A hatásvizsgálat segítséget nyújt az adatkezelőnek abban, hogy a GDPR rendelkezéseinek történő megfelelést elérje, és azt bizonyítsa.
Az adatvédelmi hatásvizsgálat egy adatkezelési folyamatra irányuló szisztematikus vizsgálat, amely célja annak felderítése és értékelése, hogy az adott adatkezelés milyen kockázatokat hordoz az érintettek magánszférájára nézve, illetve ezek a kockázatok milyen intézkedésekkel csökkenthetőek és szüntethetőek meg a magasabb szintű adatvédelmi megfelelés érdekében. A hatásvizsgálat kiterjed a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket. A hatásvizsgálat továbbá az adatkezelés céljaira figyelemmel magába foglalja az adatkezelési műveletek szükségességi és arányossági vizsgálatát; illetve figyelemmel az adatkezelés jellegére, hatókörére, körülményére és céljaira az érintett jogait és szabadságait érintő kockázatok vizsgálatát. A hatásvizsgálat emellett kiterjed a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
Az adatvédelmi hatásvizsgálatot adatkezelésenként, adatkezelési műveletenként kell elvégezni, de olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
A hatásvizsgálatban részletesen be kell mutatni a vizsgált adatkezelést, amelynek ki kell terjednie az adatkezelés környezetének az ismertetésére is. Ennek megfelelően be kell mutatni a kezelt személyes adatok körét, az adatkezelés célját, jogalapját, az adatfelvétel módját, kik férhetnek hozzá a kezelt személyes adatokhoz, a megőrzési határidőket, az adatkezelést támogató informatikai rendszereket; el kell készíteni az adatkezelés funkcionális leírását, esetlegesen az adatkezelés tervezése során alkalmazott magatartási kódexeket, stb. A hatásvizsgálatnak ki kell terjedni annak a bemutatására is, hogy az adatkezelés miként felel meg a jogszabályi előírásoknak, Ugyancsak meg kell vizsgálni, hogy az adatkezelés során az adatkezelő hogyan biztosítja a GDPR szerinti érintetti jogok gyakorlásának feltételeit. Az adatvédelmi hatásvizsgálatnak a legfontosabb és legösszetettebb része a természetes személyek jogaira és szabadságaira nézve magas kockázatok elemzése. Ezzel kapcsolatban az adatkezelőnek meg kell vizsgálnia a kockázatok forrását, természetét, sajátosságait és súlyosságát. Minden kockázat tekintetében elemezni kell, miként fordulhat elő a nem kívánt hatás, ennek általános körülmények között mennyi a valószínűsége, ha a kockázat realizálódik, milyen következményekkel jár az érintett magánszférájára.