UODO ma obowiązek poprawienia polskiego wykazu rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych.

Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) wydane przez Grupę Roboczą art. 29 ds. Ochrony Danych wskazują na normę ISO/IEC 29134 jako metodykę, która może być stosowana do dokonywania oceny skutków dla ochrony danych do celów RODO.

Ocena skutków ochrony danych osobowych DPIA stanowi nowy obowiązek na gruncie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, RODO.

Konieczność prowadzenia oceny skutków dla ochrony danych czyli ang. Data Protection Impact Assessment DPIA została nałożona przez europejskiego ustawodawcę na mocy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 roku, powszechnie zwanego RODO.

Wytyczne dotyczące oceny skutków dla ochrony danych DPIA oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679, 17/EN, WP 248 rev.01