I följande fall behövs ingen konsekvensbedömning:

• Om det redan har gjorts en konsekvensbedömning för en behandling som är mycket lik den planerade behandlingen. Resultatet från den tidigare konsekvensbedömningen kan användas.
• Om den planerade personuppgiftsbehandlingen inte sannolikt leder till en hög risk för enskildas fri- och rättigheter.
• Behandlingar som har kontrollerats av en tillsynsmyndighet eller ett dataskyddsombud i enlighet med artikel 20 i direktiv 95/46/EG (dataskyddsdirektivet, före GDPR:s ikraftträdande) och vars genomförande inte har ändrats sedan föregående kontroll.