Käsittelyyn liittyvien riskien arvioiminen

17.10.2022 – Ohjesivut

Rekisterinpitäjän ja käsittelijän on suojattava henkilötietoja luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta hävittämiseltä, tuhoutumiselta tai vahingoittumiselta. Suojatoimien riittävyyttä on punnittava suhteessa olosuhteisiin ja riskeihin.

Rekisterinpitäjällä on velvollisuus arvioida henkilötietojen käsittelyyn liittyviä riskejä. Rekisterinpitäjän on arvioitava, mitä rekisteröidyn vapauksia ja oikeuksia käsittely voi vaarantaa ja mitä vahinkoja rekisteröidylle voi mahdollisesti aiheutua suunnitellusta henkilötietojen käsittelystä. Rekisterinpitäjällä on velvollisuus toteuttaa kaikki tarpeelliset toimenpiteet riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi.

Lue käsittelyyn liittyvien riskien arvioimisesta tietosuojavaltuutetun toimiston verkkosivuilta:

Arvioi riskit ja suunnittele toimenpiteet tietosuojan toteuttamiseksi

Tietosuojavaltuutetun toimisto on kansallinen valvontaviranomainen, joka valvoo tietosuojalainsäädännön noudattamista.

Euroopan tietosuojaneuvoston ohjeet

Euroopan tietosuojaneuvosto on riippumaton EU:n elin, joka vastaa tietosuojasääntöjen yhdenmukaisesta soveltamisesta Euroopan unionissa ja edistää EU:n tietosuojaviranomaisten välistä yhteistyötä. Ennen tietosuojaneuvoston perustamista EU:n tietosuojaviranomaisten yhteistyöelimenä toimi WP29-työryhmä.

Tutustu Euroopan tietosuojaneuvoston ohjeisiin sisäänrakennetusta ja oletusarvoisesta tietosuojasta: Ohjeet 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta (pdf).
Tutustu myös Euroopan tietosuojatyöryhmän (WP29) ohjeisiin tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” tietosuoja-asetuksessa tarkoitettu ”korkea riski”(pdf)
Jos henkilötietojen käsittelyyn liittyy henkilötietojen käsittely videolaitteilla tai sijaintitiedon käsittely, tutustu myös Euroopan tietosuojaneuvoston ohjeisiin koskien henkilötietojen käsittelyä videolaitteilla (pdf) ja henkilötietojen käsittelyä verkkoon liitettyjen ajoneuvojen ja liikkuvuuteen liittyvien sovellusten yhteydessä.

Tietosuojavaltuutetun toimiston päätökset

Henkilötietojen käsittelyyn liittyvien riskien arviointiinon otettu kantaa muun muassa seuraavissa tietosuojavaltuutetun toimiston päätöksissä:

Asiakkaiden henkilötietojen välittäminen työntekijöiden henkilökohtaisiin puhelimiin WhatsApp-sovelluksella Yritys oli käyttänyt asiakastietojen välittämiseen yritykseltä työntekijälle WhatsApp-pikaviestipalvelua. Tietoihin lukeutuvat esimerkiksi asiakkaiden nimet, osoitteet, puhelinnumerot, ovikoodit ja avainboksien numerot. Tietosuojavaltuutettu katsoi, että rekisterinpitäjän menettely ei vastannut eheyden ja luottamuksellisuuden periaatteeseen, sisäänrakennetun ja oletusarvoisen tietosuojan velvoitteeseen ja käsittelyn turvallisuuteen liittyviä vaatimuksia, eikä rekisterinpitäjä ollut huomioinut, että sen tulee asetuksen riskiperusteisen lähestymistavan mukaisesti toteuttaa riskejä vastaavat tekniset ja organisatoriset toimenpiteet henkilötietojen riittävän suojaamisen varmistamiseksi (9024/181/19).

Käsittelyyn liittyvien riskien arvioiminen

Euroopan tietosuojaneuvoston ohjeet

Tietosuojavaltuutetun toimiston päätökset

Tietosuojaa koskeva vaikutustenarviointi

Tietoturvaloukkaukset