Het is niet verplicht om een DPIA-rapport openbaar te maken. Er geldt echter wel een informatieverplichting jegens de betrokken persoon dat zijn of haar gegevens worden verwerkt (artikel 5 lid 1 onder a en artikel 12 tot en met 14 AVG).
Het is echter wel toegestaan om een DPIA openbaar te maken en het kan ook nuttig zijn, om twee redenen. Ten eerste in het kader van transparantie. Het openbaren van een rapport bevordert vaak het vertrouwen van de betrokken persoon in het proces en in de organisatie. Ten tweede kan het openbaar maken van een DPIA andere organisaties helpen bij het uitvoeren van een eigen DPIA. Aangezien veel organisaties dezelfde systemen gebruiken hoeft op deze manier niet iedereen identieke DPIA’s uit te voeren. Daarbij kan het leerzaam zijn voor beide organisaties als men elkaar feedback geeft op een eerder uitgevoerde DPIA en deze vervolgens verbeterd.
Als een organisatie ervoor kiest om een DPIA openbaar te maken, moet deze wel eerst bewerkt worden. Ter bescherming van de vertrouwelijke bedrijfsgegevens moeten alle vertrouwelijke gegevens eruit worden gehaald. Dit betreft bijvoorbeeld beveiligingsinstellingen en de voor het bedrijf unieke inrichting van het systeem.
Tot slot, organisaties die een DPIA overnemen van een ander moeten bij het gebruik uiteraard goed controleren of de conclusies overgenomen kunnen worden of dat deze moeten worden aangepast.
