Andmekaitse

Andmekaitsealane mõjuhinnang (DPIA, GDPR art. 35) 2026: millal ja kuidas

Andmekaitsealane mõjuhinnang (DPIA) GDPR artikli 35 järgi: millal see on kohustuslik, AKI musta nimekirja kriteeriumid ja samm-sammuline läbiviimine 2026.

Andmekaitsealane mõjuhinnang (inglise keeles Data Protection Impact Assessment, DPIA) on isikuandmete kaitse üldmääruse (GDPR) artiklist 35 tulenev menetlus, mille käigus hinnatakse eelnevalt töötlemistoimingu mõju isikuandmete kaitsele ja maandatakse tuvastatud riske. Mõjuhinnang on kohustuslik, kui töötlemine tõenäoliselt põhjustab füüsiliste isikute õigustele ja vabadustele suurt riski – eelkõige uue tehnoloogia kasutamisel, ulatusliku profileerimise, eriliigiliste andmete ulatusliku töötlemise või avalike alade süstemaatilise ulatusliku jälgimise korral. See juhend selgitab, millal mõjuhinnang on kohustuslik, milliseid töötlemisi hõlmab Andmekaitse Inspektsiooni (AKI) kohustuslike hinnangute loetelu ning kuidas mõjuhinnang samm-sammult läbi viia.

Millal on mõjuhinnang kohustuslik?

Artikli 35 lõige 3 nimetab kolm kohustuslikku juhtu:

  • Süstemaatiline ja ulatuslik automaatne hindamine (profileerimine), millel põhinevad isikut oluliselt mõjutavad otsused;
  • Eriliigiliste andmete (art. 9) või süüteoandmete (art. 10) ulatuslik töötlemine;
  • Avalike alade süstemaatiline ulatuslik jälgimine (näiteks videovalve).

Euroopa Andmekaitsenõukogu on määratlenud üheksa kriteeriumi (WP 248), millest kahe täitmisel on mõjuhinnang üldjuhul nõutav: hindamine/profileerimine, automaatsed otsused, süstemaatiline jälgimine, eriliigilised andmed, ulatuslik töötlemine, andmekogumite ühendamine, haavatavad andmesubjektid, uuenduslik tehnoloogia ja andmesubjektide takistamine õiguste või teenuse kasutamisel.

Lisaks on AKI koostanud kohustuslike mõjuhinnangute loetelu (nn must nimekiri) töötlemistoimingutest, mille puhul mõjuhinnang on Eestis alati nõutav. Enne uue töötlemise alustamist tasub see loetelu üle vaadata AKI veebilehel.

Kuidas mõjuhinnang läbi viia: kuus sammu

Artikli 35 lõige 7 sätestab mõjuhinnangu minimaalse sisu. Praktikas jaguneb protsess kuueks sammuks:

  1. Töötlemise süstemaatiline kirjeldus. Kirjeldage töötlemise laadi, ulatust, konteksti ja eesmärke ning andmevoogusid. Aluseks sobib töötlemise register.
  2. Vajalikkuse ja proportsionaalsuse hindamine. Kontrollige õiguslikku alust, andmete minimeerimist, säilitustähtaegu ja andmesubjektide teavitamist.
  3. Riskide tuvastamine. Hinnake ohtusid andmesubjektide õigustele ja vabadustele (ebaseaduslik juurdepääs, soovimatu muutmine, kadu) koos tõenäosuse ja raskusastmega.
  4. Meetmete kavandamine. Määrake riske maandavad tehnilised ja korralduslikud meetmed – pseudonümiseerimine, krüpteerimine, juurdepääsu piiramine, lõimitud andmekaitse põhimõtted.
  5. Andmekaitsespetsialisti nõuande küsimine. Vastutav töötleja peab küsima andmekaitsespetsialisti nõuannet (art. 35 lg 2).
  6. Dokumenteerimine ja ülevaatus. Talletage tulemused ja vaadake mõjuhinnang üle, kui töötlemisega seotud risk muutub.

Eelnev konsulteerimine AKI-ga (art. 36)

Kui mõjuhinnang näitab, et töötlemine põhjustaks maandusmeetmete puudumisel suurt jääkriski, peab vastutav töötleja enne töötlemise alustamist konsulteerima AKI-ga (art. 36). AKI võib anda kirjalikke soovitusi või kasutada oma sekkumisvolitusi. Eelneva konsulteerimise vajadus tekib praktikas harva, kuid selle vahelejätmine olukorras, kus see oli nõutav, on iseseisev rikkumine.

