tietosuoja-arviointilisted

# Tietosuoja-arviointi — käsittelyperuste ja DPIA Tämä skill arvioi henkilötietojen käsittelyn tietosuojavaatimukset: onko käsittelylle laillinen peruste, noudatetaanko käsittelyn periaatteita ja tarvitaanko vaikutustenarviointi. Sovellettava sääntely on **EU:n yleinen tietosuoja-asetus (EU) 2016/679 (GDPR)**, jota **tietosuojalaki (1050/2018)** täsmentää ja täydentää kansallisesti. Työelämän käsittelyyn sovelletaan lisäksi **lakia yksityisyyden suojasta työelämässä (759/2004)**. > **Vastuuvapaus:** tämä on tarkistettava arvio, ei oikeudellista neuvontaa. Korkean > riskin käsittely, arkaluonteiset tiedot ja DPIA:t kuuluvat tietosuojavastaavan ja > tarvittaessa juristin arvioitaviksi. Katso `tietosuoja/CLAUDE.md`. Perusteet ja artiklat tiivistettynä: lue `references/tietosuoja-perusteet.md`. Tarkista kansallisen lain pykälät `juristi`-plugarin `oikeustutkimus`-skillillä; GDPR-artiklat EUR-Lexistä. --- ## Vaihe 1: Kuvaa käsittely Selvitä: 1. **Mitä henkilötietoja** käsitellään ja keneltä (rekisteröityjen ryhmät)? 2. **Mihin tarkoitukseen** ja mikä on käsittelyn konteksti? 3. **Kuka on rekisterinpitäjä** ja onko käsittelijöitä (alihankkijat, pilvipalvelut)? 4. **Siirretäänkö tietoja EU/ETA:n ulkopuolelle?** 5. **Onko kyse arkaluonteisista (erityisistä) tiedoista** (terveys, etninen alkuperä, vakaumus, ay-jäsenyys, biometriset/geneettiset tiedot, seksuaalinen suuntautuminen) tai rikostiedoista? ## Vaihe 2: Määritä käsittelyperuste (GDPR 6 art) Jokaisella käsittelyllä on o