Processer i anslutning till dataskydd

God praxis är till exempel

• heltäckande kravspecifikationer till exempel i upphandlingar och i utveckling av verksamheten
• att utarbeta en konsekvensbedömning avseende dataskydd
• dataskyddsavtal och -bilagor för intressentgrupper och
• få organisationer i leveranskedjorna att förbinda sig till att producera och följa dataskyddsprinciperna.

I dataskyddsavtalen och de avtalsbilagor som behandlar dataskyddet ska man säkerställa att avtalsparterna och intressentgrupperna förbinder sig till att säkerställa att dataskyddet förverkligas i deras egna underleverantörskedjor.

Personuppgifter flyttas också mellan personuppgiftsansvariga och personuppgiftsbiträden. Organisationer som producerar datasystem är till exempel handläggare till vilka uppgifter överförs när datasystem tas i bruk. I vissa situationer lämnar de personuppgiftsansvariga också ut personuppgifter till andra personuppgiftsansvariga.

Personuppgifter behandlas i allmänhet i sådana informationssystem som den personuppgiftsansvarige inte själv producerar. Underleverantörskedjorna är ofta långa och många aktörer som kan ha varierande dataskyddspraxis ansvarar för dataskyddet. Representanter för alla aktörer som deltar i behandlingskedjan, det vill säga handläggarna, ska delta i konsekvensbedömningen avseende dataskydd.

Om den personuppgiftsansvarige (till exempel välfärdsområdet) inte själv har byggt upp ett informationssystem där personuppgifter behandlas och som finns i en molntjänst, ska man i utarbetandet av konsekvensbedömningen inkludera

1. handläggarens (det vill säga till exempel datasystemleverantören) representant och
2. representant för en eventuell underbehandlare (till exempel teknisk producent av en molntjänst) under handläggaren.

När du konkurrensutsätter system eller tjänster vars upphandling förutsätter en bedömning av dataskyddsombudet ska du ta med din organisations dataskyddsombud i upphandlingsprocessen i god tid innan avtalen undertecknas.

När du tar med dataskyddsombudet i rätt tid hinner dataskyddsombudet ofta sätta sig in i de ofta omfattande avtalen tillräckligt bra. Då gör du det möjligt för upphandlingarna att framskrida enligt den planerade tidtabellen.

Om dataskyddsombudet kontaktas ett par dagar innan avtalet ska undertecknas och det konstateras att dataskyddet inte har beaktats tillräckligt väl, kan beaktandet av dataskyddskraven i efterhand till exempel fördröja upprättandet av avtalet eller inledandet av verksamheten, eller till och med i sista minuten förhindra att avtalet ingås överhuvudtaget.

Om tillsynsmyndigheten upptäcker brister i systemets dataskydd efter ibruktagningen, kan ändringsarbeten eventuellt vara en förutsättning för att korrigera bristerna. Ändringsarbetena medför kostnader för den personuppgiftsansvariga organisationen, det vill säga din egen organisation. Ibland kan det till och med vara omöjligt att göra ändringar.

Eftersom leverantörsavtalen är förpliktande kan din organisation av dataskyddsskäl bli tvungen att under avtalets giltighetstid betala leverantören för ett system och en tjänst som är oanvändbar.

I samband med utarbetandet av konsekvensbedömningen avseende dataskydd beskrivs till exempel följande i den planerade behandlingen av personuppgifter, dess

• natur
• syften
• genomförandesätt.

Dokumentation av riskerna är en del av all riskhantering, även processen för konsekvensbedömning avseende dataskydd. I samband med utarbetandet av konsekvensbedömningen bildas också största delen av den dokumentation som krävs.

Konsekvensbedömningen ska också godkännas. Konsekvensbedömningen godkänns av en representant för den personuppgiftsansvarige som har behörighet att besluta om personuppgifternas syften och metoder. Godkännandet ska också dokumenteras.

Gör även en bedömning av dataöverföringen (TIA) om data kan överföras till tredjeländer. Läs mer om bedömningen av överföringen av uppgifter på guidens sida Ordlista om dataskydd.

Konsekvensbedömningen avseende dataskydd avviker från den traditionella riskhanteringen genom att den registrerade är föremålet för bedömningen och inte till exempel organisationen, dess funktion eller resurser. Till exempel kan vissa behandlingsåtgärder vara relativt riskfria för organisationen, men utgör ändå en hög risk för de registrerade.

Vid utarbetandet av konsekvensbedömningen är det bra att beakta att den gäller behandlingen av personuppgifter och processerna i anslutning till det. Konsekvensbedömningen är således inte en bedömning av till exempel nivån på informationssäkerheten i det informationssystem som används, även om informationssystemet kan ha en central roll med tanke på innehållet i konsekvensbedömningen.

