Tietosuojaa koskeva vaikutustenarviointi (englanniksi Data Protection Impact Assessment, DPIA) on prosessi, jolla arvioidaan käsittelyn riskit rekisteröityjen oikeuksille ja vapauksille ennen käsittelyn aloittamista. Yleisen tietosuoja-asetuksen (GDPR) 35 artikla velvoittaa rekisterinpitäjän tekemään vaikutustenarvioinnin, kun käsittely todennäköisesti aiheuttaa korkean riskin – erityisesti käytettäessä uutta teknologiaa. Vaikutustenarviointi ei ole muodollisuus vaan riskienhallinnan väline: sen laiminlyönti oli keskeinen peruste useissa Suomen ensimmäisissä GDPR-seuraamusmaksuissa. Tässä oppaassa käydään läpi, milloin vaikutustenarviointi on pakollinen, mitä se sisältää ja miten se tehdään käytännössä.
Milloin vaikutustenarviointi on pakollinen?
35 artiklan 1 kohta velvoittaa tekemään vaikutustenarvioinnin, kun käsittely todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. 35 artiklan 3 kohta nimeää kolme tilannetta, joissa arviointi on aina tehtävä:
- Automaattinen päätöksenteko ja profilointi, jolla on henkilöä koskevia oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia;
- Erityisten henkilötietoryhmien (9 artikla) tai rikostietojen (10 artikla) laajamittainen käsittely;
- Yleisölle avoimen alueen järjestelmällinen ja laajamittainen valvonta (esimerkiksi kameravalvonta).
Näiden lisäksi Tietosuojavaltuutetun toimisto on julkaissut luettelon käsittelytoimista, jotka aina edellyttävät vaikutustenarviointia. Luetteloon kuuluvat muun muassa työntekijöiden järjestelmällinen valvonta, biometristen tietojen käsittely tunnistamistarkoituksessa ja sijaintitietojen laajamittainen käsittely. Kun suunnittelet uutta käsittelyä, tarkista aina tämä luettelo.
Käytännön työkalu riskin tunnistamiseen on Euroopan tietosuojaneuvoston (EDPB) yhdeksän kriteerin lista (arviointi, automaattinen päätöksenteko, järjestelmällinen valvonta, arkaluonteiset tiedot, laajamittaisuus, tietojen yhdistely, haavoittuvat rekisteröidyt, uusi teknologia, käsittely joka estää oikeuksien käytön). Jos käsittely täyttää kaksi tai useampia kriteerejä, vaikutustenarviointi on lähtökohtaisesti tehtävä.
Mitä seuraa laiminlyönnistä? Suomalaiset esimerkit
Vaikutustenarvioinnin laiminlyönti on itsenäinen 35 artiklan rikkomus. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi 26.5.2020 kaksi seuraamusmaksua nimenomaan puuttuvasta vaikutustenarvioinnista:
- Taksi Helsinki Oy sai 72 000 euron seuraamusmaksun. Yhtiö oli ottanut takseihinsa käyttöön sekä kuvaa että ääntä tallentavan kameravalvontajärjestelmän arvioimatta ennalta käsittelyn riskejä ja vaikutuksia. Äänen tallentaminen katsottiin lisäksi tietojen minimoinnin periaatteen vastaiseksi (tietosuoja.fi).
- Kymen Vesi Oy sai 16 000 euron seuraamusmaksun siitä, ettei se ollut tehnyt vaikutustenarviointia ennen työntekijöiden sijaintitietojen käsittelyä ajoneuvojen paikannusjärjestelmällä, jota käytettiin työajan seurantaan.
Molemmat tapaukset kertovat saman opetuksen: vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista, ei jälkikäteen. Etenkin työntekijöiden valvonta ja kameravalvonta ovat riskialttiita käsittelytoimia, joissa arviointi on lähes aina pakollinen. Kummassakin tapauksessa seuraamusmaksun perusteena ei ollut varsinainen vahinko rekisteröidyille vaan nimenomaan se, että riskiarviointi oli laiminlyöty – tämä osoittaa, että vaikutustenarviointi on itsenäinen velvoite, jonka noudattamista valvotaan riippumatta lopputuloksesta.
Suomalaiset ratkaisut ovat linjassa laajemman eurooppalaisen valvontakäytännön kanssa: puuttuva tai puutteellinen vaikutustenarviointi on toistuvasti ollut osatekijä myös suurissa GDPR-sakoissa, kuten Amazonin 746 miljoonan euron seuraamuksessa (CNPD Luxemburg, 2021) ja H&M:n 35,3 miljoonan euron seuraamuksessa työntekijöiden valvonnasta (Hampurin tietosuojaviranomainen, 2020). Suuruusluokka on Suomessa toistaiseksi maltillisempi, mutta rikkomuksen luonne on sama: korkean riskin käsittely aloitetaan ilman ennakollista riskiarviota. Käsittelyn koko ja arkaluonteisuus ratkaisevat sakon suuruuden, eivät maantieteelliset rajat.
Miten vaikutustenarviointi tehdään?
