GDPR - ЧЛЕН 35 - ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО (ОВЗД)

Вашата ОВЗД, съответстваща
на методологията на CNIL

GDPR изисква Оценка на въздействието върху защитата на данните за всяко обработване, което може да породи висок риск за правата и свободите на физическите лица. SYAGA DPIA-Express структурира и документира вашата ОВЗД съгласно методологията на член 35 и насоките на Европейския комитет по защита на данните (EDPB), без импровизация и без жаргон.

35
Член от GDPR (ОВЗД)
9
Критерия на EDPB (WP248 rev.01)
3
Случая на задължение (чл. 35.3)
4
Компонента на методологията (чл. 35.7 a-d)

Задължението

Определяне дали вашето обработване подлежи на ОВЗД, а след това провеждането ѝ по правилата

Член 35 от GDPR изисква ОВЗД

Всяко обработване, което може да породи висок риск за правата и свободите на физическите лица, трябва да бъде предмет на Оценка на въздействието върху защитата на данните преди прилагането му (GDPR, чл. 35).

📋

Правилото на CNIL за „2 от 9 критерия“

Европейският комитет по защита на данните (EDPB, бивш G29, насоки WP248 rev.01) е определил 9 критерия за висок риск. Щом дадено обработване отговаря поне на два от тези критерии, по принцип трябва да се проведе ОВЗД: само една неправилно идентифицирана част и досието е непълно.

🔍

Списъци на CNIL за сравняване член по член

CNIL публикува списъци на обработвания, за които ОВЗД е задължителна или не е задължителна (френски орган). Определянето на точното място на вашето обработване изисква строго четене, а не общо впечатление.

Без методология рискът е двоен

Провеждането на ОВЗД твърде набързо ви излага на непълнота пред надзорен орган; непровеждането ѝ, когато е задължителна, излага организацията на нарушение на член 35. Методологията на CNIL структурира този избор и го документира.

Методологията: DPIA-Express

Структурата, наложена от член 35.7 на GDPR, приложена към вашето обработване, с обоснован извод на всяка стъпка

1
Определяне на задължението

Наистина ли вашето обработване подлежи на ОВЗД?

Анализ спрямо 3-те случая на член 35.3, таблицата на 9-те критерия на EDPB (WP248 rev.01) и списъците на CNIL за задължителни или незадължителни обработвания. Обоснован извод, независимо дали ОВЗД в крайна сметка е задължителна или не.

2
Чл. 35.7.a

Систематично описание на обработването

Цели, категории данни и засегнати лица, получатели, срокове на съхранение: пълното картографиране, изисквано от член 35.7.a, съгласувано с вашия регистър на дейностите по обработване (чл. 30).

3
Чл. 35.7.b

Необходимост и пропорционалност

Проверка, че всяка събрана данна е необходима за преследваната цел, че правното основание (чл. 6) е идентифицирано за всяко обработване и че принципът на свеждане до минимум (чл. 5.1.в) е спазен.

4
Чл. 35.7.c

Оценка на рисковете за лицата

За всеки идентифициран риск: тежест, вероятност, вече въведени мерки, остатъчен риск, представени в таблица, използваема от вашето ръководство или длъжностното лице по защита на данните.

5
Чл. 35.7.d и 5.2

Мерки и документиран извод

Предвидени технически и организационни мерки (чл. 32), обоснован извод и документирана обосновка по силата на принципа на отчетност (чл. 5.2), която може да бъде използвана при проверка от CNIL.

Какво получавате

Структуриран, документиран със източници и честен документ относно това, което остава да бъде потвърдено от вашия юрист или длъжностно лице по защита на данните

📝

Структуриран доклад за ОВЗД

Пълният документ, следващ член 35.7 (а до г), с обоснован извод.

  • Систематично описание на обработването
  • Анализ на необходимостта и пропорционалността
  • Таблица на рисковете (тежест/вероятност/мерки)
  • Извод и документирана обосновка (чл. 5.2)

Таблица за определяне

Предварителният анализ, който определя дали вашето обработване попада в обхвата на задължението.

  • 3-те случая на член 35.3
  • 9-те критерия на EDPB (WP248 rev.01)
  • Сравняване със списъците на CNIL
  • Обоснован и документиран извод
📁

Съгласуваност с регистъра по чл. 30

ОВЗД се основава на същата база като вашия регистър на дейностите по обработване.

  • Цели и правни основания
  • Категории данни и лица
  • Получатели и обработващи лица
  • Срокове на съхранение по категория
🚩

Точки за потвърждение от вашия юрист/ДЗД

Всяка точка на несигурност е изрично отбелязана, никога не е решена вместо вас.

