Wenn die Datenverarbeitung und die gesammelten Daten zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen können, müssen Unternehmen bewerten, wie sich ihr Verarbeitungsmodell auf natürliche Personen auswirken kann und wie sie diese Prozesse vor externen Bedrohungen schützen können. Diese Folgenabschätzungen sind erforderlich, wenn das Unternehmen folgende Aktivitäten ausführt (Artikel 35):

1. systematische und umfassende Auswertung personenbezogener Daten mit automatisierten Mitteln;
2. Verarbeitung umfangreicher Daten besonderer Kategorien oder strafrechtlicher Verurteilungen und Straftaten;
3. systematische Überwachung eines öffentlich zugänglichen Bereichs (z. B. Kameras mit Blick auf einen öffentlichen Bereich)