DPIAn toteuttamiseen on olemassa kattavia ohjeita. Suomeksi tällainen löytyy esimerkiksi Tietosuojavaltuutetun toimiston sivuilta ja englanniksi vaikkapa ICO:n sivustolta. Molemmilta löytyy myös mallipohjaa ja työkaluja tekemisen tueksi.
Ohjeiden mukaan eteneminen auttaa tekemään DPIAn systemaattisesti ja kattavasti. Lisäksi olen huomannut, että DPIAn tekeminen edellyttää aina seuraavia asioita:
Tahtoa, aikaa ja asiantuntemusta.
Tahtoa
Näyttäytyykö DPIAn tekeminen pakkona vai mahdollisuutena?
Vastaus kertoo paljon siitä, kuinka kivinen tie on edessä. DPIA on laaja ja myös monimutkaiselta tuntuva kokonaisuus.
Jos vaikutustenarviointeja tekee harvoin, niin tämä on varmasti yksi helkatin iso epämukavuusalue, josta ei tunnu olevan mitään hyötyä.
Kun DPIAn tahtoo tehdä kunnolla, niin hyöty on paljon suurempi, kuin pelkkä paperi vaatimustenmukaisuutta varten. Kts. esimerkki lopusta.
Aikaa
DPIAn tekeminen vie aikaa. Tietosuojan vaikutustenarviointi ei ole mikään parin tunnin homma.
Esimerkiksi 2x3h työpajaa, jossa on 4 osallistujaa: 2x3x4= 24h työtä.
Kun on joskus osallistunut DPIAn tekemiseen, ja tietää sen vaatiman ajan ja työn, niin valitettavasti se vaikuttaa myös tahtoon. Epämukavalta tuntuva aikasyöppö ei juuri houkuta. Siksi on tärkeää saada DPIAsta koko hyöty irti, jotta vaatimukset ja hyödyt ovat vähintään tasapainossa.
Asiantuntemusta
DPIAn tekeminen yksin ei ole järkevää, vaan mukaan kannattaa ottaa myös muita asiantuntijoita. Tekeminen onnistuu toki myös yksin, mutta hyödyt jäävät vähäisemmiksi. Lisäksi yksin tekeminen sotii DPIAn tekemisen päätarkoitusta vastaan.
Ota tekemiseen mukaan sellaisia henkilöitä, jotka tuntevat sen henkilötietojen käsittelytoimen, johon DPIAa ollaan tekemässä.
Ota mukaan myös käsittelytoimen omistaja.
Lisäksi mukaan on hyvä ottaa tietosuojaa ja tietoturvaa tuntevia henkilöitä.
GDPR edellyttää, että tietosuojavastaavalta kysytään neuvoa DPIAn tekemiseen, jos organisaatio on nimennyt tietosuojavastaavan.
DPIAn eteneminen
DPIAa voi edistää vaikkapa työpajoissa. On hyvä edellyttää, että osallistujat tutustuvat DPIAn tekemiseen liittyvään materiaaliin ennakolta.
Edetään järjestelmällisesti ja ohjeita noudattaen:
- Kuvataan henkilötietojen käsittely.
- Arvioidaan tietosuojalainsäädännön ja tietosuojaperiaatteiden noudattaminen.
- Tunnistetaan ja arvioidaan riskit.
- Päätetään jatkotoimenpiteistä.
Arvioi henkilötietojen käsittelyä koko matkan aikana. Näin asiat tulee huomioiduksi heti, eikä vasta riskiosiossa.
DPIAn lopputulos
DPIAn lopputuloksena muodostuu kuvaus henkilötietojen käsittelystä, suunnitelma riskien hallitsemiseksi ja osoitusvelvollisuutta tukevaa dokumentaatiota.
Hyödyt eivät kuitenkaan jää tähän…
Tein DPIAa tietoturvatyökalusta, jonka käyttöönottoa eräs organisaatio suunnitteli.
Lopputuloksena ei ollut pelkkä tietosuojan vaikutustenarviointi, vaan:
- syvällinen ymmärrys järjestelmän teknisestä toiminnasta,
- suunnitelmia järjestelmän kustannustehokkaammasta jatkokäytöstä,
- oman ja muiden asiantuntijoiden osaamisen kasvaminen, ja
- ymmärrys organisaation muusta toiminnasta.
Bonuksena positiivinen tunne siitä, että teemme oikeita asioita ja asioita oikein.
Se mikä alkoi tietosuoja-asioiden selvittämisenä, tuottikin uutta osaamista, ymmärrystä ja jatkokehitysmahdollisuuksia.
DPIAn tekeminen auttaa noudattamaan tietosuojavelvoitteita. Muiden hyötyjen lunastaminen edellyttää, että mukana on tahtoa, aikaa ja asiantuntemusta.
Vastaa