Jei dėl duomenų tvarkymo gali kilti didelis pavojus fizinių asmenų teisėms bei laisvėms, įmonė, prieš pradėdama tvarkyti duomenis, turi atliekti planuojamų vykdyti duomenų tvarkymo operacijų poveikio duomenų apsaugai vertinimą ir rasti sprendimą, apsaugantį šiuos procesus nuo išorinių grėsmių . Poveikio duomenų apsaugai vertinimas visų pirma turi būti atliekamas vykdant (35 straipsnis):

1. sistemingą ir išsamų, su fiziniais asmenimis susijusių asmeninių aspektų vertinimą, kuris yra grindžiamas automatizuotu tvarkymu;
2. specialių kategorijų duomenų arba asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymą dideliu mastu;
3. sistemingą viešos vietos stebėjimą dideliu mastu (pvz., stebėjimo kameros nukreiptos į viešas vietas)