1. Jeżeli dany rodzaj przetwarzania danych osobowych, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele może skutkować powstaniem wysokiego ryzyka naruszenia praw i wolności osób fizycznych, administrator – przed przetworzeniem danych osobowych – dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
2. Ocena, o której mowa w ust. 1, zawiera co najmniej:
1) ogólny opis planowanych operacji przetwarzania danych osobowych;
2) ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą;
3) środki planowane w celu rozwiązania takiego ryzyka;
4) zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazanie zgodności z niniejszą ustawą.
3. Realizację obowiązku, o którym mowa w ust. 1, administrator może powierzyć inspektorowi ochrony danych.