От приемането си, новите правила за защита на личните данни, залегнали в Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (ОРЗД или GDPR), предизвикаха широк обществен отзвук. От 25 май 2018 г. - датата, от която започна прилагането им - те са задължителни и пряко приложими на територията на всяка държава-членка, както и по отношение на дейности на администратори и обработващи лични данни, които не са установени в ЕС, но дейността им е тясно свързана със Съюза.


Освен до осигуряване на по-всеобхватна защита на правата на гражданите, ОРЗД доведе и до увеличаване на обема на задълженията на голям брой предприятия и публични институции. Сред изискванията на акта е поддържането на задължителни регистри на дейностите по обработване на данни, привеждане на дейността на администраторите и обработващите в съответствие с правилата, разписване на голям брой политики и процедури за обработване на данни и запазване на писмена следа за всяка извършена операция по обработка на лични данни и условията, при които тя е извършена. Многобройните документи, които юридическите лица трябваше да разпишат за кратко време, доведоха до появата на различни софтуерни и справочни решения. Сред последните се откроява продуктът на Сиела "GDPR Справочник и защита на данните", който съдържа всички изброени и още много други необходими в светлината на ОРЗД политики, процедури и бланки. Подробно разписани, те лесно могат да бъдат преработени, за да съответстват на специфичната структура и предмет на дейност на всяко предприятие. 


След първоначалното "внедряване" - документално и практически - на новата система за защита на личните данни, всеки администратор следва щателно да прегледа и да обърне специално внимание на операциите по обработка на чувствителни данни и на операциите, които е възможно да породят висок риск. По отношение на "чувствителните" данни, ОРЗД въвежда принципна забрана за обработване "на лични данни, разкриващи расов или етнически произход, политически възгледи, религиозни или философски убеждения или членство в синдикални организации, както и обработването на генетични данни, биометрични данни за целите единствено на идентифицирането на физическо лице, данни за здравословното състояние или данни за сексуалния живот или сексуалната ориентация на физическото лице". За операциите, които е възможно да породят висок риск, обаче Регламентът налага  друг подход. Вместо забраната на тези операции и разписването на изключителни случаи, в които те са допустими, чл. 35 от ОРЗД постановява: "Когато съществува вероятност определен вид обработване, по-специално при което се използват нови технологии, и предвид естеството, обхвата, контекста и целите на обработването, да породи висок риск за правата и свободите на физическите лица, преди да бъде извършено обработването, администраторът извършва оценка на въздействието на предвидените операции по обработването върху защитата на личните данни." Регламентът изброява три хипотези, при които оценката на въздействието върху защитата на личните данни (ОВЗЛД) е задължителна - при систематична и подробна оценка на личните аспекти по отношение на физически лица, която се базира на автоматично обработване, включително профилиране, и служи за основа на решения, които имат правни последици за физическото лице или по подобен начин сериозно засягат физическото лице; при мащабно обработване на специални категории данни - "чувствителни" или такива, свързани с присъди и нарушения; както и при систематично мащабно наблюдение на публично достъпна зона. В останалите случаи изглежда, че ОРЗД оставя преценката относно необходимостта от ОВЗЛД на администратора. Въпреки това, европейският законодател е задължил всеки местен надзорен орган на държавите членки да приеме списък на видовете операции, за които оценката на въздействието е задължителна. В отговор, българската Комисия за защита на личните данни е изпратила до Европейския комитет по защита на данните проект на списък. След обратна връзка от Комитета, КЗЛД публикува списъка, който включва мащабно обработване на биометрични данни за целите на уникалната идентификация на физическо лице; обработване на генетични данни с цел профилиране; обработване на данни за местоположение с цел профилиране, което поражда правни последици за субекта на данни или по подобен начин го засяга в значителна степен; обработване на лични данни, осъществявано от администратор с основно място на установяване извън ЕС, когато определеният за негов представител в ЕС е разположен на територията на Република България; обработване на лични данни на деца при пряко предлагане на услуги на информационното общество, както и осъществяване на миграция на данни от съществуващи към нови технологии, когато това е свързано с мащабно обработване на данни. Задължение за извършване на ОВЗЛД възниква и при хипотези на невъзможност за предоставяне на информация на субекта на данни или ако предоставянето на тази информация изисква несъразмерно големи усилия.


Дори операциите по обработка, извършвани от конкретен администратор, да не попадат сред по-горе изброените, това не означава със сигурност, че оценка не следва да бъде извършвана. Списъка на КЗЛД не е изчерпателен, тъй като не могат да бъдат обхванати всички ситуации, които могат да доведат до "висок риск" за правата и неприкосновеността на физическите лица. В случай на съмнение дали извършването на ОВЗЛД е задължително, Работната група по чл. 29 (сега Европейски комитет по защита на данните) препоръчва администраторите все пак да въведат мерки, за да управляват по подходящ начин рисковете за правата и свободите на субектите на данни.


Извършването на ОВЗЛД преминава през различни етапи, които следва да са нагледно описани в нарочна процедура. Въпреки спецификите на всяка операция и дейността на съответния администратор, голяма част от стъпките са идентични и включват дефиниране на риска, установяване на мерки за неговото минимизиране, изготвяне на план и следене за изпълнението на плана.