GDPR edellyttää tietosuojaa koskevan vaikutustenarvioinnin tekemistä kaikille käsittelytoimille, jotka voivat aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. SYAGA DPIA-Express jäsentää ja dokumentoi vaikutustenarviointinne artiklan 35 menetelmän ja EDPB:n ohjeiden mukaisesti, ilman improvisointia ja ilman ammattislangia.
Selvittäkää, edellyttääkö käsittelytoimenne vaikutustenarviointia, ja toteuttakaa se sitten sääntöjen mukaisesti
Jokainen käsittelytoimi, joka voi aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, on arvioitava tietosuojaa koskevalla vaikutustenarvioinnilla ennen käyttöönottoa (GDPR, art. 35).
EDPB (entinen 29 artiklan työryhmä, ohjeet WP248 rev.01) on määritellyt 9 korkean riskin kriteeriä. Heti kun käsittelytoimi täyttää vähintään kaksi näistä kriteereistä, DPIA on periaatteessa tehtävä: yksikin väärin tunnistettu tekijä, ja dossieri on puutteellinen.
CNIL julkaisee listoja käsittelytoimista, joille DPIA on vaadittu tai ei vaadittu. Sen tarkka määrittäminen, mihin käsittelytoimenne sijoittuu, edellyttää huolellista lukemista, ei yleisvaikutelmaa.
DPIA:n tekeminen liian nopeasti altistaa puutteellisuudelle valvontaviranomaisen edessä; sen tekemättä jättäminen silloin kun se on vaadittu, altistaa organisaation artiklan 35 rikkomiselle. CNIL-menetelmä jäsentää tämän valinnan ja dokumentoi sen.
GDPR:n artiklan 35.7 edellyttämä rakenne, sovellettuna käsittelytoimeenne, perusteltuine johtopäätöksineen jokaisessa vaiheessa
Analyysi artiklan 35.3 kolmea tapausta, EDPB:n 9 kriteerin ruudukkoa (WP248 rev.01) ja CNILin vaadittujen tai ei-vaadittujen käsittelytoimien listoja vasten. Perusteltu johtopäätös riippumatta siitä, onko DPIA lopulta pakollinen vai ei.
Käyttötarkoitukset, tieto- ja henkilöryhmät, vastaanottajat, säilytysajat: artiklan 35.7.a edellyttämä täydellinen kartoitus, joka on yhdenmukainen käsittelytoimien selosteenne (art. 30) kanssa.
Varmistetaan, että jokainen kerätty tieto on tarpeellinen tavoiteltuun käyttötarkoitukseen nähden, että oikeusperuste (art. 6) on tunnistettu jokaiselle käsittelytoimelle ja että minimoinnin periaatetta (art. 5.1.c) noudatetaan.
Jokaiselle tunnistetulle riskille: vakavuus, todennäköisyys, jo käytössä olevat toimenpiteet, jäännösriski, esitettynä taulukkona, jota johtonne tai tietosuojavastaavanne voi hyödyntää.
Suunnitellut tekniset ja organisatoriset toimenpiteet (art. 32), perusteltu johtopäätös ja dokumentoitu perustelu osoitusvelvollisuuden (art. 5.2) nojalla, käytettävissä CNILin valvontatarkastuksen yhteydessä.
Jäsennelty, lähteillä varustettu asiakirja, joka on rehellinen siitä, mitä juristinne tai tietosuojavastaavanne on vielä vahvistettava
Täydellinen asiakirja artiklan 35.7 (a-d) mukaisesti, perustellulla johtopäätöksellä.
Alustava analyysi, joka ratkaisee kuuluuko käsittelytoimenne velvoitteen piiriin.
DPIA perustuu samaan pohjaan kuin käsittelytoimien selosteenne.
Jokainen epävarmuuskohta ilmoitetaan selkeästi, sitä ei koskaan ratkaista puolestanne.
Jokainen oikeudellinen väite on lähteillä varustettu, ei muistinvaraisesti esitetty.
Luovutetaan muokattavassa muodossa, tietosuojavastaavanne tai juristinne uudelleenkäytettäväksi.
Menetelmä, joka perustuu teksteihin ja viranomaisiin, ei omiin tulkintoihin
Tietosuojaa koskeva vaikutustenarviointi. Asetuksen (EU) 2016/679 konsolidoitu teksti (EUR-Lex, CELEX 32016R0679).
EDPB:n (entinen 29 artiklan työryhmä) 9 korkean riskin kriteeriä, jotka CNIL on omaksunut viitemenetelmäksi DPIA-velvoitteen määrittämiseen.
Listat käsittelytoimista, joille DPIA on vaadittu tai ei vaadittu, sekä CNILin menetelmä vaikutustenarvioinnin toteuttamiseen. CNIL on Ranskan tietosuojaviranomainen.
Käsittelytoimien seloste: yhdenmukaisuuden perusta (käyttötarkoitukset, tiedot, säilytysajat), johon jokainen DPIA nojautuu.
Laajuus riippuu käsittelytoimien määrästä, niiden monimutkaisuudesta ja siitä, mitä teillä on jo dokumentoitu. Tarjous laaditaan ensimmäisen keskustelun jälkeen.
