Tietosuojan vaikutustenarviointi (data processing impact assessment, DPIA) on menettely, jolla henkilötietojen käsittelyyn liittyviä riskejä arvioidaan jo ennen kuin henkilötietoja aletaan käsitellä. Vastuussa tietosuojan vaikutustenarvioinnista on rekisterinpitäjä. Tämä velvoite tulee eteen myös tekoälyä käyttöönotettaessa.
GDPR:ssä säännelty henkilötietojen käsittelyn vaikutustenarviointi on siis eri velvoite kuin tekoälyasetuksessa säännelty ja aiemmassa blogissa käsitelty tekoälyjärjestelmän perusoikeusarviointi (fundamental rights impact assessment, FRIA). Nämä kaksi arviointia on mahdollista yhdistää, mikäli vaatimukset molempien tekemiselle täyttyvät. Lisäksi jos järjestelmää koskien on jo laadittu tietosuojaa koskeva vaikutusten arviointi, sitä on myös mahdollista täydentää perusoikeusarvioinnilla tekoälyasetuksen 27 artiklan 4 kohdan mukaisesti.
Tässä kirjoituksessa kertaan tietosuojaa koskevan vaikutustenarvioinnin prosessin.
Vaihe 1: Alkukartoitus vaikutustenarvioinnin tarpeesta
Vaikutustenarviointi on hyödyllistä aloittaa lähtötilanteen kartoittamisella, jossa yksilöidään ja rajataan arvioinnin kohde. Alkukartoitus auttaa arvioimaan vaikutustenarvioinnin tarpeellisuutta. Hyvä alkukartoitus sisältää konkreettisia kysymyksiä suunnitellun henkilötietojen käsittelyn luonteesta ja sisällöstä ja heijastaa tietosuoja-asetuksen vaatimuksia. Tärkeää on pysähtyä pohtimaan, miten ja millaisia henkilötietoja aiotaan käsitellä.
Milloin vaikutustenarviontia vaaditaan?
Tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan vaikutustenarviointi on suoritettava, “jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin”.
Vaikutustenarviointi vaaditaan (GDPR 35 artikla 3 kohta) erityisesti silloin, kun kyseessä on
a) henkilökohtaisten ominaisuuksien järjestelmällinen ja kattava arviointi esim. profiloimalla ihmisiä, siten että toiminta johtaa ihmisiä koskeviin merkittäviin päätöksiin;
b) laajamittainen käsittely, joka kohdistuu erityisiin henkilötietoryhmiin (esim. terveystiedot) tai rikostuomioita tai rikkomuksia koskeviin tietoihin; tai
c) yleisölle avoimen alueen järjestelmällinen valvonta laajamittaisesti.
Edellä oleva lista ei kuitenkaan ole tyhjentävä. Viranomaisohjeistuksen mukaan vaikutustenarviointivelvoitteen laukaiseva korkea riski on tyypillisesti käsillä, jos seuraavista kriteereistä vähintään kaksi täyttyy:
- Henkilöiden arviointi tai pisteytys
- Automaattinen päätöksenteko, jolla on henkilöön oikeusvaikutuksia
- Ihmisten järjestelmällinen valvonta
- Erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely
- Henkilötietojen laajamittainen käsittely
- Tietokokonaisuuksien yhdistäminen
- Heikommassa asemassa olevien, kuten lasten, henkilötietojen käsittely
- Uuden teknologian tai organisatorisen ratkaisun soveltaminen tai innovatiivinen käyttö.
Peukalosääntönä on hyvä muistaa, että tekoäly on uutta teknologiaa, joka mahdollistaa mm. laajamittaisen tiedonkäsittelyn, tietojen yhdistelyn ja profiloinnin. Näin ollen sen käyttöönotto tilanteessa, johon liittyy henkilötietojen käsittelyä, useimmiten edellyttää vaikutustenarvioinnin tekemistä.
Lisäksi myös tietosuojavaltuutetun erikseen listaamat käsittelytoimet vaativat vaikutustenarvointia. Vaikutustenarviointia vaativien tilanteiden kokonaisuus on siis laaja. Tarvetta tehdä vaikutustenarviointi voikin arvioida tarkemmin tietosuojatyöryhmän kriteerien pohjalta (Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”, Liite II). Myös Tietosuojavaltuutetun toimisto on laatinut kattavat ohjeet vaikutustenarvioinnin järjestämisestä helpottamaan rekisterinpitäjän työtä.
