Vstúpením nariadenia GDPR do platnosti 25. mája 2018 už prevádzkovatelia nemajú povinnosť vypracovať tradičný bezpečnostný projekt, ako tomu bolo v minulosti. Namiesto toho sa zaviedla povinnosť vykonať posúdenie vplyvu ochrany osobných údajov (DPIA) v prípade určitých typov spracovateľských operácií.
Tento postup je povinný napríklad pri systematickom monitorovaní verejne prístupných miest vo veľkom rozsahu, spracúvaní osobitných kategórií osobných údajov vo veľkom rozsahu, spracúvaní údajov súvisiacich s uznávaním viny za trestné činy a priestupky, ako aj pri profilovaní alebo automatickom spracovaní osobných údajov. Ak posúdenie vplyvu naznačí vysoké riziko pre práva a slobody dotknutých osôb, prevádzkovatelia musia požiadať dozorový úrad o konzultácie podľa článkov 35 a 36 GDPR.
