いつ DPIA を実行する必要がありますか?

記事を探す

第 35 条 (1) では、処理の種類が次の場合に DPIA を実行しなければならないと規定しています。高いリスクをもたらす可能性が高い個人の権利と自由に対して：

「特に新しい技術を使用し、処理の性質、範囲、状況、目的を考慮した処理の種類が自然人の権利と自由に対する高いリスクをもたらす可能性がある場合、管理者は事前に「処理に加えて、想定される処理操作が個人データの保護に及ぼす影響の評価を実施する。単一の評価で、同様の高いリスクをもたらす一連の同様の処理操作に対処できる可能性がある。」

この文脈におけるリスクとは、個人に対する重大な物理的、物質的、または非物質的な危害の可能性を指します。 「DPIA とは何ですか?」を参照してください。 リスクの性質について詳しくは、こちらをご覧ください。

英国の GDPR では、何かが「高リスク」であるかどうかを評価するには、個人に対する潜在的な危害の可能性と深刻度の両方を考慮する必要があることを明確にしています。 「リスク」とは、何らかの危害が発生する可能性が非常に低いことを意味します。 「高リスク」は、危害が発生する可能性がより高いか、潜在的な危害がより深刻であるか、またはその 2 つの組み合わせであるため、しきい値が高いことを意味します。 その意味でのリスクの可能性を評価することは、DPIA の仕事の一部です。

ただし、これらの最初のスクリーニング目的で問題となるのは、その処理が適切であるかどうかです。結果となる可能性が高いタイプリスクが高い。

英国の GDPR では、「高リスクが発生する可能性」を定義していません。 ただし、ここで重要な点は、その処理が実際に高リスクであるか、または危害をもたらす可能性があるかどうかではありません。詳細に評価するのは DPIA 自体の仕事です。 代わりに、問題はより高度なスクリーニング テストです。つまり、高リスクの可能性を示す特徴があるかどうかです。 リスク (潜在的な危害の可能性と重大度を含む) をより詳細に調べるために DPIA を実行する必要があることを示す危険信号がないかスクリーニングしています。

第 35 条(3)には、自動的に DPIA を必要とする処理タイプの 3 つの例がリストされており、ICO は第 35 条(4)に基づいてさらに 10 種類を記載したリストを公開しています。 他の高リスクの可能性のある処理を特定するのに役立ついくつかの基準を記載したヨーロッパのガイドラインもあります。

これは、これらの種類の処理が常に高リスクである、または常に害を引き起こす可能性があるという意味ではありません。単に、高リスクである可能性が十分にあるため、DPIA がリスクのレベルをより詳細に評価する必要があるということです。

意図した処理が英国の GDPR、第 35 条第 3 項、ICO リスト、または欧州のガイドラインに記載されていない場合、最終的には、処理の性質を考慮して、その処理が高リスクを引き起こす可能性が高い種類のものであるかどうかを判断するのはあなた次第です。 、処理の範囲、コンテキスト、目的。 疑問がある場合は、コンプライアンスを確保し、ベスト プラクティスを奨励するために DPIA を実行することを常にお勧めします。

第 35 条 (3) では、常に DPIA を必要とする 3 種類の処理を規定しています。

「(a) プロファイリングを含む自動処理に基づく自然人に関する個人的側面の体系的かつ広範な評価、および自然人に関する法的効果を生み出す、または自然人に同様に重大な影響を与える決定の基礎となるもの。」

「(b) 第 9 条 (1) で言及される特別なカテゴリーのデータ、または第 10 条で言及される有罪判決および犯罪に関連する個人データの大規模な処理。」

「(c) 公共のアクセス可能な地域を大規模に体系的に監視すること。」

EU データ保護当局の第 29 条作業部会 (WP29) は、高リスクの処理の可能性を示す指標として機能する可能性がある 9 つの基準を含むガイドラインを発行しました。

これらの要素に関する詳細なガイダンスについては、WP29 ガイドライン (WP248) を参照してください。 これらは、高リスク指標の根拠に関する背景と、高リスクをもたらす可能性が高い処理の例を示します。

ほとんどの場合、これらの要因のうち 2 つの組み合わせが DPIA の必要性を示しています。 ただし、これは厳密なルールではありません。

それでも処理が高リスクをもたらす可能性は低いと確信できる場合は、DPIA を実行しないという決定を正当化できるかもしれませんが、その理由を文書化する必要があります。

一方、場合によっては、要因が 1 つだけ存在する場合に DPIA を実行する必要がある場合があり、そうすることをお勧めします。

さらに読む - 欧州データ保護委員会

WP29 はデータ保護の影響評価に関するガイドラインを作成し、EDPB によって承認されました。

外部リンク

ICO は第 35 条第 4 項により、DPIA を必要とする処理操作のリストを公開することが求められています。 このリストは、欧州ガイドラインで参照されている基準を補完し、さらに指定するものです。 これらの操作の中には、自動的に DPIA が必要なものもあれば、他の項目の 1 つ、または上記の欧州ガイドラインのいずれかの基準と組み合わせて実行される場合にのみ必要なものもあります。

