Mõjuhinnang on nagu alustava ettevõtte SWOT analüüs, aga seda viiakse läbi isikuandmete töötlemise spektris, et maandada kõikvõimalikud isikuandmetele rakenduvad ohud ning riskid inimeste privaatsusele digimaailmas.
Vaatamata sellele, et teatavatel juhtudel tuleb mõjuhinnangu nõue isikuandmete kaitse üldmäärusest, on see andmetöötlejale ka hea tööriist, hoidmaks ära kõikvõimalike halbade stsenaariumide realiseerumise.
Kui näiteks start-up ettevõte tahab hakata välja töötama uuenduslikku tehnoloogiat, samuti uut tarkvaratoodet või riistvara, eeldab see andmetöötlusriskide maandamiseks mõjuhinnangu tegemist. Siiski ei ole see kohustus absoluutne. Mõjuhinnang tuleb teha, kui isikuandmete töötlemise laad, ulatus, kontekst või eesmärk võib kaasa tuua inimestele suure füüsilise, varalise või mittevaralise kahju ehk ohu ning andmetöötlus on ulatuslik ja süsteemne.
Oht hõlmab sündmust ja selle tagajärgi ning seda hinnatakse mõju, tõenäosuse ja inimese vaatenurgast. Töötlemise ulatuslikkuse ja süsteemsuse määratlemisel tuleb aga andmetöötlejal lähtuda kindlatest kriteeriumidest.
Siseriikliku andmetöötluse juures määrab ulatuslikkuse kriteeriumi kohalik andmekaitseasutus. Eestis on selleks Andmekaitse Inspektsioon.
Kui Eesti vastutava andmetöötleja tegevus ulatub lisaks veel näiteks Lätti, tuleb aga järgida Euroopa andmekaitsenõukogu kinnitatud vastavaid kriteeriume. Kõikide Euroopa liikmesriikide piiriülest andmetöötlust puudutavate mõjuhinnangute nimekirjad on koostatud sarnasel põhimõttel ja kooskõlastatud Euroopa Andmekaitsenõukoguga.
Eestis on siseriikliku mõjuhinnangu ulatuslikkuse kriteeriumid järgnevad:
- eriliiki või süüteoandmeid 5000 ja enama inimese kohta;
- suurt ohtu põhjustavaid andmeid 10 000 ja enama inimese kohta;
- ülejäänud isikuandmed 50 000 ja enama inimese kohta.
Mõjuhinnangu tegemise kohustust ei ole andmetöötlusele, mis on olnud kasutusel juba enne isikuandmete kaitse üldmääruse kehtima hakkamist.
Mõjuhinnangu näidisdokument (862.85 KB, PDF) (862.85 KB, PDF)