Tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA)

In English

Mikäli tutkimuksessasi aiotaan käsitellä henkilötietoja ja käsittely aiheuttaisi tutkittaville korkean riskin, pitää hankkeesta tehdä lainsäädännön vaatima tietosuojaa koskeva vaikutustenarviointi (Data Protection Impact Assessment, DPIA) ennen henkilötietojen käsittelyn aloittamista. Jos haluat alustavasti kartoittaa, onko vaikutustenarvioinnin (DPIA) tekeminen tarpeen oman tutkimuksesi osalta, katso ensin ohjeet sivulla Tutkimuksen tietosuojan ennakkoarviointi.

Muistathan, että henkilötietojen käsittelyssä on noudatettava aina ensisijaisesti rekisterinpitäjän antamia ohjeita. Sinun tulee siis aina varmistaa omasta organisaatiostasi, missä tapauksessa ja miten vaikutustenarviointi on tehtävä.

Tällä sivulla on dokumentin runko ja apukysymyksiä, joiden avulla voit arvioida riskejä ja miettiä, miten voit käsitellä ja suojata tutkimusaineistoa niin, että riskit vähenevät tai poistuvat.

Tarkempaa tietoa vaikutustenarvioinnista löydät myös tietosuojavaltuutetun sivuilta.

Tietosuojaa koskeva vaikutustenarviointi

1. Kuvaus käsittelytoimista

Tässä kohdassa kuvataan, mitä henkilötietoja aiotaan käsitellä ja miten.

Rekisterinpitäjä(t)

Kuka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot?

Käsittelijä(t)

Kuka käsittelee henkilötietoja rekisterinpitäjän lukuun?

Rekisteröidyt ja heidän lukumääränsä

  • Keitä rekisteröidyt ovat?
  • Henkilöiden lukumäärä tai arvio siitä?

Käsiteltävät tiedot ja henkilötietojen luonne

  • Mitä tietoa käsitellään?
  • Käsiteltävien tietojen määrä?

Henkilötietojen käsittelyyn liittyvä erityislainsäädäntö

Liittyykö henkilötietojen käsittelyyn erityislainsäädäntöä? Esim. toisiolaki tai lääketieteellistä tutkimusta koskeva lainsäädäntö.

Kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoitus

  • Yleinen kuvaus tehtävästä tutkimuksesta. Miksi henkilötietoja käsitellään?
  • Miten ja minne tiedot tallennetaan?
  • Miten tietoja käytetään?
  • Kenelle tietoja luovutetaan?
  • Miten tiedot arkistoidaan, poistetaan ja/tai hävitetään?

2. Henkilötietojen siirto EU:n ja ETA:n ulkopuolelle

Luovutetaanko/siirretäänkö henkilötietoja EU:n/ETA:n ulkopuolelle, minne ja miksi? Ota huomioon myös tiedon tallennuspaikka (esim. EU:n ulkopuolella sijaitseva palvelin) sekä pääsy tietoihin etäyhdeydellä EU:n / ETA:n ulkopuolelta.

3. Käsittelyn lainmukaisuuden arviointi

Tässä kohdassa arvioidaan käsittelyn lainmukaisuutta, oikeasuhteisuutta ja tarpeellisuutta. Kuvaile havaitut riskit ja/tai negatiiviset vaikutukset rekisteröidyille. Vastaa seuraaviin kysymyksiin:

Miksi henkilötietojen käsittelyä tarvitaan ja mikä on käsittelyn lainmukainen peruste?

  • Mitä hyötyä tietojen käsittely tuo?
  • Voisiko samaan tavoitteeseen päästä henkilötietojen suojaan tai yksityisyyteen vähemmän puuttuvilla keinoilla?
  • Mikä seuraavista on henkilötietojen lainmukainen peruste:
    • Yleistä etua koskeva tehtävä/rekisterinpitäjälle kuuluvan julkisen vallan käyttö (esim. tutkimus, arkistointi)
    • Suostumus
    • Joku muu, mikä?

