Tietosuojan vaikutustenarviointi

Tietosuojan vaikutustenarviointi (DPIA) on muodollinen prosessi, jota käytetään tietosuojariskien tunnistamiseen ja minimoimiseen henkilötietojen käsittelyssä. Organisaatioiden on suoritettava tietosuojan vaikutustenarviointi ennen sellaista käsittelyä, joka todennäköisesti johtaa korkeaan riskiin yksilöiden oikeuksille ja vapauksille, erityisesti käytettäessä uusia teknologioita tai käsiteltäessä erityisiä henkilötietoryhmiä.

Oikeudellinen perusta

"Jos tietyntyyppinen käsittely, erityisesti uutta teknologiaa käyttäen, ja kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset, todennäköisesti aiheuttaa luonnollisten henkilöiden oikeuksille ja vapauksille korkean riskin, rekisterinpitäjän on ennen käsittelyä arvioitava suunniteltujen käsittelytoimien vaikutukset henkilötietojen suojaan."

— 35 artiklan 1 kohta, asetus (EU) 2016/679 (yleinen tietosuoja-asetus)

Miksi se on tärkeää

Tietosuojan vaikutustenarvioinnit ovat välttämättömiä kaikille organisaatioille, jotka käyttävät henkilötietoja poliittisen mainonnan kohdentamiseen tai mainosten toimitustekniikkoihin. Yleisen tietosuoja-asetuksen mukaan rekisterinpitäjien on suoritettava tietosuojan vaikutustenarviointi, kun käsittelytoimet todennäköisesti johtavat korkeaan riskiin, erityisesti käytettäessä profilointia, erityisiä henkilötietoryhmiä tai yksilöiden systemaattista seurantaa laajassa mittakaavassa.

Poliittisessa mainonnassa tietosuojan vaikutustenarvioinnit ovat erityisen tärkeitä, koska kohdentamistekniikat sisältävät usein arkaluonteisten henkilötietojen, kuten poliittisten mielipiteiden, käsittelyä, jotka luokitellaan yleisen tietosuoja-asetuksen mukaisiksi erityisiksi henkilötietoryhmiksi. Poliittisten mainospalvelujen julkaisijoiden ja tarjoajien on arvioitava, edellyttävätkö heidän kohdentamiskäytäntönsä tietosuojan vaikutustenarvioinnin ennen kampanjoiden käynnistämistä.

Tietosuojan vaikutustenarviointi auttaa organisaatioita tunnistamaan riskit varhaisessa vaiheessa, toteuttamaan asianmukaiset suojatoimet ja osoittamaan vastuullisuutta. Se myös määrittää, onko toimivaltaisen tietosuojaviranomaisen kanssa kuuleminen tarpeen ennen käsittelyn aloittamista. Organisaatiot, jotka laiminlyövät vaadittujen tietosuojan vaikutustenarvioinnin suorittamisen, kohtaavat merkittäviä hallinnollisia sakkoja yleisen tietosuoja-asetuksen nojalla.

Keskeiset kohdat

Pakollinen ennen korkean riskin käsittelyä: Tietosuojan vaikutustenarvioinnit vaaditaan, kun käsittely todennäköisesti johtaa korkeaan riskiin yksilöiden oikeuksille ja vapauksille, erityisesti käytettäessä uusia teknologioita tai profilointia
Välttämätön poliittisessa mainonnassa: Poliittisten mainosten kohdentaminen henkilötietojen avulla, erityisesti erityisten henkilötietoryhmien, kuten poliittisten mielipiteiden, avulla vaatii tyypillisesti tietosuojan vaikutustenarvioinnin
On suoritettava etukäteen: Arviointi on suoritettava ennen käsittelyn aloittamista, ei sen jälkeen, kun kampanjat ovat jo käynnissä
Tunnistaa ja lieventää riskejä: Tietosuojan vaikutustenarvioinnit tunnistavat systemaattisesti tietosuojariskejä ja auttavat organisaatioita toteuttamaan asianmukaiset tekniset ja organisatoriset toimenpiteet
Voi edellyttää viranomaisen kuulemista: Jos riskit pysyvät korkeina lieventämistoimenpiteiden jälkeen, organisaatioiden on kuultava tietosuojaviranomaistaansa ennen jatkamista
Osoittaa vaatimustenmukaisuutta: Tietosuojan vaikutustenarviointien suorittaminen ja dokumentointi on osa yleisen tietosuoja-asetuksen mukaista vastuullisuusperiaatetta ja osoittaa ennakoivaa vaatimustenmukaisuutta

