Vaikutusanalyysin (PIA, AIPD tai DPIA) merkitys

Ote Bruno DUMAYn kirjasta: GDPR:n purkaminen – yritysten ja organisaatioiden johtajille, strategisille osastoille ja työntekijöille – Esipuhe: Gaëlle MONTEILLER

On mahdollista, että "tietosuojan vaikutustenarvioinnista" (DPIA) tulee GDPR:n symboli (englanniksi puhutaan DPIA:sta, Data Protection Impact Assessmentista tai lyhyesti PIA:sta, Privacy Impact Assessmentista). Joka tapauksessa se on työkalu, jolla yritykset pidetään vastuullisina ja estetään niitä toimimasta kuluttajien vahingoksi. Vaatimalla ennakkotyötä ennen tietojenkäsittelytoimia ja tarvittaessa kuulemista valvontaviranomaisen kanssa, se tarjoaa vakavan takuun yksityisyyden kunnioittamisesta. 

Vaikutustenarviointi vaaditaan ennen käsittelyä, "kun tietyntyyppinen käsittely, erityisesti uusien teknologioiden avulla ja ottaen huomioon käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset, todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille" (35 artiklan 1 kohta). Siinä täsmennetään, että analyysi voi liittyä useisiin samankaltaisiin käsittelytoimiin, jotka aiheuttavat saman tyyppisiä korkeita riskejä. Näistä säännöksistä voidaan päätellä, että jos "korkeaa riskiä" ei ole ja/tai jos analyysi on jo tehty vastaavista toimista, analyysi ei ole pakollinen (samoin kun käsittely liittyy yleisen edun mukaiseen tehtävään, poikkeus on jo mainittu).

"Korkean riskin" käsitettä ei ole nimenomaisesti määritelty, mutta CNIL tarkentaa "yksityisyyteen kohdistuvan riskin" käsitettä. Tämä on "skenaario, joka kuvaa pelättyä tapahtumaa (luvaton pääsy tietoihin, ei-toivottu muuttaminen tai katoaminen ja sen mahdolliset vaikutukset yksilöiden oikeuksiin ja vapauksiin); kaikkia uhkia, jotka mahdollistaisivat sen tapahtumisen. Se arvioidaan vakavuuden ja todennäköisyyden perusteella. Vakavuus on arvioitava kyseisten yksilöiden, ei organisaation, osalta." Tämä on riittävän epämääräinen ja laaja, jotta voidaan katsoa, että yksityisyyteen kohdistuva riski, ja siten korkea, vastaa monia käsittelytoimia.

Artiklan 35-4 mukaan valvontaviranomaisen on julkaistava luettelo toiminnoista, joista analyysi vaaditaan. Sillä välin G29 on yhdistänyt GDPR:n eri kohtia laatiakseen yhdeksän kriteerin luettelon (4. huhtikuuta 2017 annetut ohjeet, muutettu 4. lokakuuta 2017), jotka voivat viitata siihen, että käsittelytoimi todennäköisesti aiheuttaa korkean riskin:

– ”arviointi tai luokitus, mukaan lukien profilointi tai ennustaminen, joka liittyy erityisesti ”rekisteröidyn työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin tai kiinnostuksen kohteisiin, luotettavuuteen tai käyttäytymiseen tai sijaintiin ja liikkeisiin liittyviin näkökohtiin” (johdanto-osan 71 ja 91 kappale)”;

– ”automaattinen päätöksenteko, jolla on oikeudellinen tai vastaavalla merkittävä vaikutus”;

– ”systemaattinen seuranta”;

– ”arkaluonteisia tai erittäin henkilökohtaisia tietoja”. Näihin voivat sisältyä tiedot poliittisista mielipiteistä, rikostuomioista ja potilaskertomuksista, mutta myös, kuten G29-ryhmä toteaa, sähköposteista, päiväkirjoista ja muistiinpanoista. Jos kyseinen henkilö on julkistanut tämän tyyppisiä tietoja, tämä otetaan huomioon;

– ”laajamittaisesti käsitellyt tiedot”. Laajamittaisen käsittelyn käsitettä ei ole täsmennetty, mutta WG29 suosittelee, että huomioon otetaan asianomaisten henkilöiden lukumäärä, tietojen määrä, kesto ja käsittelyn maantieteellinen laajuus;

– ”tietojoukkojen risteäminen tai yhdistäminen”;

– ”haavoittuvassa asemassa olevia henkilöitä koskevat tiedot (johdanto-osan 75 kappale)” eli lapset, työntekijät, mielenterveysongelmista kärsivät henkilöt, turvapaikanhakijat, ikääntyneet, potilaat jne.;

– ”uusien teknologisten tai organisatoristen ratkaisujen innovatiivinen käyttö tai soveltaminen”. G29 mainitsee erityisesti sormenjälkitunnistuksen ja kasvojentunnistuksen yhdistetyn käytön eli esineiden internetin;

– käsittely, joka ”estää rekisteröityjä käyttämästä oikeutta tai hyötymästä palvelusta tai sopimuksesta”. G29 antaa esimerkkinä pankin, joka seuloisi asiakkaitaan luottoluokitustietokantaa vasten ennen lainapäätösten tekemistä.

