GDPR 規則 (EU) 2016/679

第22条

プロファイリングを含む個人に対する自動化された意思決定

  1. (1) データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利を有する。
  2. (2) 第 1 項は、以下のいずれかの決定には、適用されない。
    1. データ主体とデータの管理者の間の契約の締結又はその履行のために必要となる場合。
    2. 管理者がそれに服し、かつ、データ主体の権利及び自由並びに正当な利益の安全性を確保するための適切な措置も定める EU 法又は加盟国の国内法によって認められる場合。又は、
    3. データ主体の明示的な同意に基づく場合。
  3. (3) 第 2 項(a)及び(c)に規定する場合においては、そのデータの管理者は、データ主体の権利及び自由並びに正当な利益、少なくとも、管理者の側での人間の関与を得る権利、データ主体の見解を表明する権利及びその決定を争う権利の保護を確保するための適切な措置を実装するものとする。
  4. (4) 第9 条第 2 項Article 9(2), point (a)又はArticle 9(2), point (g)が適用され、かつ、データ主体の権利及び自由並びに正当な利益の保護を確保するための適切な措置が設けられている場合を除き、第 2 項に規定する決定は、第9 条第 1 項に規定する特別な種類の個人データを基礎としてはならない。