle ns. kolmansiin maihin, joiden osalta Euroopan komissio ei ole tehnyt päätöstä riittävästä tietosuojan tasosta. Tämä aiheuttaa päänvaivaa etenkin niille lukuisille organisaatioille, jotka käyttävät vaikkapa yhdysvaltalaisten palveluntarjoajien palveluita, tai muita tietojenkäsittelijöitä, jotka siirtävät henkilötietoja alihankkijoilleen käsiteltäväksi Yhdysvaltoihin tai muihin kolmansiin maihin.

Henkilötietojen siirtämisestä on sovittava tiedonsiirtoon osallistuvien osapuolten välillä GDPR V luvun mukaisella siirtoperusteella – tavallisin näistä on tiedonsiirtoja koskevat Euroopan komission julkaisemat mallisopimuslausekkeet (Standard Contractual Clauses, SCC) täydennettynä tarvittavilla lisäsuojatoimilla (kuten tietojen kryptaus). Mallisopimuslausekkeissa on neljä eri moduulia, joista on valittava kuhunkin siirtotilanteeseen oikea:

• Moduuli 1 C2C– siirto EU-rekisterinpitäjältä EU:n ulkopuoliselle rekisterinpitäjälle
  • Esimerkiksi kun suomalainen yhtiö siirtää asiakasrekisterissään olevia henkilötietoja samaan konserniin kuuluvalle yhdysvaltalaiselle yhtiölle
• Moduuli 2 C2P – siirto EU-rekisterinpitäjältä EU:n ulkopuoliselle käsittelijälle
  • Esimerkiksi kun suomalainen yhtiö käyttää yhdysvaltalaista pilvipalvelua asiakkaidensa tai työntekijöidensä henkilötietojen käsittelyyn
• Moduuli 3 P2P– siirto EU-käsittelijältä EU:n ulkopuoliselle käsittelijälle
  • Esimerkiksi kun suomalainen yhtiö käyttää ranskalaista pilvipalvelua, ja tämä ranskalainen palveluntarjoaja siirtää suomalaisen yhtiön (asiakkaansa) henkilötietoja EU:n ulkopuolisille alihankkijoilleen
• Moduuli 4 P2C– siirto EU-käsittelijältä (joka on GDPR:n soveltamisalan piirissä) EU:n ulkopuoliselle rekisterinpitäjälle (joka on GDPR:n soveltamisalan ulkopuolella)
  • Esimerkiksi kun yhdysvaltalainen yhtiö käyttää suomalaista pilvipalvelua, ja suomalainen EU-käsittelijä siirtää käsiteltävät henkilötiedot takaisin Yhdysvaltoihin.

Sen lisäksi, että Applexilla on runsaasti kokemusta DPIA- ja TIA-arviointien toteuttamisesta ja mallisopimuslausekkeiden käyttämisestä, Applex on myös avustanut päämiehiään tietosuojaviranomaisen suorittamissa tutkinnoissa, joiden kohteena on muun ohella ollut kansainväliset henkilötietojen siirrot ja näihin liittyvät vaikutustenarvioinnit.

Mikäli organisaatiosi tarvitsee apua tietosuojalainsäädännön noudattamisessa, Teknologia & Tietosuoja -tiimimme vetäjä, tietosuojasertifioitu (CIPP/E) asianajaja Ville Vainio auttaa mielellään GDPR-haasteiden taklaamisessa.