Levinud vead

  • Mõjuhinnangu tegemata jätmine kõrge riskiga töötlemise puhul. Mõjuhinnangu puudumine on iseseisev artikli 35 rikkumine, sõltumata sellest, kas kahju tekkis.
  • Vormistäitmine sisuta. Mõjuhinnang, mis loetleb riskid, kuid ei paku konkreetseid maandusmeetmeid, ei täida artikli 35 lõike 7 nõudeid.
  • Ühekordne dokument. Mõjuhinnang on elav dokument, mis tuleb üle vaadata töötlemise muutumisel.
  • Andmekaitsespetsialisti kaasamata jätmine. Artikli 35 lõige 2 nõuab andmekaitsespetsialisti nõuande küsimist.
  • Registriga sidumata jätmine. Iga kõrge riskiga töötlemistoiming registris peaks viitama vastavale mõjuhinnangule.

Tööriist nagu Legiscope juhib mõjuhinnangu läbi struktureeritud küsimustiku, seob selle registri töötlemistoimingutega ja hoiab tulemused ajakohasena.

Näide: videovalve mõjuhinnang

Konkreetne näide aitab mõista, kuidas mõjuhinnang praktikas välja näeb. Oletame, et kaubanduskeskus soovib paigaldada näotuvastusega videovalve süsteemi, mis analüüsib külastajate liikumist ja tuvastab varem tabatud poevargaid. See on selge kõrge riskiga töötlemine: see hõlmab biomeetriliste eriliigiliste andmete (art. 9) ulatuslikku töötlemist ja avaliku ala süstemaatilist jälgimist – kaks Euroopa Andmekaitsenõukogu kriteeriumi, mille täitmisel on mõjuhinnang nõutav.

Süstemaatiline kirjeldus: kaamerad avalikus ruumis, näokujutiste võrdlemine andmebaasiga, salvestiste säilitamine. Vajalikkuse hindamine: kas eesmärgi – varguste vähendamine – saavutaks vähem riivava vahendiga, näiteks tavalise videovalve või turvatöötajatega? Sageli on vastus jaatav, mis tähendab, et näotuvastus ei ole proportsionaalne. Riskide tuvastamine: vale tuvastamine, kõigi külastajate massiline biomeetriline töötlemine, ebaseaduslik juurdepääs. Meetmed: töötlemise ulatuse piiramine, lühike säilitustähtaeg, range juurdepääsukontroll, lõimitud andmekaitse põhimõtete rakendamine.

Kui mõjuhinnang näitab, et suur jääkrisk säilib ka meetmete rakendamisel, tuleb enne süsteemi käivitamist konsulteerida AKI-ga (art. 36). Näotuvastuse puhul on Euroopa järelevalveasutused olnud järjekindlalt kriitilised, mistõttu sellise töötlemise õiguspärasus on üldjuhul küsitav. See näide illustreerib mõjuhinnangu tegelikku väärtust: see ei ole üksnes dokumenteerimisharjutus, vaid otsustusvahend, mis võib viia järelduseni, et kavandatud töötlemist ei tohiks üldse alustada. Lihtsama, madalama riskiga videovalve puhul (näiteks sissepääsu jälgimine ilma näotuvastuseta) piisab tavaliselt lühemast hinnangust ja säilitustähtaja piiramisest ühe kuuni.

Mõjuhinnangu seos registri, lõimitud andmekaitse ja tehisintellektiga

Mõjuhinnang ei ole eraldiseisev dokument, vaid osa laiemast andmekaitsesüsteemist. Selle lähtepunkt on töötlemise register, mis näitab, millised töötlemistoimingud üldse eksisteerivad ja millised neist võivad olla kõrge riskiga. Praktikas tasub registrisse lisada väli, mis märgib iga toimingu juures, kas mõjuhinnang on tehtud, ei ole vajalik või on tegemata – nii muutub mõjuhinnangute haldamine süstemaatiliseks ega jää üksikute projektide taha.

Teisalt on mõjuhinnang tihedalt seotud lõimitud andmekaitsega: mõjuhinnangu käigus tuvastatud riskid maandatakse just tehniliste ja korralduslike meetmetega, mis tuleb töötlemisse sisse ehitada. Mõjuhinnang on seega mehhanism, mille kaudu artikli 25 põhimõtted konkreetseks muutuvad.

Kasvava tähtsusega on mõjuhinnangu roll tehisintellekti kasutuselevõtul. Kui organisatsioon rakendab isikuandmete töötlemisel automatiseeritud otsuste tegemist või profileerimist masinõppe abil, on tegemist tüüpiliselt kõrge riskiga töötlemisega, mis nõuab mõjuhinnangut. ELi tehisintellekti määruse (AI Act) jõustumisega tekivad kõrge riskiga tehisintellektisüsteemidele täiendavad kohustused, mis tuleb siduda GDPR-i mõjuhinnanguga – kaks hindamist tasub läbi viia kooskõlastatult, et vältida topelttööd ja tagada, et nii andmekaitse- kui ka tehisintellektiriskid on kaetud. Andmekaitsespetsialisti kaasamine mõlemasse hindamisse on siin eriti oluline.

