GDPR kræver en konsekvensanalyse vedrørende databeskyttelse for enhver behandling, der kan indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. SYAGA DPIA-Express strukturerer og dokumenterer jeres DPIA efter metoden i artikel 35 og EDPB's retningslinjer, uden improvisation og uden jargon.
Fastlæg om jeres behandling skal underkastes en DPIA, og gennemfør den derefter efter reglerne
Enhver behandling, der kan indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal underkastes en konsekvensanalyse vedrørende databeskyttelse inden ibrugtagning (GDPR, art. 35).
EDPB (tidl. Artikel 29-gruppen, retningslinjer WP248 rev.01) har fastlagt 9 kriterier for høj risiko. Så snart en behandling opfylder mindst to af disse kriterier, skal der i princippet gennemføres en DPIA: ét fejlagtigt identificeret element, og dokumentationen er ufuldstændig.
CNIL (den franske tilsynsmyndighed) offentliggør lister over behandlinger, hvor DPIA er henholdsvis krævet eller ikke krævet. At fastslå præcis hvor jeres behandling hører til, kræver en grundig gennemgang, ikke et generelt indtryk.
At gennemføre en DPIA for hurtigt udsætter jer for ufuldstændighed over for en tilsynsmyndighed; ikke at gennemføre den, når den er påkrævet, udsætter organisationen for en overtrædelse af artikel 35. CNIL-metoden strukturerer dette valg og dokumenterer det.
Strukturen pålagt af GDPR-artikel 35.7, anvendt på jeres behandling, med en begrundet konklusion for hvert trin
Analyse mod de 3 tilfælde i artikel 35.3, EDPB's 9-kriterier-skema (WP248 rev.01) og CNIL's lister over krævede eller ikke-krævede behandlinger. Begrundet konklusion, uanset om DPIA'en i sidste ende er obligatorisk eller ej.
Formål, kategorier af data og registrerede, modtagere, opbevaringsperioder: den fuldstændige kortlægning krævet af artikel 35.7.a, i overensstemmelse med jeres register over behandlingsaktiviteter (art. 30).
Kontrol af, at hver indsamlet oplysning er nødvendig for det tilstræbte formål, at hjemlen (art. 6) er identificeret for hver behandling, og at princippet om dataminimering (art. 5.1.c) overholdes.
For hver identificeret risiko: alvor, sandsynlighed, allerede eksisterende foranstaltninger, restrisiko, præsenteret i en tabel der kan anvendes direkte af jeres ledelse eller DPO.
Påtænkte tekniske og organisatoriske foranstaltninger (art. 32), begrundet konklusion og dokumenteret begrundelse i medfør af ansvarlighedsprincippet (art. 5.2), klar til brug ved en eventuel CNIL-kontrol.
Et struktureret, kildebelagt dokument, der ærligt angiver hvad der stadig skal valideres af jeres jurist eller DPO
Det komplette dokument efter artikel 35.7 (a til d), med en begrundet konklusion.
Den forudgående analyse, der afgør om jeres behandling er omfattet af forpligtelsen.
DPIA'en bygger på samme grundlag som jeres register over behandlingsaktiviteter.
Hvert usikkerhedspunkt angives eksplicit, aldrig afgjort på jeres vegne.
Hvert juridisk udsagn er kildebelagt, ikke gengivet fra hukommelsen.
Leveres i et redigerbart format, der kan genbruges af jeres DPO eller jurist.
En metode der bygger på tekster og myndigheder, ikke på hjemmelavede fortolkninger
Konsekvensanalyse vedrørende databeskyttelse. Konsolideret tekst i forordning (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
EDPB's (tidl. Artikel 29-gruppens) 9 kriterier for høj risiko, anvendt af CNIL som referencemetode til at fastslå DPIA-forpligtelsen.
Lister over behandlinger, hvor DPIA er henholdsvis krævet eller ikke krævet, samt CNIL's metode til at gennemføre en konsekvensanalyse.
Register over behandlingsaktiviteter: det sammenhængsgrundlag (formål, data, perioder), som enhver DPIA bygger på.
Omfanget afhænger af antallet af behandlinger, deres kompleksitet og hvad der allerede er dokumenteret hos jer. Tilbud udarbejdes efter en indledende drøftelse.
I ved ikke om jeres behandling er omfattet
Behandling identificeret med høj risiko
Flere risikobehandlinger der skal dækkes
En DPIA er aldrig statisk
Artikel 35.11 i GDPR kræver, at analysen genbesøges ved en væsentlig ændring af behandlingen (ny databehandler, ændret hosting, udvidelse af omfanget af indsamlingen). Et tilbud på genbesøg udarbejdes fra sag til sag.
Beskriv jeres behandling for os, så vender vi tilbage med et skræddersyet tilbud.
Hvad teksten reelt siger, fordøjet i klart sprog. Hvert punkt bevarer sit link til det officielle dokument.
En DPIA er simpelthen et vurderingsarbejde: man ser på de risici, en databehandling udgør for de registrerede, inden den sættes i gang. CNIL (den franske tilsynsmyndighed) definerer den som "en formel proces, der gør det muligt at vurdere risiciene forbundet med behandling af personoplysninger". Det er ikke endnu en administrativ formalitet, det er et sund fornuft-værktøj, som GDPR gør obligatorisk i visse tilfælde. Kilde: CNIL →
Man behøver ikke være en stor virksomhed for at være omfattet. CNIL anser en DPIA for obligatorisk, så snart en behandling opfylder mindst to af disse ni situationer: at bedømme eller vurdere personer, at træffe en automatiseret afgørelse med reel virkning for dem, at overvåge dem systematisk, at indsamle følsomme data (sundhed, oprindelse osv.), at indsamle i stor målestok, at krydse flere databaser, at rette sig mod sårbare personer (ansatte, patienter, mindreårige...), at anvende en ny teknologi, eller at fratage nogen en rettighed eller en tjeneste. Kilde: CNIL →
For at undgå at gætte har CNIL offentliggjort to officielle lister: en liste med 14 typer behandlinger, hvor DPIA er obligatorisk (sundhedsdata, HR-profilering, overvågning af ansatte, geolokalisering i stor målestok...), og en liste med 12 typer, hvor den ikke er påkrævet (løn og personaleadministration under 250 ansatte uden profilering, leverandørstyring, patientjournal hos en enkeltstående sundhedsprofessionel...). Disse lister dækker ikke alle tilfælde, men de besvarer allerede mange almindelige situationer. Kilde: CNIL's liste over krævede behandlinger →
GDPR (artikel 35) kræver ikke en roman, men fire præcise byggesten: beskrive behandlingen og dens formål, kontrollere at den reelt er nødvendig og proportional, vurdere risiciene for de registrerede, og derefter opliste de planlagte foranstaltninger til at reducere disse risici. En klar konklusion til sidst: er behandlingen acceptabel, og på hvilke betingelser. Kilde: GDPR, artikel 35 →
Hvis jeres organisation har udpeget en databeskyttelsesrådgiver (DPO), kræver GDPR, at man beder om dennes rådgivning i forbindelse med gennemførelsen af DPIA'en, og at man pålægger vedkommende at kontrollere, at analysen faktisk er gennemført. Det er en sikkerhedsforanstaltning, ikke en afkrydsningsboks: DPO'en forbliver det rette referencepunkt inden en konklusion valideres. Kilde: GDPR, artikel 35 og 39 →
Hvis behandlingen, trods de planlagte foranstaltninger, stadig udgør en høj risiko for de registrerede, kræver GDPR, at man konsulterer CNIL, før man går i gang. Myndigheden har herefter otte uger til at afgive sin skriftlige udtalelse (kan forlænges med seks uger, hvis sagen er kompleks). Beroligende at vide: dette tilfælde forbliver undtagelsen, ikke reglen. Kilde: GDPR, artikel 36 →
CNIL påpeger, at GDPR-bøder kan nå op til 10 millioner euro eller 2% af den globale årlige omsætning, alt efter hvad der er højest. Det er et lovmæssigt loft, ikke en uundgåelighed: en veludført DPIA er netop det, der gør det muligt at vise, ved en kontrol, at spørgsmålet er blevet taget alvorligt. Kilde: CNIL →
Det Europæiske Databeskyttelsesråd (EDPB) satte fra 14. april til 9. juni 2026 en offentlig høring i gang om et udkast til en fælles DPIA-skabelon, der skal harmonisere praksis mellem europæiske lande. Høringen er nu afsluttet; vi følger den videre udvikling af dette projekt for at informere vores kunder, når tiden er inde. Kilde: EDPB →