GDPR - ARTIKLA 35 - TIETOSUOJAA KOSKEVA VAIKUTUSTENARVIOINTI (DPIA)

Vaikutustenarviointinne
CNIL-menetelmän mukaisesti

GDPR edellyttää tietosuojaa koskevan vaikutustenarvioinnin tekemistä kaikille käsittelytoimille, jotka voivat aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. SYAGA DPIA-Express jäsentää ja dokumentoi vaikutustenarviointinne artiklan 35 menetelmän ja EDPB:n ohjeiden mukaisesti, ilman improvisointia ja ilman ammattislangia.

35
GDPR-artikla (DPIA)
9
EDPB:n kriteeriä (WP248 rev.01)
3
Velvoitetapausta (art. 35.3)
4
Menetelmän osiota (art. 35.7 a-d)

Velvoite

Selvittäkää, edellyttääkö käsittelytoimenne vaikutustenarviointia, ja toteuttakaa se sitten sääntöjen mukaisesti

GDPR:n artikla 35 edellyttää DPIA:ta

Jokainen käsittelytoimi, joka voi aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, on arvioitava tietosuojaa koskevalla vaikutustenarvioinnilla ennen käyttöönottoa (GDPR, art. 35).

📋

CNILin sääntö "2 kriteeriä 9:stä"

EDPB (entinen 29 artiklan työryhmä, ohjeet WP248 rev.01) on määritellyt 9 korkean riskin kriteeriä. Heti kun käsittelytoimi täyttää vähintään kaksi näistä kriteereistä, DPIA on periaatteessa tehtävä: yksikin väärin tunnistettu tekijä, ja dossieri on puutteellinen.

🔍

CNILin listat, jotka on verrattava artikla kerrallaan

CNIL julkaisee listoja käsittelytoimista, joille DPIA on vaadittu tai ei vaadittu. Sen tarkka määrittäminen, mihin käsittelytoimenne sijoittuu, edellyttää huolellista lukemista, ei yleisvaikutelmaa.

Ilman menetelmää riski on kaksinkertainen

DPIA:n tekeminen liian nopeasti altistaa puutteellisuudelle valvontaviranomaisen edessä; sen tekemättä jättäminen silloin kun se on vaadittu, altistaa organisaation artiklan 35 rikkomiselle. CNIL-menetelmä jäsentää tämän valinnan ja dokumentoi sen.

Menetelmä: DPIA-Express

GDPR:n artiklan 35.7 edellyttämä rakenne, sovellettuna käsittelytoimeenne, perusteltuine johtopäätöksineen jokaisessa vaiheessa

1
Velvoitteen määrittäminen

Koskeeko DPIA-velvoite todella käsittelytoimeanne?

Analyysi artiklan 35.3 kolmea tapausta, EDPB:n 9 kriteerin ruudukkoa (WP248 rev.01) ja CNILin vaadittujen tai ei-vaadittujen käsittelytoimien listoja vasten. Perusteltu johtopäätös riippumatta siitä, onko DPIA lopulta pakollinen vai ei.

2
Art. 35.7.a

Käsittelytoimen systemaattinen kuvaus

Käyttötarkoitukset, tieto- ja henkilöryhmät, vastaanottajat, säilytysajat: artiklan 35.7.a edellyttämä täydellinen kartoitus, joka on yhdenmukainen käsittelytoimien selosteenne (art. 30) kanssa.

3
Art. 35.7.b

Tarpeellisuus ja oikeasuhtaisuus

Varmistetaan, että jokainen kerätty tieto on tarpeellinen tavoiteltuun käyttötarkoitukseen nähden, että oikeusperuste (art. 6) on tunnistettu jokaiselle käsittelytoimelle ja että minimoinnin periaatetta (art. 5.1.c) noudatetaan.

4
Art. 35.7.c

Riskien arviointi henkilöille

Jokaiselle tunnistetulle riskille: vakavuus, todennäköisyys, jo käytössä olevat toimenpiteet, jäännösriski, esitettynä taulukkona, jota johtonne tai tietosuojavastaavanne voi hyödyntää.

5
Art. 35.7.d ja 5.2

Toimenpiteet ja dokumentoitu johtopäätös

Suunnitellut tekniset ja organisatoriset toimenpiteet (art. 32), perusteltu johtopäätös ja dokumentoitu perustelu osoitusvelvollisuuden (art. 5.2) nojalla, käytettävissä CNILin valvontatarkastuksen yhteydessä.

Mitä saatte

Jäsennelty, lähteillä varustettu asiakirja, joka on rehellinen siitä, mitä juristinne tai tietosuojavastaavanne on vielä vahvistettava

📝

Jäsennelty DPIA-raportti

Täydellinen asiakirja artiklan 35.7 (a-d) mukaisesti, perustellulla johtopäätöksellä.

  • Käsittelytoimen systemaattinen kuvaus
  • Tarpeellisuuden ja oikeasuhtaisuuden analyysi
  • Riskitaulukko (vakavuus/todennäköisyys/toimenpiteet)
  • Johtopäätös ja dokumentoitu perustelu (art. 5.2)

Määrittelyruudukko

Alustava analyysi, joka ratkaisee kuuluuko käsittelytoimenne velvoitteen piiriin.

  • Artiklan 35.3 kolme tapausta
  • EDPB:n 9 kriteeriä (WP248 rev.01)
  • Vertailu CNILin listoihin
  • Perusteltu ja lähteillä varustettu johtopäätös
📁

Yhdenmukaisuus art. 30 -selosteen kanssa

DPIA perustuu samaan pohjaan kuin käsittelytoimien selosteenne.

  • Käyttötarkoitukset ja oikeusperusteet
  • Tieto- ja henkilöryhmät
  • Vastaanottajat ja alihankkijat
  • Säilytysajat ryhmittäin
🚩

Juristinne/tietosuojavastaavanne vahvistettavat kohdat

Jokainen epävarmuuskohta ilmoitetaan selkeästi, sitä ei koskaan ratkaista puolestanne.

  • Rekisterinpitäjän / henkilötietojen käsittelijän määrittely
  • Oikeusperusteet käyttötarkoituksittain
  • Tunnistetut siirrot EU:n ulkopuolelle
  • Tietosuojavastaavan nimeäminen (art. 37), tarvittaessa
🔗

Lähteet ja jäljitettävyys

Jokainen oikeudellinen väite on lähteillä varustettu, ei muistinvaraisesti esitetty.

  • GDPR:n konsolidoitu teksti (CELEX 32016R0679)
  • CNILin sivut ja listat (DPIA, seloste)
  • EDPB:n ohjeet (WP248 rev.01)
  • Asiakirjassa mainitut tarkistettavat URL-osoitteet
📄

Muokattava asiakirja

Luovutetaan muokattavassa muodossa, tietosuojavastaavanne tai juristinne uudelleenkäytettäväksi.

  • Artiklan 35.7 mukainen rakenne
  • Uudelleenkäytettävissä tuleviin käsittelytoimiinne
  • Valmis täydennettäväksi ennen lopullista vahvistusta
  • Ei kiinteää pakotettua muotoilua

Käytetyt lähteet

Menetelmä, joka perustuu teksteihin ja viranomaisiin, ei omiin tulkintoihin

35

GDPR - Artikla 35

Tietosuojaa koskeva vaikutustenarviointi. Asetuksen (EU) 2016/679 konsolidoitu teksti (EUR-Lex, CELEX 32016R0679).

EDPB

Ohjeet WP248 rev.01

EDPB:n (entinen 29 artiklan työryhmä) 9 korkean riskin kriteeriä, jotka CNIL on omaksunut viitemenetelmäksi DPIA-velvoitteen määrittämiseen.

CNIL

CNILin listat ja menetelmä

Listat käsittelytoimista, joille DPIA on vaadittu tai ei vaadittu, sekä CNILin menetelmä vaikutustenarvioinnin toteuttamiseen. CNIL on Ranskan tietosuojaviranomainen.

30

GDPR - Artikla 30

Käsittelytoimien seloste: yhdenmukaisuuden perusta (käyttötarkoitukset, tiedot, säilytysajat), johon jokainen DPIA nojautuu.

Räätälöity DPIA, ei piilohintoja

Laajuus riippuu käsittelytoimien määrästä, niiden monimutkaisuudesta ja siitä, mitä teillä on jo dokumentoitu. Tarjous laaditaan ensimmäisen keskustelun jälkeen.

Velvoitteen määrittäminen

Ette tiedä, koskeeko velvoite käsittelytoimeanne

Tarjouksesta
analysoitavien käsittelytoimien määrän mukaan
  • EDPB:n 9 kriteerin ruudukko
  • Vertailu artiklaan 35.3
  • CNILin listojen tarkistus
  • Perusteltu ja lähteillä varustettu johtopäätös
Pyydä tarjous

Monivuotinen ohjelma

Useita riskillisiä käsittelytoimia katettavana

Tarjouksesta
käsittelytoimien määrän ja uudelleentarkastelutahdin mukaan
  • Kaikki Täydellisestä DPIA:sta +
  • Yhteinen menetelmällinen viitekehys
  • Säännöllinen uudelleentarkastelu (art. 35.11)
  • Yhdenmukaisuus säilytetty selosteen kanssa (art. 30)
Pyydä tarjous

DPIA ei ole koskaan lopullinen

GDPR:n artikla 35.11 edellyttää analyysin uudelleentarkastelua, jos käsittelytoimessa tapahtuu merkittävä muutos (uusi alihankkija, hosting-muutos, keräyslaajuuden laajentuminen). Uudelleentarkastelun tarjous laaditaan tapauskohtaisesti.