Tietosuojan vaikutustenarviointi vs. riskiarviointi

Vaikka molemmat prosessit arvioivat riskejä, tietosuojan vaikutustenarviointi on tietty oikeudellinen vaatimus yleisen tietosuoja-asetuksen mukaisesti, joka keskittyy yksilöiden yksityisyyden ja tietosuojan riskeihin. Yleinen riskiarviointi saattaa kattaa laajemmat organisaatio- tai liiketoimintariskit, kuten maineriski, taloudellinen tappio tai toiminnallinen turvallisuus.

Tietosuojan vaikutustenarviointi tutkii nimenomaan sitä, miten käsittelytoimet vaikuttavat yksilöiden oikeuksiin ja vapauksiin, ottaen huomioon tekijöitä, kuten käsittelyn luonteen, laajuuden, asiayhteyden ja tarkoitukset. Se edellyttää tiettyä sisältöä, mukaan lukien kuvauksen käsittelytoimista, välttämättömyyden ja suhteellisuuden arvioinnit, tunnistetut riskit ja suunnitellut suojatoimet.

Poliittista mainontaa koskevan asetuksen 2024/900 mukaan organisaatioiden on myös suoritettava systeemisiä riskiarviointeja, jos ne ovat hyvin suuria alustoja (VLOP), mutta nämä ovat erillisiä tietosuojan vaikutustenarvioinnista, vaikka havainnot voivat täydentää toisiaan.

Liittyvät termit

Kyllä. EU-asetuksena TTPA on suoraan sovellettavissa kaikissa jäsenvaltioissa ilman kansallista täytäntöönpanoa. Jäsenvaltioiden tarvitsee vain nimetä viranomaiset ja asettaa seuraamukset.

Läpinäkyvyysvaatimukset varmistavat, että kaikki poliittiset toimijat toimivat samojen sääntöjen mukaisesti. Äänestäjät voivat nähdä, kenellä on resursseja ja miten niitä käytetään, mikä tukee reilua kilpailua.

Avoimuus rakentaa luottamusta osoittamalla äänestäjille, että poliittiset toimijat toimivat avoimesti. Piilotettu rahoitus tai kohdentaminen heikentää luottamusta demokraattisiin prosesseihin.

Edellyttämällä selkeää merkintää ja helposti saatavilla olevia avoimuustietoja TTPA auttaa ihmisiä tunnistamaan poliittisen mainonnan ja ymmärtämään, kuka heitä yrittää vaikuttaa.

Poliittiseen mainontaan kuuluu jokainen maksettu viesti, joka edistää poliittista toimijaa, vaikuttaa äänestäjien käyttäytymiseen, vaikuttaa vaalien tai kansanäänestysten tulokseen tai vaikuttaa lainsäädäntö- tai sääntelyprosesseihin. Se sisältää myös kaikki poliittisen toimijan mainonnan tai poliittisen toimijan puolesta tehdyn mainonnan.

Ei. TTPA ei vaikuta kansallisiin sääntöihin, jotka koskevat poliittisten mainosten sisältöä, vaalikampanjoiden rahoitusta, vaalikausia tai yleisiä poliittisen mainonnan kieltoja. Se lisää avoimuusvaatimuksia olemassa olevien kansallisten lakien päälle.

Virallinen nimi on Euroopan parlamentin ja neuvoston asetus (EU) 2024/900 poliittisen mainonnan avoimuudesta ja kohdentamisesta. Se julkaistiin 20. maaliskuuta 2024.

Kyllä. TTPA kattaa kaiken poliittisen mainonnan, olipa se verkossa tai verkon ulkopuolella, mukaan lukien painetun mainonnan, mainostaulut, television, radion ja digitaaliset kanavat. Luvun III kohdentamissäännöt koskevat ainoastaan verkkomainontaa.