RGPD ukládá posouzení vlivu na ochranu osobních údajů pro každé zpracování, které může představovat vysoké riziko pro práva a svobody osob. SYAGA DPIA-Express strukturuje a dokumentuje vaše DPIA podle metodiky článku 35 a pokynů EDPB, bez improvizace a bez žargonu.
Určit, zda vaše zpracování musí podléhat DPIA, a poté ji provést podle pravidel
Každé zpracování, které může představovat vysoké riziko pro práva a svobody fyzických osob, musí před svým zavedením podléhat posouzení vlivu na ochranu osobních údajů (RGPD, čl. 35).
EDPB (autorita francouzská CNIL vychází z bývalé WP29, pokyny WP248 rev.01) definoval 9 kritérií vysokého rizika. Jakmile zpracování splňuje alespoň dvě z těchto kritérií, musí být v zásadě provedeno DPIA: jedna špatně identifikovaná položka a spis je neúplný.
CNIL (autorita francouzská) zveřejňuje seznamy zpracování, pro která je DPIA vyžadována nebo naopak nikoli vyžadována. Určit, kam přesně vaše zpracování patří, vyžaduje pečlivé čtení, nikoli obecný dojem.
Provést DPIA příliš rychle vystavuje riziku neúplnosti před dozorovým úřadem; neprovést ji, když je vyžadována, vystavuje organizaci porušení článku 35. Metoda CNIL tuto volbu strukturuje a dokumentuje.
Struktura uložená článkem 35.7 RGPD, aplikovaná na vaše zpracování, s odůvodněným závěrem v každé fázi
Analýza podle 3 případů článku 35.3, matice 9 kritérií EDPB (WP248 rev.01) a seznamů CNIL vyžadovaných nebo nevyžadovaných zpracování. Odůvodněný závěr, ať už je DPIA nakonec povinná, nebo ne.
Účely, kategorie dotčených údajů a osob, příjemci, doby uchovávání: kompletní mapování požadované článkem 35.7.a, v souladu s vaším záznamem o činnostech zpracování (čl. 30).
Ověření, že každý shromážděný údaj je nezbytný pro sledovaný účel, že je pro každé zpracování určen právní základ (čl. 6) a že je dodržena zásada minimalizace (čl. 5.1.c).
Pro každé identifikované riziko: závažnost, pravděpodobnost, již zavedená opatření, zbytkové riziko, prezentováno formou tabulky použitelné vaším vedením nebo vaším pověřencem pro ochranu osobních údajů.
Zamýšlená technická a organizační opatření (čl. 32), odůvodněný závěr a zdokumentované odůvodnění na základě zásady odpovědnosti (čl. 5.2), použitelné v případě kontroly ze strany CNIL (autorita francouzská).
Strukturovaný, sourcovaný dokument, upřímný ohledně toho, co ještě zbývá ověřit vaším právníkem nebo pověřencem pro ochranu osobních údajů
Kompletní dokument podle článku 35.7 (a až d), s odůvodněným závěrem.
Předběžná analýza, která rozhodne, zda vaše zpracování spadá do oblasti povinnosti.
DPIA se opírá o stejný základ jako váš záznam o činnostech zpracování.
Každý sporný bod je výslovně označen, nikdy nerozhodnut za vás.
Každé právní tvrzení je sourcováno, ne uváděno z paměti.
Předán v editovatelném formátu, znovu použitelném vaším pověřencem nebo právníkem.
Metoda opírající se o texty a úřady, nikoli o vlastní výklady
Posouzení vlivu na ochranu osobních údajů. Konsolidovaný text Nařízení (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
9 kritérií vysokého rizika EDPB (dříve WP29), převzatých CNIL (autorita francouzská) jako referenční metoda pro určení povinnosti DPIA.
Seznamy zpracování, pro která je DPIA vyžadována nebo nevyžadována (autorita francouzská), a metoda CNIL pro provádění posouzení vlivu.
Záznam o činnostech zpracování: základ soudržnosti (účely, údaje, doby), o který se opírá každá DPIA.
Rozsah závisí na počtu zpracování, jejich složitosti a na tom, co je u vás již zdokumentováno. Nabídka je vypracována po úvodní konzultaci.
