- (1) 特に新たな技術を用いるような種類の取扱いについて、その取扱いの性質、範囲、状況及び目的を考慮に入れた上で、自然人の権利及び自由に対する高いリスクが生じるおそれがある場合には、管理者は、取扱いの開始前に、予定している取扱い業務が個人データの保護に与える影響の評価を実施しなければならない。 類似の高いリスクを示す一連の類似する取扱い業務は、単一の評価の対象とすることができる。
- (2) 管理者は、データ保護影響評価を行う場合、その指定をしているときは、データ保護オフィサーに助言を求めなければならない。
- (3) 第1項に規定するデータ保護影響評価は、とりわけ、以下の場合に求められる:
- (4) 監督機関は、第1項に基づきデータ保護影響評価の義務に服する取扱い業務の種類のリストを作成し、これを公表しなければならない。 監督機関は、当該リストを欧州データ保護会議に送付するものとする。
- (5) 監督機関は、データ保護影響評価を要しない取扱い業務の種類のリストを作成し、これを公表することもできる。 監督機関は、当該リストを欧州データ保護会議に送付するものとする。
- (6) 第4項又は第5項のリストが、複数の加盟国におけるデータ主体に対する物品又は役務の提供と関連する取扱い活動、又は複数の加盟国におけるデータ主体の行動の監視と関連する取扱い活動を含むものである場合、又は、連合域内における個人データの自由な移動に大きな影響を与えうるものである場合、所轄の監督機関は、当該リストの採択に先立って、第63条に規定する一貫性メカニズムを適用しなければならない。
- (7) 評価は、少なくとも以下の事項を含めるものとする:
- (8) 関係する管理者又は処理者によって第40条で定める承認された行動規範が遵守されていることは、そのような管理者又は処理者によって遂行される取扱い業務の影響を評価するに際し、特に、データ保護影響評価の目的のために、適切に考慮に入れるものとする。
- (9) 適切な場合、管理者は、予定されている取扱いに関し、データ主体又はその代理人から意見を求めるものとする。ただし、商業上の利益、公共の利益又は取扱い業務の安全性の保護を害してはならない。
- (10) 第6条第1項(c)又は(e)による取扱いが、管理者が服する連合法又は加盟国の国内法の中に法律上の根拠を有し、当該法が当の特定の取扱い業務又は一群の業務を規律しており、かつその法的根拠の採択の過程において一般的な影響評価の一部としてデータ保護影響評価が既に行われている場合には、加盟国が取扱い活動に先立ってそのような評価を行うことが必要であると判断する場合を除き、第1項から第7項は適用されない。
- (11) 必要があるときは、管理者は、少なくとも、取扱い業務によって示されるリスクの変化が存在する時点において、取扱いがデータ保護影響評価に従って遂行されているか否かの評価の見直しを実行しなければならない。
一般データ保護規則(GDPR)条項
第35条