1.   Όταν ένα είδος επεξεργασίας, ιδίως με χρήση νέων τεχνολογιών και συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, ο υπεύθυνος επεξεργασίας διενεργεί, πριν από την επεξεργασία, εκτίμηση των επιπτώσεων των σχεδιαζόμενων πράξεων επεξεργασίας στην προστασία δεδομένων προσωπικού χαρακτήρα. Σε μία εκτίμηση μπορεί να εξετάζεται ένα σύνολο παρόμοιων πράξεων επεξεργασίας οι οποίες ενέχουν παρόμοιους υψηλούς κινδύνους.

2.   Ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη του υπευθύνου προστασίας δεδομένων, εφόσον έχει οριστεί, κατά τη διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

3.   Η αναφερόμενη στην παράγραφο 1 εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων απαιτείται ιδίως στην περίπτωση:

α)

συστηματικής και εκτενούς αξιολόγησης προσωπικών πτυχών σχετικά με φυσικά πρόσωπα, η οποία βασίζεται σε αυτοματοποιημένη επεξεργασία, περιλαμβανομένης της κατάρτισης προφίλ, και στην οποία βασίζονται αποφάσεις που παράγουν έννομα αποτελέσματα σχετικά με το φυσικό πρόσωπο ή ομοίως επηρεάζουν σημαντικά το φυσικό πρόσωπο,

β)	μεγάλης κλίμακας επεξεργασίας των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παράγραφος 1 ή δεδομένων προσωπικού χαρακτήρα που αφορούν ποινικές καταδίκες και αδικήματα που αναφέρονται στο άρθρο 10 ή

γ)	συστηματικής παρακολούθησης δημοσίως προσβάσιμου χώρου σε μεγάλη κλίμακα.

4.   Η εποπτική αρχή καταρτίζει και δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας που υπόκεινται στην απαίτηση για διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία των δεδομένων δυνάμει της παραγράφου 1. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων που αναφέρεται στο άρθρο 68.

5.   Η εποπτική αρχή δύναται επίσης να καταρτίζει και να δημοσιοποιεί κατάλογο με τα είδη των πράξεων επεξεργασίας για τα οποία δεν απαιτείται εκτίμηση αντικτύπου σχετικά με την προστασία των δεδομένων. Η εποπτική αρχή ανακοινώνει τον εν λόγω κατάλογο στο Συμβούλιο Προστασίας Δεδομένων.

6.   Πριν από την έκδοση των καταλόγων που αναφέρονται στις παραγράφους 4 και 5, η αρμόδια εποπτική αρχή εφαρμόζει τον μηχανισμό συνεκτικότητας που αναφέρεται στο άρθρο 63, εάν οι εν λόγω κατάλογοι περιλαμβάνουν δραστηριότητες επεξεργασίας οι οποίες σχετίζονται με την προσφορά αγαθών ή υπηρεσιών σε υποκείμενα των δεδομένων ή με την παρακολούθηση της συμπεριφοράς τους σε περισσότερα του ενός κράτη μέλη ή οι οποίες ενδέχεται να επηρεάζουν σημαντικά την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην Ένωση.

7.   Η εκτίμηση περιέχει τουλάχιστον:

α)	συστηματική περιγραφή των προβλεπόμενων πράξεων επεξεργασίας και των σκοπών της επεξεργασίας, περιλαμβανομένου, κατά περίπτωση, του έννομου συμφέροντος που επιδιώκει ο υπεύθυνος επεξεργασίας,

β)	εκτίμηση της αναγκαιότητας και της αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους σκοπούς,

γ)	εκτίμηση των κινδύνων για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων που αναφέρονται στην παράγραφο 1 και

δ)

τα προβλεπόμενα μέτρα αντιμετώπισης των κινδύνων, περιλαμβανομένων των εγγυήσεων, των μέτρων και μηχανισμών ασφάλειας, ώστε να διασφαλίζεται η προστασία των δεδομένων προσωπικού χαρακτήρα και να αποδεικνύεται η συμμόρφωση προς τον παρόντα κανονισμό, λαμβάνοντας υπόψη τα δικαιώματα και τα έννομα συμφέροντα των υποκειμένων των δεδομένων και άλλων ενδιαφερόμενων προσώπων.

