GDPR - ČLANAK 35 - PROCJENA UČINKA (DPIA)

Vaša DPIA usklađena
s metodom CNIL-a

GDPR nameže procjenu učinka na zaštitu podataka za svaku obradu koja može uzrokovati visok rizik za prava i slobode osoba. SYAGA DPIA-Express strukturira i dokumentira vašu DPIA prema metodologiji članka 35 i smjernicama EDPB-a, bez improvizacije i bez žargona.

35
Članak GDPR-a (DPIA)
9
Kriterija EDPB-a (WP248 rev.01)
3
Slučaja obveze (čl. 35.3)
4
Dijela metode (čl. 35.7 a-d)

Obveza

Utvrdite treba li vaša obrada podataka podlijegati DPIA-i, zatim je provedite po pravilima

Članak 35 GDPR-a nameže DPIA

Svaka obrada koja može uzrokovati visok rizik za prava i slobode fizičkih osoba mora biti predmet procjene učinka na zaštitu podataka prije njezine provedbe (GDPR, čl. 35).

📋

Pravilo CNIL-a "2 od 9 kriterija"

EDPB (bivši G29, smjernice WP248 rev.01) definirao je 9 kriterija visokog rizika. Čim obrada ispuni najmanje dva od tih kriterija, DPIA u pravilu mora biti provedena: jedan loše prepoznat element i dosje je nepotpun.

🔍

Popisi francuskog tijela CNIL koje treba usporediti članak po članak

CNIL objavljuje popise obrada za koje je DPIA obvezna ili nije obvezna. Točno utvrditi gdje se nalazi vaša obrada zahtijeva pomno čitanje, a ne opći dojam.

Bez metode, rizik je dvostruk

Prebrzo provedena DPIA izlaže vas nepotpunosti pred nadzornim tijelom; ne provođenje DPIA-e kada je obvezna izlaže organizaciju kršenju članka 35. Metoda CNIL-a strukturira tu odluku i dokumentira je.

Metoda: DPIA-Express

Struktura propisana člankom 35.7 GDPR-a, primijenjena na vašu obradu, s obrazloženim zaključkom u svakom koraku

1
Utvrđivanje obveze

Podliježe li vaša obrada zaista DPIA-i?

Analiza prema 3 slučaja iz članka 35.3, mreži 9 kriterija EDPB-a (WP248 rev.01) i popisima CNIL-a obveznih ili neobveznih obrada. Obrazložen zaključak, bila DPIA naposljetku obvezna ili ne.

2
Čl. 35.7.a

Sustavni opis obrade

Svrhe, kategorije podataka i osoba na koje se odnose, primatelji, rokovi čuvanja: potpuno mapiranje koje zahtijeva članak 35.7.a, usklađeno s vašom evidencijom aktivnosti obrade (čl. 30).

3
Čl. 35.7.b

Nužnost i razmjernost

Provjera da je svaki prikupljeni podatak nužan za svrhu koja se ostvaruje, da je pravna osnova (čl. 6) utvrđena za svaku obradu, te da je poštovano načelo minimizacije (čl. 5.1.c).

4
Čl. 35.7.c

Procjena rizika za osobe

Za svaki prepoznati rizik: ozbiljnost, vjerojatnost, već primijenjene mjere, preostali rizik, prikazano u obliku tablice koju vaša uprava ili vaš DPO mogu izravno koristiti.

5
Čl. 35.7.d i 5.2

Mjere i dokumentiran zaključak

Predviđene tehničke i organizacijske mjere (čl. 32), obrazložen zaključak i dokumentirano opravdanje u okviru odgovornosti (accountability, čl. 5.2), spremno za korištenje u slučaju nadzora francuskog tijela CNIL.

Što dobivate

Strukturiran, izvoran dokument, iskren u pogledu onoga što tek treba potvrditi vaš pravnik ili DPO

📝

Strukturirani izvještaj DPIA

Potpun dokument koji prati članak 35.7 (a do d), s obrazloženim zaključkom.

  • Sustavni opis obrade
  • Analiza nužnosti i razmjernosti
  • Tablica rizika (ozbiljnost/vjerojatnost/mjere)
  • Dokumentiran zaključak i opravdanje (čl. 5.2)

Mreža za utvrđivanje obveze

Prethodna analiza koja odlučuje ulazi li vaša obrada u područje obveze.

  • 3 slučaja iz članka 35.3
  • 9 kriterija EDPB-a (WP248 rev.01)
  • Usporedba s popisima CNIL-a
  • Obrazložen i izvoran zaključak
📁

Usklađenost s evidencijom po čl. 30

DPIA se oslanja na istu osnovu kao i vaša evidencija aktivnosti obrade.

  • Svrhe i pravne osnove
  • Kategorije podataka i osoba
  • Primatelji i izvršitelji obrade
  • Rokovi čuvanja po kategoriji
🚩

Točke za potvrdu vašeg pravnika/DPO-a

Svaka nesigurna točka je izričito označena, nikad umjesto vas odlučena.