Usein kysytyt kysymykset

Koskeeko DPIA-velvoite todella käsittelytoimeani?
Se riippuu kolmesta menetelmällisesti tarkistetusta seikasta: GDPR:n artiklan 35.3 kolme tapausta, EDPB:n 9 kriteerin ruudukko (ohjeet WP248 rev.01, jotka CNIL on omaksunut: heti kun 2 kriteeriä 9:stä täyttyy, DPIA on periaatteessa tehtävä), sekä CNILin vaadittujen tai ei-vaadittujen käsittelytoimien listat. Toimitettava asiakirja ratkaisee tämän kysymyksen ja perustelee sen kohta kohdalta.
Mitä toimitettava asiakirja tarkalleen sisältää?
GDPR:n artiklan 35.7 mukaisesti jäsennelty asiakirja: käsittelytoimen systemaattinen kuvaus (a), tarpeellisuuden ja oikeasuhtaisuuden analyysi (b), riskien arviointi rekisteröidyille (c), suunnitellut tekniset ja organisatoriset toimenpiteet (d), ja lopuksi perusteltu johtopäätös. Jokainen oikeudellinen viittaus on lähteillä varustettu (GDPR:n konsolidoitu teksti, CNIL, EDPB).
Entä jos käsittelytoimeni ei lopulta olekaan DPIA-velvoitteen alainen?
Asiakirja säilytetään vapaaehtoisena ja dokumentaarisena: se on perustelu päätöksellenne olla tekemättä muodollista DPIA:ta osoitusvelvollisuuden periaatteen nojalla (GDPR:n art. 5.2), käytettävissä CNILin valvontatarkastuksen yhteydessä.
Korvaako tämä asiakirja juristini tai tietosuojavastaavani lausunnon?
Ei. DPIA-Express on menetelmällinen tukityökalu, joka jäsentää ja dokumentoi analyysin; se ei ole oikeudellinen lausunto. Jokainen toimitettu asiakirja listaa selkeästi kohdat, jotka juristinne tai tietosuojavastaavanne on vielä vahvistettava ennen sitovaa käyttöä.
Kenen organisaatiossani tulee toteuttaa DPIA?
Rekisterinpitäjä on juridisesti vastuussa DPIA:sta; tietosuojavastaavaa, jos sellainen on nimetty, on kuultava (GDPR:n art. 35.2). DPIA-Express valmistelee aineiston (kuvaus, riskit, toimenpiteet), jotta tämä kuuleminen tapahtuu jo jäsennellyn dossierin pohjalta, ei tyhjältä sivulta.
Miksi käyttää SYAGAa sen sijaan, että tekisitte sen kokonaan itse?
SYAGA Consulting on toiminut vuodesta 2009 ja soveltaa samaa menetelmää omiin käsittelytoimiinsa, mukaan lukien omaan Microsoft 365 -auditointituotteeseensa, jonka DPIA-velvoitteen analyysi noudattaa juuri tätä rakennetta. Emme toimita geneeristä mallipohjaa: jokainen asiakirja rakennetaan käsittelytoimi kerrallaan, artikla kerrallaan.

Valmiina dokumentoimaan DPIA:nne?

Kuvatkaa meille käsittelytoimenne, palaamme luoksenne räätälöidyllä tarjouksella.

Sääntelyseuranta - viralliset lähteet

Mitä teksti todella sanoo, tiivistettynä selkokielelle. Jokainen kohta säilyttää linkkinsä viralliseen asiakirjaan.

📋

Mikä DPIA on, selkeästi sanottuna?