35 artiklan 7 kohta määrittää vaikutustenarvioinnin vähimmäissisällön. Arvioinnin on sisällettävä:
- Järjestelmällinen kuvaus käsittelytoimista ja tarkoituksista, mukaan lukien rekisterinpitäjän oikeutettu etu;
- Arvio käsittelyn tarpeellisuudesta ja oikeasuhtaisuudesta tarkoituksiin nähden;
- Arvio riskeistä rekisteröityjen oikeuksille ja vapauksille;
- Suunnitellut toimenpiteet riskien käsittelemiseksi, mukaan lukien suojatoimet ja turvatoimet, joilla osoitetaan GDPR:n noudattaminen.
Prosessi etenee viidessä vaiheessa. Ensin kuvaat käsittelyn tietovirtoineen – tässä käsittelytoimien seloste on lähtökohta. Toiseksi arvioit tarpeellisuuden ja oikeasuhtaisuuden: onko käsittely välttämätöntä, onko käsittelyperuste kunnossa ja noudatatko tietojen minimointia ja säilytyksen rajoittamista. Kolmanneksi tunnistat riskit rekisteröidyille (identiteettivarkaus, syrjintä, maineen menetys). Neljänneksi määrität toimenpiteet riskien pienentämiseksi – tässä sisäänrakennettu tietosuoja on keskeinen. Viidenneksi dokumentoit ja seuraat.
Jos jäännösriski on toimenpiteiden jälkeenkin korkea, 36 artikla velvoittaa ennakkokuulemiseen: sinun on kuultava Tietosuojavaltuutetun toimistoa ennen käsittelyn aloittamista. Vaikutustenarviointi kannattaa tehdä yhdessä tietosuojavastaavan kanssa, jonka neuvoja 35 artiklan 2 kohta edellyttää.
Dokumentointi on vaikutustenarvioinnin usein aliarvioitu vaihe. Arviointi ei ole vain sisäinen harjoitus vaan osoitusvelvollisuuden väline: sen on osoitettava, että riskit tunnistettiin ja käsiteltiin ennen käsittelyn aloittamista. Hyvä arviointidokumentti sisältää päivämäärän, arviointiin osallistuneet henkilöt, tietosuojavastaavan kannan, tunnistetut riskit riskitasoineen sekä kunkin riskin osalta päätetyt toimenpiteet ja niiden toteutusvastuun. Ilman tätä dokumentaatiota et voi valvontatilanteessa osoittaa arvioinnin tehdyn, vaikka olisit sen käytännössä tehnytkin. On myös tärkeää suhteuttaa arvioinnin laajuus riskiin: matalan riskin rajatapauksessa muutaman sivun arviointi voi riittää, kun taas laajamittaisessa erityisten tietoryhmien käsittelyssä arviointi on tehtävä perusteellisesti ja usein ulkopuolista asiantuntemusta hyödyntäen. Suhteellisuus on GDPR:n riskiperustaisen lähestymistavan ydin – resurssit kohdennetaan sinne, missä riski rekisteröidyille on suurin.
Legiscopen kaltainen ratkaisu kytkee vaikutustenarvioinnit suoraan käsittelytoimien selosteeseen, jolloin korkean riskin toiminnot tunnistetaan automaattisesti ja arvioinnit pysyvät ajan tasalla. Tietosuojavaltuutetun toimisto ohjeistaa arvioinnin tekemisestä vaikutustenarviointisivullaan, ja lakiteksti löytyy tietosuojalaista (1050/2018).
Vaikutustenarviointi tekoälyn ja jatkuvan seurannan aikana
Vaikutustenarvioinnin merkitys kasvaa, kun organisaatiot ottavat käyttöön tekoälyä hyödyntäviä järjestelmiä. Automaattinen profilointi, pisteytys ja päätöksenteko täyttävät usein 35 artiklan korkean riskin kriteerit, ja EU:n tekoälysäädös (AI Act) tuo osittain päällekkäisiä arviointivelvoitteita. Kun otat käyttöön koneoppimiseen perustuvan järjestelmän, joka käsittelee henkilötietoja, vaikutustenarviointi on lähtökohtaisesti tehtävä – ja siinä on arvioitava paitsi tietosuoja myös algoritmin läpinäkyvyys ja syrjimättömyys.
Vaikutustenarviointi ei myöskään ole kertaluontoinen. 35 artiklan 11 kohta edellyttää tarvittaessa uudelleenarviointia, jos käsittelyn riski muuttuu. Käytännössä arviointi kannattaa kytkeä käsittelyn elinkaareen: kun tarkoitus, tietomäärä, teknologia tai vastaanottajat muuttuvat, arviointi päivitetään. Tämä on erityisen tärkeää jatkuvasti kehittyvissä järjestelmissä, joissa alkuperäinen riskiarvio vanhenee nopeasti.