Korduma kippuvad küsimused

Kas ühe mõjuhinnanguga võib katta mitu sarnast töötlemistoimingut?

Jah. Artikli 35 lõige 1 lubab ühe hinnanguga käsitleda mitut sarnast töötlemistoimingut, mis kujutavad endast sarnaseid suuri riske. Näiteks võib ühe mõjuhinnanguga katta mitme sarnase videovalvesüsteemi kasutuselevõtu. Oluline on, et töötlemised oleksid tõepoolest sarnase laadi, ulatuse ja riskiga.

Mis vahe on mõjuhinnangul ja eelneval konsulteerimisel?

Mõjuhinnang on vastutava töötleja enda läbiviidav hindamine (art. 35). Eelnev konsulteerimine (art. 36) on samm, mis järgneb mõjuhinnangule üksnes siis, kui hinnang näitab, et maandusmeetmete puudumisel jääks alles suur risk – sel juhul tuleb enne töötlemise alustamist pöörduda AKI poole. Enamik mõjuhinnanguid ei vaja eelnevat konsulteerimist.

Kas väikeettevõte peab tegema mõjuhinnangu?

Kohustus ei sõltu ettevõtte suurusest, vaid töötlemise riskist. Väikeettevõte, kes teostab kõrge riskiga töötlemist – näiteks ulatuslikku profileerimist, eriliigiliste andmete töötlemist või videovalvet – peab tegema mõjuhinnangu samamoodi nagu suur ettevõte. Enamik väikeettevõtteid, kelle töötlemine piirdub tavapärase personali- ja kliendihaldusega, mõjuhinnangut siiski vajama ei pea.

Kes vastutab mõjuhinnangu läbiviimise eest?

Vastutus lasub vastutaval töötlejal (art. 35 lg 2). Ta võib mõjuhinnangu praktilise läbiviimise delegeerida, kuid peab küsima andmekaitsespetsialisti nõuannet ja jääb ise vastutavaks tulemuse eest. Volitatud töötleja peab abistama mõjuhinnangu läbiviimisel (art. 28 lg 3 punkt f).

Kas mõjuhinnang tuleb AKI-le esitada?

Ei, mitte automaatselt. Mõjuhinnang esitatakse AKI-le üksnes eelneva konsulteerimise raames (art. 36), kui jääkrisk on suur, samuti järelevalvemenetluses nõudmise korral. Muudel juhtudel hoitakse mõjuhinnangut vastutusdokumendina sisemiselt.

Kui suur töötlemine loetakse “ulatuslikuks”?

GDPR ei määra täpset arvulist piiri. Hinnata tuleb andmesubjektide arvu, andmemahtu, töötlemise kestust ja geograafilist ulatust. Näiteks haigla patsiendiandmete või suure e-poe klientide profileerimine on selgelt ulatuslik; üksiku arsti patsiendiandmed üldjuhul mitte.

Kes peab mõjuhinnangu koostama – kas selleks on vaja väliseksperti?

Mõjuhinnangu koostamise eest vastutab vastutav töötleja ja seda saab läbi viia oma jõududega, kaasates andmekaitsespetsialisti ning asjaomaste protsesside ja IT-süsteemide eest vastutavad isikud. Väliseksperti ei ole seaduse järgi vaja, kuid keerukate või kõrge riskiga töötlemiste puhul, näiteks uue tehnoloogia või ulatusliku profileerimise korral, aitab väline andmekaitsejurist tagada, et hindamine on põhjalik ja õiguslikult korrektne.

Kokkuvõte

Andmekaitsealane mõjuhinnang on kõrge riskiga töötlemise eeltingimus ja üks tugevamaid vastutuse tõendamise vahendeid. See on kohustuslik profileerimise, eriliigiliste andmete ulatusliku töötlemise ja avalike alade süstemaatilise jälgimise korral ning alati siis, kui töötlemine kuulub AKI kohustuslike hinnangute loetellu. Viige mõjuhinnang läbi kuues sammus, siduge see töötlemise registriga, küsige andmekaitsespetsialisti nõuannet ja vaadake see töötlemise muutumisel üle. Kui jääkrisk jääb suureks, konsulteerige enne töötlemise alustamist AKI-ga. Praktilise aluse mõjuhinnangule annab hästi peetud töötlemise register, mis näitab, millised töötlemistoimingud üldse hindamist vajavad.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →