GDPR - ARTIKEL 35 - KONSEKVENSANALYSE (DPIA)

Jeres DPIA i overensstemmelse
med CNIL-metoden

GDPR kræver en konsekvensanalyse vedrørende databeskyttelse for enhver behandling, der kan indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder. SYAGA DPIA-Express strukturerer og dokumenterer jeres DPIA efter metoden i artikel 35 og EDPB's retningslinjer, uden improvisation og uden jargon.

35
GDPR-artikel (DPIA)
9
EDPB-kriterier (WP248 rev.01)
3
Obligatoriske tilfælde (art. 35.3)
4
Metodetrin (art. 35.7 a-d)

Forpligtelsen

Fastlæg om jeres behandling skal underkastes en DPIA, og gennemfør den derefter efter reglerne

Artikel 35 i GDPR kræver en DPIA

Enhver behandling, der kan indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal underkastes en konsekvensanalyse vedrørende databeskyttelse inden ibrugtagning (GDPR, art. 35).

📋

CNIL's regel om "2 ud af 9 kriterier"

EDPB (tidl. Artikel 29-gruppen, retningslinjer WP248 rev.01) har fastlagt 9 kriterier for høj risiko. Så snart en behandling opfylder mindst to af disse kriterier, skal der i princippet gennemføres en DPIA: ét fejlagtigt identificeret element, og dokumentationen er ufuldstændig.

🔍

CNIL-lister der skal sammenholdes artikel for artikel

CNIL (den franske tilsynsmyndighed) offentliggør lister over behandlinger, hvor DPIA er henholdsvis krævet eller ikke krævet. At fastslå præcis hvor jeres behandling hører til, kræver en grundig gennemgang, ikke et generelt indtryk.

Uden metode er risikoen dobbelt

At gennemføre en DPIA for hurtigt udsætter jer for ufuldstændighed over for en tilsynsmyndighed; ikke at gennemføre den, når den er påkrævet, udsætter organisationen for en overtrædelse af artikel 35. CNIL-metoden strukturerer dette valg og dokumenterer det.

Metoden: DPIA-Express

Strukturen pålagt af GDPR-artikel 35.7, anvendt på jeres behandling, med en begrundet konklusion for hvert trin

1
Fastlæggelse af forpligtelsen

Er jeres behandling reelt underlagt DPIA-kravet?

Analyse mod de 3 tilfælde i artikel 35.3, EDPB's 9-kriterier-skema (WP248 rev.01) og CNIL's lister over krævede eller ikke-krævede behandlinger. Begrundet konklusion, uanset om DPIA'en i sidste ende er obligatorisk eller ej.

2
Art. 35.7.a

Systematisk beskrivelse af behandlingen

Formål, kategorier af data og registrerede, modtagere, opbevaringsperioder: den fuldstændige kortlægning krævet af artikel 35.7.a, i overensstemmelse med jeres register over behandlingsaktiviteter (art. 30).

3
Art. 35.7.b

Nødvendighed og proportionalitet

Kontrol af, at hver indsamlet oplysning er nødvendig for det tilstræbte formål, at hjemlen (art. 6) er identificeret for hver behandling, og at princippet om dataminimering (art. 5.1.c) overholdes.

4
Art. 35.7.c

Risikovurdering for de registrerede

For hver identificeret risiko: alvor, sandsynlighed, allerede eksisterende foranstaltninger, restrisiko, præsenteret i en tabel der kan anvendes direkte af jeres ledelse eller DPO.

5
Art. 35.7.d og 5.2

Foranstaltninger og dokumenteret konklusion

Påtænkte tekniske og organisatoriske foranstaltninger (art. 32), begrundet konklusion og dokumenteret begrundelse i medfør af ansvarlighedsprincippet (art. 5.2), klar til brug ved en eventuel CNIL-kontrol.

Det I modtager

Et struktureret, kildebelagt dokument, der ærligt angiver hvad der stadig skal valideres af jeres jurist eller DPO

📝

Struktureret DPIA-rapport

Det komplette dokument efter artikel 35.7 (a til d), med en begrundet konklusion.

  • Systematisk beskrivelse af behandlingen
  • Analyse af nødvendighed og proportionalitet
  • Risikotabel (alvor/sandsynlighed/foranstaltninger)
  • Dokumenteret konklusion og begrundelse (art. 5.2)

Vurderingsskema

Den forudgående analyse, der afgør om jeres behandling er omfattet af forpligtelsen.

  • De 3 tilfælde i artikel 35.3
  • EDPB's 9 kriterier (WP248 rev.01)
  • Sammenholdelse med CNIL's lister
  • Begrundet og kildebelagt konklusion
📁

Sammenhæng med register art. 30

DPIA'en bygger på samme grundlag som jeres register over behandlingsaktiviteter.

  • Formål og hjemmelsgrundlag
  • Kategorier af data og registrerede
  • Modtagere og databehandlere
  • Opbevaringsperioder pr. kategori
🚩

Punkter til validering af jeres jurist/DPO

Hvert usikkerhedspunkt angives eksplicit, aldrig afgjort på jeres vegne.

  • Kvalifikation dataansvarlig / databehandler
  • Hjemmelsgrundlag pr. formål
  • Identificerede overførsler uden for EU
  • Udpegning af en DPO (art. 37), hvis relevant
🔗

Kilder og sporbarhed

Hvert juridisk udsagn er kildebelagt, ikke gengivet fra hukommelsen.

  • Konsolideret GDPR-tekst (CELEX 32016R0679)
  • CNIL-sider og -lister (DPIA, register)
  • EDPB-retningslinjer (WP248 rev.01)
  • Verificerbare URL'er citeret i dokumentet
📄

Redigerbart dokument

Leveres i et redigerbart format, der kan genbruges af jeres DPO eller jurist.

  • Struktur i overensstemmelse med artikel 35.7
  • Genanvendelig til jeres fremtidige behandlinger
  • Klar til at blive suppleret før endelig validering
  • Ingen fastlåst formatering pålagt

Anvendte referencer

En metode der bygger på tekster og myndigheder, ikke på hjemmelavede fortolkninger

35

GDPR - Artikel 35

Konsekvensanalyse vedrørende databeskyttelse. Konsolideret tekst i forordning (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Retningslinjer WP248 rev.01

EDPB's (tidl. Artikel 29-gruppens) 9 kriterier for høj risiko, anvendt af CNIL som referencemetode til at fastslå DPIA-forpligtelsen.

CNIL

Lister og metode fra CNIL (fransk myndighed)

Lister over behandlinger, hvor DPIA er henholdsvis krævet eller ikke krævet, samt CNIL's metode til at gennemføre en konsekvensanalyse.

30

GDPR - Artikel 30

Register over behandlingsaktiviteter: det sammenhængsgrundlag (formål, data, perioder), som enhver DPIA bygger på.

En skræddersyet DPIA, uden skjulte priser

Omfanget afhænger af antallet af behandlinger, deres kompleksitet og hvad der allerede er dokumenteret hos jer. Tilbud udarbejdes efter en indledende drøftelse.

Vurdering af forpligtelse

I ved ikke om jeres behandling er omfattet

Efter tilbud
afhængigt af antallet af behandlinger der skal analyseres
  • EDPB's 9-kriterier-skema
  • Sammenholdelse med artikel 35.3
  • Kontrol mod CNIL's lister
  • Begrundet og kildebelagt konklusion
Bed om et tilbud

Flerårigt program

Flere risikobehandlinger der skal dækkes

Efter tilbud
afhængigt af antallet af behandlinger og genbesøgshyppigheden
  • Alt i Komplet DPIA +
  • Fælles metoderamme
  • Periodisk genbesøg (art. 35.11)
  • Fortsat sammenhæng med registeret (art. 30)
Bed om et tilbud

En DPIA er aldrig statisk

Artikel 35.11 i GDPR kræver, at analysen genbesøges ved en væsentlig ændring af behandlingen (ny databehandler, ændret hosting, udvidelse af omfanget af indsamlingen). Et tilbud på genbesøg udarbejdes fra sag til sag.

Ofte stillede spørgsmål

Er min behandling reelt omfattet af DPIA-forpligtelsen?
Det afhænger af tre elementer, der kontrolleres metodisk: de 3 tilfælde i artikel 35.3 i GDPR, EDPB's 9-kriterier-skema (retningslinjer WP248 rev.01, anvendt af CNIL: så snart 2 ud af 9 kriterier er opfyldt, skal der i princippet gennemføres en DPIA), og CNIL's lister over krævede eller ikke-krævede behandlinger. Det leverede dokument afgør dette spørgsmål og begrunder det punkt for punkt.
Hvad indeholder det leverede dokument præcist?
Et dokument struktureret efter artikel 35.7 i GDPR: systematisk beskrivelse af behandlingen (a), analyse af nødvendighed og proportionalitet (b), risikovurdering for de registrerede (c), påtænkte tekniske og organisatoriske foranstaltninger (d), samt en begrundet konklusion. Hver juridisk reference er kildebelagt (konsolideret GDPR-tekst, CNIL, EDPB).
Hvad hvis min behandling i sidste ende ikke er omfattet af DPIA-forpligtelsen?
Dokumentet opretholdes på frivillig og dokumentarisk basis: det udgør begrundelsen for jeres beslutning om ikke at gennemføre en formel DPIA, i medfør af ansvarlighedsprincippet (art. 5.2 i GDPR), klar til brug ved en eventuel CNIL-kontrol.
Erstatter dette dokument min advokats eller min DPO's vurdering?
Nej. DPIA-Express er et metodisk understøttelsesværktøj, der strukturerer og dokumenterer analysen; det udgør ikke juridisk rådgivning. Hvert leveret dokument angiver eksplicit de punkter, der stadig skal valideres af jeres jurist eller databeskyttelsesrådgiver, før det anvendes som gældende dokumentation.
Hvem skal gennemføre DPIA'en i min organisation?
Den dataansvarlige forbliver juridisk ansvarlig for DPIA'en; DPO'en, hvor en sådan findes, skal konsulteres (art. 35.2 i GDPR). DPIA-Express forbereder grundlaget (beskrivelse, risici, foranstaltninger), så denne konsultation sker på et allerede struktureret grundlag, ikke på et blankt ark.
Hvorfor bruge SYAGA frem for at gøre det helt internt?
SYAGA Consulting har eksisteret siden 2009 og anvender selv denne metode på sine egne behandlinger, herunder på sit eget Microsoft 365-revisionsprodukt, hvis DPIA-vurdering følger nøjagtig denne struktur. Vi leverer ikke en generisk skabelon: hvert dokument bygges behandling for behandling, artikel for artikel.

