Yksi henkilötietojen laillisen käsittelyn oikeudellisista perusteista on rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen. Sen määrittämiseksi, milloin oikeutettu etu on perusteltu, tehdään niin sanottu tasapainotesti, jossa rekisterinpitäjän tai kolmannen osapuolen etu suhteutetaan rekisteröidyn perusoikeuksiin.

Kun käsittelymme perustuu oikeutettuun etuun, dokumentoimme tasapainotestin toteuttamisen ja sen tulokset, jotta voimme tarvittaessa osoittaa, että toimintamme on sovellettavan tietosuojakehyksen mukaista.

The organization must maintain a documented process to evaluate and justify the use of legitimate interest as a lawful basis for processing personal data. Before processing begins, a Legitimate Interest Assessment (LIA) must be conducted and retained as evidence of compliance.

• Identify the proposed processing, its purpose, the type of data involved, and the categories of data subjects.
• Confirm that the purpose is legitimate, necessary, and compliant with applicable laws.
• Assess whether processing is essential to achieve the intended purpose and proportionate to the organization’s objectives.
• Evaluate potential harm or impact on data subjects and their ability to exercise their rights.
• Identify and implement measures to mitigate risks or prevent possible harm.

Processing may proceed only when the assessment confirms that it is lawful, necessary, and does not infringe upon individuals’ rights or interests. If the assessment reveals any noncompliance, risks, or potential harm, the processing must be modified, reassessed, or based on an alternative lawful ground before continuation.

The organization must perform and document a Data Protection Impact Assessment (DPIA) before starting any processing that may affect individuals’ privacy or data protection rights. The assessment must evaluate the nature, scope, purpose, and risks of the processing to ensure personal data is handled lawfully and responsibly.

The assessment must define:

• The purpose and legal basis of processing.
• The types, sources, and scope of personal data, including any intended disclosures.
• The context of processing, defining roles and relationships between the controller, processors, and data subjects.
• An evaluation of necessity and proportionality to ensure only essential data is processed.
• The potential impacts on individuals and the likelihood of harm.
• Mitigation measures and their effectiveness.

Completed assessments must be reviewed, approved, and retained as evidence of compliance. When processing is carried out by a processor, a copy of the relevant DPIA must be provided to them to ensure awareness of risks and required safeguards.

Organisaation on tunnistettava erilaiset käsittelytilanteet, joissa voi olla tarpeen rajoittaa henkilötietojen käsittelyä sekä henkilötietojen määrää suhteessa niiden käyttötarkoituksiin. Tämä voi sisältää mm. tunnistamisyhteyksien poistoa ja muita tiedonkäsittelyn rajoittamistekniikoita.

Organisaation tulisi määrittää ja dokumentoida rajoittamistavoitteet tietojenkäsittelylle ja tavoitteiden toteuttamiseen käytettävät mekanismit.

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

• Miten todennäköistä on, että tietoja käytetään haitantekoon?
• Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
• Henkilötietojen luonne, arkaluonteisuus ja määrä
• Kuinka helppoa rekisteröity on tunnistaa tiedoista?
• Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.

Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.

Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.

The organisation ensures that the processing of personal data is necessary and proportionate for the legitimate purposes of the processing. Personal data should only be processed if the purpose of the processing cannot be reasonably achieved by other means.

The implementation of this principle should be regularly verified from a holistic perspective by analysing the documentation of the management system (in particular the purposes for which the data are used).

Tietosuojan vastuuhenkilön tehtävänä on seurata, että tietosuoja-asetusta ja muita tietosuojavaatimuksia noudatetaan organisaation toiminnassa.

Vastuuhenkilön on arviointia tehdessään otettava asianmukaisesti huomioon käsittelytoimiin liittyvä riski sekä henkilötietojen käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset.