Andmekaitse mõjuhinnangu (Data Protection Impact Assessment, DPIA) kohustuse sätestab GDPR artikkel 35, mis ütleb, et kui andmetöötluse tulemusel võib tõenäoliselt tekkida suur oht isikute õigustele ja vabadustele, siis peab andmetöötleja eelnevalt hindama oma sellise tegevuse mõju.

Ohu suuruse hindamiseks tuleb arvesse võtta isikuandmete töötlemise ulatust, konteksti ja eesmärke.

Artikkel 35 kohaselt peab andmetöötleja seejuures konsulteerima ka oma andmekaitsespetsialistiga.

Andmekaitsealase mõjuhinnangu tegemist käsitlevad GDPR selgituspunktid 84 ja 80-94. Lisaks on Euroopa Andmekaitsenõukogu (EDPB) andnud välja vastava juhendi, mis on leitav siin: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236

Pakume siinkohal välja lihtsad kontrollküsimused andmekaitsealase mõjuhinnangu koostamiseks.

1. Kas mõjuhinnangu järele on üldse vajadus?

See on kokkuvõtlik kirjeldus, mida on kavas teha ning milliste isikuandmete töötlemise see kaasa toob.

2. Töötlustoimingute kirjeldus

Kuidas on kavas isikuandmeid koguda, kasutada, säilitada ja kustutada?

Kuskohast isikuandmed saadakse? Kas on kavas neid ka teiste andmetöötlejatega jagada?

Milline on töötlemise ulatus? Milliseid andmeid on kavas töödelda, ja kas nende hulgas on ka eriliigilisi (varem tuntud kui delikaatsed isikuandmed) või süütegude andmeid?

Kui palju isikuandmeid on kavas kasutada? Kui sageli? Kui kaua on kavas isikuandmeid säilitada? Kui paljusid isikuid see puudutab? Millised geograafilisi piirkondi kavandatav andmetöötlus puudutab?

Milline on kontekst? Milline on Teie suhe andmesubjektidega? Mis ulatuses nende endi kontroll oma andmete üle säilib? Kas nad eeldavad oma isikuandmete sellist kasutust?  Kas andmete hulgas on ka laste isikuandmeid?  Kas varem on Teil samasuguse töötlemisega olnud probleeme või tekkinud turvariske?

Millised on töötlemise eesmärgid ehk miks Teil neid andmeid üldse on vaja töödelda? Millised on kavandatava töötlemise kasud Teile endale, kellelegi teisele või avalikkusele?

3. Konsulteerimine

Kuidas on kavas võimalike huvigruppidega konsulteerida? Millal ja mil viisil? Kui konsulteerimine ei ole kavas, siis miks ei ole? Keda peaks veel kaasama? Kas peaks kaasama volitatud töötlejad? Kas on kavas konsulteerida ka turbeekspertidega vmt.?

4. Vajaduse ja proportsionaalsuse hindamine

Kirjeldage kavandatavate meetmete kooskõla seadusega –  milline on töötlemise õiguslik alus? Kas töötlemise abil saate oma eesmärgi saavutada? Kas on olemas mingi teine viis sama tulemuse saavutamiseks? Kuidas takistada funktsiooninihke (function creep) teket? Kuidas on kavas tagada andmete kvaliteetsus ja minimaalsuse põhimõtte järgimine? Mida ja kuidas on kavas selgitada andmesubjektidele? Kuidas on kavas tagada nende õigused? Kuidas on kavas tagada, et volitatud töötlejad toimiksid kooskõlas seadusega ja kuidas toimub nõuete täitmine isikuandmete rahvusvahelise edastamise korral?

5. Riskide tuvastamine ja hindamine

Kirjeldage riski allikat ja olemust ning selle võimalikku mõju andmesubjektidele. Võtke vajadusel arvesse ka äririskid.

Kahju puhul võtke arvesse selle tõenäosus ja tõsidus – kas tekkida võiv kahju on vähetõenäoline, võimalik, tõenäoline, vähene, arvestatav või suur? Kas tervikrisk on seega madal, keskmine või suur?

6. Riskide vähendamise meetmed

Kirjeldage oma meetmed, mida kasutate keskmiste ja suurte riskide vähendamiseks või kõrvaldamiseks.