Vaihe 2: Tunnista lakisääteiset velvoitteet
Jos alkukartoituksen myötä käy selväksi, että vaikutustenarviointi on tarpeellinen, siirrytään itse arviointiin. Pysähdy kuitenkin viimeistään tässä kohden arvioimaan suunniteltuun henkilötietojen käsittelyyn liittyviä lakisääteisiä velvoitteita myös riskimallinnusta laajemmin. Kuvaa tietosuoja-asetuksesta ja muusta lainsäädännöstä tulevat vaatimukset ja niiden toteuttaminen. Näin saat selville ja dokumentoitua, noudatetaanko lainsäädäntöä henkilötietojen käsittelyssä. Tämä hyödyttää myös vaikutustenarvionnin tekemistä.
Tietosuojan ja tekoälyn yhteensovittamiseen liittyviä kysymyksiä käsitellään mm. tietosuojavaltuutetun uudella verkkosivulla.
Vaihe 3: Tee vaikutustenarviointi
Seuraava vaihe on tunnistaa henkilötietojen käsittelystä aiheutuvat riskit ja määritellä, miten riskeihin reagoidaan. Tietosuojavaltuutetun toimiston ohjeessa riski on jaettu neljään osatekijään: uhka, uhan vaikutukset rekisteröidylle, vaikutusten vakavuus rekisteröidylle ja uhan todennäköisyys.
Vaikutustenarvionti ei ole määrämuotoinen dokumentti ja sen sisältöä voit suunnitella myös itse. Huomaa kuitenkin, että tietosuoja-asetus sisältää minimivaatimukset vaikutustenarvioinnille (35 artikla, kohta 7). Niiden mukaan arvioinnin on sisällettävä vähintään:
a) järjestelmällinen kuvaus suunnitelluista käsittelytoimista, ja käsittelyn tarkoituksista, mukaan lukien tarvittaessa rekisterinpitäjän oikeutetut edut;
b) arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden;
c) arvio 1 kohdassa tarkoitetuista rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä; ja
d) suunnitellut toimenpiteet riskeihin puuttumiseksi, mukaan lukien suoja- ja turvallisuustoimet ja mekanismit, joilla varmistetaan henkilötietojen suoja ja osoitetaan, että tätä asetusta on noudatettu ottaen huomioon rekisteröityjen ja muiden asianomaisten oikeudet ja oikeutetut edut.
Vaihe 4: Hyväksy arviointi
Kun arviointi on valmistunut, se hyväksytään organisaatiossa päätetyn käytänteen mukaan. Aina hyväksyntä ei ole rekisterinpitäjän omissa käsissä! Jos vaikutustenarvioinnissa linjattujen toimenpiteiden toteuttamisesta huolimatta riski jää korkeaksi, ei henkilötietoja saa käsitellä ilman tietosuojaviranomaisen kuulemista (36 artikla).
Vaihe 5: Päivitä arviointi tarvittaessa
Vaikutustenarvioinnin päivitys tulee ajankohtaiseksi esimerkiksi lainsäädännön muutosten tai toimintaympäristön muuttumisen myötä. Suunnittele, miten huolehdit, että vaikutustenarviointi pysyy ajantasaisena ympäristössä, jossa tekoälyjärjestelmän ominaisuudet ja käyttötavat voivat muuttua nopeastikin.
Miten Reson voi auttaa?
Tekoälyn käyttöönottoon liittyvät DPIA- ja FRIA-velvoitteet vaativat vankkaa juridista osaamista ja ennakointia. Me Resonilla autamme organistaatiotasi navigoimaan sääntelyn läpi ja laatimaan sääntelyn edellyttämät vaikutustenarvioinnit. Näin varmistat, että tekoälyn hyödyntäminen on paitsi innovatiivista, myös juridisesti kestävää ja vastuullista.
Tutustu tekoälyä ja tietosuojaa koskeviin referensseihimme
Resonin juristit kouluttavat säännöllisesti tekoälyjuridiikasta.
Vastaamon tietomurto herätti monta kysymystä työntekijän ja johdon vastuusta tietoturvan johtamisesta.
Tekoälyn käyttö lentokorvauksien käsittelyssä säästää aikaa ja rahaa. Palvelun suunnittelussa juristien apu…
Steerpathin menestys matkalla kansainvälisesti tunnustetuksi paikkatietoteknologian yritykseksi on perustunut innovaatioiden lisäksi…
Duunitori valitsi Resonin tukemaan HR-prosessiensa ja tietosuojakäytäntöjensä kehittämistä yrityksen kasvaessa Suomen suurimmaksi…
Catchboxin design on palkittu lukuisilla palkinnoilla. Sen IPR-suojattuja innovaatioita on kehitetty pitkäjänteisesti…