(1)   Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2)   Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

(3)   Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

a)

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b)	umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c)	systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

(4)   Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

(5)   Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.

(6)   Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.

(7)   Die Folgenabschätzung enthält zumindest Folgendes:

a)	eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b)	eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c)	eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d)

die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

(8)   Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

(9)   Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

(10)   Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

(11)   Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

1.   Fejn tip ta' pproċessar, b'mod partikolari bl-użu ta' teknoloġiji ġodda, u waqt li jittieħed kont tan-natura, l-ambitu, il-kuntest u l-finijiet tal-ipproċessar, x'aktarx jirriżulta f'livell għoli ta' riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu, qabel l-ipproċessar, iwettaq valutazzjoni tal-impatt tal-attivitajiet ta' pproċessar previsti fuq il-protezzjoni tad-data personali. Valutazzjoni waħda tista' tindirizza sett ta' operazzjonijiet tal-ipproċessar simili li jippreżentaw riskji għolja simili.

2.   Il-kontrollur għandu jfittex il-parir tal-uffiċjal tal-protezzjoni tad-data, fejn ikun maħtur, meta jwettaq valutazzjoni tal-impatt fuq il-protezzjoni tad-data.

3.   Valutazzjoni tal-impatt fuq il-protezzjoni tad-data msemmija fil-paragrafu 1 għandha b'mod partikolari tkun meħtieġa fil-każ ta':

(a)

evalwazzjoni sistematika u estensiva tal-aspetti personali relatati ma' persuni fiżiċi, li hija bbażata fuq l-ipproċessar awtomatizzat, inkluż it-tfassil tal-profili, u li fuqhom huma bbażati deċiżjonijiet li jipproduċu effetti legali li jikkonċernaw lill-persuna fiżika jew li jaffettwaw b'mod sinifikanti b'mod simili lill-persuna fiżika;

(b)	l-ipproċessar fuq skala kbira ta' kategoriji speċjali ta' data msemmija fl-Artikolu 9(1), jew ta' data personali relatata ma' kundanni kriminali u reati msemmija fl-Artikolu 10; jew

(c)	il-monitoraġġ sistematiku ta' żona aċċessibbli għall-pubbliku fuq skala kbira.

4.   L-awtorità superviżorja għandha tistabbilixxi u tippubblika lista tat-tipi ta' attivitajiet ta' pproċessar li huma soġġetti għat-talba ta' valutazzjoni tal-impatt fuq il-protezzjoni tad-data skont il-paragrafu 1. L-awtorità superviżorja għandha tikkomunika dawk il-listi lill-Bord imsemmi fl-Artikolu 68.

5.   L-awtorità superviżorja tista' wkoll tistabbilixxi u tippubblika lista tat-tipi ta' attivitajiet ta' pproċessar li għalihom ma tkun meħtieġa l-ebda valutazzjoni tal-impatt fuq il-protezzjoni tad-data. L-awtorità superviżorja għandha tikkomunika dawn il-listi lill-Bord.

6.   Qabel l-adozzjoni tal-listi msemmija fil-paragrafi 4 u 5, l-awtorità superviżorja kompetenti għandha tapplika l-mekkaniżmu ta' konsistenza msemmi fl-Artikolu 63 fejn tali listi jinvolvu attivitajiet ta' pproċessar li huma marbuta mal-offerta ta' oġġetti jew servizzi lis-suġġetti tad-data jew għall-monitoraġġ tal-imġiba tagħhom f'diversi Stati Membri, jew li jista' jaffettwa sostanzjalment il-moviment ħieles tad-data personali fl-Unjoni.

7.   Il-valutazzjoni għandha tinkludi minn tal-inqas:

(a)	deskrizzjoni sistematika tal-operazzjonijiet ta' pproċessar previsti u l-iskopijiet tal-ipproċessar, inkluż fejn applikabbli l-interess leġittimu mfittex mill-kontrollur;

(b)	valutazzjoni tal-bżonn u l-proporzjonalità tal-operazzjonijiet ta' pproċessar b'rabta mal-iskopijiet;

(c)	valutazzjoni tar-riskji għad-drittijiet u l-libertajiet tas-suġġetti tad-data msemmija fil-paragrafu 1; u

(d)

il-miżuri previsti biex jindirizzaw ir-riskji, inkluż is-salvagwardji, miżuri ta' sigurtà u mekkaniżmi li jiżguraw il-protezzjoni ta' data personali u li juru l-konformità ma' dan ir-Regolament, filwaqt li jiġu kkunsidrati d-drittijiet u l-interessi leġittimi tas-suġġetti tad-data u persuni oħrajn ikkonċernati.

8.   Il-konformità ma' kodiċi ta' kondotta approvati msemmija fl-Artikolu 40 mill-kontrolluri jew proċessuri rilevanti għandu jittieħed kont tagħhom fil-valutazzjoni tal-impatt tal-attivitajiet ta' pproċessar imwettqa minn tali kontrolluri jew proċessuri, b'mod partikolari għall-finijiet ta' valutazzjoni tal-impatt fuq il-protezzjoni tad-data.

9.   Fejn xieraq, il-kontrollur għandu jfittex il-fehmiet tas-suġġetti tad-data jew tar-rappreżentanti tagħhom dwar l-ipproċessar maħsub, mingħajr preġudizzju għall-protezzjoni ta' interessi kummerċjali jew pubbliċi jew għas-sigurtà tal-attivitajiet ta' pproċessar.

10.   Fejn l-ipproċessar skont il-punt (c) jew (e) tal-Artikolu 6(1) ikollu bażi legali fil-liġi tal-Unjoni jew fil-liġi tal-Istat Membru li l-kontrollur huwa suġġett għaliha, u dik il-liġi tirregola l-operazzjoni jew is-sett ta' operazzjonijiet ta' pproċessar speċifiċi inkwistjoni, u tkun diġà ġiet imwettqa valutazzjoni tal-impatt fuq il-protezzjoni tad-data bħala parti minn valutazzjoni tal-impatt ġenerali fil-kuntest tal-adozzjoni ta' dik il-bażi legali, il-paragrafi 1 sa 3 ma għandhomx japplikaw sakemm l-Istati Membri ma jqisux li jkun meħtieġ li ssir tali valutazzjoni qabel l-attivitajiet tal-ipproċessar.

11.   Fejn meħtieġ, il-kontrollur għandu jwettaq rieżami biex jevalwa jekk l-ipproċessar ikunx qed isir f'konformità mal-valutazzjoni tal-impatt fuq il-protezzjoni tad-data mill-inqas meta jkun hemm bidla fir-riskju mill-operazzjonijiet ta' pproċessar.