De AVG stelt duidelijke richtlijnen voor wanneer een organisatie verplicht is een DPIA uit te voeren. Deze verplichting geldt met name in situaties waarin aanzienlijke privacyrisico's kunnen optreden. Een organisatie moet altijd een DPIA uitvoeren als ze:
- Systematisch en uitgebreid persoonlijke aspecten evalueert via geautomatiseerde verwerking, inclusief profilering, en besluiten neemt die gevolgen hebben voor individuen.
- Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt.
- Op grote schaal en systematisch mensen volgt in publiek toegankelijke gebieden, bijvoorbeeld via cameratoezicht.
Daarnaast heeft de Autoriteit Persoonsgegevens (AP) een lijst opgesteld van specifieke soorten gegevensverwerkingen waarvoor een DPIA verplicht is, zoals heimelijk onderzoek, opstellen van zwarte lijsten, fraudebestrijding en meer. Het is van groot belang dat organisaties zich bewust zijn van deze verplichtingen en ze nauwgezet naleven.