(75) 當事人之權利及自由所受之諸多可能且嚴重之風險，可能起因 自處理個人資料，並造成身體上、物質上、或非物質上之損害，尤其 是於下述情形時：當處理可能造成歧視、身分盜用或詐欺、金融損失、 名譽損害、受職業性秘密保護之個人資料之機密性喪失、假名化未授 權撤銷、或其他任何顯著之經濟性或社會性之不利益時；當資料主體 之權利或自由可能受到剝奪或被排除在自己之個人資料控制權之外 時；當個人資料處理涉及揭露種族或人種、政治意見、宗教或哲學信 仰、貿易聯盟會員、以及基因資料之處理、有關健康之資料或有關性 生活或前科及犯罪或相關保安措施之資料時；當個人特徵受到評估， 尤其是為了建檔或使用個人檔案，分析或預測有關工作表現、經濟狀 況、健康、個人偏好或興趣、可信度或行為、地點或動向等個人特徵 時；當處理易受傷害之個人（尤其是兒童）之個人資料時；或當該處 理會牽涉大量個人資料並影響大量資料主體時。

(84) 就處理活動可能造成當事人之權利或自由有高度風險之情形， 為了促進對本規則之遵守，控管者應負責執行資料保護影響評估，以 衡量（特別是）風險的來源、本質、特殊性與嚴重性。為證明個人資 料之處理符合本規則，在決定適當措施時，評估結果應納入考量。當 資料保護影響評估指出處理活動涉及高度風險而控管者無法以現有 技術及執行成本提供適當措施降低風險時，應於處理前徵詢監管機 關。

(89) 歐盟指令第 95/46/EC 號規範了向監管機關通知個人資料處理之 一般性義務。然而該義務造成了行政與財政上之負擔，並非所有情形 都對提升個人資料之保護有所助益。因此，該未加區別之普遍通知義 務應予廢除，並改以注重依處理活動之本質、範圍、脈絡及目的等特 徵區分容易對當事人權利與自由造成高風險之種類的更有效程序與 機制加以取代。該處理活動之種類尤其可能是涉及新技術之使用，或 未曾由控管者實施資料保護影響評估或基於自開始處理所經過之時間而有必要之新類型處理活動。

(90) 在此種情形，控管者應在處理之前進行資料保護影響評估，以 評估高風險之特定可能性與嚴重性，並考量處理之本質、範圍、脈絡 與目的及風險來源。該影響評估尤其應包括預計用以降低風險、確保 個人資料保護與顯示遵循本規則之措施、保護措施與機制。

(91) 此尤其適用於預定處理地區、國家或超國家層級可觀數量之個 人資料，且可能影響大量資料主體並導致高風險之大規模處理活動， 例如，基於其敏感性，按照現存技術知識狀況，大規模使用新技術並 用於對資料主體之權利與自由造成高風險之其他處理活動，尤其是該 等活動使得資料主體更難以行使其權利者。透過建檔資料，就相關當 事人之個人特徵為體系性及密集性之評估、或透過特殊類型之個人資 料、生物資料、或前科及犯罪資料或相關保安措施等之資料處理，以 取得特定當事人之決策所為之個人資料處理者，亦應進行資料保護影 響評估。資料保護影響評估也在大規模監控公共場合時有其必要，特 別是使用光學電子裝置或主管監管機關認為該處理有可能對資料主 體之權利與自由造成高風險之任何其他活動，尤其是因該等裝置或活 動使資料主體無法行使權利、或使用服務或契約，或是因其係被有系 統性地大規模執行者。若由個別醫生、其他健康照護專業者或律師處 理來自於病患或客戶之個人資料時，不應被視為大規模之處理。在此 種情形，資料保護影響評估並非強制。

(92) 有些情況下，資料保護影響評估之主體比單一計畫更廣泛將是 合理且經濟的，例如，當公務機關或機構欲建立普遍性的應用程式或 處理平台、或當許多控管者計畫引進普遍性的應用程式或跨產業或跨 界之處理環境，或為廣泛使用的水平整合活動。

(93) 於公務機關或公務機構執行任務係依據會員國法，且其所通過 之內容係在規範相關之特定或系列處理活動時，，該會員國得視其為 有必要在處理活動前進行該等評估。