DPIA следует проводить еще до начала обработки персональных данных — на этапе разработки или еще к тестированию на настоящих пользователях. GDPR дает ориентиры, когда компания обязана проводить Data protection impact assessment, а также подсказывает, что следует учитывать и выложить в отчете о проведении GDPR.
DPIA в разных сферах может отличаться. Кроме того, на отчет о DPIA влияет и роль, которую выполняет компания в обработке данных (например, контроллера или обработчика), и особенности использованных инструментов (блокчейн, облачные вычисления и т.д.).
