この第22条のプロファイリングに関する規定も、GDPRで有名になったところだと思います。
それでは早速見ていきましょう。
第22条:プロファイリングを含む個人に対する自動化された意思決定
1. データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利を有する。
データ主体は、プロファイリングを含んだ自動的な個人データの処理に基づいて、以下のような決定の対象にされない権利を有しています。
・データ主体に関係する法的効果を発生させる決定
または
・データ主体に対して重大な影響を及ぼす決定
2. 第1項は、以下のいずれかの決定には、適用されない。
(a)データ主体とデータの管理者の間の契約の締結又はその履行のために必要となる場合。
データ主体とデータ管理者が、その旨の契約を締結し、履行のために必要となる場合。
(b)管理者がそれに服し、かつ、データ主体の権利及び自由並びに正当な利益の安全性を確保するための適切な措置も定めるEU法又は加盟国の国内法によって認められる場合。又は、
それを認めるEU法または加盟国法が存在する場合。
(c)データ主体の明示的な同意に基づく場合。
データ主体による「明示的な」同意に基づく場合。
普通の同意ではなく「明示的な同意」となっているため、特別な種類の個人データの取扱いの法的根拠を「本人同意」とする第9条第2項(a)と同様に、「明示的な同意」である必要があります。
3. 第2項(a)及び(c)に規定する場合においては、そのデータの管理者は、データ主体の権利及び自由並びに正当な利益、少なくとも、管理者の側での人間の関与を得る権利、データ主体の見解を表明する権利及びその決定を争う権利の保護を確保するための適切な措置を実装するものとする。
上記の第2項(a)及び(c)に基づき「当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定」を行う場合であっても、データ管理者は「データ主体の権利及び自由並びに正当な利益、少なくとも、管理者の側での人間の関与を得る権利、データ主体の見解を表明する権利及びその決定を争う権利」を保護するための適切な措置を実装することとされています。
4. 第9条第2項(a)又は(g)が適用され、かつ、データ主体の権利及び自由並びに正当な利益の保護を確保するための適切な措置が設けられている場合を除き、第2項に規定する決定は、第9条第1項に規定する特別な種類の個人データを基礎としてはならない。
上記第2項の規定を使った決定は、第9条第1項に規定する「特別な種類の個人データ」を基礎としてはなりません。
ただし、第9条第2項(a)または(g)が適用され、かつ、データ主体の権利及び自由並びに正当な利益の保護を確保するための適切な措置が設けられている場合は、「特別な種類の個人データ」を基礎としても良いこととなっております。
以上、第22条「プロファイリングを含む個人に対する自動化された意思決定」でした。