TIETOSUOJAOPAS 11 Tietoturva Tietoturvalla tarkoitetaan tietojen, palvelujen, järjestelmien ja tietoliikenteen suojaamista. Keskeisiä tietoturvan käsitteitä ovat saatavuus tai käytettävyys, luottamuksellisuus ja eheys. Saatavuudella tai käytettävyydellä tarkoitetaan sitä, että tieto on saatavilla, kun sitä tarvitaan. Luottamuksellisuudella tarkoitetaan sitä, että tietoa saavat käsitellä vain sellaiset henkilöt, joilla on tähän oikeus. Eheydellä taas tarkoitetaan sitä, että tieto ei saa muuttua vahingossa tai hyökkäyksen seurauksena taikka muutos pitää ainakin pystyä havaitsemaan. Vaikutustenarviointi Vaikutustenarvioinnilla tarkoitetaan suunniteltujen henkilötietojen käsittelytoimien vaikutusten arviointia suhteessa tietosuojaan ja yksilön oikeuksiin. Jos käsittely todennäköisesti aiheuttaa rekisteröidyn kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava tietosuojan vaikutustenarviointi ja määriteltävä toimia, joilla riskiä voidaan hallita. Vaikutustenarviointi vaaditaan erityisesti, kun tehdään 1) ihmisten henkilökohtaisten ominaisuuksien järjestelmällistä, kattavaa ja automaattista arviointia (kuten profilointia), joka johtaa oikeusvaikutuksia sisältäviin päätöksiin tai joka muuten vaikuttaa ihmiseen merkittävästi, 2) arkaluonteisten henkilötietojen laajamittaista käsittelyä tai 3) yleisölle avoimen alueen järjestelmällistä ja laajamittaista valvontaa. Valvontaviranomainen voi myös määritellä käsittelytyyppejä, jolloin on tehtävä vaikutustenarviointi. Tietosuojan vaikutustenarvioinnissa tulee olla vähintään kuvaus suunnitelluista käsittelytoimista ja käsittelyn tarkoituksista, arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta tarkoituksiin nähden, arvio rekisteröityjen oikeuksia ja vapauksia koskevista riskeistä ja suunnitellut toimenpiteet riskeihin puuttumiseksi. Tarvittaessa rekisterinpitäjän on tehtävä uudelleentarkastelu. Rekisterinpitäjän on kuultava valvontaviranomaista ennen käsittelyä, jos vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin rekisteröidylle ja rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi. VAIKUTUSTENARVIOINTI TIETOVUOANALYYSI TIEDON KÄYTTÖTARKOITUKSET HALLINTAKEINOT RISKIARVIO SOVELLETTAVAT TIETOSUOJAVAATIMUKSET
RkJQdWJsaXNoZXIy Mjk0MTY=