  • Kvalifikacija voditelja obrade / izvršitelja obrade
  • Pravne osnove po svrsi
  • Prepoznati prijenosi izvan EU
  • Imenovanje DPO-a (čl. 37), ako je primjenjivo
🔗

Izvori i sljedivost

Svaka pravna tvrdnja je izvorna, ne izrečena iz sjećanja.

  • Pročišćeni tekst GDPR-a (CELEX 32016R0679)
  • Stranice i popisi CNIL-a (DPIA, evidencija)
  • Smjernice EDPB-a (WP248 rev.01)
  • Provjerljivi URL-ovi navedeni u dokumentu
📄

Uredivi dokument

Isporučen u uredivom formatu, koji vaš DPO ili pravnik može ponovno koristiti.

  • Struktura usklađena s člankom 35.7
  • Ponovno upotrebljiv za vaše buduće obrade
  • Spreman za dopunu prije konačne potvrde
  • Nema nametnute krute forme

Korištene reference

Metoda koja se oslanja na tekstove i tijela, a ne na vlastita tumačenja

35

GDPR - Članak 35

Procjena učinka na zaštitu podataka. Pročišćeni tekst Uredbe (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Smjernice WP248 rev.01

9 kriterija visokog rizika EDPB-a (bivši G29), koje francusko tijelo CNIL koristi kao referentnu metodu za utvrđivanje obveze DPIA.

CNIL

Popisi i metoda CNIL-a (francusko tijelo)

Popisi obrada za koje je DPIA obvezna ili neobvezna, te metoda francuskog tijela CNIL za provedbu procjene učinka.

30

GDPR - Članak 30

Evidencija aktivnosti obrade: osnova usklađenosti (svrhe, podaci, rokovi) na kojoj se temelji svaka DPIA.

DPIA po mjeri, bez skrivene cijene

Opseg ovisi o broju obrada, njihovoj složenosti i o onome što je već dokumentirano kod vas. Ponuda se izrađuje nakon prvog razgovora.

Utvrđivanje obveze

Ne znate je li vaša obrada obuhvaćena

Na upit
ovisno o broju obrada za analizu
  • Mreža 9 kriterija EDPB-a
  • Usporedba s člankom 35.3
  • Provjera popisa CNIL-a
  • Obrazložen i izvoran zaključak
Zatražite ponudu

Višegodišnji program

Više rizičnih obrada za pokriti

Na upit
ovisno o broju obrada i ritmu ponovne provjere
  • Sve iz Potpune DPIA +
  • Zajednički metodološki okvir
  • Periodična ponovna provjera (čl. 35.11)
  • Održavana usklađenost s evidencijom (čl. 30)
Zatražite ponudu

DPIA nikada nije trajno zaključena

Članak 35.11 GDPR-a nameže ponovnu provjeru analize u slučaju značajne promjene obrade (novi izvršitelj obrade, promjena hostinga, proširenje opsega prikupljanja). Ponuda za ponovnu provjeru izrađuje se za svaki slučaj posebno.

Česta pitanja

Podliježe li moja obrada zaista obvezi DPIA-e?
To ovisi o tri metodički provjerena elementa: 3 slučaja iz članka 35.3 GDPR-a, mreži 9 kriterija EDPB-a (smjernice WP248 rev.01, koje koristi francusko tijelo CNIL: čim su ispunjena 2 od 9 kriterija, DPIA u pravilu mora biti provedena), te popisima CNIL-a obveznih ili neobveznih obrada. Isporučeni dokument rješava to pitanje i obrazlaže ga, točku po točku.
Što točno sadrži isporučeni dokument?
Dokument strukturiran prema članku 35.7 GDPR-a: sustavni opis obrade (a), analiza nužnosti i razmjernosti (b), procjena rizika za osobe na koje se odnosi (c), predviđene tehničke i organizacijske mjere (d), te obrazložen zaključak. Svaka pravna referenca je izvorna (pročišćeni tekst GDPR-a, CNIL, EDPB).
A ako moja obrada naposljetku ne podliježe obvezi DPIA-e?
Dokument se zadržava dobrovoljno i u dokumentacijske svrhe: predstavlja opravdanje vaše odluke da ne provodite formalnu DPIA-u, u okviru načela odgovornosti (accountability, čl. 5.2 GDPR-a), spreman za korištenje u slučaju nadzora francuskog tijela CNIL.
Zamjenjuje li ovaj dokument mišljenje mog odvjetnika ili DPO-a?
Ne. DPIA-Express je alat metodološke podrške koji strukturira i dokumentira analizu; ne predstavlja pravni savjet. Svaki isporučeni dokument izričito popisuje točke koje tek treba potvrditi vaš pravnik ili službenik za zaštitu podataka prije bilo kakve pravno mjerodavne upotrebe.
Tko u mojoj organizaciji mora provesti DPIA-u?
Voditelj obrade ostaje pravno odgovoran za DPIA-u; DPO, ako postoji, mora biti konzultiran (čl. 35.2 GDPR-a). DPIA-Express priprema materiju (opis, rizici, mjere) kako bi se ta konzultacija odvijala na već strukturiranom dosjeu, a ne na praznoj stranici.
Zašto angažirati SYAGA-u umjesto da to napravite u potpunosti interno?
SYAGA Consulting postoji od 2009. godine i primjenjuje istu metodu na vlastite obrade, uključujući vlastiti proizvod za reviziju Microsoft 365, čija analiza obveze DPIA-e prati potpuno istu strukturu. Ne isporučujemo generički predložak: svaki dokument izrađuje se obrada po obrada, članak po članak.