Klar til at dokumentere jeres DPIA?

Beskriv jeres behandling for os, så vender vi tilbage med et skræddersyet tilbud.

Regulatorisk overvågning - officielle kilder

Hvad teksten reelt siger, fordøjet i klart sprog. Hvert punkt bevarer sit link til det officielle dokument.

📋

Hvad er en DPIA, i klare ord?

En DPIA er simpelthen et vurderingsarbejde: man ser på de risici, en databehandling udgør for de registrerede, inden den sættes i gang. CNIL (den franske tilsynsmyndighed) definerer den som "en formel proces, der gør det muligt at vurdere risiciene forbundet med behandling af personoplysninger". Det er ikke endnu en administrativ formalitet, det er et sund fornuft-værktøj, som GDPR gør obligatorisk i visse tilfælde. Kilde: CNIL →

🎯

Hvem er reelt omfattet: reglen om "2 ud af 9 kriterier"

Man behøver ikke være en stor virksomhed for at være omfattet. CNIL anser en DPIA for obligatorisk, så snart en behandling opfylder mindst to af disse ni situationer: at bedømme eller vurdere personer, at træffe en automatiseret afgørelse med reel virkning for dem, at overvåge dem systematisk, at indsamle følsomme data (sundhed, oprindelse osv.), at indsamle i stor målestok, at krydse flere databaser, at rette sig mod sårbare personer (ansatte, patienter, mindreårige...), at anvende en ny teknologi, eller at fratage nogen en rettighed eller en tjeneste. Kilde: CNIL →

To CNIL-lister der ofte svarer på jeres vegne

For at undgå at gætte har CNIL offentliggjort to officielle lister: en liste med 14 typer behandlinger, hvor DPIA er obligatorisk (sundhedsdata, HR-profilering, overvågning af ansatte, geolokalisering i stor målestok...), og en liste med 12 typer, hvor den ikke er påkrævet (løn og personaleadministration under 250 ansatte uden profilering, leverandørstyring, patientjournal hos en enkeltstående sundhedsprofessionel...). Disse lister dækker ikke alle tilfælde, men de besvarer allerede mange almindelige situationer. Kilde: CNIL's liste over krævede behandlinger →

🧩

Hvad analysen reelt skal indeholde

GDPR (artikel 35) kræver ikke en roman, men fire præcise byggesten: beskrive behandlingen og dens formål, kontrollere at den reelt er nødvendig og proportional, vurdere risiciene for de registrerede, og derefter opliste de planlagte foranstaltninger til at reducere disse risici. En klar konklusion til sidst: er behandlingen acceptabel, og på hvilke betingelser. Kilde: GDPR, artikel 35 →

👤

Jeres DPO's rolle (hvis I har en)

Hvis jeres organisation har udpeget en databeskyttelsesrådgiver (DPO), kræver GDPR, at man beder om dennes rådgivning i forbindelse med gennemførelsen af DPIA'en, og at man pålægger vedkommende at kontrollere, at analysen faktisk er gennemført. Det er en sikkerhedsforanstaltning, ikke en afkrydsningsboks: DPO'en forbliver det rette referencepunkt inden en konklusion valideres. Kilde: GDPR, artikel 35 og 39 →

Hvad hvis risikoen forbliver høj efter analysen?

Hvis behandlingen, trods de planlagte foranstaltninger, stadig udgør en høj risiko for de registrerede, kræver GDPR, at man konsulterer CNIL, før man går i gang. Myndigheden har herefter otte uger til at afgive sin skriftlige udtalelse (kan forlænges med seks uger, hvis sagen er kompleks). Beroligende at vide: dette tilfælde forbliver undtagelsen, ikke reglen. Kilde: GDPR, artikel 36 →

💰

Sanktionerne, uden overdrivelse

CNIL påpeger, at GDPR-bøder kan nå op til 10 millioner euro eller 2% af den globale årlige omsætning, alt efter hvad der er højest. Det er et lovmæssigt loft, ikke en uundgåelighed: en veludført DPIA er netop det, der gør det muligt at vise, ved en kontrol, at spørgsmålet er blevet taget alvorligt. Kilde: CNIL →

📢

En europæisk nyhed at følge

Det Europæiske Databeskyttelsesråd (EDPB) satte fra 14. april til 9. juni 2026 en offentlig høring i gang om et udkast til en fælles DPIA-skabelon, der skal harmonisere praksis mellem europæiske lande. Høringen er nu afsluttet; vi følger den videre udvikling af dette projekt for at informere vores kunder, når tiden er inde. Kilde: EDPB →