Tietosuojaa koskevat vaikutustenarvioinnit (eli DPIA:t) ovat rekisterinpitäjälle keskeinen väline varmistettaessa yleisen tietosuoja-asetuksen (GDPR) noudattaminen. Rekisterinpitäjinä toimivat useimmiten softapalvelujen käyttäjät eli asiakkaat, kun taas softavalmistajat useimmiten asemoituvat henkilötietojen käsittelijöiksi.
Ohjelmistokehittäjänä saatat ihmetellä, miksi sinun pitäisi välittää DPIA:sta ja miten ne vaikuttavat työhösi? Softapalvelun käyttäjä tarvitsee valmistajalta tietoja vaikutustenarvioinnin tekemiseen. Usein pelkästään valmistajan tietosuojasivuilta löytyvät tiedot eivät riitä, vaan tarvitaan yhteistyötä. Jo tämän vuoksi on tärkeää ymmärtää vaikutustenarvioinnin merkitys ja sisältö.
Tietosuojaa koskeva vaikutustenarviointi on prosessi, joka auttaa tunnistamaan ja lieventämään mahdollisia riskejä niiden henkilöiden yksityisyydelle ja oikeuksille, joiden henkilötietoja käsitellään.
DPIA ei ole yksi kaikille sopiva prosessi, vaan joustava ja mukautuva työkalu, joka voidaan räätälöidä kontekstin ja tarpeiden mukaan. On kuitenkin olemassa joitain yleisiä vaiheita, joita voidaan noudattaa DPIA-prosessissa:
DPIA:n laajuuden ja tarkoituksen määrittäminen, mukaan lukien käsittelytoiminnan tavoitteet, laajuus ja oikeusperusta, rekisterinpitäjän ja henkilötietojen käsittelijän tehtävät ja vastuut sekä sidosryhmät ja rekisteröidyt.
Tietovirtojen ja käsittelytoimien kuvaaminen, mukaan lukien henkilötietojen lähteet, tyypit ja luokat, tietojen keräämiseen, tallentamiseen, käsittelyyn ja siirtämiseen käytetyt menetelmät ja tekniikat sekä säilytys- ja poistokäytännöt.
Käsittelytoimien tarpeellisuuden ja oikeasuhteisuuden arviointi, mukaan lukien henkilötietojen käsittelyn oikeutus ja perustelut, yhdenmukaisuus tietosuojaperiaatteiden ja rekisteröidyn oikeuksien kanssa sekä vaihtoehdot tietojenkäsittelyn minimoimiseksi.
Tietosuojariskien tunnistaminen ja arviointi, mukaan lukien yksilöiden yksityisyydelle ja oikeuksille mahdollisesti aiheutuvien haittojen todennäköisyys ja vakavuus, kuten tietojen luvaton käyttö, paljastaminen, muuttaminen tai poistaminen, syrjintä, identiteettivarkaus tai taloudelliset menetykset.
Riskinhallintatoimenpiteiden toteuttaminen ja seuranta, mukaan lukien tekniset ja organisatoriset toimenpiteet tietosuojariskien estämiseksi, vähentämiseksi tai poistamiseksi, kuten salaus, anonymisointi, pseudonymisointi, pääsynhallinta, suostumusten hallinta tai tietoturvaloukkauksista ilmoittaminen.
Vaikutustenarvioinnin tulosten dokumentointi ja raportointi, mukaan lukien vaikutustenarvioinnin tiivistelmä ja päätelmät, toimintasuunnitelma ja suositukset tietosuojan noudattamisen parantamiseksi sekä kuuleminen ja viestintä asiaankuuluvien sidosryhmien ja sääntelyviranomaisten kanssa.
Tietosuojaa koskeva vaikutustenarviointi auttaa myös osoittamaan vastuullisuutta ja avoimuutta rekisteröityjä, sääntelyviranomaisia ja sidosryhmiä kohtaan.
Kuinka voit integroida DPIA:t ohjelmistokehityksen elinkaareen?
Jotta softapalvelun tarjoaja voisi parhaalla mahdollisella tavalla toimia asiakkaan apuna DPIA-prosessissa, on hyvä integroida DPIA-ajattelu jo ohjelmistokehityksen elinkaareen. Käytännössä tämä tarkoittaa:
Sisäänrakennetun tietosuojan ja oletusarvoisen yksityisyyden suojan periaatteiden ja käytäntöjen sisällyttämistä ohjelmistokehitysprosessiin, jolla varmistetaan, että tietosuoja otetaan huomioon alusta alkaen ja koko ohjelmistokehityksen elinkaaren ajan.
Yhteyden ottamista asiaankuuluviin sidosryhmiin ja rekisteröityihin, kuten tietosuojavastaavaan, lakitiimiin, tietoturvatiimiin, tuotteen omistajaan, projektipäällikköön, loppukäyttäjiin ja sääntelyviranomaisiin sekä sen varmistamista, että eri sidosryhmien näkemykset ja palaute huomioidaan, ja että heitä tiedotetaan ja kuullaan tietosuojakysymyksistä ja -ratkaisuista.
Korkealaatuisten ja yksityisyyttä suojaavien ohjelmistopalvelujen tuottamista niin, että palvelut täyttävät rekisteröityjen, rekisterinpitäjän ja henkilötietojen käsittelijän odotukset ja tarpeet, sekä varmistamalla, että ohjelmistopalvelut ovat vaatimustenmukaisia, turvallisia, läpinäkyviä ja käyttäjäkeskeisiä.