Säkerställ att bedömarna vid användning av verktyg för konsekvensbedömning har

1. god uppfattning om de planerade åtgärderna för behandling av personuppgifter
2. tillräckliga kunskaper om de planerade behandlingsåtgärderna, grunderna för dem, metoder och syften.

Konsekvensbedömning avseende dataskydd är en riskhanteringsåtgärd som kan vara till nytta även om det inte är förpliktande för din organisation.

Håll organisationens dataskyddsombud och eventuella dataskyddsexperter medvetna om hur utarbetandet av konsekvensbedömningen framskrider.

Före godkännandet kan det i vissa situationer också vara bra att höra de registrerades synpunkter på den planerade åtgärderna för behandlingen av personuppgifter. Man kan till exempel be personalen eller företrädarna för personalen om synpunkter på de planerade behandlingsåtgärderna. Det lönar sig också att dokumentera dessa synpunkter och vid behov uppdatera behandlingsåtgärderna utifrån kommentarerna.

Konsekvensbedömningen avseende dataskydd ska med jämna mellanrum granskas och vid behov uppdateras. Bedömningen ska alltid uppdateras när behandlingsåtgärderna eller verksamhetsmiljön förändras. Det lönar sig att lägga till uppdateringen av konsekvensbedömningen avseende dataskydd i den personuppgiftsansvariges årsklocka för dataskyddet.

• Konsenkvensbedömning (Dataombudsmannens byrå)Öppnas i ett nytt fönster.
• Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is "likely to result in a high risk" for the purposes of Regulation 2016/679 (European Data Protection Working Party, på engelska, PDF)Öppnas i ett nytt fönster.

Om dataskyddsprinciperna inte iakttas och de registrerades rättigheter inte tillgodoses på ett sätt som överensstämmer med kraven

• höjs riskerna för den registrerade
• ökar effekterna av och sannolikheten för de risker som riktas mot den personuppgiftsansvarige.

Att tillgodose de registrerades rättigheter är det bästa sättet att säkerställa hanteringen av risker i anslutning till dataskyddet och samtidigt minimera effekterna för både organisationen och den registrerade som följer av att riskerna realiseras. Tillgodoseendet av de registrerades rättigheter ska dokumenteras och bedömas regelbundet. Dokumentationen ska också uppdateras utifrån bedömningen.

Tillgodoseendet av rättigheterna ska också vara transparent och de registrerade ska informeras om detta.

Vid tillgodoseendet av de registrerades rättigheter är det ändå bra att beakta att den registrerade inte kan utöva alla sina rättigheter i alla situationer. Till exempel kan grunden för behandling av personuppgifter påverka vilka av den registrerades rättigheter kan tillämpas på behandlingen.

• VAHTI hyvät käytännöt -tukimateriaali: tietosuojan vaikutustenarvioinnin alkukartoitus (Myndigheten för digitalisering och befolkningsdata, på finska, DOCX)Öppnas i ett nytt fönster.
• VAHTI hyvät käytännöt -tukimateriaali: tietosuoja - vaikutustenarviointi (Myndigheten för digitalisering och befolkningsdata, på finska, DOCX)Öppnas i ett nytt fönster.
• Verktyg för konsekvensbedömning avseende dataskydd (bilaga I) (Dataombudsmannens byrå, XLSX)Öppnas i ett nytt fönster.
• Anvisning om konsekvensbedömning avseende dataskydd (Dataombudsmannens byrå, PDF)Öppnas i ett nytt fönster.
• Konsekvensbedömning avseende dataskydd enligt dataskyddslagen avseende brottmål (Dataombudsmannens byrå, PDF)Öppnas i ett nytt fönster.

• Kriterier för bedömning av informationssäkerheten i den offentliga förvaltningen (Julkri) : Rekommendation och kriterier (Finansministeriet)Öppnas i ett nytt fönster.

Att utnyttja en årsklocka är ett bra sätt att följa upp hur processerna fungerar och hur effektiva de är. Du kan lägga till riskhantering i anslutning till dataskydd i

• ledningens årsklocka
• dataskyddsexperternas årsklocka samt
• i årsklockan för de instanser som ansvarar för behandlingsprocesserna.

Den personuppgiftsansvarige hanterar organisationens och de registrerades dataskyddsrisker. Även om dataskyddsombudet inte ansvarar för riskhanteringen i anslutning till dataskyddet, kan hen erbjuda den personuppgiftsansvarige värdefulla råd och stöd.