8.   Η συμμόρφωση με εγκεκριμένους κώδικες δεοντολογίας που αναφέρονται στο άρθρο 40 από τους σχετικούς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία λαμβάνεται δεόντως υπόψη κατά την εκτίμηση του αντικτύπου των πράξεων επεξεργασίας που εκτελούνται από τους εν λόγω υπευθύνους ή εκτελούντες την επεξεργασία, ιδίως για τους σκοπούς εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων.

9.   Όπου ενδείκνυται, ο υπεύθυνος επεξεργασίας ζητεί τη γνώμη των υποκειμένων των δεδομένων ή των εκπροσώπων τους για τη σχεδιαζόμενη επεξεργασία, με την επιφύλαξη της προστασίας εμπορικών ή δημόσιων συμφερόντων ή της ασφάλειας των πράξεων επεξεργασίας.

10.   Όταν η επεξεργασία δυνάμει του άρθρου 6 παράγραφος 1 στοιχείο γ) ή ε) έχει νομική βάση στο δίκαιο της Ένωσης ή στο δίκαιο του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας, το εν λόγω δίκαιο ρυθμίζει την εκάστοτε συγκεκριμένη πράξη επεξεργασίας ή σειρά πράξεων και έχει διενεργηθεί ήδη εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων ως μέρος γενικής εκτίμησης αντικτύπου στο πλαίσιο της έγκρισης της εν λόγω νομικής βάσης, οι παράγραφοι 1 έως 7 δεν εφαρμόζονται, εκτός εάν τα κράτη μέλη κρίνουν απαραίτητη τη διενέργεια της εν λόγω εκτίμησης πριν από τις δραστηριότητες επεξεργασίας.

11.   Όπου απαιτείται, ο υπεύθυνος επεξεργασίας προβαίνει σε επανεξέταση για να εκτιμήσει εάν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται σύμφωνα με την εκτίμηση αντικτύπου στην προστασία δεδομένων τουλάχιστον όταν μεταβάλλεται ο κίνδυνος που θέτουν οι πράξεις επεξεργασίας.

1.   Fejn tip ta' pproċessar, b'mod partikolari bl-użu ta' teknoloġiji ġodda, u waqt li jittieħed kont tan-natura, l-ambitu, il-kuntest u l-finijiet tal-ipproċessar, x'aktarx jirriżulta f'livell għoli ta' riskju għad-drittijiet u l-libertajiet tal-persuni fiżiċi, il-kontrollur għandu, qabel l-ipproċessar, iwettaq valutazzjoni tal-impatt tal-attivitajiet ta' pproċessar previsti fuq il-protezzjoni tad-data personali. Valutazzjoni waħda tista' tindirizza sett ta' operazzjonijiet tal-ipproċessar simili li jippreżentaw riskji għolja simili.

2.   Il-kontrollur għandu jfittex il-parir tal-uffiċjal tal-protezzjoni tad-data, fejn ikun maħtur, meta jwettaq valutazzjoni tal-impatt fuq il-protezzjoni tad-data.

3.   Valutazzjoni tal-impatt fuq il-protezzjoni tad-data msemmija fil-paragrafu 1 għandha b'mod partikolari tkun meħtieġa fil-każ ta':

(a)

evalwazzjoni sistematika u estensiva tal-aspetti personali relatati ma' persuni fiżiċi, li hija bbażata fuq l-ipproċessar awtomatizzat, inkluż it-tfassil tal-profili, u li fuqhom huma bbażati deċiżjonijiet li jipproduċu effetti legali li jikkonċernaw lill-persuna fiżika jew li jaffettwaw b'mod sinifikanti b'mod simili lill-persuna fiżika;

(b)	l-ipproċessar fuq skala kbira ta' kategoriji speċjali ta' data msemmija fl-Artikolu 9(1), jew ta' data personali relatata ma' kundanni kriminali u reati msemmija fl-Artikolu 10; jew

(c)	il-monitoraġġ sistematiku ta' żona aċċessibbli għall-pubbliku fuq skala kbira.

4.   L-awtorità superviżorja għandha tistabbilixxi u tippubblika lista tat-tipi ta' attivitajiet ta' pproċessar li huma soġġetti għat-talba ta' valutazzjoni tal-impatt fuq il-protezzjoni tad-data skont il-paragrafu 1. L-awtorità superviżorja għandha tikkomunika dawk il-listi lill-Bord imsemmi fl-Artikolu 68.

