RGPD - ČLÁNEK 35 - POSOUZENÍ VLIVU (DPIA)

Vaše DPIA v souladu
s metodou CNIL

RGPD ukládá posouzení vlivu na ochranu osobních údajů pro každé zpracování, které může představovat vysoké riziko pro práva a svobody osob. SYAGA DPIA-Express strukturuje a dokumentuje vaše DPIA podle metodiky článku 35 a pokynů EDPB, bez improvizace a bez žargonu.

35
Článek RGPD (DPIA)
9
Kritérií EDPB (WP248 rev.01)
3
Případy povinnosti (čl. 35.3)
4
Části metody (čl. 35.7 a-d)

Povinnost

Určit, zda vaše zpracování musí podléhat DPIA, a poté ji provést podle pravidel

Článek 35 RGPD ukládá povinnost DPIA

Každé zpracování, které může představovat vysoké riziko pro práva a svobody fyzických osob, musí před svým zavedením podléhat posouzení vlivu na ochranu osobních údajů (RGPD, čl. 35).

📋

Pravidlo CNIL „2 kritéria z 9“

EDPB (autorita francouzská CNIL vychází z bývalé WP29, pokyny WP248 rev.01) definoval 9 kritérií vysokého rizika. Jakmile zpracování splňuje alespoň dvě z těchto kritérií, musí být v zásadě provedeno DPIA: jedna špatně identifikovaná položka a spis je neúplný.

🔍

Seznamy CNIL k porovnání článek po článku

CNIL (autorita francouzská) zveřejňuje seznamy zpracování, pro která je DPIA vyžadována nebo naopak nikoli vyžadována. Určit, kam přesně vaše zpracování patří, vyžaduje pečlivé čtení, nikoli obecný dojem.

Bez metody je riziko dvojí

Provést DPIA příliš rychle vystavuje riziku neúplnosti před dozorovým úřadem; neprovést ji, když je vyžadována, vystavuje organizaci porušení článku 35. Metoda CNIL tuto volbu strukturuje a dokumentuje.

Metoda: DPIA-Express

Struktura uložená článkem 35.7 RGPD, aplikovaná na vaše zpracování, s odůvodněným závěrem v každé fázi

1
Určení povinnosti

Podléhá vaše zpracování skutečně DPIA?

Analýza podle 3 případů článku 35.3, matice 9 kritérií EDPB (WP248 rev.01) a seznamů CNIL vyžadovaných nebo nevyžadovaných zpracování. Odůvodněný závěr, ať už je DPIA nakonec povinná, nebo ne.

2
Čl. 35.7.a

Systematický popis zpracování

Účely, kategorie dotčených údajů a osob, příjemci, doby uchovávání: kompletní mapování požadované článkem 35.7.a, v souladu s vaším záznamem o činnostech zpracování (čl. 30).

3
Čl. 35.7.b

Nezbytnost a přiměřenost

Ověření, že každý shromážděný údaj je nezbytný pro sledovaný účel, že je pro každé zpracování určen právní základ (čl. 6) a že je dodržena zásada minimalizace (čl. 5.1.c).

4
Čl. 35.7.c

Posouzení rizik pro osoby

Pro každé identifikované riziko: závažnost, pravděpodobnost, již zavedená opatření, zbytkové riziko, prezentováno formou tabulky použitelné vaším vedením nebo vaším pověřencem pro ochranu osobních údajů.

5
Čl. 35.7.d a 5.2

Opatření a zdokumentovaný závěr

Zamýšlená technická a organizační opatření (čl. 32), odůvodněný závěr a zdokumentované odůvodnění na základě zásady odpovědnosti (čl. 5.2), použitelné v případě kontroly ze strany CNIL (autorita francouzská).

Co obdržíte

Strukturovaný, sourcovaný dokument, upřímný ohledně toho, co ještě zbývá ověřit vaším právníkem nebo pověřencem pro ochranu osobních údajů

📝

Strukturovaná zpráva DPIA

Kompletní dokument podle článku 35.7 (a až d), s odůvodněným závěrem.

  • Systematický popis zpracování
  • Analýza nezbytnosti a přiměřenosti
  • Tabulka rizik (závažnost/pravděpodobnost/opatření)
  • Zdokumentovaný závěr a odůvodnění (čl. 5.2)

Matice pro určení povinnosti

Předběžná analýza, která rozhodne, zda vaše zpracování spadá do oblasti povinnosti.

  • 3 případy článku 35.3
  • 9 kritérií EDPB (WP248 rev.01)
  • Porovnání se seznamy CNIL
  • Odůvodněný a sourcovaný závěr
📁

Soulad se záznamem podle čl. 30

DPIA se opírá o stejný základ jako váš záznam o činnostech zpracování.

  • Účely a právní základy
  • Kategorie údajů a osob
  • Příjemci a zpracovatelé
  • Doby uchovávání podle kategorie
🚩

Body k ověření vaším právníkem/pověřencem

Každý sporný bod je výslovně označen, nikdy nerozhodnut za vás.

