欧州データ保護会議(EDPB)がDPIA対象処理のリストを公開


欧州データ保護会議(EDPB)がDPIA対象処理のリストを公開

GDPR第35条は、データ保護影響評価(DPIA)に関するものであり、例えば「新しい技術を用いる場合等に、その処理が自然人の権利や自由に高いリスクをもたらす可能性がある場合には、管理者が個人データ保護への影響評価をしなければならない」とされている。

第35条では第3項にて、特に、プロファイリング等の自動処理に基づく広範囲・体系的な評価、特別カテゴリーデータ又は有罪判決及び犯罪に関するデータの大規模な処理、大規模な体系的監視、等がDPIAの対象となると書かれている。その上で、その対象範囲を明確化するため、第4項において、各国の監督機関がDPIAの対象となる処理のリストを発行し、EDPBに通知すると定められている。

9月25日、26日に、この欧州データ保護会議(EDPB)の総会が開催され、日本の十分性決定等について検討されたことは本欄にて報じたところである。この会議のタイミングにて、各国監督機関よりDPIA対象リストが提出されており検討されているが、それが10月4日にEDPBのサイトにて公開になった。

22ヵ国の監督機関より提出された項目は合計21項目であった。このうち、10以上の監督機関から上がった項目は以下の通りである。
1 BIOMETRIC DATA(生体データ)
2 GENETIC DATA(遺伝データ)
3 EMPLOYEE MONITORING(従業員のモニタリング)
4 PROCESSING USING NEW/INNOVATIVE TECHNOLOGY(新技術/革新的技術の処理への利用)
5 LOCATION DATA(場所のデータ)

https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_en

関連記事