Ette tiedä, koskeeko velvoite käsittelytoimeanne
Tunnistettu korkean riskin käsittelytoimi
Useita riskillisiä käsittelytoimia katettavana
DPIA ei ole koskaan lopullinen
GDPR:n artikla 35.11 edellyttää analyysin uudelleentarkastelua, jos käsittelytoimessa tapahtuu merkittävä muutos (uusi alihankkija, hosting-muutos, keräyslaajuuden laajentuminen). Uudelleentarkastelun tarjous laaditaan tapauskohtaisesti.
Kuvatkaa meille käsittelytoimenne, palaamme luoksenne räätälöidyllä tarjouksella.
Mitä teksti todella sanoo, tiivistettynä selkokielelle. Jokainen kohta säilyttää linkkinsä viralliseen asiakirjaan.
DPIA on yksinkertaisesti arviointityö: tarkastellaan riskejä, joita tietojenkäsittely aiheuttaa henkilöille, ennen sen käyttöönottoa. CNIL määrittelee sen "muodolliseksi prosessiksi, jolla arvioidaan henkilötietojen käsittelyyn liittyviä riskejä". Se ei ole ylimääräinen hallinnollinen muodollisuus, vaan tervettä järkeä edustava työkalu, jonka GDPR tekee pakolliseksi tietyissä tapauksissa. Lähde: CNIL →
Ei tarvitse olla suuri yritys tullakseen koskettamaksi. CNIL katsoo, että DPIA on pakollinen heti kun käsittelytoimi täyttää vähintään kaksi näistä yhdeksästä tilanteesta: henkilöiden arviointi tai pisteytys, automatisoitu päätös jolla on todellinen vaikutus heihin, systemaattinen valvonta, arkaluonteisten tietojen kerääminen (terveys, alkuperä jne.), laajamittainen kerääminen, useiden tietokantojen yhdistäminen, haavoittuvien henkilöiden kohdentaminen (työntekijät, potilaat, alaikäiset...), uuden teknologian käyttö, tai jonkun oikeuden tai palvelun epääminen. Lähde: CNIL →
Arvailun välttämiseksi CNIL on julkaissut kaksi virallista listaa: listan 14 käsittelytoimen tyypistä, joille DPIA on pakollinen (terveystiedot, HR-profilointi, työntekijöiden valvonta, laajamittainen paikannus...), ja listan 12 tyypistä, joissa sitä ei vaadita (alle 250 työntekijän palkanlaskenta ja henkilöstöhallinto ilman profilointia, toimittajahallinta, yksittäisen terveydenhuollon ammattilaisen potilastiedosto...). Nämä listat eivät kata kaikkia tapauksia, mutta ne vastaavat jo moniin yleisiin tilanteisiin. Lähde: CNILin lista vaadituista käsittelytoimista →
GDPR (artikla 35) ei vaadi romaania, vaan neljä täsmällistä osaa: kuvaus käsittelytoimesta ja sen tavoitteesta, tarkistus siitä että se on todella tarpeellinen ja oikeasuhtainen, riskien arviointi rekisteröidyille, ja lopuksi näiden riskien vähentämiseksi suunniteltujen toimenpiteiden listaus. Lopuksi selkeä johtopäätös: onko käsittelytoimi hyväksyttävä, ja millä ehdoilla. Lähde: GDPR, artikla 35 →
Jos organisaationne on nimennyt tietosuojavastaavan, GDPR edellyttää häneltä neuvon pyytämistä DPIA:n toteuttamisen yhteydessä ja hänen valtuuttamistaan tarkistamaan, että analyysi on todella tehty. Tämä on suojamekanismi, ei rasti ruutuun: tietosuojavastaava on oikea taho kuultavaksi ennen johtopäätöksen vahvistamista. Lähde: GDPR, artiklat 35 ja 39 →
Jos käsittelytoimi suunnitelluista toimenpiteistä huolimatta yhä aiheuttaa korkean riskin henkilöille, GDPR edellyttää CNILin kuulemista ennen käynnistämistä. Sillä on tällöin kahdeksan viikkoa aikaa antaa kirjallinen lausuntonsa (voidaan pidentää kuudella viikolla, jos dossieri on monimutkainen). Rauhoittavaa tietää: tämä tapaus on poikkeus, ei sääntö. Lähde: GDPR, artikla 36 →
CNIL muistuttaa, että GDPR-sakot voivat nousta jopa 10 miljoonaan euroon tai 2 %:iin maailmanlaajuisesta vuosiliikevaihdosta, sen mukaan kumpi on suurempi. Tämä on lakisääteinen enimmäismäärä, ei väistämättömyys: hyvin tehty DPIA on juuri se, mikä mahdollistaa osoittamisen valvontatarkastuksen yhteydessä, että asia on otettu vakavasti. Lähde: CNIL →
Euroopan tietosuojaneuvosto (EDPB) piti julkisen kuulemisen 14. huhtikuuta - 9. kesäkuuta 2026 ehdotuksesta yhtenäiseksi DPIA-malliksi, jonka tarkoitus on yhdenmukaistaa käytäntöjä Euroopan maiden välillä. Kuuleminen on nyt päättynyt; seuraamme hankkeen jatkoa tiedottaaksemme asiakkaillemme sopivalla hetkellä. Lähde: EDPB →