  • Kvalifikace správce / zpracovatele
  • Právní základy podle účelu
  • Identifikované přenosy mimo EU
  • Jmenování pověřence pro ochranu osobních údajů (čl. 37), v příslušných případech
🔗

Zdroje a sledovatelnost

Každé právní tvrzení je sourcováno, ne uváděno z paměti.

  • Konsolidovaný text RGPD (CELEX 32016R0679)
  • Stránky a seznamy CNIL (DPIA, záznam)
  • Pokyny EDPB (WP248 rev.01)
  • Ověřitelné URL uvedené v dokumentu
📄

Editovatelný dokument

Předán v editovatelném formátu, znovu použitelném vaším pověřencem nebo právníkem.

  • Struktura v souladu s článkem 35.7
  • Znovu použitelný pro vaše budoucí zpracování
  • Připraven k doplnění před závěrečným schválením
  • Žádná pevně daná úprava formátování

Použité reference

Metoda opírající se o texty a úřady, nikoli o vlastní výklady

35

RGPD - Článek 35

Posouzení vlivu na ochranu osobních údajů. Konsolidovaný text Nařízení (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Pokyny WP248 rev.01

9 kritérií vysokého rizika EDPB (dříve WP29), převzatých CNIL (autorita francouzská) jako referenční metoda pro určení povinnosti DPIA.

CNIL

Seznamy a metoda CNIL

Seznamy zpracování, pro která je DPIA vyžadována nebo nevyžadována (autorita francouzská), a metoda CNIL pro provádění posouzení vlivu.

30

RGPD - Článek 30

Záznam o činnostech zpracování: základ soudržnosti (účely, údaje, doby), o který se opírá každá DPIA.

DPIA na míru, bez skrytých cen

Rozsah závisí na počtu zpracování, jejich složitosti a na tom, co je u vás již zdokumentováno. Nabídka je vypracována po úvodní konzultaci.

Určení povinnosti

Nevíte, zda se vás vaše zpracování týká

Na nabídku
podle počtu zpracování k analýze
  • Matice 9 kritérií EDPB
  • Porovnání s článkem 35.3
  • Ověření seznamů CNIL
  • Odůvodněný a sourcovaný závěr
Vyžádat nabídku

Víceletý program

Několik rizikových zpracování k pokrytí

Na nabídku
podle počtu zpracování a frekvence přezkumu
  • Vše z Kompletní DPIA +
  • Společný metodický rámec
  • Pravidelný přezkum (čl. 35.11)
  • Zachovaný soulad se záznamem (čl. 30)
Vyžádat nabídku

DPIA nikdy není definitivně uzavřená

Článek 35.11 RGPD ukládá povinnost přezkoumat analýzu v případě významné změny zpracování (nový zpracovatel, změna hostingu, rozšíření rozsahu sběru). Nabídka na přezkum je vypracována případ od případu.

Časté dotazy

Podléhá mé zpracování skutečně povinnosti DPIA?
To závisí na třech metodicky ověřených prvcích: 3 případy článku 35.3 RGPD, matice 9 kritérií EDPB (pokyny WP248 rev.01, převzaté CNIL, autorita francouzská: jakmile je splněno 2 kritéria z 9, musí být v zásadě provedena DPIA) a seznamy CNIL vyžadovaných nebo nevyžadovaných zpracování. Dodaný dokument tuto otázku rozhoduje a odůvodňuje ji, bod po bodu.
Co přesně obsahuje dodaný dokument?
Dokument strukturovaný podle článku 35.7 RGPD: systematický popis zpracování (a), analýza nezbytnosti a přiměřenosti (b), posouzení rizik pro dotčené osoby (c), zamýšlená technická a organizační opatření (d), poté odůvodněný závěr. Každý právní odkaz je sourcován (konsolidovaný text RGPD, CNIL, EDPB).
Co když mé zpracování nakonec nepodléhá povinnosti DPIA?
Dokument je zachován dobrovolně a jako dokumentace: tvoří odůvodnění vašeho rozhodnutí neprovádět formální DPIA, na základě zásady odpovědnosti (čl. 5.2 RGPD), použitelné v případě kontroly ze strany CNIL (autorita francouzská).
Nahrazuje tento dokument stanovisko mého právníka nebo pověřence?
Ne. DPIA-Express je metodický podpůrný nástroj, který strukturuje a dokumentuje analýzu; nepředstavuje právní stanovisko. Každý dodaný dokument výslovně uvádí body, které ještě zbývá ověřit vaším právníkem nebo pověřencem pro ochranu osobních údajů před jakýmkoli závazným použitím.
Kdo musí ve mé organizaci provést DPIA?
Za DPIA zůstává právně odpovědný správce zpracování; pověřenec pro ochranu osobních údajů, pokud existuje, musí být konzultován (čl. 35.2 RGPD). DPIA-Express připravuje podklady (popis, rizika, opatření), aby tato konzultace probíhala nad již strukturovaným spisem, a ne nad prázdnou stránkou.
Proč využít SYAGA místo řešení celé věci interně?
SYAGA Consulting existuje od roku 2009 a stejnou metodu uplatňuje na svá vlastní zpracování, včetně vlastního produktu auditu Microsoft 365, jehož analýza povinnosti DPIA se řídí přesně touto strukturou. Nedodáváme obecnou šablonu: každý dokument je sestaven zpracování po zpracování, článek po článku.

