Ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO. Innymi słowy ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.
W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie:
- opis planowanych operacji przetwarzania i celów przetwarzania
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą
- środki planowane w celu:
- zaradzenia ryzyku
- wykazania przestrzegania niniejszego rozporządzenia.