  • Квалификация администратор / обработващ лице
  • Правни основания по цел
  • Идентифицирани трансфери извън ЕС
  • Определяне на длъжностно лице по защита на данните (чл. 37), при необходимост
🔗

Източници и проследимост

Всяко правно твърдение е с посочен източник, а не изведено по памет.

  • Консолидиран текст на GDPR (CELEX 32016R0679)
  • Страници и списъци на CNIL (ОВЗД, регистър)
  • Насоки на EDPB (WP248 rev.01)
  • Проверими URL адреси, цитирани в документа
📄

Редактируем документ

Предаден в редактируем формат, който може да бъде преизползван от вашето ДЗД или юрист.

  • Структура, съответстваща на член 35.7
  • Преизползваем за бъдещите ви обработвания
  • Готов за допълване преди окончателното потвърждение
  • Без наложено фиксирано форматиране

Използвани референции

Методология, основана на текстовете и органите, а не на домашни интерпретации

35

GDPR - Член 35

Оценка на въздействието върху защитата на данните. Консолидиран текст на Регламент (ЕС) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Насоки WP248 rev.01

9-те критерия за висок риск на EDPB (бивш G29), възприети от CNIL като референтна методология за определяне на задължението за ОВЗД.

CNIL

Списъци и методология на CNIL (френски орган)

Списъци на обработванията, за които ОВЗД е задължителна или незадължителна, и методологията на CNIL за провеждане на оценка на въздействието.

30

GDPR - Член 30

Регистър на дейностите по обработване: базата на съгласуваност (цели, данни, срокове), на която се основава всяка ОВЗД.

ОВЗД по мярка, без скрити цени

Обхватът зависи от броя обработвания, тяхната сложност и това, което вече е документирано при вас. Оферта, изготвена след първоначален разговор.

Определяне на задължението

Не знаете дали вашето обработване е засегнато

По оферта
според броя обработвания за анализ
  • Таблица на 9-те критерия на EDPB
  • Сравняване с член 35.3
  • Проверка на списъците на CNIL
  • Обоснован и документиран извод
Заявка за оферта

Многогодишна програма

Няколко рискови обработвания за покриване

По оферта
според броя обработвания и ритъма на преразглеждане
  • Всичко от Пълна ОВЗД +
  • Обща методологична рамка
  • Периодично преразглеждане (чл. 35.11)
  • Поддържана съгласуваност с регистъра (чл. 30)
Заявка за оферта

ОВЗД никога не е окончателно фиксирана

Член 35.11 на GDPR изисква повторно разглеждане на анализа при съществена промяна на обработването (нов обработващ лице, промяна на хостинга, разширяване на обхвата на събиране). Оферта за преразглеждане се изготвя за всеки конкретен случай.

Често задавани въпроси

Наистина ли моето обработване подлежи на задължението за ОВЗД?
Това зависи от три елемента, проверявани методично: 3-те случая на член 35.3 от GDPR, таблицата на 9-те критерия на EDPB (насоки WP248 rev.01, възприети от CNIL: щом 2 от 9 критерия са изпълнени, по принцип трябва да се проведе ОВЗД) и списъците на CNIL за задължителни или незадължителни обработвания. Предаваният документ решава този въпрос и го обосновава точка по точка.
Какво точно съдържа предадения документ?
Документ, структуриран съгласно член 35.7 на GDPR: систематично описание на обработването (а), анализ на необходимостта и пропорционалността (б), оценка на рисковете за засегнатите лица (в), предвидени технически и организационни мерки (г), след което обоснован извод. Всяка правна референция е с посочен източник (консолидиран текст на GDPR, CNIL, EDPB).
А ако моето обработване в крайна сметка не подлежи на задължението за ОВЗД?
Документът се поддържа доброволно и документално: той представлява обосновката на вашето решение да не се провежда официална ОВЗД, по силата на принципа на отчетност (чл. 5.2 от GDPR), която може да бъде използвана при проверка от CNIL.
Замества ли този документ становището на моя адвокат или ДЗД?
Не. DPIA-Express е инструмент за методологично подпомагане, който структурира и документира анализа; той не представлява правен съвет. Всеки предаден документ изрично изброява точките, които остава да бъдат потвърдени от вашия юрист или Длъжностно лице по защита на данните преди всякаква противопоставима употреба.
Кой трябва да проведе ОВЗД в моята организация?
Администраторът на данни остава юридически отговорен за ОВЗД; ДЗД, когато има такова, трябва да бъде консултирано (чл. 35.2 от GDPR). DPIA-Express подготвя материала (описание, рискове, мерки), за да може тази консултация да се извърши върху вече структурирано досие, а не върху празна страница.
Защо да преминете през SYAGA, вместо да го направите изцяло вътрешно?
SYAGA Consulting съществува от 2009 г. и прилага същата методология към собствените си обработвания, включително към собствения си продукт за одит на Microsoft 365, чийто анализ на задължението за ОВЗД следва точно тази структура. Ние не доставяме общ шаблон: всеки документ се изгражда обработване по обработване, член по член.

