1. Контроллер перед началом обработки консультируется с надзорным учреждением, если в оценке воздействия на защиту данных, согласно статье 35, указано, что, в случае, если контроллер не примет меры для снижения риска, то обработка может создать высокую степень риска.
2. Если надзорное учреждение считает, что упомянутая в пункте 1 запланированная обработка может нарушить настоящий регламент, в частности, если контроллер в недостаточной степени идентифицировал или снизил риск, то надзорное учреждение в течение не более восьми недель с момента получения запроса на проведение консультации предоставляет контроллеру и, в соответствующих случаях, процессору, письменный совет и может воспользоваться своими полномочиями, указанными в статье 58. Указанный срок может быть продлён на шесть недель, с учётом сложности запланированной обработки. Надзорное учреждение информирует контроллера и, в соответствующем случае, процессора, о любом таком увеличении срока в течение месяца после получения запроса на консультацию, с указанием причин просрочки. Указанные сроки могут быть приостановлены до момента, пока надзорное учреждение получит информацию, которую оно запросило в целях консультации.
3. При консультации с надзорным учреждением, согласно пункту 1, контроллер предоставляет надзорному учреждению:
- в соответствующем случае, сопряжённые обязанности контроллера, совместных контроллеров и вовлечённых в обработку процессоров, в частности, для осуществления обработки в группе предприятий;
- цели и средства предусмотренной обработки;
- меры и гарантии по обеспечению прав и свобод субъектов данных, согласно настоящему регламенту;
- в соответствующем случае, контактные данные специалиста по защите персональных данных;
- оценку воздействия на защиту данных, предусмотренную в статье 35; и
- любую другую информацию, требуемую надзорным учреждением.
4. Государства-члены ЕС консультируются с надзорным учреждением, до тех пор пока подготавливается предложение по законодательной мере, которую принимает парламент государства, или при подготовке регулятивной меры, основанной на такой законодательной мере, относящейся к обработке.
5. Независимо от пункта 1, правовыми актами государства-члена ЕС может быть определено, что контроллеры должны консультироваться с надзорным учреждением, а получать от него предварительное разрешение, в связи с проводимой контроллером обработкой, с целью выполнения задачи в интересах общества, в том числе, когда упомянутая обработка проводится для социальной защиты и общественного здоровья.