Käsittelyn läpinäkyvyys

  • Miten henkilöille annetaan tietoa heidän tietojensa käsittelystä?
  • Voivatko rekisteröidyt helposti ymmärtää, miten heidän henkilötietojaan käsitellään, kenelle tietoja luovutetaan ja miten käsittely mahdollisesti vaikuttaa heidän toimintaansa/elämäänsä/oikeuksiinsa?
  • Jos kohderyhmänä on haavoittuvassa tai alisteisessa asemassa olevia henkilöitä (esim. lapset, seniorit), miten huomioit tämän informoinnissa?
  • Jos tutkittavia ei informoida, miten perustelet tämän?

Käyttötarkoitussidonnaisuus

  • Miten varmistetaan, että tietoja käytetään vain suunniteltuun ja informoituun käyttötarkoitukseen?
  • Aiotaanko tietoja käyttää tuleviin tutkimuksiin? Mitä vaikutuksia tällä mahdollisesti on tutkittaville?

Tietojen täsmällisyys

  • Ovatko tiedot luonteeltaan staattisia vai edellyttääkö henkilötietojen käsittely tietojen päivittämistä?
  • Miten tiedot pidetään ajan tasalla ja virheettöminä? Onko sillä merkitystä rekisteröidyille?

Tietojen minimointi

  • Onko kaikki käsiteltävä tieto tarpeellista?
  • Miten varmistutaan, ettei kerätä tarpeetonta tietoa, ja että tietoja säilytetään muodossa, josta tutkittava on tunnistettavissa ainoastaan niin kauan, kun on tarpeen tietojenkäsittelyn tarkoituksen toteutumista varten?
  • Miten varmistutaan, että henkilötietojen käsittelyssä ei synny tarpeettomia kopioita?

Säilytyksen rajoittaminen

  • Kauanko henkilötiedot ovat tarpeellisia ja kauanko niitä säilytetään?
  • Miten tiedot poistetaan tietoturvallisesti?
  • Arkistoidaanko henkilötietoja, minne?
  • Onko riskiä siitä, että henkilötietoja säilytetään kauemmin kuin on tarpeen?

Tietojen suojaaminen

  • Mitä tietoteknisiä resursseja ja toiminnallisuuksia suunniteltu käsittely edellyttää?
  • Miten tiedot suojataan ne tallennettaessa tai niitä siirrettäessä (esim. salaus, pseudonymisointi, varmuuskopiointi)?
  • Miten pääsyoikeudet aineistoihin määritellään ja toteutetaan?
  • Miten arvioit riskiä siitä, että joku saa laittomasti pääsyn aineistoon taikka tiedot muuttuvat tai häviävät tahattomasti/asiattomasti?

Rekisteröityjen oikeuksien toteuttaminen

  • Miten toteutetaan rekisteröityjen oikeudet? Onko niitä rajoitettu?
  • Miten tutkittava voi käyttää oikeuksiaan? Miten tutkittavan henkilöllisyys varmistetaan oikeuksia toteutettaessa?
  • Onko tutkittavilla mahdollista saada pääsy omiin tietoihinsa ja onko mahdollista toimittaa tiedoista jäljennös tietoturvallisella tavalla?
  • Onko tutkittavalla mahdollisuus saada tietonsa poistetuksi?
  • Onko tutkittavalla mahdollisuus saada tietojaan korjatuksi/päivitetyksi/täydennetyksi?
  • Jos käsittelyperuste on yleinen etu: Onko rekisteröidyillä mahdollisuus vastustaa käsittelyä?
  • Jos käsittelyperuste on suostumus: Pystyykö rekisteröity helposti peruuttamaan suostumuksensa?

4. Konsultointi

Mitä tahoja olisi hyvä konsultoida henkilötietojen käsittelyyn ja edellä mainittuihin kysymyksiin liittyen? Täydennä näiden tahojen kommentit edellä olevaan kohtaan 3. Käsittelyn lainmukaisuuden arviointi. Ohjeita ja neuvoja voi yleensä kysyä esim. seuraavilta:

  • Rekisteröidyt/tutkittavat
  • Käytettävät käsittelijät/alihankkijat
  • Oman organisaatiosi tietosuojavastaava
  • Oman organisaatiosi tietoturva-asiantuntijat
  • Joku muu taho organisaatiossasi?

