Tutkimuksen tietosuojariskien arviointi
Tietosuojan vaikutustenarviointi (Data Protection Impact Assessment, DPIA) tarkoittaa henkilötietojen käsittelyyn liittyvien riskien arviointia rekisteröidyn näkökulmasta.
Arvioinnissa tarkastellaan esimerkiksi sitä, voiko henkilötietojen käsittely aiheuttaa riskejä rekisteröidyn oikeuksille, vapauksille tai yksityisyydelle.
Milloin vaikutustenarviointi tarvitaan?
Vaikutustenarviointi on tehtävä erityisesti silloin, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidyille. Koska monissa Findatan kautta tehtävissä tutkimuksissa nämä kriteerit täyttyvät, vaikutustenarviointi on käytännössä hyvin yleinen vaatimus.
Korkean riskin tilanteita ovat esimerkiksi:
henkilötietojen laajamittainen käsittely
eri rekistereiden yhdistäminen
heikossa asemassa olevien henkilöiden tiedot
uuden teknologian käyttö, kuten tekoäly
Jos rekisteröidyn oikeuksista poiketaan, vaikutustenarviointi on toimitettava myös tietosuojavaltuutetulle.