1.   Quando um certo tipo de tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento procede, antes de iniciar o tratamento, a uma avaliação de impacto das operações de tratamento previstas sobre a proteção de dados pessoais. Se um conjunto de operações de tratamento que apresentar riscos elevados semelhantes, pode ser analisado numa única avaliação.

2.   Ao efetuar uma avaliação de impacto sobre a proteção de dados, o responsável pelo tratamento solicita o parecer do encarregado da proteção de dados, nos casos em que este tenha sido designado.

3.   A realização de uma avaliação de impacto sobre a proteção de dados a que se refere o n.o 1 é obrigatória nomeadamente em caso de:

a)

Avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares, baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem significativamente de forma similar;

b)	Operações de tratamento em grande escala de categorias especiais de dados a que se refere o artigo 9.o, n.o 1, ou de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10.o; ou

c)	Controlo sistemático de zonas acessíveis ao público em grande escala.

4.   A autoridade de controlo elabora e torna pública uma lista dos tipos de operações de tratamento sujeitos ao requisito de avaliação de impacto sobre a proteção de dados por força do n.o 1. A autoridade de controlo comunica essas listas ao Comité referido no artigo 68.o.

5.   A autoridade de controlo pode também elaborar e tornar pública uma lista dos tipos de operações de tratamento em relação aos quais não é obrigatória uma análise de impacto sobre a proteção de dados. A autoridade de controlo comunica essas listas ao Comité.

6.   Antes de adotar as listas a que se referem os n.os 4 e 5, a autoridade de controlo competente aplica o procedimento de controlo da coerência referido no artigo 63.o sempre que essas listas enunciem atividades de tratamento relacionadas com a oferta de bens ou serviços a titulares de dados ou com o controlo do seu comportamento em diversos Estados-Membros, ou possam afetar substancialmente a livre circulação de dados pessoais na União.

7.   A avaliação inclui, pelo menos:

a)	Uma descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;

b)	Uma avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos;

c)	Uma avaliação dos riscos para os direitos e liberdades dos titulares dos direitos a que se refere o n.o 1; e

d)

As medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o presente regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.

8.   Ao avaliar o impacto das operações de tratamento efetuadas pelos responsáveis pelo tratamento ou pelos subcontratantes, em especial para efeitos de uma avaliação de impacto sobre a proteção de dados, é tido na devida conta o cumprimento dos códigos de conduta aprovados a que se refere o artigo 40.o por parte desses responsáveis ou subcontratantes.

9.   Se for adequado, o responsável pelo tratamento solicita a opinião dos titulares de dados ou dos seus representantes sobre o tratamento previsto, sem prejuízo da defesa dos interesses comerciais ou públicos ou da segurança das operações de tratamento.

10.   Se o tratamento efetuado por força do artigo 6.o, n.o 1, alínea c) ou e), tiver por fundamento jurídico o direito da União ou do Estado-Membro a que o responsável pelo tratamento está sujeito, e esse direito regular a operação ou as operações de tratamento específicas em questão, e se já tiver sido realizada uma avaliação de impacto sobre a proteção de dados no âmbito de uma avaliação de impacto geral no contexto da adoção desse fundamento jurídico, não são aplicáveis os n.os 1 a 7, salvo se os Estados-Membros considerarem necessário proceder a essa avaliação antes das atividades de tratamento.

11.   Se necessário, o responsável pelo tratamento procede a um controlo para avaliar se o tratamento é realizado em conformidade com a avaliação de impacto sobre a proteção de dados, pelo menos quando haja uma alteração dos riscos que as operações de tratamento representam.

1.   I gcás inar dóchúil go dtarlódh ardriosca do chearta agus do shaoirsí daoine nádúrtha de bharr chineál na próiseála, go háirithe próiseáil ina n-úsáidfí nuatheicneolaíochtaí, déanfaidh an rialaitheoir, sula ndéanfar an phróiseáil, measúnú ar thionchar na n-oibríochtaí próiseála a bheartaítear a dheanamh ar chosaint na sonraí pearsanta, agus cineál, raon feidhme, comhthéacs agus críocha na próiseála á gcur san áireamh. Le measúnú aonair, féadfar tabhairt faoi shraith d'oibríochtaí próiseála comhchosúla a bhfuil ardrioscaí comhchosúla ag baint leo.

2.   Rachaidh an rialaitheoir i gcomhairle leis an oifigeach cosanta sonraí, má tá ceann ceaptha, agus measúnú tionchair ar chosaint sonraí á dhéanamh.

