Een DPIA is verplicht wanneer een gegevensverwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Dat is het geval als persoonsgegevens op grote schaal worden verwerkt, als er sprake is van systematische monitoring, of als gevoelige gegevens zoals medische of strafrechtelijke informatie worden gebruikt. De verplichting volgt rechtstreeks uit de AVG en geldt vóórdat de verwerking start, niet achteraf.
In de praktijk gaat het om situaties waarin data niet alleen wordt opgeslagen, maar actief wordt geanalyseerd, gecombineerd of ingezet voor besluitvorming. Denk aan profilering, langdurige logging van gebruikersgedrag of het koppelen van databronnen. Ook nieuwe technologieën of verwerkingen die moeilijk uitlegbaar zijn voor betrokkenen verhogen het risico. Een DPIA is dan geen formaliteit, maar een middel om vooraf vast te leggen welke risico’s bestaan en hoe die worden beperkt.
Het ontbreken van een DPIA wanneer deze verplicht is, geldt zelf als een overtreding van de privacywetgeving.