V rámci výkonu konzultačních agend a legislativy bylo v letech 2018 a 2019 shledáno, že jednotliví správci dostatečným způsobem a správně nevyužívají nové nástroje ochrany osobních údajů, které přineslo obecné nařízení (GDPR). Tápou hlavně v základním přístupu pro nastavení složitějších agend s osobními údaji, zejména u zpracování posouzení vlivu na ochranu osobních údajů (DPIA). Tato povinnost je dána v obecném nařízení ve dvojí formě jak soukromoprávním správcům, tak státu v rámci návrhu právních předpisů.

Ve druhém (legislativním) případě se jedná o zásadní náležitost zpracování, protože podle § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, mají subjekty (orgány veřejné moci), pokud je jim zpracování osobních údajů uloženo zákonem, udělenu výjimku z povinnosti provést DPIA.

Kvalitní a podrobná DPIA provedená v rámci návrhu právních předpisů je tak od okamžiku účinnosti nového zákona jediným a nezbytným návodem pro instruování správců a zpracovatelů, vodítkem pro poznání, jaké hrozby na osobní údaje působí, jaké jsou dopady do soukromí a jaká technická a organizační opatření mají při zpracováních uložených zákonem tyto subjekty přijmout.