GDPR изисква Оценка на въздействието върху защитата на данните за всяко обработване, което може да породи висок риск за правата и свободите на физическите лица. SYAGA DPIA-Express структурира и документира вашата ОВЗД съгласно методологията на член 35 и насоките на Европейския комитет по защита на данните (EDPB), без импровизация и без жаргон.
Определяне дали вашето обработване подлежи на ОВЗД, а след това провеждането ѝ по правилата
Всяко обработване, което може да породи висок риск за правата и свободите на физическите лица, трябва да бъде предмет на Оценка на въздействието върху защитата на данните преди прилагането му (GDPR, чл. 35).
Европейският комитет по защита на данните (EDPB, бивш G29, насоки WP248 rev.01) е определил 9 критерия за висок риск. Щом дадено обработване отговаря поне на два от тези критерии, по принцип трябва да се проведе ОВЗД: само една неправилно идентифицирана част и досието е непълно.
CNIL публикува списъци на обработвания, за които ОВЗД е задължителна или не е задължителна (френски орган). Определянето на точното място на вашето обработване изисква строго четене, а не общо впечатление.
Провеждането на ОВЗД твърде набързо ви излага на непълнота пред надзорен орган; непровеждането ѝ, когато е задължителна, излага организацията на нарушение на член 35. Методологията на CNIL структурира този избор и го документира.
Структурата, наложена от член 35.7 на GDPR, приложена към вашето обработване, с обоснован извод на всяка стъпка
Анализ спрямо 3-те случая на член 35.3, таблицата на 9-те критерия на EDPB (WP248 rev.01) и списъците на CNIL за задължителни или незадължителни обработвания. Обоснован извод, независимо дали ОВЗД в крайна сметка е задължителна или не.
Цели, категории данни и засегнати лица, получатели, срокове на съхранение: пълното картографиране, изисквано от член 35.7.a, съгласувано с вашия регистър на дейностите по обработване (чл. 30).
Проверка, че всяка събрана данна е необходима за преследваната цел, че правното основание (чл. 6) е идентифицирано за всяко обработване и че принципът на свеждане до минимум (чл. 5.1.в) е спазен.
За всеки идентифициран риск: тежест, вероятност, вече въведени мерки, остатъчен риск, представени в таблица, използваема от вашето ръководство или длъжностното лице по защита на данните.
Предвидени технически и организационни мерки (чл. 32), обоснован извод и документирана обосновка по силата на принципа на отчетност (чл. 5.2), която може да бъде използвана при проверка от CNIL.
Структуриран, документиран със източници и честен документ относно това, което остава да бъде потвърдено от вашия юрист или длъжностно лице по защита на данните
Пълният документ, следващ член 35.7 (а до г), с обоснован извод.
Предварителният анализ, който определя дали вашето обработване попада в обхвата на задължението.
ОВЗД се основава на същата база като вашия регистър на дейностите по обработване.
Всяка точка на несигурност е изрично отбелязана, никога не е решена вместо вас.
Всяко правно твърдение е с посочен източник, а не изведено по памет.
Предаден в редактируем формат, който може да бъде преизползван от вашето ДЗД или юрист.
Методология, основана на текстовете и органите, а не на домашни интерпретации
Оценка на въздействието върху защитата на данните. Консолидиран текст на Регламент (ЕС) 2016/679 (EUR-Lex, CELEX 32016R0679).
9-те критерия за висок риск на EDPB (бивш G29), възприети от CNIL като референтна методология за определяне на задължението за ОВЗД.
Списъци на обработванията, за които ОВЗД е задължителна или незадължителна, и методологията на CNIL за провеждане на оценка на въздействието.
Регистър на дейностите по обработване: базата на съгласуваност (цели, данни, срокове), на която се основава всяка ОВЗД.
Обхватът зависи от броя обработвания, тяхната сложност и това, което вече е документирано при вас. Оферта, изготвена след първоначален разговор.
Не знаете дали вашето обработване е засегнато
Обработване, идентифицирано с висок риск
Няколко рискови обработвания за покриване
ОВЗД никога не е окончателно фиксирана
Член 35.11 на GDPR изисква повторно разглеждане на анализа при съществена промяна на обработването (нов обработващ лице, промяна на хостинга, разширяване на обхвата на събиране). Оферта за преразглеждане се изготвя за всеки конкретен случай.
Опишете ни вашето обработване, ние ще се свържем с вас с персонализирана оферта.
Какво наистина казва текстът, обяснено на прост език. Всяка точка запазва връзката си към официалния документ.
ОВЗД е просто работа по оценка: разглеждат се рисковете, които дадено обработване на данни поражда за лицата, преди да бъде въведено. CNIL я определя като „формален процес за оценка на рисковете, свързани с обработването на лични данни“. Това не е поредна административна формалност, а инструмент на здравия разум, направен задължителен от GDPR в определени случаи. Източник: CNIL →
Не е нужно да сте голямо предприятие, за да бъдете засегнати. CNIL смята, че ОВЗД е задължителна, щом дадено обработване отговаря поне на две от следните девет ситуации: оценяване на лица, вземане на автоматизирано решение с реален ефект върху тях, системно наблюдение, събиране на чувствителни данни (здраве, произход и др.), събиране в голям мащаб, кръстосване на няколко бази данни, насочване към уязвими лица (служители, пациенти, непълнолетни...), използване на нова технология или лишаване на някого от право или услуга. Източник: CNIL →
За да избегне гадаенето, CNIL е публикувала два официални списъка: списък от 14 вида обработвания, при които ОВЗД е задължителна (здравни данни, HR профилиране, наблюдение на служители, широкомащабно геолокализиране...), и списък от 12 вида, при които не е задължителна (заплати и управление на персонал под 250 служители без профилиране, управление на доставчици, досие на пациент на самостоятелен здравен специалист...). Тези списъци не покриват всички случаи, но вече отговарят на много чести ситуации. Източник: списък на CNIL за задължителни обработвания →
GDPR (член 35) не изисква роман, а четири точни компонента: описание на обработването и целта му, проверка, че то наистина е необходимо и пропорционално, оценка на рисковете за засегнатите лица, след което изброяване на предвидените мерки за намаляване на тези рискове. В края - ясен извод: приемливо ли е обработването и при какви условия. Източник: GDPR, член 35 →
Ако вашата организация е определила Длъжностно лице по защита на данните, GDPR изисква то да бъде консултирано при провеждането на ОВЗД и да му бъде възложено да провери, че анализът действително е извършен. Това е гаранция, а не квадратче за отметка: ДЗД остава правилният рефлекс преди потвърждаване на извод. Източник: GDPR, членове 35 и 39 →
Ако, въпреки предвидените мерки, обработването все още представлява висок риск за лицата, GDPR изисква консултация с CNIL преди началото. Тя разполага с осем седмици, за да даде писменото си становище (удължаемо с шест седмици, ако досието е сложно). Успокоително е да се знае: този случай остава изключение, а не правило. Източник: GDPR, член 36 →
CNIL напомня, че глобите по GDPR могат да достигнат до 10 милиона евро или 2% от годишния световен оборот, в зависимост от по-високата сума. Това е законов таван, а не неизбежност: добре проведена ОВЗД е именно това, което позволява, при проверка, да се докаже, че въпросът е бил взет сериозно. Източник: CNIL →
Европейският комитет по защита на данните (EDPB) проведе обществена консултация от 14 април до 9 юни 2026 г. относно проект за единен образец на ОВЗД, предназначен да хармонизира практиките между европейските страни. Консултацията вече е приключена; ние следим по-нататъшното развитие на този проект, за да информираме своевременно клиентите си. Източник: EDPB →