G29 katsoo, että kahden näistä yhdeksästä kriteeristä täyttävä käsittely edellyttää tietosuojavaikutustenarviointia (vaikka yksikin kriteeri riittäisi). CNIL antaa esimerkin: "yritys ottaa käyttöön työntekijöidensä toiminnan seurannan, tämä käsittely täyttää järjestelmällisen seurannan ja haavoittuvia henkilöitä koskevien tietojen kriteerit, joten tietosuojavaikutustenarvioinnin toteuttaminen on tarpeen."

Analyysin on sisällettävä vähintään seuraavat tiedot: kuvaus suunnitelluista toimista sekä käsittelyn tarkoituksista, osoitus käsittelyn oikeasuhteisuudesta suhteessa käsittelyyn, arvio asianomaisten henkilöiden oikeuksiin ja vapauksiin kohdistuvista riskeistä sekä suunnitellut toimenpiteet riskien torjumiseksi. CNIL perustaa vaikutustenanalyysin kahteen pilariin: oikeudellisempaan arviointiin "neuvottelukelvottomista" periaatteista ja teknisempään tutkimukseen tietojen suojaamiseksi suunnitelluista toimenpiteistä. Se ehdottaa DPIA-oppaissaan (jotka ovat parhaillaan tarkistettavina) GDPR-suunnitelman (joka mainitaan tämän kappaleen alussa) soveltamista; päivitettyinä ne ovat epäilemättä hyödyllisiä työkaluja kaikille, joiden on laadittava tällainen asiakirja.

Herää kysymys, onko vaikutustenarviointi tarpeen 25. toukokuuta 2018 alkaen jo toteutetuille käsittelytoimille. GDPR ei vastaa tähän kysymykseen, mutta CNIL vastaa. "Vaikutustenarviointia ei vaadita: käsittelytoimille, jotka on ennakkoon käsitelty CNIL:ssä ennen 25. toukokuuta 2018; käsittelytoimille, jotka on kirjattu "tietosuoja- ja vapausasioiden" kirjeenvaihtajan rekisteriin." Kolmen vuoden kuluttua säännöllisesti toteutetuille käsittelytoimille on kuitenkin tehtävä vaikutustenarviointi, aina silloin, kun rekisteröidyille aiheutuu "korkea riski".  

Näiden ohjeiden loppuun CNIL lisää seuraavan lauseen: "DPIA:n toteuttaminen on kaikissa tapauksissa hyvä käytäntö, joka helpottaa GDPR:n mukaisten aineellisten edellytysten noudattamista." Koska CNIL on Ranskan valvontaviranomainen, tätä neuvoa ei pidä sivuuttaa hyvän käytännön kannalta. Erityisesti kun G29 toteaa: "Jos on epäilyksiä DPIA:n suorittamisen tarpeesta, G29 suosittelee sen suorittamista siinä määrin kuin se on tärkeä väline rekisterinpitäjille tietosuojalainsäädännön noudattamiseksi." Eurooppalainen työryhmä lisää lopuksi, että DPIA on pakollinen, kun "asianomaiset riskit ovat kehittyneet".

Samoin sen ohjeet vaikutustenanalyysin suorittamiseen osallistuvista ammattilaisista eivät ole hyödyttömiä: rekisterinpitäjä (kuka on vastuussa), alihankkija, jos sellainen on, tietosuojavastaava (näemme kuka hän on), projektin omistajat ja projektipäälliköt, tietojärjestelmien tietoturvapäällikkö sekä mahdollisesti asianosaiset, joilta voidaan pyytää mielipidettä kyselylomakkeen avulla.

Vaikutustenarvioinnin vähimmäissisältö määritellään yleisen tietosuoja-asetuksen 35 artiklan 7 kohdassa:

– systemaattinen kuvaus suunnitelluista toimista ja käsittelyn tarkoituksista;

– käsittelytoimien tarpeellisuuden ja oikeasuhteisuuden arviointi tarkoituksiin nähden;

– arviointi kyseisten henkilöiden oikeuksiin ja vapauksiin kohdistuvista riskeistä;

– riskien torjumiseksi suunnitellut toimenpiteet ja säännösten noudattamisen osoittaminen.

G29 tarjoaa esimerkkejä menetelmistä AIPD-analyysinsä liitteessä. CNIL on juuri julkaissut oppaat, jotka sisältävät menetelmän ja parhaiden käytäntöjen luettelon, sekä avoimen lähdekoodin PIA-ohjelmiston. Näin ollen ei ole enää tekosyitä olla noudattamatta uusia velvoitteita.

Kun vaikutustenarviointi on valmis, joko käsittely voidaan aloittaa tai rekisterinpitäjän on kuultava valvontaviranomaista ”ennen käsittelyä, jos 35 artiklan mukaisesti tehty tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei toteuttaisi toimenpiteitä riskin lieventämiseksi” (36 artiklan 1 kohta). Saman artiklan 2 kohdassa säädetään, että tällaisen ennakkokuulemisen tapauksessa valvontaviranomaisella on 8 viikkoa (+ 6 viikkoa monimutkaisissa tapauksissa) aikaa antaa lausuntonsa.

Vaikutustenarviointi voidaan julkaista luottamuksen vahvistamiseksi yhtiötä kohtaan, mutta tämä ei ole velvoite.

Vaikutustenarvioinnin laiminlyönti tai virheellinen arviointi voi johtaa jopa 10 miljoonan euron sakkoon tai yrityksen osalta 2,1 miljardin euron sakkoon sen maailmanlaajuisesta liikevaihdosta, sen mukaan kumpi on suurempi.