EU:n yleisen tietosuoja-asetuksen mukaan rekisterinpitäjän on toteutettava tietosuojaa koskeva vaikutustenarviointi (tai DPIA, eli data protection impact assessment), jos henkilötietojen käsittely aiheuttaa korkean riskin rekisteröityjen kannalta. Arvioinnin yhteydessä rekisterinpitäjän tulee arvioida käsittelytoimien vaikutuksia henkilötietojen suojaa. Vaikutustenarvioinnin tulee sisältää vähintään järjestelmällinen kuvaus käsittelytoimista ja niiden tarkoituksista, arvio käsittelytoimien tarpeellisuudesta ja oikeasuhteisuudesta, arvio rekisteröityjen oikeuksia koskevista riskeistä sekä suunnitellut toimenpiteet riskeihin puuttumiseksi.
Lähtökohta siis on, että rekisterinpitäjän tulee arvioida, milloin käsittely aiheuttaa korkean riskin, ja toteuttaa vaikutustenarviointi tämän pohjalta. Lisäksi asetuksessa säädetään tietyistä tilanteista, joissa vaikutustenarviointia erityisesti edellytetään. Näin on silloin,
- kun kyse on ”henkilökohtaisten ominaisuuksien järjestelmällisestä ja kattavasta arvioinnista” joka ”johtaa päätöksiin, joilla on luonnollista henkilöä koskevia oikeusvaikutuksia tai jotka vaikuttavat luonnolliseen henkilöön vastaavalla tavalla merkittävästi”; tai
- kun kyse on ns. erityisten henkilötietoryhmien (eli esimerkiksi terveydentilaa koskevien tietojen) laajamittaisesta käsittelystä; tai
- kun kyse on yleisölle avoimen alueen järjestelmällisestä valvonnasta laajamittaisesti.
Näissä tapauksissa asetus siis velvoittaa tekemään arvioinnin, ja vaikutustenarviointia koskeva artikla kuuluu niihin, joiden rikkomisesta voidaan langettaa asetuksen mukaisia sanktioita.
Vaikutustenarviointi on kuitenkin käyttökelpoinen työkalu myös sellaisiin tilanteisiin, joissa tietosuoja-asetus ei edellytä sen toteuttamista. Henkilötietojen käsittelyyn sisältyy aina riskejä, ja riskit on syytä arvioida ja käydä systemaattisesti läpi ja miettiä asiaankuuluvat riskienhallintakeinot, olivat nämä sitten teknisiä tai hallinnollisia. On myös hyvä pitää mielessä, että vaikka käsiteltävät tiedot sisältäisivätkin vaikkapa pelkkiä yhteystietoja, aiheuttaa niiden päätyminen vääriin käsiin myös maineriskin yritykselle.
Tietosuojaa koskeva vaikutustenarviointi on siten yksi rekisterinpitäjän riskienhallinnan työkalu. Rekisterinpitäjän toiminnan sekä henkilötietojen käsittelyn luonteesta ja laajuudesta riippuen voi olla tarkoituksenmukaista toteuttaa yksi koko toiminnan tai käsittelyprosessin kattava vaikutustenarviointi, tai arvioida vaikutuksia järjestelmäkohtaisesti. Tällöinkin on syytä huolehtia, että myös kokonaiskuva tulee otetuksi huomioon.
Jos vaikutustenarviointi toteutetaan osana uuden järjestelmän kehitystä tai vastaavaa projektia, on arviointi parasta sisällyttää projektiin mahdollisimman aikaisessa vaiheessa ja toteuttaa sitä projektin edetessä. Näin riskienhallintakeinojen sekä tietosuoja-asetuksen mukaisten sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden noudattaminen helpottuu.
Tietosuojaa koskevaa vaikutustenarviointi tulisi nähdä enemmän prosessina ja elävänä dokumenttina kuin kertaluontoisena projektina, joka tehdään kerran alta pois ja unohdetaan. Myös tietosuoja-asetus edellyttää, että rekisterinpitäjä tarkastelee, tapahtuuko käsittely edelleen vaikutustenarvioinnin mukaisesti, ainakin jos käsittelytoimien sisältämä riski muuttuu. Itse käsittelyssä voi tapahtua muutoksia, riskit voivat muuttua järjestelmän tai olosuhteiden muutosten myötä ja riskienhallintakeinoissakin voi tapahtua muutoksia. Ajantasainen vaikutustenarviointi on myös keskeinen osa rekisterinpitäjää koskevan osoitusvelvollisuuden toteuttamista. Toisin sanoen vaikutustenarviointi on yksi tapa, jolla rekisterinpitäjä voi osoittaa noudattavansa tietosuoja-asetuksen velvoitteita.
