Splošna uredba o varstvu podatkov zagovarja načelo odgovornosti, ki ga upravljavci in obdelovalci osebnih podatkov med drugim upoštevajo tudi s preventivnim ravnanjem. Ocene učinkov v zvezi z varstvom podatkov (angl. Data Protection Impact Assessment ali DPIA) so orodje za prepoznavanje in zmanjševanje tveganj glede nezakonitih ravnanj z osebnimi podatki. Uredba predpisuje, da je ocena učinkov potrebna, kadar bi določena vrsta obdelave podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov.

Uredba v 35. členu določa izvedbo ocene učinkov v primerih;

  • sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;
  • obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali
  • obsežnega sistematičnega spremljanja javno dostopnega območja.

V praksi gre najpogosteje za primere;

  • Obsežnega vrednotenja in profiliranja posameznikov,
  • avtomatiziranega odločanja s pravnim ali podobnim učinkom,
  • sistematičnega nadzora nad posameznikom brez njegovega zavedanja (npr. videonadzor javnih površin),
  • obdelave posebnih vrst osebnih podatkov za druge namene, kot za tiste, za katere so bili izbrani,
  • množične obdelave osebnih podatkov (npr. kartice zvestobe pri trgovcih),
  • primerjanja in kombiniranja različnih zbirk podatkov in analize na osnovi masovnih podatkov,
  • vpeljava novih tehnologij (npr. prepoznava prstnih odtisov ali obraza, senzorji v sklopu interneta stvari),
  • omejitve dostopa do storitve (npr. preverjanje kreditne sposobnosti posameznika).