Tietosuojavaltuutetun toimisto on päivittänyt GDPR:n tietosuojavaikutusten arviointeja (DPIA) koskevan osion, jossa keskitytään riskeihin, vastuuvelvollisuuteen ja sisäänrakennettuun tietosuojaan. Myös 35 artiklan 4 kohta on julkisessa kuulemisessa 13. huhtikuuta asti.
Tietosuojavaikutusten arvioinnit tai DPIA:t, jotka on joissain tapauksissa täytettävä, ovat uusi velvollisuus tietojen käsittelijöille yleisen tietosuoja-asetuksen mukaisesti.
Käsiteltäessä tietoja, jotka "todennäköisesti aiheuttavat suuren riskin yksilöiden eduille", on suoritettava DPIA riskitason määrittämiseksi. Jos taso on korkea, tietovaltuutetun toimisto pyytää sinua ottamaan yhteyttä suoraan heihin.
Jos teet jo tietosuojavaikutusten arviointeja (PIA), sinun on tarkistettava prosessi ennen 25. toukokuuta 2018 varmistaaksesi, että se on GDPR-päivitysten mukainen. Organisaatioiden, jotka eivät vielä tee tietosuojavaikutusten arviointeja, tulisi varata aikaa DPIA:n suunnitteluun ja sisällyttämiseen prosesseihinsa.
Tämä arvio, jonka teki GDPR, on prosessi, jonka tarkoituksena on auttaa sinua tunnistamaan ja minimoimaan (mutta ei välttämättä poistamaan) kaikki riskit, jotka uhkaavat sinun ja organisaatiosi käsittelemien tietojen suojaa.
ICO sanoo, että tietosuojavaikutusten arvioinnissasi on:
Arvioinnin päätarkoituksena on suojata riskialttiita tietoja, mutta se auttaa myös osoittamaan sitoutumisesi tietoturvaan ja auttaa rakentamaan luottamusta yksilöiden kanssa. Vaatimustenmukaisuusriski on erittäin tärkeä, mutta laajempi riski oikeuksille ja vapauksille (mukaan lukien sosiaalinen tai taloudellinen haitta) tulee ottaa huomioon tietosuojavaikutusten arvioinnissa. Tämä sisältää "mahdollisen haitan - fyysisen, aineellisen tai ei-aineellisen - yksilöille tai yhteiskunnalle yleensä".
Kuten aiemmin käsittelimme, DPIA on suoritettava ennen sinua käsitellä tietoja, jotka voivat aiheuttaa suuren riskin. Tämä on arvioida riskin tasoa ja tunnistaa tekijät, jotka voivat vaikuttaa yksilöihin. GDPR:n mukaan sinun tulee suorittaa DPIA, jos:
ICO on julkaissut korkean tason oppaan DPIA:n suunnittelusta, joka näkyy tässä kuvassa, mutta voit räätälöidä prosessin organisaatioosi sopivaksi. Muista, että tämän pitäisi olla yksi organisaatiosi ydinprosesseista, joten sen on toimittava sinulle. Saatat haluta noudattaa myös DPIA:n suunnittelua koskevia eurooppalaisia ohjeita.
Tietosuojavaltuutetun toimisto on avannut julkista kuulemista varten luonnoksen tietosuojavaikutusten arvioinneista. Lue yksityiskohdat ja kerro mielipiteesi ICO:n verkkosivuilla.