Nevíte, zda se vás vaše zpracování týká
Identifikované zpracování s vysokým rizikem
Několik rizikových zpracování k pokrytí
DPIA nikdy není definitivně uzavřená
Článek 35.11 RGPD ukládá povinnost přezkoumat analýzu v případě významné změny zpracování (nový zpracovatel, změna hostingu, rozšíření rozsahu sběru). Nabídka na přezkum je vypracována případ od případu.
Popište nám vaše zpracování, ozveme se vám s individuální nabídkou.
Co text skutečně říká, stráveno jednoduchým jazykem. Každý bod si zachovává odkaz na oficiální dokument.
DPIA je jednoduše hodnotící práce: zkoumají se rizika, která zpracování dat představuje pro dotčené osoby, ještě před jeho zavedením. CNIL (autorita francouzská) ji definuje jako "formální proces umožňující posoudit rizika spojená se zpracováním osobních údajů". Není to další administrativní formalita, je to nástroj zdravého rozumu, který RGPD v určitých případech činí povinným. Zdroj: CNIL →
Nemusíte být velkou firmou, aby se vás to týkalo. CNIL (autorita francouzská) považuje DPIA za povinnou, jakmile zpracování splňuje alespoň dvě z těchto devíti situací: hodnocení nebo posuzování osob, automatizované rozhodování s reálným dopadem na ně, systematické sledování, sběr citlivých údajů (zdravotní, původ atd.), sběr ve velkém rozsahu, křížení více databází, zaměření na zranitelné osoby (zaměstnanci, pacienti, nezletilí...), použití nové technologie, nebo zbavení někoho práva či služby. Zdroj: CNIL →
Aby se předešlo hádání, CNIL (autorita francouzská) zveřejnila dva oficiální seznamy: seznam 14 typů zpracování, kde je DPIA povinná (zdravotní údaje, HR profilování, sledování zaměstnanců, geolokalizace ve velkém rozsahu...), a seznam 12 typů, kde není vyžadována (mzdy a personalistika u méně než 250 zaměstnanců mimo profilování, správa dodavatelů, pacientský spis izolovaného zdravotnického pracovníka...). Tyto seznamy nepokrývají všechny případy, ale už řeší mnoho běžných situací. Zdroj: seznam CNIL vyžadovaných zpracování →
RGPD (článek 35) nevyžaduje román, ale čtyři přesné bloky: popsat zpracování a jeho cíl, ověřit, že je skutečně nezbytné a přiměřené, posoudit rizika pro dotčené osoby, poté vyjmenovat plánovaná opatření na snížení těchto rizik. Na konci jasný závěr: je zpracování přijatelné, a za jakých podmínek. Zdroj: RGPD, článek 35 →
Pokud vaše organizace jmenovala pověřence pro ochranu osobních údajů, RGPD ukládá povinnost požádat ho o radu při provádění DPIA a pověřit ho ověřením, že analýza byla skutečně provedena. Je to pojistka, ne políčko k zaškrtnutí: pověřenec zůstává správným krokem před schválením závěru. Zdroj: RGPD, články 35 a 39 →
Pokud přes plánovaná opatření zpracování stále představuje vysoké riziko pro osoby, RGPD ukládá povinnost konzultovat CNIL (autorita francouzská) před zahájením. Ten má osm týdnů na vydání písemného stanoviska (prodloužitelné o šest týdnů, pokud je spis složitý). Uklidňující informace: tento případ zůstává výjimkou, ne pravidlem. Zdroj: RGPD, článek 36 →
CNIL (autorita francouzská) připomíná, že pokuty podle RGPD mohou dosáhnout až 10 milionů eur nebo 2 % celosvětového ročního obratu, podle toho, která částka je vyšší. Jde o zákonný strop, ne o nevyhnutelnost: dobře provedená DPIA je právě to, co umožňuje v případě kontroly prokázat, že otázka byla brána vážně. Zdroj: CNIL →
Evropský sbor pro ochranu osobních údajů (EDPB) předložil k veřejné konzultaci, od 14. dubna do 9. června 2026, návrh jednotného vzoru DPIA určeného k harmonizaci postupů mezi evropskými zeměmi. Konzultace je nyní uzavřena; sledujeme další vývoj tohoto návrhu, abychom o něm v pravý čas informovali naše klienty. Zdroj: EDPB →