Siirry sisältöön
Skip to page content

4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset

Harrastustoiminnan järjestäjän on arvioitava henkilötietojen käsittelyyn liittyviä riskejä aina, ennen kuin se ryhtyy käsittelemään henkilötietoja. Kun henkilötietojen käsittelyyn todennäköisesti liittyy korkea riski henkilöille, joiden tietoja käsitellään, on tehtävä tietosuojan vaikutustenarviointi. Tietosuojan vaikutustenarviointi auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä.

Vaikutustenarvioinnissa arvioidaan henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskeihin puututaan. Vaikutustenarviointi on tehtävä silloin, kun suunnitellaan henkilötietojen käsittelyä, joka todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. Se on tarkoitettu jatkuvaksi riskien tunnistamisen ja hallitsemisen prosessiksi. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa.

Tarvittavat suojatoimenpiteet on suhteutettava henkilötietojen käsittelystä aiheutuvaan riskiin: mitä korkeampi käsittelyyn liittyvä riski on, sitä tehokkaampaa suojausta tarvitaan. Riski voi olla korkea, kun käsitellään esimerkiksi erityisiin henkilötietoryhmiin kuuluvia tietoja, lasten tietoja tai laajaa joukkoa koskevaa ja suurta määrää henkilötietoja.

Mitä tarkoitetaan riskillä?

Yleisessä tietosuoja-asetuksessa riskillä tarkoitetaan henkilötietojen käsittelystä rekisteröidylle mahdollisesti aiheutuvia fyysisiä, aineellisia tai aineettomia vahinkoja esimerkiksi silloin, kun käsittely saattaa johtaa syrjintään, identiteettivarkauteen tai petokseen, taloudellisiin menetyksiin, sosiaaliseen vahinkoon tai pseudonymisoinnin kumoutumiseen.

Riskin tasoa arvioidaan henkilötietojen käsittelyn luonteen, laajuuden, toistumisen, asiayhteyden ja tarkoitusten perusteella. Mitä laajamittaisempaa ja säännöllisempää käsittely on ja mitä arkaluonteisimmista henkilötiedoista on kyse, sitä korkeampi riski rekisteröidyille voi aiheutua. Jos yhdistys käsittelee laajamittaisesti arkaluontoisia tai erityisiin henkilötietoryhmiin sisältyviä tietoja, sen tulee laatia käsittelystä tietosuojan vaikutustenarviointi. Esimerkiksi harrastajien terveystietojen käsittelyä voi vaatia vaikutustenarvioinnin tekemisen.

Tietosuojavaltuutetun toimisto on laatinut ohjeen rekisterinpitäjien tueksi tietosuojan vaikutustenarvioinnin tekemistä varten ja yksinkertaisen Excel-kirjaamistyökalun, jota voi halutessaan käyttää vaikutustenarvioinnin tekemiseen.

Lue lisää: Vaikutustenarviointi | Tietosuojavaltuutetun toimisto

Milloin tietosuojan vaikutustenarviointi tulee laatia?

Tietosuojan vaikutustenarviointi tulee laatia, kun suunniteltu henkilötietojen käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Tällainen tilanne on käsillä esimerkiksi silloin, kun henkilötietojen käsittelyssä käytetään uutta teknologiaa, erityisiä henkilötietoja käsitellään laajamittaisesti ja kun käsitellään haavoittuvassa asemassa olevien (esim. lapset, työntekijät, ikääntyneet) henkilötietoja.

Muista

Tunnista ja arvioi henkilötietojen käsittelystä rekisteröidyille aiheutuvat riskit. Laadi tietosuojan vaikutustenarviointi, kun riski on korkea.

3. Sovi henkilötietojen käsittelystä
5. Ilmoita henkilötietojen tietoturvaloukkauksesta