Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä. Vaikutustenarviointi on tehtävä, kun henkilötietojen käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Riskiä nostavat esimerkiksi uuden teknologian käyttö, arkaluontoisten henkilötietojen käsittely, henkilökohtaisiin ominaisuuksiin kohdistuva automatisointi tai käsittelyn laajamittaisuus yleisesti.
Tietosuojan vastuuhenkilöt arvioivat säännöllisesti organisaation henkilötietojen käsittelyä, erityisesti esimerkiksi tietovarantojen ja niihin liittyviä käyttötarkoituksia sekä käytettyjä tietojärjestelmiä, määritelläkseen vaikutustenarviointien tarpeellisuuden. Tietosuojan vastuuhenkilöt myös vastaavat vaikutustenarviointien toteuttamisesta ja dokumentoinnista.