また、他の EU 加盟国のデータ保護当局が、管轄区域内で DPIA を必要とする処理の種類のリストを公開することにも注意してください。

さらに詳しく – ICO ガイダンス

DPIA を必要とする操作の例示的な例、および他の基準と組み合わせるとどの基準が高リスクになるかの詳細については、「高リスクを引き起こす可能性がある」処理操作のリストをお読みください。

外部リンク

リサイタル 91 では、革新的なテクノロジーは、あなたにとって新しいテクノロジーではなく、世界全体における技術知識の新たな発展に関係しており、その使用は DPIA を実行する必要性を引き起こす可能性があると述べています。 そのようなテクノロジーの使用には、新しい形式のデータ収集と使用が含まれる可能性があり、個人の権利と自由に対する高いリスクが伴う可能性があるためです。 新しいテクノロジーの導入による個人的および社会的影響は未知の場合がありますが、DPIA は管理者がそのようなリスクの管理を理解するのに役立ちます。

革新的な技術を使用した処理の例は次のとおりです。

革新的と分類されるのは、単に最先端のテクノロジーだけではありません。 管理者が既存のテクノロジーを新しい方法で実装すると、DPIA が実行されない限り、特定されて対処できない可能性のある高いリスクが生じる可能性があります。 たとえば、顧客の詳細を処理する大規模データベース システムを設計および展開するプロジェクトの一部として DPIA を実行すると、次のことが可能になります。

ICO の高リスク処理操作のリストでは、処理に欧州ガイドラインの別の基準 (評価やスコアリング、機密データなど) と組み合わせた革新的な技術が含まれる場合、DPIA が必要です。

ただし、場合によっては、革新的なテクノロジーの使用目的には、他の要素を必要とせずに DPIA が必要であると判断する場合があります。 強制的な義務が適用されない場合、管理者として、意図した処理が「高リスクをもたらす可能性がある」かどうかを評価する責任があります。

参考文献

ビッグデータ、人工知能、機械学習、データ保護に関する論文を紙で読んでください。 データ保護のコンテキストにおけるこれらのテクノロジーの適用に関するさらなるガイダンスが含まれています。

外部リンク

繰り返しになりますが、英国の GDPR は「体系的」または「体系的かつ広範囲」を定義していません。

DPO 条項に関するヨーロッパのガイドラインには、「体系的」の意味についていくつかのガイダンスがあります。 DPO ガイドラインでは、「体系的」とは次のような処理を意味すると述べています。

「広範囲にわたる」という用語は、処理が広範囲にわたること、広範囲のデータが関与すること、または多数の個人に影響を与えることを意味します。

さらに読む – 欧州データ保護委員会

欧州データ保護当局の第 29 条作業部会は、「体系的」という用語の意味に関するガイダンスを含むデータ保護担当者 (「DPO」) に関するガイドライン (WP243) を採択しました。

外部リンク

英国の GDPR は、法的効果または同様に重大な効果の概念を定義していません。 ただし、プロファイリング規定との関連で、この表現に関する第 29 条の作業部会ガイドラインは、さらなる指針を提供しています。

つまり、それは個人に顕著な影響を及ぼし、その人の状況、行動、選択に大きな影響を与える可能性があるものです。

法的効果とは、人の法的地位または法的権利に影響を与えるものです。 同様に重大な影響には、個人の経済状態、健康、評判、サービスへのアクセス、またはその他の経済的または社会的機会に影響を与えるものが含まれる可能性があります。

一般的にはほとんど影響を及ぼさない決定であっても、子供などのより弱い立場にある人々に大きな影響を与える可能性があります。

さらに詳しく – ICO ガイダンス

法的影響や同様に重大な影響について詳しくは、プロファイリングと自動化された意思決定に関するガイダンスをお読みください。

特に子供とその個人データに関する重大な影響について詳しくは、子供と英国の GDPR に関するガイダンスをお読みください。

さらに読む – 欧州データ保護委員会

規制 2016/679 (WP251) を目的とした自動化された個人の意思決定とプロファイリングに関する WP29 ガイドラインをお読みください。 これらには、法的影響および同様に重大な影響に関するガイダンスが含まれています。

外部リンク

「目に見えない処理」は、個人データを本人から直接以外の場所から取得し、第 14 条で要求されるプライバシー情報を提供しない場合に発生します。個人があなたが個人情報を取得していることに気づかないため、この処理は「目に見えない」ものとなります。 Web サイトでプライバシーに関する通知を公開している場合でも、個人データを収集および使用します。

この処理により、個人はデータの使用を制御できないため、その個人の利益が危険にさらされます。 特に、処理を知らない場合、データ保護の権利を使用することができません。 これは、処理自体が悪影響を与える可能性が低い場合でも当てはまります。