5. Käsittelyn vaikutukset rekisteröityjen oikeuksille ja vapauksille sekä suunnitelmat vaikutusten minimoimiseksi

Tässä kohdassa luetellaan arvioinnissa havaittuja tietojen käsittelystä aiheutuvia vaikutuksia ja riskejä rekisteröidyille sekä arvioidaan niiden todennäköisyyttä ja vakavuutta.

Riskitapahtumat voivat liittyä esim. erilaisiin työvaiheisiin, kuten aineiston tallentamiseen, siirtämiseen ja käsittelyyn erilaisissa käyttöympäristöissä tai aineiston pidempiaikaiseen säilytyspaikkaan. Tutustu oman organisaatiosi tietosuojakäytäntöihin etenkin henkilötietojen käsittelyn osalta ja vastaa seuraaviin:

  • Mistä saattaa aiheutua mahdollisia riskejä tutkittaville (mikä on riskien alkuperä)?
  • Mitä mahdollisia vaikutuksia rekisteröidyille aiheutuu?
  • Onko tietojen käsittelyllä vaikutuksia rekisteröityjen perusoikeuksiin tai muihin lainmukaisiin oikeuksiin?

Vaikutukset voivat olla esim.

  • taloudellisia
  • fyysisiä (kuten terveyshaitta, väkivallan uhka, kuolema)
  • psyykkisiä (kuten ahdistus, stressi, mielipaha)
  • mainehaitta
  • sosiaalinen haitta tai syrjintä
  • identiteettivarkauden uhka
  • lisävaiva
  • lainmukaisten oikeuksien toteutumatta jääminen.

6. Hyväksyntä ja uudelleentarkastelu

Kuka tarkastaa ja hyväksyy vaikutustenarvioinnin?

Selvitä omasta organisaatiostasi, kuka tarkastaa ja hyväksyy vaikutustenarvioinnin.

Aiotaanko aineisto tallettaa Kielipankkiin?

Henkilötietojen käsittelystä aiheutuvia riskejä ja keinoja niiden pienentämiseksi tulee arvioida myös Kielipankin kautta tapahtuvaa jatkokäyttöä ajatellen. Aineistoa tallettavan tutkijan on tarvittaessa päivitettävä vaikutustenarviointi, jonka avulla selviää, onko aineiston tallettaminen mielekästä ja mitkä Kielipankin tarjoamat suojatoimet ovat aineiston kannalta riittäviä.

Vaikutustenarvioinnin päivittäminen

Jos tutkimus on kestoltaan pidempiaikaista tai jatkuvaa, tutkijan/tutkimusryhmän on määriteltävä ajankohta vaikutustenarvioinnin uudelleentarkastelulle (esimerkiksi kerran vuodessa). Vaikutustenarviointi on päivitettävä myös muulloin, jos tutkimuksessa tapahtuu merkittäviä muutoksia.

Mitä jos riskit ovat korkeita eikä niitä voida kohtuudella pienentää?

Jos vaikutustenarvioinnin seurauksena todetaan, että henkilötietojen käsittely aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille JA vaikutuksia ei saada pienennettyä kohtuullisin keinoin, arviointi on toimitettava valvontaviranomaiselle (Tietosuojavaltuutettu) ennakkokuulemista varten ennen käsittelyyn ryhtymistä. Vaikutustenarviointi on toimitettava Tietosuojavaltuutetulle tiedoksi ennen käsittelyyn ryhtymistä myös silloin, kun aiotaan poiketa rekisteröidyn oikeuksista ja käsitellään erityisiin henkilötietoryhmiin (arkaluonteiset tiedot) kuuluvia henkilötietoja.

 

Viimeksi muokattu 2025-05-26