Henkilötietojen käsittely voi aiheuttaa rekisteröidyille erilaisia riskejä. Rekisterinpitäjälle on tästä syystä asetettu yleinen velvollisuus arvioida käsittelyyn liittyviä riskejä ennen henkilötietojen käsittelyn aloittamista sekä ryhtyä tarvittaviin toimenpiteisiin riskien poistamiseksi ja vähentämiseksi. Riskienarvioinnissa tulee kiinnittää erityistä huomiota käsittelyn luonteeseen, laajuuteen, asiayhteyteen ja tarkoituksiin, sillä nämä seikat vaikuttavat käsittelyyn liittyviin riskeihin sekä niiden todennäköisyyteen ja vakavuuteen.
Henkilötietojen käsittely voi tapauksen mukaan aiheuttaa rekisteröidyille fyysisiä, aineellisia tai aineettomia vahinkoja. Rekisteröity voi esimerkiksi joutua petoksen, identiteettivarkauden, syrjinnän tai kiusaamisen kohteeksi, mikäli häntä koskevat tiedot joutuvat ulkopuolisten käsiin. Tietojen vuotaminen voi johtaa myös rekisteröidyn maineen vahingoittumiseen tai häntä koskevien salassa pidettävien tietojen luottamuksellisuuden vaarantumiseen. Tietojen luvaton käsittely voi aiheuttaa myös muuta merkittävää taloudellista tai sosiaalista vahinkoa rekisteröidyille.
Rekisterinpitäjän on riskienarvioinnin jälkeen suunniteltava ja toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että rekisteröityjen oikeuksista on huolehdittu riittävällä tavalla ja että käsittely on muutoinkin lainmukaista. Teknisillä ja organisatorisilla toimenpiteillä tarkoitetaan laajasti erilaisia järjestäjän käytössä olevia keinoja. Kyse voi olla esimerkiksi tietoturvaan tai käsittelyn teknisiin ominaisuuksiin liittyvistä menettelyistä tai rekisterinpitäjän antamista ohjeista ja henkilökunnan koulutuksesta ja tehtyjen toimenpiteiden kirjaamisesta. Toimenpiteitä on myös tarkistettava ja päivitettävä tarvittaessa käsittelyn aikana esimerkiksi lainsäädännön, toimintaympäristön tai riskien muuttuessa.
Riskienarvioinnin tarkoituksena on varmistaa, että käsittelyyn liittyvät riskit on tunnistettu ja että niitä hallitaan asianmukaisella tavalla. Arviointi ohjaa rekisterinpitäjää tunnistamaan henkilötietojen käsittelyyn liittyvät riskit sekä toteuttamaan riskitasoon nähden oikeasuhtaiset toimenpiteet. Mikäli yleinen riskienarviointi osoittaa, että käsittely todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille, rekisterinpitäjälle on asetettu nimenomainen velvollisuus määrämuotoiselle, tietosuojan vaikutustenarvioinnin toteuttamiselle. Mikäli vaikutustenarviointi osoittaa, että käsittelyyn liittyy korkea jäännösriski, käsittelyn aloittaminen edellyttää tietosuojavaltuutetun ennakkokuulemista.
Käytännössä huomioitavia asioita:
- Toiminnan järjestäjän tulee arvioida, minkälaisia oppijoiden ja huoltajien vapauksia ja oikeuksia suunniteltu käsittely voi vaarantaa ja mitä vahinkoja heille voi aiheutua suunnitellusta henkilötietojen käsittelystä.
- Riskienarviointi ja asianmukaiset toimenpiteet on arvioitava tapauskohtaisesti, sillä esimerkiksi oppilashallintojärjestelmän käyttöön liittyy erityyppisiä riskejä suhteessa paperisten asiakirjojen käsittelyyn ja näitä riskejä myös hallitaan eri tavoin. Riskien todennäköisyys ja vakavuus voivat vaihdella myös sen mukaan, kohdistuuko käsittely esimerkiksi erityisiin henkilötietoihin tai henkilötunnukseen.
- Järjestäjä voi toteuttaa yleisen riskienarvioinnin vapaamuotoisesti, mutta siitä tulee jäädä riittävä dokumentaatio osoitusvelvollisuuden noudattamiseksi.
- Mikäli käsittely voi aiheuttaa korkean riskin, järjestäjän tulee tehdä erillinen, määrämuotoinen tietosuojan vaikutustenarviointi ja tarkistettava, edellyttääkö käsittelyn aloittaminen tietosuojavaltuutetun ennakkokuulemista.