Tietosuojaa koskevat vaikutustenarvioinnit (eli DPIA:t) ovat rekisterinpitäjälle keskeinen väline varmistettaessa yleisen tietosuoja-asetuksen (GDPR) noudattaminen. Rekisterinpitäjinä toimivat useimmiten softapalvelujen käyttäjät eli asiakkaat, kun taas softavalmistajat useimmiten asemoituvat henkilötietojen käsittelijöiksi.
Ohjelmistokehittäjänä saatat ihmetellä, miksi sinun pitäisi välittää DPIA:sta ja miten ne vaikuttavat työhösi? Softapalvelun käyttäjä tarvitsee valmistajalta tietoja vaikutustenarvioinnin tekemiseen. Usein pelkästään valmistajan tietosuojasivuilta löytyvät tiedot eivät riitä, vaan tarvitaan yhteistyötä. Jo tämän vuoksi on tärkeää ymmärtää vaikutustenarvioinnin merkitys ja sisältö.
Tietosuojaa koskeva vaikutustenarviointi on prosessi, joka auttaa tunnistamaan ja lieventämään mahdollisia riskejä niiden henkilöiden yksityisyydelle ja oikeuksille, joiden henkilötietoja käsitellään.
DPIA ei ole yksi kaikille sopiva prosessi, vaan joustava ja mukautuva työkalu, joka voidaan räätälöidä kontekstin ja tarpeiden mukaan. On kuitenkin olemassa joitain yleisiä vaiheita, joita voidaan noudattaa DPIA-prosessissa:
DPIA:n laajuuden ja tarkoituksen määrittäminen, mukaan lukien käsittelytoiminnan tavoitteet, laajuus ja oikeusperusta, rekisterinpitäjän ja henkilötietojen käsittelijän tehtävät ja vastuut sekä sidosryhmät ja rekisteröidyt.
Tietovirtojen ja käsittelytoimien kuvaaminen, mukaan lukien henkilötietojen lähteet, tyypit ja luokat, tietojen keräämiseen, tallentamiseen, käsittelyyn ja siirtämiseen käytetyt menetelmät ja tekniikat sekä säilytys- ja poistokäytännöt.
Käsittelytoimien tarpeellisuuden ja oikeasuhteisuuden arviointi, mukaan lukien henkilötietojen käsittelyn oikeutus ja perustelut, yhdenmukaisuus tietosuojaperiaatteiden ja rekisteröidyn oikeuksien kanssa sekä vaihtoehdot tietojenkäsittelyn minimoimiseksi.
Tietosuojariskien tunnistaminen ja arviointi, mukaan lukien yksilöiden yksityisyydelle ja oikeuksille mahdollisesti aiheutuvien haittojen todennäköisyys ja vakavuus, kuten tietojen luvaton käyttö, paljastaminen, muuttaminen tai poistaminen, syrjintä, identiteettivarkaus tai taloudelliset menetykset.
Riskinhallintatoimenpiteiden toteuttaminen ja seuranta, mukaan lukien tekniset ja organisatoriset toimenpiteet tietosuojariskien estämiseksi, vähentämiseksi tai poistamiseksi, kuten salaus, anonymisointi, pseudonymisointi, pääsynhallinta, suostumusten hallinta tai tietoturvaloukkauksista ilmoittaminen.
Vaikutustenarvioinnin tulosten dokumentointi ja raportointi, mukaan lukien vaikutustenarvioinnin tiivistelmä ja päätelmät, toimintasuunnitelma ja suositukset tietosuojan noudattamisen parantamiseksi sekä kuuleminen ja viestintä asiaankuuluvien sidosryhmien ja sääntelyviranomaisten kanssa.
Tietosuojaa koskeva vaikutustenarviointi auttaa myös osoittamaan vastuullisuutta ja avoimuutta rekisteröityjä, sääntelyviranomaisia ja sidosryhmiä kohtaan.
Kuinka voit integroida DPIA:t ohjelmistokehityksen elinkaareen?
Jotta softapalvelun tarjoaja voisi parhaalla mahdollisella tavalla toimia asiakkaan apuna DPIA-prosessissa, on hyvä integroida DPIA-ajattelu jo ohjelmistokehityksen elinkaareen. Käytännössä tämä tarkoittaa:
Sisäänrakennetun tietosuojan ja oletusarvoisen yksityisyyden suojan periaatteiden ja käytäntöjen sisällyttämistä ohjelmistokehitysprosessiin, jolla varmistetaan, että tietosuoja otetaan huomioon alusta alkaen ja koko ohjelmistokehityksen elinkaaren ajan.
Yhteyden ottamista asiaankuuluviin sidosryhmiin ja rekisteröityihin, kuten tietosuojavastaavaan, lakitiimiin, tietoturvatiimiin, tuotteen omistajaan, projektipäällikköön, loppukäyttäjiin ja sääntelyviranomaisiin sekä sen varmistamista, että eri sidosryhmien näkemykset ja palaute huomioidaan, ja että heitä tiedotetaan ja kuullaan tietosuojakysymyksistä ja -ratkaisuista.
Korkealaatuisten ja yksityisyyttä suojaavien ohjelmistopalvelujen tuottamista niin, että palvelut täyttävät rekisteröityjen, rekisterinpitäjän ja henkilötietojen käsittelijän odotukset ja tarpeet, sekä varmistamalla, että ohjelmistopalvelut ovat vaatimustenmukaisia, turvallisia, läpinäkyviä ja käyttäjäkeskeisiä.
Haluatko kuulla lisää? Tervetuloa 30 min bitesize-aamukahville 5.3. klo 8.30–9.00 (online). GDPR-sovelluskirjaston Soili Meklin ja Risto Korhonen avaavat, miten ohjelmistojen ja digipalveluiden kehittäjät voivat helpottaa ja nopeuttaa asiakkaiden hankintapäätöksiä tarjoamalla proaktiivisesti myös tietosuoja-arviointeihin tarvittavat tiedot. 👉 Ilmoittaudu tästä
Kirjoittaja
Tuoteomistaja/GDPR-sovelluskirjasto | Ilona IT Oy
Soili Meklin
Blogitekstin kirjoittaja on Soili Meklin, joka toimii tuoteomistajana GDPR-sovelluskirjastopalvelussa. Ennen Ilonalle tuloaan hän toimi 12 vuotta oppilaitoksen rehtorina ja ollut hankkimassa erilaisia sovelluksia käyttöön. Lisäksi hän on vastannut organisaation tietosuojatoimien ja –prosessien ylläpidosta ja kehittämisestä.
Ilona IT Oy on oppimisen teknologian asiantuntijayritys, joka välittää asiakkailleen satoja sovelluksia ja pilvipalveluja vuodessa. Ilona IT kuuluu belgialaiseen SignPost Groupiin, jolla on palvelumyyntiä 10 Euroopan maassa.
Syksyllä 2023 Ilona IT lanseerasi asiakkaiden tietosuojatyöskentelyä helpottavan GDPR-sovelluskirjaston, johon kytketään nyt myös erillinen DPIA-työkalu.
Software Finland ry:n jäsenenä liityt elinvoimaiseen softa-alan yhteisöön, jossa opit huippuosaajilta, pääset jakamaan kokemuksia muiden yrittäjien ja johtajien kanssa, sekä kasvattamaan bisneksen kannalta elintärkeää verkostoasi.