Käytännön työkaluna kannattaa ylläpitää vaikutustenarviointien rekisteriä, joka linkittyy käsittelytoimien selosteeseen. Näin näet yhdellä silmäyksellä, mille korkean riskin käsittelytoimille arviointi on tehty, milloin ne on viimeksi päivitetty ja mitkä toimenpiteet riskien pienentämiseksi on toteutettu. Sama rekisteri toimii osoitusvelvollisuuden välineenä: se osoittaa, että riskit on tunnistettu ja käsitelty ennen käsittelyn aloittamista. Ilman tällaista rekisteriä arvioinnit jäävät irrallisiksi dokumenteiksi, joita ei kukaan päivitä – ja juuri päivittämättömyys on se, mihin valvonta puuttuu. Legiscopen kaltainen ratkaisu automatisoi tämän kytkennän ja muistuttaa uudelleenarvioinneista.
Usein kysytyt kysymykset
Milloin vaikutustenarviointi on aina pakollinen?
Vaikutustenarviointi on aina tehtävä automaattisessa päätöksenteossa jolla on merkittäviä vaikutuksia, erityisten henkilötietoryhmien tai rikostietojen laajamittaisessa käsittelyssä sekä julkisen alueen järjestelmällisessä laajamittaisessa valvonnassa. Lisäksi Tietosuojavaltuutetun toimiston luettelo nimeää muita pakollisia tilanteita, kuten työntekijöiden järjestelmällisen valvonnan.
Kuka tekee vaikutustenarvioinnin?
Vastuu on rekisterinpitäjällä. Käytännön työn voi tehdä esimerkiksi projektiryhmä yhdessä IT:n ja liiketoiminnan kanssa. Tietosuojavastaavan neuvoja on pyydettävä (35 artiklan 2 kohta), mutta tietosuojavastaava ei tee arviointia itse eikä kanna siitä vastuuta.
Mitä tarkoittaa ennakkokuuleminen?
Jos vaikutustenarviointi osoittaa, että jäännösriski on toimenpiteistä huolimatta korkea, 36 artikla velvoittaa kuulemaan Tietosuojavaltuutetun toimistoa ennen käsittelyn aloittamista. Viranomainen voi antaa neuvoja tai kieltää käsittelyn. Ennakkokuuleminen on poikkeuksellista ja tarkoittaa, että riskiä ei ole saatu riittävästi hallintaan.
Voiko vaikutustenarvioinnin tehdä jälkikäteen?
Ei tarkoituksenmukaisesti. 35 artikla edellyttää arviointia ennen käsittelyä. Jälkikäteen tehty arviointi ei poista laiminlyöntiä – Taksi Helsingin ja Kymen Veden tapaukset osoittavat, että viranomainen sanktioi nimenomaan ennakkoarvioinnin puuttumisen. Olemassa olevaa käsittelyä on kuitenkin syytä arvioida heti, jos arviointi on jäänyt tekemättä.
Onko vaikutustenarviointi kertaluontoinen?
Ei. 35 artiklan 11 kohta edellyttää arvioinnin uudelleentarkastelua, jos käsittelyn riski muuttuu. Kun tarkoitus, teknologia, tietomäärä tai vastaanottajat muuttuvat, arviointi on päivitettävä. Jatkuvasti kehittyvissä järjestelmissä alkuperäinen riskiarvio vanhenee nopeasti, joten arviointi kannattaa kytkeä käsittelyn elinkaareen.
Kuka hyväksyy vaikutustenarvioinnin?
Vaikutustenarvioinnilla ei ole muodollista viranomaishyväksyntää normaalitilanteessa – rekisterinpitäjä tekee ja hyväksyy sen itse ja vastaa sen riittävyydestä. Vain jos jäännösriski on toimenpiteistä huolimatta korkea, 36 artikla velvoittaa ennakkokuulemiseen Tietosuojavaltuutetun toimiston kanssa ennen käsittelyn aloittamista. Tietosuojavastaavan neuvoa on pyydettävä, ja hänen kantansa sekä sen mahdollinen sivuuttaminen on syytä dokumentoida arviointiin.
Voiko yksi vaikutustenarviointi kattaa useita käsittelytoimia?
Voi. 35 artiklan 1 kohta sallii yhden arvioinnin useasta samankaltaisesta käsittelytoimesta, joilla on vastaavat riskit. Esimerkiksi useat samankaltaiset kameravalvontakohteet tai saman teknologian eri sovellukset voidaan arvioida yhdessä. Olennaista on, että arviointi kattaa kunkin toimen tosiasialliset riskit – liian yleinen arviointi ei täytä velvoitetta, jos toimet eroavat merkittävästi.
Yhteenveto
Vaikutustenarviointi on GDPR 35 artiklan mukainen pakollinen prosessi aina, kun käsittely todennäköisesti aiheuttaa korkean riskin. Se on tehtävä ennen käsittelyn aloittamista, ja sen on katettava käsittelyn kuvaus, tarpeellisuus, riskit ja riskien pienentämistoimet. Suomessa puuttuva vaikutustenarviointi on jo johtanut merkittäviin seuraamusmaksuihin – Taksi Helsinki (72 000 €) ja Kymen Vesi (16 000 €) ovat konkreettisia varoituksia. Tarkista aina Tietosuojavaltuutetun toimiston luettelo, tee arviointi yhdessä tietosuojavastaavan kanssa ja dokumentoi tulokset. Korkean jäännösriskin tapauksissa muista 36 artiklan ennakkokuuleminen.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial