1.   Kui teatavat tüüpi isikuandmete töötlemise, eelkõige uut tehnoloogiat kasutava töötlemise tulemusena ning isikuandmete töötlemise laadi, ulatust, konteksti ja eesmärke arvesse võttes tekib tõenäoliselt füüsiliste isikute õigustele ja vabadustele suur oht, hindab vastutav töötleja enne isikuandmete töötlemist kavandatavate isikuandmete töötlemise toimingute mõju isikuandmete kaitsele. Endast sarnast suurt ohtu kujutavaid sarnaseid isikuandmete töötlemise toiminguid võib hinnata koos.

2.   Vastutav töötleja küsib andmekaitsealase mõjuhinnangu tegemisel nõu andmekaitseametnikult, kui see on määratud.

3.   Lõikes 1 osutatud andmekaitsealase mõjuhinnangu tegemine on nõutav juhtudel:

a)	füüsiliste isiklike aspektide süstemaatiline ja ulatuslik hindamine, mis põhineb automaatsel isikuandmete töötlemisel, sealhulgas profiilianalüüsil, ja millel põhinevad otsused, millel on füüsilise isiku jaoks õiguslikud tagajärjed või mis samaväärselt mõjutavad oluliselt füüsilist isikut;

b)	artikli 9 lõikes 1 osutatud andmete eriliikide või artiklis 10 osutatud süüteoasjades süüdimõistvate kohtuotsuste ja süütegudega seotud andmete ulatuslik töötlemine, või

c)	avalike alade ulatuslik süstemaatiline jälgimine.

4.   Järelevalveasutus koostab ja avalikustab selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille suhtes kohaldatakse lõike 1 kohast nõuet teha andmekaitsealane mõjuhinnang. Järelevalveasutus edastab need loetelud artiklis 68 osutatud andmekaitsenõukogule.

5.   Järelevalveasutus võib samuti koostada ja avaldada selliste isikuandmete töötlemise toimingute tüüpide loetelu, mille puhul ei ole andmekaitsealane mõjuhinnang nõutav. Järelevalveasutus edastab need loetelud andmekaitsenõukogule.

6.   Enne lõigetes 4 ja 5 osutatud loetelude vastuvõtmist kohaldab pädev järelevalveasutus artiklis 63 osutatud järjepidevuse mehhanismi, kui need loetelud hõlmavad isikuandmete töötlemise toimingud, mis on seotud kaupade või teenuste pakkumisega andmesubjektidele või andmesubjektide käitumise jälgimisega mitmes liikmesriigis, või kui isikuandmete töötlemise toimingud võivad oluliselt mõjutada isikuandmete vaba liikumist liidus.

7.   Mõjuhinnang peab hõlmama vähemalt järgmist:

a)	kavandatud isikuandmete töötlemise toimingute ja töötlemise eesmärkide, sealhulgas asjakohasel juhul vastutava töötleja õigustatud huvi süstemaatiline kirjeldus;

b)	isikuandmete töötlemise toimingute vajalikkuse ja proportsionaalsuse hindamine eesmärkide suhtes;

c)	lõikes 1 osutatud andmesubjektide õigusi ja vabadusi puudutavate ohtude hinnang, ning

d)	ohtude käsitlemiseks kavandatud meetmed, sealhulgas tagatised, turvameetmed ja mehhanismid isikuandmete kaitse tagamiseks ja käesoleva määruse järgimise tõendamiseks, võttes arvesse andmesubjektide ja teiste asjaomaste isikute õigusi ja õigustatud huve.

8.   Vastutava töötleja või volitatud töötleja sooritatud isikuandmete töötlemise toimingute mõju hindamisel ning eelkõige andmekaitsealase mõjuhinnangu koostamisel võetakse asjakohaselt arvesse artiklis 40 osutatud heakskiidetud toimimisjuhendite järgimist asjaomase vastutava töötleja või volitatud töötleja poolt.

9.   Vajaduse korral küsib vastutav töötleja andmesubjektide või nende esindajate seisukohti kavandatava töötlemise kohta, ilma et see piiraks äri- või avalike huvide kaitset või isikuandmete töötlemise toimingute turvalisust.

10.   Kui artikli 6 lõike 1 punkti c või e kohase isikuandmete töötlemise õiguslik alus tuleneb liidu õigusest või vastutavale töötlejale kohaldatavast liikmesriigi õigusest ja see õigus reguleerib kõnealust konkreetset isikuandmete töötlemise toimingut või nende kogumit ning andmekaitsealane mõjuhinnang on kõnealuse õigusliku aluse vastuvõtmise raames läbiviidud üldise mõjuhinnangu osana juba tehtud, siis lõikeid 1–7 ei kohaldata, välja arvatud juhul, kui liikmesriigid peavad vajalikuks korraldada selline hindamine enne isikuandmete töötlemise toimingute tegemist.

11.   Vastutav töötleja hindab asjakohasel juhul ja vähemalt isikuandmete töötlemise toimingutest tuleneva ohu muutumise korral, kas isikuandmete töötlemine vastab andmekaitsealasele mõjuhinnangule.

1.   Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

2.   El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.

3.   La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:

a)

evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b)	tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c)	observación sistemática a gran escala de una zona de acceso público.

4.   La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos de conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a que se refiere el artículo 68.

5.   La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La autoridad de control comunicará esas listas al Comité.

6.   Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o servicios a interesados o con la observación del comportamiento de estos en varios Estados miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre circulación de datos personales en la Unión.

7.   La evaluación deberá incluir como mínimo:

a)	una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento;

b)	una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad;

c)	una evaluación de los riesgos para los derechos y libertades de los interesados a que se refiere el apartado 1, y

d)

las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

8.   El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40 por los responsables o encargados correspondientes se tendrá debidamente en cuenta al evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la protección de datos.

9.   Cuando proceda, el responsable recabará la opinión de los interesados o de sus representantes en relación con el tratamiento previsto, sin perjuicio de la protección de intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.

10.   Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación excepto si los Estados miembros consideran necesario proceder a dicha evaluación previa a las actividades de tratamiento.

11.   En caso necesario, el responsable examinará si el tratamiento es conforme con la evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio del riesgo que representen las operaciones de tratamiento.