Spremni dokumentirati svoju DPIA-u?

Opišite nam svoju obradu, javit ćemo vam se s personaliziranom ponudom.

Regulatorno praćenje - službeni izvori

Ono što tekst zaista kaže, sažeto jednostavnim jezikom. Svaka točka zadržava poveznicu na službeni dokument.

📋

Što je zapravo DPIA?

DPIA je jednostavno posao procjene: gleda se koje rizike obrada podataka nosi za osobe, prije njezine provedbe. Francusko tijelo CNIL je definira kao "formalni proces koji omogućuje procjenu rizika povezanih s obradom osobnih podataka". Nije riječ o još jednoj administrativnoj formalnosti, već o alatu zdravog razuma koji GDPR čini obveznim u određenim slučajevima. Izvor: CNIL →

🎯

Tko je zaista obuhvaćen: pravilo "2 od 9 kriterija"

Ne treba biti veliko poduzeće da biste bili obuhvaćeni. CNIL smatra da je DPIA obvezna čim obrada ispuni najmanje dvije od ovih devet situacija: ocjenjivanje ili vrednovanje osoba, donošenje automatizirane odluke koja ima stvaran učinak na njih, njihovo sustavno praćenje, prikupljanje osjetljivih podataka (zdravlje, podrijetlo itd.), prikupljanje u velikoj mjeri, ukrštanje više baza podataka, ciljanje ranjivih osoba (zaposlenici, pacijenti, maloljetnici...), korištenje nove tehnologije, ili uskraćivanje prava ili usluge nekoj osobi. Izvor: CNIL →

Dva popisa CNIL-a koja često odgovaraju umjesto vas

Kako bi se izbjeglo nagađanje, francusko tijelo CNIL objavilo je dva službena popisa: popis od 14 vrsta obrada gdje je DPIA obvezna (podaci o zdravlju, HR profiliranje, nadzor zaposlenika, geolokacija u velikoj mjeri...), i popis od 12 vrsta gdje nije potrebna (plaće i upravljanje osobljem manjim od 250 zaposlenika bez profiliranja, upravljanje dobavljačima, karton pacijenta izoliranog zdravstvenog djelatnika...). Ti popisi ne pokrivaju sve slučajeve, ali već odgovaraju na mnoge uobičajene situacije. Izvor: popis CNIL-a obveznih obrada →

🧩

Što analiza zaista mora sadržavati

GDPR (članak 35) ne traži roman, već četiri precizna elementa: opisati obradu i njezin cilj, provjeriti je li zaista nužna i razmjerna, procijeniti rizike za osobe na koje se odnosi, zatim popisati predviđene mjere za smanjenje tih rizika. Na kraju jasan zaključak: je li obrada prihvatljiva, i pod kojim uvjetima. Izvor: GDPR, članak 35 →

👤

Uloga vašeg DPO-a (ako ga imate)

Ako je vaša organizacija imenovala službenika za zaštitu podataka, GDPR nameže obvezu zatražiti njegov savjet pri provedbi DPIA-e, te ga zadužiti za provjeru da je analiza zaista provedena. To je zaštitna mjera, a ne kvačica za označiti: DPO ostaje ispravan refleks prije potvrde zaključka. Izvor: GDPR, članci 35 i 39 →

A ako rizik ostane visok nakon analize?

Ako, unatoč predviđenim mjerama, obrada i dalje predstavlja visok rizik za osobe, GDPR nameže obvezu konzultacije francuskog tijela CNIL prije početka. Ono tada ima osam tjedana za davanje pisanog mišljenja (produljivo za šest tjedana ako je dosje složen). Umirujuće je znati: taj slučaj ostaje iznimka, a ne pravilo. Izvor: GDPR, članak 36 →

💰

Sankcije, bez dramatiziranja

Francusko tijelo CNIL podsjeća da kazne prema GDPR-u mogu dosegnuti do 10 milijuna eura ili 2% godišnjeg svjetskog prihoda, ovisno o tome koji je iznos veći. To je zakonska gornja granica, a ne fatalnost: dobro provedena DPIA upravo je ono što u slučaju nadzora omogućuje da se pokaže kako je pitanje shvaćeno ozbiljno. Izvor: CNIL →

📢

Europska novost koju treba pratiti

Europski odbor za zaštitu podataka (EDPB) proveo je javno savjetovanje, od 14. travnja do 9. lipnja 2026., o nacrtu jedinstvenog predloška DPIA-e namijenjenog usklađivanju praksi među europskim zemljama. Savjetovanje je sada zatvoreno; pratimo daljnji tijek ovog projekta kako bismo o njemu pravovremeno obavijestili naše klijente. Izvor: EDPB →