3.   An measúnú tionchair ar chosaint sonraí dá dtagraítear i mír 1, beidh gá leis go háirithe i gcásanna:

(a)

meastóireacht chórasach, chuimsitheach a bheith á déanamh ar na gnéithe pearsanta a bhaineann le daoine nádúrtha, ar measúnú é atá bunaithe ar phróiseáil uathoibrithe lena n-áirítear próifíliú, agus a mbeidh cinntí á mbunú air a mbeidh éifeachtaí dlíthiúla acu do dhuine nádúrtha nó a mbeidh éifeachtaí suntasacha comhchosúla acu ar an duine nádúrtha;

(b)	próiseáil mhórscála ar chatagóirí speisialta de shonraí pearsanta dá dtagraítear in Airteagal 9(1), nó ar shonraí pearsanta a bhaineann le ciontuithe coiriúla agus cionta dá dtagraítear in Airteagal 10; nó

(c)	faireachán córasach mórscála ar limistéir atá inrochtana don phobal.

4.   Bunóidh an t-údarás maoirseachta liosta de na cineálacha oibríochtaí próiseála atá faoi réir an cheanglais maidir le measúnú tionchair ar chosaint sonraí a dhéanamh de bhun mhír 1 agus cuirfidh sé an liosta sin ar fáil don phobal. Cuirfidh an t-údarás maoirseachta na liostaí sin chuig an mBord dá dtagraítear in Airteagal 68.

5.   Féadfaidh an t-údarás maoirseachta liosta a leagan amach agus a chur ar fáil go poiblí de na cineálacha oibríochtaí próiseála nach gá measúnú tionchair ar chosaint sonraí a dhéanamh ina leith. Cuirfidh an t-údarás maoirseachta na liostaí sin chuig an mBord.

6.   Sula nglacfar na liostaí dá dtagraítear i mír 4 agus i mír 5, cuirfidh an t-údarás inniúil maoirseachta an sásra comhsheasmhachta dá dtagraítear in Airteagal 63 i bhfeidhm i gcás ina bhfuil baint ag an liosta le gníomhaíochtaí próiseála a bhaineann le hearraí nó seirbhísí a chur ar fáil d'ábhair sonraí, nó a bhaineann le faireachán a dhéanamh ar iompar na ndaoine sin i mBallstáit éagsúla, nó i gcás ina bhfuil baint acu le gníomhaíochtaí próiseála a d'fhéadfadh cur isteach ar shaorghluaiseacht sonraí pearsanta san Aontas.

7.   Beidh an méid seo a leanas ar a laghad sa mheasúnú:

(a)	tuairisc chórasach ar na hoibríochtaí próiseála atá beartaithe agus críocha na próiseála agus, más infheidhme, na leasanna dlisteanacha atá á saothrú ag an rialaitheoir;

(b)	measúnú ar riachtanas agus comhréireacht na n-oibríochtaí próiseála i gcomhréir leis na críocha;

(c)	measúnú ar na rioscaí do chearta agus saoirsí na n-ábhar sonraí dá dtagraítear i mír 1; agus

(d)

na bearta a cheaptar a dhéanamh chun aghaidh a thabhairt ar na rioscaí, lena n-áirítear coimircí, bearta slándála agus sásraí chun cosaint sonraí pearsanta a áirithiú agus chun a thaispeáint go bhfuil an Rialachán seo á chomhlíonadh, cearta agus leasanna dlisteanacha ábhar sonraí agus daoine eile lena mbaineann á gcur san áireamh.

8.   Maidir leis na rialaitheoirí agus na próiseálaithe ábhartha a bheith ag comhlíonadh na gcód iompair formheasta dá dtagraítear in Airteagal 40, cuirfear é sin san áireamh agus measúnú á dhéanamh ar thionchar na n-oibríochtaí próiseála a dhéanann na rialaitheoirí nó na próiseálaithe sin, go háirithe chun críocha measúnú tionchair ar chosaint sonraí.

9.   I gcás inarb iomchuí, iarrfaidh an rialaitheoir ar ábhair sonraí nó ar a n-ionadaithe a dtuairimí a thabhairt maidir leis an bpróiseáil atá beartaithe, gan dochar do chosaint leasanna tráchtála nó poiblí ná do shlándáil oibríochtaí próiseála.

10.   I gcás ina bhfuil bunús dlí ag an bpróiseáil de bhun phointe (c) nó (e) d'Airteagal 6(1) i ndlí an Aontais nó i ndlí Ballstáit ar faoina réir atá an rialaitheoir, agus go rialaíonn an dlí sin an oibríocht próiseála shonrach nó an sraith d'oibríochtaí atá i gceist, agus ina bhfuil measúnú tionchair ar chosaint sonraí déanta cheana mar chuid de mheasúnú ginearálta tionchair i gcomhthéacs ghlacadh an bhunúis dlí sin, ní bheidh feidhm ag mír 1 go mír 7, mura measann na Ballstáit go bhfuil sé riachtanach measúnú den sórt sin a dhéanamh sula rachfar i mbun na ngníomhaíochtaí próiseála.

11.   I gcás inar gá, déanfaidh an rialaitheoir athbhreithniú chun a mheas an bhfuil an phróiseáil á déanamh i gcomhréir leis an measúnú tionchair ar chosaint sonraí, ar a laghad nuair a bhíonn athrú sa riosca a bhaineann le hoibríochtaí próiseála.