A hét elején, 2018. november 6-án a francia adatvédelmi hatóság (Commission nationale de l’informatique et des libertés, ~CNIL) is kiadta az angol, német, lengyel, belga hatóságok mellett a GDPR 35. Cikk (4) bekezdése szerinti, az adatvédelmi hatásvizsgálatok elvégzését előíró listát.

A kiadott listát érdemes összevetni a magyar hatóság által javasolt listával, az Európai Adatvédelmi Testület által kibocsátott véleményével együtt (amelyről egy remek összefoglaló cikk a linken olvasható).

A CNIL szerint az alábbi adatkezelési tevékenységek esetében szükséges elvégezni az adatvédelmi hatásvizsgálatot:
• Egészségügyi vagy egészségügyi ellátással foglalkozó intézmények (pl. kórházak, egyetemek) által végzett egészségügyi adatkezelések esetében, mint például beteg akták vezetése, egészségügyi kockázatkezelő rendszerek, telemedicina rendszerek, stb.;
• Kiszolgáltatott személyek (páciensek, munkavállalók, gyermekek, stb.) genetikai adatainak a kezelése, például orvosi kutatások vagy orvosi kezelések során;
• Munkavállalói profilozás, például a különösen jól teljesítő munkavállalók kiválasztására, munkaerő-felvétel során automatizált előszűrésre, vagy a várható munkahelyi viselkedéssel (munkaviszony megszüntetése) kapcsolatban;
• Az érintett munkavállalók folyamatos megfigyelésével kapcsolatos adatkezelések (pl. e-mail szűrő eszközök, CCTV, vagy tachográf alkalmazása);
• Szociális vagy egészségügyi ügyekkel kapcsolatos figyelmeztetések vagy jelzések kezelése (pl. kiszolgáltatott személyekkel kapcsolatos visszaéléseket jelző eseményekkel, riasztásokkal kapcsolatos adatkezelések, egészségügyi intézmény által egészségügyi veszéllyel vagy krízissel kapcsolatos adatkezelés);
• Munkahelyi, belső jelentési rendszerek (pl. belső visszaélés jelentési rendszerek, korrupció jelentő rendszerek);
• Kutatási célú egészségügyi személyes adatokból épített adatbázisokkal kapcsolatos adatkezelések;
• Olyan jellegű profilalkotás, amely az érintett számára nyújtható egyes szolgáltatások vagy szerződéskötés megtagadását eredményezhetik, pl. csalásmegelőző rendszerek, hitelpontozás, közösségi médián történő tilalmazott magatartások elemzésén alapuló adatkezelés;
• Szerződésszegésekkel összefüggésben az összekapcsolt adatkezelések, amelyek esetén a szerződésből eredő előnyökből történő kizárást vagy felfüggesztést eredményezhetik az érintettre nézve, mint például egyes előfizetések, vagy gépjármű biztosítási szerződések esetében kedvezőtlenebb feltételek biztosítása;
• Külső adatforrásokon alapuló profilozás;
• Azonosítás céljából biometrikus adatok kezelése, beleértve a kiszolgáltatott személyekkel kapcsolatos adatkezeléseket (páciensek, munkavállalók, gyermekek, stb.);
• Szociális lakhatásra való pályázatokkal kapcsolatos adatkezelések;
• Az egyes érintettek szociális vagy egészségügyi jellegű támogatással kapcsolatban végzett adatkezelések, pl. rehabilitációs programokban részt vevő személyek, fogyatékkal élők számára kialakított lakintézmények adatkezelései;
• Nagy mennyiségű helymeghatározási adat kezelése.