Andmekaitsealane mõjuhinnang. Kellele ja miks?
Mõjuhinnang on isikuandmete kaitse üldmäärusest tulenev kohustus füüsiliste isikute privaatsuse kaitseks.
Mõjuhinnangu käigus tuleb andmetöötlejal hinnata ja analüüsida, milliseid isikuandmeid ja milliste vahenditega ta oma tegevuse eesmärkide täitmiseks töötleb ning kas ja milliseid organisatsioonilisi, füüsilisi ja infotehnilisi turvameetmeid ta selleks rakendab.
Kellele?
Mõjuhinnangu on kohustatud läbi viima kõik andmetöötlejad, kelle isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsilistele isikute õigustele ja vabadustele suur oht.
Kohustus mõjuhinnangu tegemiseks on, kui organisatsioonis toimub:
eriliigiliste isikuandmete (nt terviseandmed) ulatuslik töötlemine;
füüsiliste isikute isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;
avalike alade ulatuslik süstemaatiline jälgimine (nt kaamerate kasutamine valve-või korrakaitse eesmärgil).
Samuti tuleb mõjuhinnang läbi viia organisatsioonis, kui andmetöötleja hakkab kasutama (uut) tehnoloogiat, millega tal varem kokkupuudet olnud ei ole ja selle tulemusena võib füüsiliste isikute andmete turvalisele töötlemisele kaasneda kõrge risk.
Seega, mõjuhinnangut ei pea läbi viima üldse mitte kõik ettevõtted. Kui kõrgeid riske ettevõtte andmetöötlusprotsessidega ei kaasne, siis mõjuhinnangut teha ei tule.
Olgu veel öeldud, et andmekaitse valdkonnas on riski näol tegemist eelkõige asjaoluga, mis võib põhjustada füüsilisele isikule füüsilist, materiaalset või mittevaralist kahju.
Miks?
Eelkõige isikuandmete kaitseks ning seeläbi ettevõtte kultuuri ja maine kaitseks.
Mõjuhinnang on tõhus ja oluline tööriist, mis annab organisatsiooniülese teadmise andmetöötlustoimingutest. See võimaldab süvitsi hinnata, kas organisatsioonis rakendatavad andmekaitsemeetmed on asjakohased ja piisavad, et üksikisikule tekkivat võimalikku kõrget privaatsusriivet maksimaalselt ära hoida või leevendada vastuvõetavale tasemele.