Připraveni zdokumentovat svou DPIA?

Popište nám vaše zpracování, ozveme se vám s individuální nabídkou.

Regulatorní monitoring - oficiální zdroje

Co text skutečně říká, stráveno jednoduchým jazykem. Každý bod si zachovává odkaz na oficiální dokument.

📋

Co je vlastně DPIA, jednoduše řečeno?

DPIA je jednoduše hodnotící práce: zkoumají se rizika, která zpracování dat představuje pro dotčené osoby, ještě před jeho zavedením. CNIL (autorita francouzská) ji definuje jako "formální proces umožňující posoudit rizika spojená se zpracováním osobních údajů". Není to další administrativní formalita, je to nástroj zdravého rozumu, který RGPD v určitých případech činí povinným. Zdroj: CNIL →

🎯

Koho se to skutečně týká: pravidlo „2 kritéria z 9“

Nemusíte být velkou firmou, aby se vás to týkalo. CNIL (autorita francouzská) považuje DPIA za povinnou, jakmile zpracování splňuje alespoň dvě z těchto devíti situací: hodnocení nebo posuzování osob, automatizované rozhodování s reálným dopadem na ně, systematické sledování, sběr citlivých údajů (zdravotní, původ atd.), sběr ve velkém rozsahu, křížení více databází, zaměření na zranitelné osoby (zaměstnanci, pacienti, nezletilí...), použití nové technologie, nebo zbavení někoho práva či služby. Zdroj: CNIL →

Dva seznamy CNIL, které často odpovídají za vás

Aby se předešlo hádání, CNIL (autorita francouzská) zveřejnila dva oficiální seznamy: seznam 14 typů zpracování, kde je DPIA povinná (zdravotní údaje, HR profilování, sledování zaměstnanců, geolokalizace ve velkém rozsahu...), a seznam 12 typů, kde není vyžadována (mzdy a personalistika u méně než 250 zaměstnanců mimo profilování, správa dodavatelů, pacientský spis izolovaného zdravotnického pracovníka...). Tyto seznamy nepokrývají všechny případy, ale už řeší mnoho běžných situací. Zdroj: seznam CNIL vyžadovaných zpracování →

🧩

Co musí analýza skutečně obsahovat

RGPD (článek 35) nevyžaduje román, ale čtyři přesné bloky: popsat zpracování a jeho cíl, ověřit, že je skutečně nezbytné a přiměřené, posoudit rizika pro dotčené osoby, poté vyjmenovat plánovaná opatření na snížení těchto rizik. Na konci jasný závěr: je zpracování přijatelné, a za jakých podmínek. Zdroj: RGPD, článek 35 →

👤

Role vašeho pověřence (pokud ho máte)

Pokud vaše organizace jmenovala pověřence pro ochranu osobních údajů, RGPD ukládá povinnost požádat ho o radu při provádění DPIA a pověřit ho ověřením, že analýza byla skutečně provedena. Je to pojistka, ne políčko k zaškrtnutí: pověřenec zůstává správným krokem před schválením závěru. Zdroj: RGPD, články 35 a 39 →

A co když riziko po analýze zůstává vysoké?

Pokud přes plánovaná opatření zpracování stále představuje vysoké riziko pro osoby, RGPD ukládá povinnost konzultovat CNIL (autorita francouzská) před zahájením. Ten má osm týdnů na vydání písemného stanoviska (prodloužitelné o šest týdnů, pokud je spis složitý). Uklidňující informace: tento případ zůstává výjimkou, ne pravidlem. Zdroj: RGPD, článek 36 →

💰

Sankce, bez dramatizace

CNIL (autorita francouzská) připomíná, že pokuty podle RGPD mohou dosáhnout až 10 milionů eur nebo 2 % celosvětového ročního obratu, podle toho, která částka je vyšší. Jde o zákonný strop, ne o nevyhnutelnost: dobře provedená DPIA je právě to, co umožňuje v případě kontroly prokázat, že otázka byla brána vážně. Zdroj: CNIL →

📢

Evropská aktualita, kterou je třeba sledovat

Evropský sbor pro ochranu osobních údajů (EDPB) předložil k veřejné konzultaci, od 14. dubna do 9. června 2026, návrh jednotného vzoru DPIA určeného k harmonizaci postupů mezi evropskými zeměmi. Konzultace je nyní uzavřena; sledujeme další vývoj tohoto návrhu, abychom o něm v pravý čas informovali naše klienty. Zdroj: EDPB →