Rodo wprowadza dwie powiązane ze sobą instytucje: ocenę skutków dla ochrony danych osobowych oraz uprzednie konsultacje z organem nadzorczym. Zgodnie z art. 35 ust. 1 rodo: Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe, w szczególności w przypadku „systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną”. Ocena taka jest konieczna również wtedy, gdy przetwarzane mają być na dużą skalę szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i naruszeń prawa. Ponadto przeprowadzenia oceny wymaga systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie (art. 35 ust. 3 rodo). Niewątpliwie użyte przez ustawodawcę kryterium decydujące o konieczności przeprowadzenia oceny skutków dla ochrony danych w praktyce może wywoływać wątpliwości. Dlatego organy nadzorcze mają tworzyć i podawać do publicznej wiadomości wykazy rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych, jak również wykazy operacji, które takiemu obowiązkowi nie podlegają. Obowiązek przeprowadzenia takiej oceny nie powinien być traktowany jako jednorazowa czynność, lecz raczej jako szerszy proces wymagający podejmowania w razie konieczności dalszych czynności, gdy zmieniają się ryzyka związane z operacjami przetwarzania danych osobowych.
Jednocześnie art. 35 ust. 7 rodo określa jej elementy. Są to:

1systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym (gdy ma to zastosowanie) prawnie uzasadnionych interesów realizowanych przez administratora;

2ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

4planowane środki mające na celu zaradzenie ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Rodo przewiduje również możliwość zasięgania w sprawie zamierzonego przetwarzania opinii osób, których dane dotyczą, lub ich przedstawicieli. Takie konsultacje są jednym z elementów realizacji rozliczalności administratora wobec osób, których dane dotyczą, i mogą przybrać różną formę w zależności od specyfiki operacji przetwarzania danych i kategorii osób, których dane dotyczą. Ustawodawca wprowadził pewne ograniczenia takiej możliwości ze względu na konieczność ochrony uzasadnionych interesów administratora danych. Rodo nakłada obowiązek przeprowadzenia oceny skutków dla ochrony danych na administratora danych, a nie na wyznaczonego przez niego inspektora ochrony danych, z którym jedynie się konsultuje. Konsekwencją przeprowadzenia oceny skutków dla ochrony danych może być konieczność skonsultowania się administratora z organem nadzorczym w ramach procedury uprzednich konsultacji uregulowanych w art. 36 rodo. Zgodnie z tym przepisem, powinno to nastąpić, gdy ocena skutków dla ochrony danych wskaże, że „przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka”. W świetle art. 36 ust. 2 rodo, jeżeli organ nadzorczy jest zdania, że zgłoszone mu planowane operacje przetwarzania danych osobowych stanowiłyby naruszenie postanowień ogólnego rozporządzenia (co może polegać na niedostatecznym zidentyfikowaniu lub zminimalizowaniu ryzyka przez administratora danych), to w terminie do ośmiu tygodni od wpłynięcia wniosku o konsultacje udziela pisemnego zalecenia temu administratorowi, a gdy ma to zastosowanie – także podmiotowi przetwarzającemu. Jednocześnie organ nadzorczy może skorzystać z kompetencji naprawczych określonych w art. 58 rodo. Okres ten może być przedłużony o kolejne sześć tygodni ze względu na złożony charakter zamierzonego przetwarzania. Bieg tych terminów można zawiesić do czasu, aż organ nadzorczy uzyska wszelkie informacje, których zażądał do celów konsultacji.