TASAPAINOTESTI
Mikä on tasapainotesti?
Kun henkilötietojen käsittelyssä vedotaan oikeutettuun etuun, tulee rekisterinpitäjän arvioida, syrjäyttävätkö rekisteröidyn edut tai oikeudet rekisterinpitäjän tai kolmannen osapuolen edun. Tämä arviointi tehdään ns. tasapainotestin kautta. Oikeutettu etu käsittelyperusteena ei siis suinkaan ole helpoin tai välttämättä käyttökelpoisin peruste käsitellä henkilötietoja, vaan edellyttää osapuolten etujen punnintaa sekä tämän pohdinnan huolellista dokumentointia. Kuvauksella voidaan osaltaan todentaa tietosuoja-asetuksen osoittamisvelvollisuutta.
Milloin tasapainostesti pitää tehdä?
Tasapainotesti tulee tehdä aina, kun vedotaan oikeutettuun etuun käsittelyperusteena. Se on syytä dokumentoida myös silloin, kun tietoja käsitellään markkinoinnissa tai konsernin sisällä.
Miten testin suorittaminen etenee käytännössä?
-
Arvioidaan, onko oikeutettu etu sopivin käsittelyperuste vai voitaisiinko vedota johonkin toiseen käsittelyperusteeseen, kuten suostumukseen tai sopimukseen.
-
Arvioidaan, täyttyykö oikeutettuun etuun liittyvät perusvaatimukset, eli onko etu:
a) lainmukainen,
b) selkeästi ilmaistu, ja
c) todellinen ja välitön (ei spekulatiivinen).
-
Arvioidaan, onko henkilötietojen käsittely tarpeen edun saavuttamiseksi. Jos etu voidaan saavuttaa ilman henkilötietojen käsittelyä, oikeutettuun etuun ei tule vedota.
-
Arvioidaan sitä, syrjäyttääkö etu rekisteröidyn perusoikeudet ja -vapaudet.
Ensin arvioidaan edun luonnetta eli sitä,
a) millaisesta rekisterinpitäjän tai kolmannen osapuolen edusta on kyse,
b) millaista hyötyä henkilötietojen käsittelystä olisi, ja
c) millaista haittaa olisi niiden käsittelemättä jättämisestä.
Tämän jälkeen pohditaan vaikutuksia rekisteröidylle eli sitä,
a) minkä luonteisista henkilötiedoista on kyse,
b) miten henkilötietoja käsiteltäisiin (esim. laajamittainen käsittely, yhdistely, tiedonlouhinta, profilointi, julkaisu), ja
c) miten käsittelytoimenpiteet vaikuttaisivat rekisteröityyn.
Seuraavaksi analysoidaan vielä:
a) osaisiko rekisteröity odottaa, että hänen tietojaan käytetään tällä tavalla,
b) onko todennäköistä, että rekisteröity vastustaisi tietojensa käsittelyä tai ainakin pitäisi sitä kyseenalaisena,
c) onko rekisteröidyn ja rekisterinpitäjän asemassa jotakin erityistä (käsitelläänkö esim. lasten tietoja tai onko rekisteröity muutoin haavoittuvassa asemassa).
-
Varmistetaan tietosuojan lisätakeet. Riskeihin suhteutettuna keinot voivat olla mm.
a) tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, ettei tietoja käytetä rekisteröityä koskeviin päätöksiin tai muihin tarkoituksiin (ns. toiminnallinen eriyttäminen);
b) laaja anonymisointitekniikoiden käyttö,
c) yksityisyyden suojaa parantavien tekniikoiden hyödyntäminen (esim. vaikutustenarviointi), ja
d) henkilötietojen salaus.
-
Varmistetaan toiminnan lainmukaisuus ja läpinäkyvyys mm. laatimalla tietosuojaseloste sekä mahdollistamalla se, että rekisteröity voi käyttää vastustamisoikeuttaan helposti.