Yksi henkilötietojen laillisen käsittelyn oikeudellisista perusteista on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Sen määrittämiseksi, milloin oikeutettu etu on perusteltu, tehdään niin sanottu tasapainotesti, jossa rekisterinpitäjän tai kolmannen osapuolen etu suhteutetaan rekisteröidyn perusoikeuksiin.

Kun käsittelymme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen ja sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on sovellettavan tietosuojakehyksen mukaista.

Organisaation on ylläpidettävä dokumentoitua prosessia, jolla arvioidaan ja perustellaan oikeutetun edun käyttö henkilötietojen käsittelyn laillisena perusteena. Ennen käsittelyn aloittamista on suoritettava oikeutetun edun arviointi ja säilytettävä se todisteena vaatimustenmukaisuudesta.

• Määritellään ehdotettu käsittely, sen tarkoitus, kyseessä olevien tietojen tyyppi ja rekisteröityjen ryhmät.
• Vahvista, että tarkoitus on oikeutettu, tarpeellinen ja sovellettavien lakien mukainen.
• Arvioidaan, onko käsittely välttämätöntä aiotun tarkoituksen saavuttamiseksi ja oikeassa suhteessa organisaation tavoitteisiin nähden.
• Arvioidaan mahdollinen haitta tai vaikutus rekisteröidyille ja heidän mahdollisuutensa käyttää oikeuksiaan.
• Tunnistetaan ja toteutetaan toimenpiteitä riskien lieventämiseksi tai mahdollisten haittojen estämiseksi.

Käsittelyä voidaan jatkaa vain, jos arviointi vahvistaa, että se on laillista ja tarpeellista eikä loukkaa yksilöiden oikeuksia tai etuja. Jos arvioinnissa havaitaan, että sääntöjä ei noudateta, että on olemassa riskejä tai että siitä voi aiheutua haittaa, käsittelyä on muutettava, arvioitava uudelleen tai sen on perustuttava vaihtoehtoiseen lailliseen perusteeseen ennen sen jatkamista.

Organisaation on tehtävä ja dokumentoitava tietosuojaa koskeva vaikutustenarviointi (DPIA) ennen kuin se aloittaa käsittelyn, joka voi vaikuttaa yksilöiden yksityisyyteen tai tietosuojaan liittyviin oikeuksiin. Arvioinnissa on arvioitava käsittelyn luonne, laajuus, tarkoitus ja riskit sen varmistamiseksi, että henkilötietoja käsitellään laillisesti ja vastuullisesti.

Arvioinnissa on määriteltävä:

• Käsittelyn tarkoitus ja oikeusperusta.
• Henkilötietojen tyypit, lähteet ja laajuus, mukaan lukien aiotut luovutukset.
• käsittelyn konteksti, jossa määritellään rekisterinpitäjän, henkilötietojen käsittelijöiden ja rekisteröityjen väliset roolit ja suhteet.
• tarpeellisuuden ja oikeasuhteisuuden arviointi sen varmistamiseksi, että vain olennaisia tietoja käsitellään.
• Mahdolliset vaikutukset yksilöihin ja vahingon todennäköisyys.
• lieventämistoimenpiteet ja niiden tehokkuus.

Valmiit arvioinnit on tarkistettava, hyväksyttävä ja säilytettävä todisteena vaatimustenmukaisuudesta. Kun henkilötietojen käsittelijä suorittaa käsittelyä, hänelle on toimitettava kopio asiaankuuluvasta tietosuojaa koskevasta vaikutustenarvioinnista sen varmistamiseksi, että hän on tietoinen riskeistä ja vaadittavista suojatoimista.

Organisaation on tunnistettava erilaiset käsittelytilanteet, joissa voi olla tarpeen rajoittaa henkilötietojen käsittelyä sekä henkilötietojen määrää suhteessa niiden käyttötarkoituksiin. Tämä voi sisältää mm. tunnistamisyhteyksien poistoa ja muita tiedonkäsittelyn rajoittamistekniikoita.

Organisaation tulisi määrittää ja dokumentoida rajoittamistavoitteet tietojenkäsittelylle ja tavoitteiden toteuttamiseen käytettävät mekanismit.

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

• Miten todennäköistä on, että tietoja käytetään haitantekoon?
• Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
• Henkilötietojen luonne, arkaluonteisuus ja määrä
• Kuinka helppoa rekisteröity on tunnistaa tiedoista?
• Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.

Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.

The organisation ensures that the processing of personal data is necessary and proportionate for the legitimate purposes of the processing. Personal data should only be processed if the purpose of the processing cannot be reasonably achieved by other means.

The implementation of this principle should be regularly verified from a holistic perspective by analysing the documentation of the management system (in particular the purposes for which the data are used).

Tietosuojan vastuuhenkilön tehtävänä on seurata, että tietosuoja-asetusta ja muita tietosuojavaatimuksia noudatetaan organisaation toiminnassa.

Vastuuhenkilön on arviointia tehdessään otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski sekä henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.