Installa laaja kokemus erilaisista vaikutustenarvioinneista
Teemme laajasti tietosuojaa koskevia vaikutustenarviointeja (Data Protection Impact Assessment - DPIA) esimerkiksi uusille järjestelmille, sovelluksille ja palveluille sekä muille uusille käsittelytoimille. Tarkasteltavana voi olla esimerkiksi pilvipalvelu, tekoälyjärjestelmä, arkaluonteisten tietojen käsittely tai HR-palvelu. Päivitämme myös aiemmin tehtyjä vaikutustenarviointeja henkilötietojen käsittelyn työkalujen tai prosessien muutostilanteiden yhteydessä. Asiantuntemuksemme kattaa sekä julkisen että yksityisen sektorin kohteita.
Tekoälyjärjestelmien vaikutustenarviointeihin voimme tarvittaessa yhdistää EU:n tekoälysäädöksen edellyttämän perusoikeusvaikutusten arvioinnin (Fundamental Rights Impact Assessment, FRIA). Perusoikeusvaikutusten arvioinnilla ja tietosuojan vaikutustenarvioinnilla on nähtävissä selviä yhtymäkohtia, ja tällöin arviointien yhdistämistä voidaan suositella.
Mitä hyötyjä saat vaikutustenarvioinnista palveluna?
Asiantuntemus ja tehokkuus
Käytettävissä ovat kokeneet asiantuntijat ja tehokas prosessi vaikutustenarvioinnin läpiviemiselle
DPIA-projekti saadaan käyntiin nopeasti asiakkaan tarpeesta riippuen
Tietosuojan asiantuntijoiden lisäksi vaikutustenarviointiin osallistuu tarpeen mukaan kyberturvallisuuden eri osa-alueisiin erikoistuneita asiantuntijoita
Osoitus tietosuojan tasosta
Vaikutustenarviointi toimii osoituksena tietosuojan tasosta asiakkaille ja yhteistyökumppaneille
Täytetään yleisen tietosuoja-asetuksen (GDPR) mukainen tietosuojan osoitusvelvollisuus
Vaikutustenarviointi on lähes välttämätön osa sovelluskehityksen sisäänrakennetun ja oletusarvoisen tietosuojan varmistamista
Ymmärryksen kasvattaminen
Vaikutustenarviointiprojektin sisältämä tietosuojakonsultointi toimii myös koulutuksellisena kokemuksena vaikutustenarviointiin osallistuville organisaation työntekijöille
Tietosuojasääntelyn rikkomusten todennäköisyys pienenee, kun käsittelyn riskit ymmärretään
Selkeä raportointi ja hinnoittelu
Tuloksena riippumaton, selkeä ja käytännönläheinen raportti sisältäen havaitut riskit ja priorisoidut toimenpide-ehdotukset riskien hallitsemiseksi
Tarjoamme kiinteän, ennustettavan hinnoittelun
Milloin vaikutustenarviointi tulee tehdä?
Rekisterinpitäjänä toimiva organisaatio on vastuussa tietosuojaa koskevan vaikutustenarvioinnin tekemisestä. Vaikutustenarviointi on yleisen tietosuoja-asetuksen (GDPR) mukaisesti välttämätön esimerkiksi silloin, kun arkaluonteisia tietoja (kuten terveystiedot, uskonto, ammattiliiton jäsenyys, rikostiedot) käsitellään laajamittaisesti, yleisölle avoimia alueita valvotaan laaja-alaisesti esimerkiksi kameravalvonnalla tai kun yksilön henkilökohtaisia ominaisuuksia arvioidaan järjestelmällisesti ja kattavasti esimerkiksi profiloimalla henkilöitä markkinoinnin kohdentamiseksi.
Vaikutustenarvioinnin tarve arvioidaan tilannekohtaisesti, jos henkilötietoja käsitellään esimerkiksi seuraavilla tavoilla:
Käytetään uutta teknologiaa, kuten sormenjälki- tai kasvotunnistusta
Käsittely on laajamittaista ottaen huomioon rekisteröityjen tai käsiteltävien tietojen määrän sekä maantieteellisen ulottuvuuden
Henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla järjestelmällisesti ja kattavasti
Päätöksiä tehdään automaattisesti ja päätöksillä on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia
Rekisteröityjä tai yleisölle avointa aluetta valvotaan järjestelmällisesti ja laajamittaisesti
Tietokokonaisuuksia yhdistetään rekisteröidyn kannalta ennakoimattomalla ja odottamattomalla tavalla, kuten useasta eri lähteestä
Rekisteröidyt ovat heikommassa asemassa, kuten lapset ja työntekijät
Suomessa vaikutustenarviointi tulee tehdä esimerkiksi whistleblowing- eli ilmoituskanavasta sekä käsitellessä sijaintitietoja laajamittaisesti ja yhdistettäessä erillisiä tietokokonaisuuksia.
