DPIA 資料保護衝擊評估

DPIA（Data Protection Impact Assessment，資料保護衝擊評估）是在推出可能對個資主體造成高風險的新處理活動前，必須進行的系統性評估。GDPR 第 35 條規定，在特定情況下 DPIA 為強制要求。

GDPR 要求至少在以下情況進行 DPIA：大規模自動化決策（含剖析）、大規模特殊類別個資處理（健康/宗教/種族等）、大規模公開場所系統性監控。其他高風險情況也建議進行。

1. 描述處理活動；2. 評估必要性與相稱性；3. 識別並評估風險；4. 規劃風險緩解措施；5. 諮詢資料保護官（DPO）；6. 必要時諮詢監管機構。