DPIA on yksinkertaisesti arviointityö: tarkastellaan riskejä, joita tietojenkäsittely aiheuttaa henkilöille, ennen sen käyttöönottoa. CNIL määrittelee sen "muodolliseksi prosessiksi, jolla arvioidaan henkilötietojen käsittelyyn liittyviä riskejä". Se ei ole ylimääräinen hallinnollinen muodollisuus, vaan tervettä järkeä edustava työkalu, jonka GDPR tekee pakolliseksi tietyissä tapauksissa. Lähde: CNIL →

🎯

Ketä se todella koskee: sääntö "2 kriteeriä 9:stä"

Ei tarvitse olla suuri yritys tullakseen koskettamaksi. CNIL katsoo, että DPIA on pakollinen heti kun käsittelytoimi täyttää vähintään kaksi näistä yhdeksästä tilanteesta: henkilöiden arviointi tai pisteytys, automatisoitu päätös jolla on todellinen vaikutus heihin, systemaattinen valvonta, arkaluonteisten tietojen kerääminen (terveys, alkuperä jne.), laajamittainen kerääminen, useiden tietokantojen yhdistäminen, haavoittuvien henkilöiden kohdentaminen (työntekijät, potilaat, alaikäiset...), uuden teknologian käyttö, tai jonkun oikeuden tai palvelun epääminen. Lähde: CNIL →

Kaksi CNILin listaa, jotka usein vastaavat puolestanne

Arvailun välttämiseksi CNIL on julkaissut kaksi virallista listaa: listan 14 käsittelytoimen tyypistä, joille DPIA on pakollinen (terveystiedot, HR-profilointi, työntekijöiden valvonta, laajamittainen paikannus...), ja listan 12 tyypistä, joissa sitä ei vaadita (alle 250 työntekijän palkanlaskenta ja henkilöstöhallinto ilman profilointia, toimittajahallinta, yksittäisen terveydenhuollon ammattilaisen potilastiedosto...). Nämä listat eivät kata kaikkia tapauksia, mutta ne vastaavat jo moniin yleisiin tilanteisiin. Lähde: CNILin lista vaadituista käsittelytoimista →

🧩

Mitä analyysin todella tulee sisältää

GDPR (artikla 35) ei vaadi romaania, vaan neljä täsmällistä osaa: kuvaus käsittelytoimesta ja sen tavoitteesta, tarkistus siitä että se on todella tarpeellinen ja oikeasuhtainen, riskien arviointi rekisteröidyille, ja lopuksi näiden riskien vähentämiseksi suunniteltujen toimenpiteiden listaus. Lopuksi selkeä johtopäätös: onko käsittelytoimi hyväksyttävä, ja millä ehdoilla. Lähde: GDPR, artikla 35 →

👤

Tietosuojavastaavanne rooli (jos teillä on sellainen)

Jos organisaationne on nimennyt tietosuojavastaavan, GDPR edellyttää häneltä neuvon pyytämistä DPIA:n toteuttamisen yhteydessä ja hänen valtuuttamistaan tarkistamaan, että analyysi on todella tehty. Tämä on suojamekanismi, ei rasti ruutuun: tietosuojavastaava on oikea taho kuultavaksi ennen johtopäätöksen vahvistamista. Lähde: GDPR, artiklat 35 ja 39 →

Entä jos riski pysyy korkeana analyysin jälkeen?

Jos käsittelytoimi suunnitelluista toimenpiteistä huolimatta yhä aiheuttaa korkean riskin henkilöille, GDPR edellyttää CNILin kuulemista ennen käynnistämistä. Sillä on tällöin kahdeksan viikkoa aikaa antaa kirjallinen lausuntonsa (voidaan pidentää kuudella viikolla, jos dossieri on monimutkainen). Rauhoittavaa tietää: tämä tapaus on poikkeus, ei sääntö. Lähde: GDPR, artikla 36 →

💰

Seuraamukset ilman dramatisointia

CNIL muistuttaa, että GDPR-sakot voivat nousta jopa 10 miljoonaan euroon tai 2 %:iin maailmanlaajuisesta vuosiliikevaihdosta, sen mukaan kumpi on suurempi. Tämä on lakisääteinen enimmäismäärä, ei väistämättömyys: hyvin tehty DPIA on juuri se, mikä mahdollistaa osoittamisen valvontatarkastuksen yhteydessä, että asia on otettu vakavasti. Lähde: CNIL →

📢

Eurooppalaista ajankohtaisuutta seurattavaksi

Euroopan tietosuojaneuvosto (EDPB) piti julkisen kuulemisen 14. huhtikuuta - 9. kesäkuuta 2026 ehdotuksesta yhtenäiseksi DPIA-malliksi, jonka tarkoitus on yhdenmukaistaa käytäntöjä Euroopan maiden välillä. Kuuleminen on nyt päättynyt; seuraamme hankkeen jatkoa tiedottaaksemme asiakkaillemme sopivalla hetkellä. Lähde: EDPB →