Готови ли сте да документирате вашата ОВЗД?

Опишете ни вашето обработване, ние ще се свържем с вас с персонализирана оферта.

Регулаторно наблюдение - официални източници

Какво наистина казва текстът, обяснено на прост език. Всяка точка запазва връзката си към официалния документ.

📋

Какво е ОВЗД, накратко?

ОВЗД е просто работа по оценка: разглеждат се рисковете, които дадено обработване на данни поражда за лицата, преди да бъде въведено. CNIL я определя като „формален процес за оценка на рисковете, свързани с обработването на лични данни“. Това не е поредна административна формалност, а инструмент на здравия разум, направен задължителен от GDPR в определени случаи. Източник: CNIL →

🎯

Кой наистина е засегнат: правилото за „2 от 9 критерия“

Не е нужно да сте голямо предприятие, за да бъдете засегнати. CNIL смята, че ОВЗД е задължителна, щом дадено обработване отговаря поне на две от следните девет ситуации: оценяване на лица, вземане на автоматизирано решение с реален ефект върху тях, системно наблюдение, събиране на чувствителни данни (здраве, произход и др.), събиране в голям мащаб, кръстосване на няколко бази данни, насочване към уязвими лица (служители, пациенти, непълнолетни...), използване на нова технология или лишаване на някого от право или услуга. Източник: CNIL →

Два списъка на CNIL, които често отговарят вместо вас

За да избегне гадаенето, CNIL е публикувала два официални списъка: списък от 14 вида обработвания, при които ОВЗД е задължителна (здравни данни, HR профилиране, наблюдение на служители, широкомащабно геолокализиране...), и списък от 12 вида, при които не е задължителна (заплати и управление на персонал под 250 служители без профилиране, управление на доставчици, досие на пациент на самостоятелен здравен специалист...). Тези списъци не покриват всички случаи, но вече отговарят на много чести ситуации. Източник: списък на CNIL за задължителни обработвания →

🧩

Какво наистина трябва да съдържа анализът

GDPR (член 35) не изисква роман, а четири точни компонента: описание на обработването и целта му, проверка, че то наистина е необходимо и пропорционално, оценка на рисковете за засегнатите лица, след което изброяване на предвидените мерки за намаляване на тези рискове. В края - ясен извод: приемливо ли е обработването и при какви условия. Източник: GDPR, член 35 →

👤

Ролята на вашето ДЗД (ако имате такова)

Ако вашата организация е определила Длъжностно лице по защита на данните, GDPR изисква то да бъде консултирано при провеждането на ОВЗД и да му бъде възложено да провери, че анализът действително е извършен. Това е гаранция, а не квадратче за отметка: ДЗД остава правилният рефлекс преди потвърждаване на извод. Източник: GDPR, членове 35 и 39 →

А ако рискът остане висок след анализа?

Ако, въпреки предвидените мерки, обработването все още представлява висок риск за лицата, GDPR изисква консултация с CNIL преди началото. Тя разполага с осем седмици, за да даде писменото си становище (удължаемо с шест седмици, ако досието е сложно). Успокоително е да се знае: този случай остава изключение, а не правило. Източник: GDPR, член 36 →

💰

Санкциите - без драматизиране

CNIL напомня, че глобите по GDPR могат да достигнат до 10 милиона евро или 2% от годишния световен оборот, в зависимост от по-високата сума. Това е законов таван, а не неизбежност: добре проведена ОВЗД е именно това, което позволява, при проверка, да се докаже, че въпросът е бил взет сериозно. Източник: CNIL →

📢

Европейска новина, която следим

Европейският комитет по защита на данните (EDPB) проведе обществена консултация от 14 април до 9 юни 2026 г. относно проект за единен образец на ОВЗД, предназначен да хармонизира практиките между европейските страни. Консултацията вече е приключена; ние следим по-нататъшното развитие на този проект, за да информираме своевременно клиентите си. Източник: EDPB →