また、処理またはその結果が個人によって合理的に予見できない場合、最初のデータ保護原則の公平性と透明性の要件に違反するリスクにさらされる可能性があります。

これらの理由により、この方法での処理は英国の GDPR によって限られた状況でのみ許可されています。 これらには、プライバシー情報を証明する場所を提供する場所が含まれます。不可能または不相応な努力。

プライバシーを提供できない状況は、たとえば、個人の連絡先詳細を持たず、それを取得する合理的な手段がない場合など、まれに発生します。

個人が情報を得る権利を遵守していることを実証できることが重要です。 したがって、第三者から取得したデータの使用を伴う処理操作を提案する場合は、まず個人にプライバシー情報を提供できるかどうかを慎重に検討する必要があります。 不当な努力の例外に頼ろうとする場合は、これを正当化できなければならず、人々の権利を保護するために他の手段を講じる必要があります。 特に、プライバシー情報を公開し、DPIA を実行する必要があります。

DPIA は、比例したアプローチをとっているかどうかを評価し、実証するのに役立ちます。 これは、個人が自分のデータを制御する能力への影響を軽減する最善の方法や、個人の権利の行使をサポートするために他の手段を講じることができるかどうかを検討するのに役立ちます。 また、公平性と透明性の要件をどのように遵守しているかを示すのにも役立ちます。

さらに詳しく – ICO ガイダンス

情報を得る権利に関する ICO ガイダンスをお読みください。これには、不当な努力やその他の例外および免除に関するセクションが含まれています。

さらに読む – 欧州データ保護委員会

EDP​​B によって承認されている透明性に関する WP29 ガイドラインを参照してください。

外部リンク

状況により、個人データの処理に自由に同意または反対したり、その影響を理解したりする能力が制限される可能性がある場合、個人は脆弱になる可能性があります。

最も明白なことは、子供たちは自分のデータがどのように使用されているかを理解し、それが自分たちにどのような影響を与えるかを予測し、望ましくない結果から身を守ることができない可能性があるため、個人データの処理に対して脆弱であるとみなされています。 これは、高齢者や特定の障害を持つ人々など、人口の他の弱い立場にある人々にも当てはまります。

その個人が、あなたが自動的に脆弱であると考えるグループの一員ではないとしても、処理が進められなければ自分が不利益を被ると彼らが信じている場合、あなたとの関係における力の不均衡により、データ保護の目的で脆弱性が生じる可能性があります。

この意味で脆弱であると考えられるグループの 1 つは従業員です。 DPIA に関するヨーロッパのガイドライン (WP248) は、力の不均衡により雇用主によるデータの処理に簡単に同意したり反対したりできないことを意味する場合、従業員が脆弱なデータ主体とみなされる理由を説明しています。 このタイプの脆弱性は、個人の経済状況 (信用格付けなど) や処理の特定の状況 (医療を受けている患者など) によっても発生する可能性があります。脆弱であるとみなされる個人のデータの処理は、欧州の基準の 1 つです。処理に関するガイドラインに従っていると、高いリスクが生じる可能性があります。 処理に脆弱な個人が関与すると考えられる場合、他の基準またはリストにある操作のいずれかが適用される場合には DPIA が必要になります。

例

ある販売会社は従業員に社用車を提供しており、管理者が従業員の移動と居場所を常に監視できるように、位置追跡機能を備えた車両を導入する予定です。 従業員は勤務時間外に私的な目的で車両を使用することも許可されています。

この処理は、コントローラーとの電力不均衡の影響を受けやすい状況で、各個人の地理位置情報を追跡することを目的としています。 したがって、これは、従業員の権利と自由に対するリスクを特定し、軽減するという DPIA の要件に関係します。

外部リンク

さらに詳しく – ICO ガイダンス

同意と子供に対する追加の保護の詳細については、子供と英国の GDPR に関するガイダンスをお読みください。

さらに読む – 欧州データ保護委員会

WP29 はデータ保護の影響評価に関するガイドラインを作成し、EDPB によって承認されました。

雇用における個人データの処理の詳細については、職場でのデータ処理に関する WP29 意見 2/2017 をお読みください。

繰り返しになりますが、英国の GDPR には大規模な処理の定義は含まれていませんが、処理が大規模であるかどうかを判断するには、次の点を考慮する必要があります。

大規模な処理の例には次のようなものがあります。

患者または顧客のデータを処理する個々の専門家は、大規模な処理を行っていません。

外部リンク

参考文献– 欧州データ保護委員会

WP29 はデータ保護の影響評価に関するガイドラインを作成し、EDPB によって承認されました。

データ保護責任者 (「DPO」) に関する WP29 ガイドライン (WP243) もお読みください。

次の場合には、DPIA を実行する必要がない場合があります。

外部リンク

参考文献– 欧州データ保護委員会

WP29 はデータ保護の影響評価に関するガイドラインを作成し、EDPB によって承認されました。