データ保護影響評価

(1) 取扱いの性質、範囲、過程及び目的を考慮に入れた上で、特に新たな技術を用いるような種類の取扱いが、自然人の権利及び自由に対する高いリスクを発生させるおそれがある場合、管理者は、その取扱いの開始前に、予定している取扱業務の個人データの保護に対する影響についての評価を行わなければならない。類似の高度のリスクを示す一連の類似する取扱業務は、単一の評価の対象とすることができる。
(2) 管理者は、データ保護影響評価を行う場合、その指定をしているときは、データ保護オフィサーに対して助言を求めなければならない。
(3) 第 1 項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる：
1. プロファイリングを含め、自動的な取扱いに基づくものであり、かつ、それに基づく判断が自然人に関して法的効果を発生させ、又は、自然人に対して同様の重大な影響を及ぼす、自然人に関する人格的側面の体系的かつ広範囲な評価の場合；
2. 第9 条第 1 項に規定する特別な種類のデータ又は第10 条に規定する有罪判決及び犯罪行為と関連する個人データの大規模な取扱いの場合；又は、
3. 公衆がアクセス可能な場所の、システムによる監視が大規模に行われる場合。
(4) 監督機関は、第 1 項によるデータ保護影響評価の義務に服する取扱業務の種類のリストを作成し、これを公表しなければならない。監督機関は、第68 条に規定する欧州データ保護会議に対し、そのリストを送付するものとする。
(5) 監督機関は、データ保護影響評価を要しない取扱業務の種類のリストを作成し、これを公表することもできる。監督機関は、欧州データ保護会議に対し、そのリストを送付するものとする。
(6) 第 4 項又は第 5 項リストが複数の加盟国におけるデータ主体に対する物品若しくは役務の提供と関連する取扱活動又は複数の加盟国におけるデータ主体の行動の監視と関連する取扱活動を含むものである場合、又は、EU 域内における個人データの自由な移動に大きな影響を与えうるものである場合、所轄監督機関は、当該リストの採択に先立って、第63 条に規定する一貫性メカニズムを適用しなければならない。
(7) 評価は、少なくとも以下の事項を含めるものとする：
1. 予定されている取扱業務及び取扱いの目的の体系的な記述。該当する場合、管理者の求める正当な利益を含む；
2. その目的に関する取扱業務の必要性及び比例性の評価；
3. 第 1 項で定めるデータ主体の権利及び自由に対するリスクの評価；並びに、
4. データ主体及び他の関係者の権利及び正当な利益を考慮に入れた上で、個人データの保護を確保するための、及び、本規則の遵守を立証するための、保護措置、安全管理措置及び仕組みを含め、リスクに対処するために予定されている手段。
(8) 関係する管理者又は処理者によって第40 条で定める承認された行動規範が遵守されていることは、そのような管理者又は処理者によって遂行される取扱業務の影響を評価するに際し、特に、データ保護影響評価の目的のために、適正に考慮に入れるものとする。
(9) 適切な場合、商業上の利益、公共の利益又は取扱業務の安全性を妨げることなく、管理者は、予定されている取扱いに関し、データ主体又はその代理人から意見を求めるものとする。
(10) 第6 条第 1 項第6条第1項(c)又は第6条第1項(e)による取扱いが、管理者が服する EU 法又は加盟国の国内法の中に法律上の根拠をもつ場合であって、当該法律が、当の特定の取扱業務又は一群の取扱業務を規律しており、かつ、当該法律上の根拠の採択の過程において一般的な影響評価の一部として個人データ保護影響評価が既に行われているときは、取扱活動を開始する前にそのような評価が行われるべきものであると加盟国が判断する場合を除き、第1 項から第 7 項までは、適用されない。
(11) 必要があるときは、管理者は、少なくとも、取扱業務によって示されるリスクの変化が存在する時点において、データ保護影響評価に従って取扱いが遂行されているか否かの評価を見直しを実行しなければならない。