Toiminnan järjestäjän yleisiin velvollisuuksiin rekisterinpitäjänä kuuluu arvioida henkilötietojen käsittelyn aiheuttamia riskejä rekisteröidyille sekä ryhtyä tarvittaviin toimenpiteisiin niiden poistamiseksi tai vähentämiseksi. Tämän yleisen velvollisuuden lisäksi järjestäjällä on tiettyjen edellytysten täyttyessä velvollisuus toteuttaa nimenomainen tietosuojan vaikutustenarviointi ennen henkilötietojen käsittelyn aloittamista. Tietosuojavaltuutetun toimiston verkkosivuilla on saatavilla ohje vaikutustenarviointien laadintaan sekä malliasiakirjapohjia, joita toiminnan järjestäjä voi hyödyntää arvioissaan (ks. linkki sivun lopussa).
Vaikutustenarviointi auttaa toiminnan järjestäjää tunnistamaan käsittelyyn liittyvät riskit sekä ohjaa tarvittaviin toimenpiteisiin niiden vähentämiseksi. Vaikutustenarvioinnin tarkoituksena on määrittää, onko käsittelyyn liittyvä riski oikeutettu ja hyväksyttävissä, jotta käsittely voidaan aloittaa. Vaikutustenarviointi auttaa järjestäjää myös osoittamaan, että se on huolehtinut sisäänrakennetusta ja oletusarvoisesta tietosuojasta laissa edellytetyllä tavalla.
Vaikutustenarvioinnin laatimisvelvoite voi perustua tietosuoja-asetukseen ja sen tulkintaa täsmentävään tietosuojatyöryhmän ohjeeseen, tietosuojavaltuutetun listaan vaikutustenarviointia vaativista käsittelytoimista tai kansalliseen lainsäädäntöön. Toiminnan järjestäjän on tapauskohtaisesti tarkistettava, edellyttääkö suunniteltu käsittely vaikutustenarvioinnin laatimista. Mikäli toiminnan järjestäjä päätyy arviossaan siihen, ettei vaikutustenarviointia tarvitse tehdä, perustelut ratkaisulle tulee dokumentoida.
Tietosuoja-asetuksen mukaan vaikutustenarviointi on pakollista erityisesti silloin, kun
- käytetään uutta teknologiaa,
- käsitellään laajamittaisesti erityisiä henkilötietoryhmiä,
- henkilön henkilökohtaisia ominaisuuksia arvioidaan automaattisen käsittelyn avulla (kuten profilointi) järjestelmällisesti ja kattavasti ja kun arvio johtaa päätöksiin, joilla on oikeusvaikutuksia tai jotka muuten vaikuttavat henkilöön merkittävästi, tai kun
- yleisölle avointa aluetta arvioidaan järjestelmällisesti ja laajamittaisesti.
Tietosuojatyöryhmän määrittämien kriteerien perusteella korkea riski voi syntyä myös silloin, kun kyseessä on
- rekisteröidyn taloudellisen työsuorituksen, taloudellisen tilanteen, terveyden, henkilökohtaisten mieltymysten tai kiinnostuksenkohteiden, luotettavuuden tai käyttäytymisen, sijainnin tai liikkumisen arviointi tai pisteytys, ml. profilointi ja ennakointi,
- automaattinen päätöksenteko, jolla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia,
- rekisteröityjen järjestelmällinen valvonta,
- erityisten henkilötietojen tai muuten hyvin henkilökohtaisten tietojen käsittely,
- tietojen laajamittainen käsittely,
- tietokokonaisuuksien yhdistäminen rekisteröidyn kannalta ennakoimattomalla ja odottamattomalla tavalla,
- heikossa asemassa olevien henkilötietojen käsittely,
- uusien teknisten tai organisatoristen ratkaisujen soveltaminen tai innovatiivinen käyttö, sekä
- tapaukset, joissa käsittelytoimet estävät rekisteröityjä käyttämästä oikeutta, palvelua tai sopimusta.
Tietosuojatyöryhmän mukaan rekisterinpitäjä voi useimmissa tapauksissa lähteä siitä, että kaksi kriteeriä täyttävä käsittely edellyttää vaikutustenarvioinnin laatimista. Mitä useampi kriteeri täyttyy, sitä todennäköisemmin käsittelystä aiheutuu korkea riski. Rekisterinpitäjä voi kuitenkin eräissä tapauksissa katsoa, että yhdenkin kriteerin täyttyminen edellyttää vaikutustenarvioinnin tekemistä. Ottaen huomioon, että varhaiskasvatuksessa, opetuksessa ja koulutuksessa käsitellään laajasti erityyppisiä alaikäisten henkilötietoja, edellytykset vaikutustenarvioinnin tekemiselle täyttyvät yleensä herkästi.
Tietosuojavaltuutetun listauksessa on täsmennetty vaikutustenarvioinnin laatimisvelvollisuutta biometristen tietojen, geneettisten tietojen, sijaintitietojen, rekisteröidyn informoinnista poikkeamisen sekä whistleblowingin eli ilmiantojärjestelmien osalta. Lisätietoja ja esimerkkejä tilanteista, joissa vaikutustenarviointi on tehtävä, löytyy tietosuojavaltuutetun verkkosivuilta.