5.   L-awtorità superviżorja tista' wkoll tistabbilixxi u tippubblika lista tat-tipi ta' attivitajiet ta' pproċessar li għalihom ma tkun meħtieġa l-ebda valutazzjoni tal-impatt fuq il-protezzjoni tad-data. L-awtorità superviżorja għandha tikkomunika dawn il-listi lill-Bord.

6.   Qabel l-adozzjoni tal-listi msemmija fil-paragrafi 4 u 5, l-awtorità superviżorja kompetenti għandha tapplika l-mekkaniżmu ta' konsistenza msemmi fl-Artikolu 63 fejn tali listi jinvolvu attivitajiet ta' pproċessar li huma marbuta mal-offerta ta' oġġetti jew servizzi lis-suġġetti tad-data jew għall-monitoraġġ tal-imġiba tagħhom f'diversi Stati Membri, jew li jista' jaffettwa sostanzjalment il-moviment ħieles tad-data personali fl-Unjoni.

7.   Il-valutazzjoni għandha tinkludi minn tal-inqas:

(a)	deskrizzjoni sistematika tal-operazzjonijiet ta' pproċessar previsti u l-iskopijiet tal-ipproċessar, inkluż fejn applikabbli l-interess leġittimu mfittex mill-kontrollur;

(b)	valutazzjoni tal-bżonn u l-proporzjonalità tal-operazzjonijiet ta' pproċessar b'rabta mal-iskopijiet;

(c)	valutazzjoni tar-riskji għad-drittijiet u l-libertajiet tas-suġġetti tad-data msemmija fil-paragrafu 1; u

(d)

il-miżuri previsti biex jindirizzaw ir-riskji, inkluż is-salvagwardji, miżuri ta' sigurtà u mekkaniżmi li jiżguraw il-protezzjoni ta' data personali u li juru l-konformità ma' dan ir-Regolament, filwaqt li jiġu kkunsidrati d-drittijiet u l-interessi leġittimi tas-suġġetti tad-data u persuni oħrajn ikkonċernati.

8.   Il-konformità ma' kodiċi ta' kondotta approvati msemmija fl-Artikolu 40 mill-kontrolluri jew proċessuri rilevanti għandu jittieħed kont tagħhom fil-valutazzjoni tal-impatt tal-attivitajiet ta' pproċessar imwettqa minn tali kontrolluri jew proċessuri, b'mod partikolari għall-finijiet ta' valutazzjoni tal-impatt fuq il-protezzjoni tad-data.

9.   Fejn xieraq, il-kontrollur għandu jfittex il-fehmiet tas-suġġetti tad-data jew tar-rappreżentanti tagħhom dwar l-ipproċessar maħsub, mingħajr preġudizzju għall-protezzjoni ta' interessi kummerċjali jew pubbliċi jew għas-sigurtà tal-attivitajiet ta' pproċessar.

10.   Fejn l-ipproċessar skont il-punt (c) jew (e) tal-Artikolu 6(1) ikollu bażi legali fil-liġi tal-Unjoni jew fil-liġi tal-Istat Membru li l-kontrollur huwa suġġett għaliha, u dik il-liġi tirregola l-operazzjoni jew is-sett ta' operazzjonijiet ta' pproċessar speċifiċi inkwistjoni, u tkun diġà ġiet imwettqa valutazzjoni tal-impatt fuq il-protezzjoni tad-data bħala parti minn valutazzjoni tal-impatt ġenerali fil-kuntest tal-adozzjoni ta' dik il-bażi legali, il-paragrafi 1 sa 3 ma għandhomx japplikaw sakemm l-Istati Membri ma jqisux li jkun meħtieġ li ssir tali valutazzjoni qabel l-attivitajiet tal-ipproċessar.

11.   Fejn meħtieġ, il-kontrollur għandu jwettaq rieżami biex jevalwa jekk l-ipproċessar ikunx qed isir f'konformità mal-valutazzjoni tal-impatt fuq il-protezzjoni tad-data mill-inqas meta jkun hemm bidla fir-riskju mill-operazzjonijiet ta' pproċessar.