Is een Privacy Impact Assessment (PIA) verplicht?

Organisaties hoeven niet voor elke gegevensverwerking een PIA uit te voeren. Een PIA is alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (de mensen van wie de organisatie gegevens verwerkt). Dat is in ieder geval zo als een organisatie:

1. Systematisch en uitvoerig persoonlijke aspecten evalueert, waaronder profiling;
2. Op grote schaal bijzondere persoonsgegevens verwerkt;
3. Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht).

Buiten deze situaties geeft de AVG geen overzicht van verwerkingen met een hoog risico. De werkgroep van Europese privacytoezichthouders (WP 29) heeft criteria opgesteld om het risico te bepalen. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) op termijn een lijst van verwerkingen waarvoor een PIA verplicht is.