GDPR nameže procjenu učinka na zaštitu podataka za svaku obradu koja može uzrokovati visok rizik za prava i slobode osoba. SYAGA DPIA-Express strukturira i dokumentira vašu DPIA prema metodologiji članka 35 i smjernicama EDPB-a, bez improvizacije i bez žargona.
Utvrdite treba li vaša obrada podataka podlijegati DPIA-i, zatim je provedite po pravilima
Svaka obrada koja može uzrokovati visok rizik za prava i slobode fizičkih osoba mora biti predmet procjene učinka na zaštitu podataka prije njezine provedbe (GDPR, čl. 35).
EDPB (bivši G29, smjernice WP248 rev.01) definirao je 9 kriterija visokog rizika. Čim obrada ispuni najmanje dva od tih kriterija, DPIA u pravilu mora biti provedena: jedan loše prepoznat element i dosje je nepotpun.
CNIL objavljuje popise obrada za koje je DPIA obvezna ili nije obvezna. Točno utvrditi gdje se nalazi vaša obrada zahtijeva pomno čitanje, a ne opći dojam.
Prebrzo provedena DPIA izlaže vas nepotpunosti pred nadzornim tijelom; ne provođenje DPIA-e kada je obvezna izlaže organizaciju kršenju članka 35. Metoda CNIL-a strukturira tu odluku i dokumentira je.
Struktura propisana člankom 35.7 GDPR-a, primijenjena na vašu obradu, s obrazloženim zaključkom u svakom koraku
Analiza prema 3 slučaja iz članka 35.3, mreži 9 kriterija EDPB-a (WP248 rev.01) i popisima CNIL-a obveznih ili neobveznih obrada. Obrazložen zaključak, bila DPIA naposljetku obvezna ili ne.
Svrhe, kategorije podataka i osoba na koje se odnose, primatelji, rokovi čuvanja: potpuno mapiranje koje zahtijeva članak 35.7.a, usklađeno s vašom evidencijom aktivnosti obrade (čl. 30).
Provjera da je svaki prikupljeni podatak nužan za svrhu koja se ostvaruje, da je pravna osnova (čl. 6) utvrđena za svaku obradu, te da je poštovano načelo minimizacije (čl. 5.1.c).
Za svaki prepoznati rizik: ozbiljnost, vjerojatnost, već primijenjene mjere, preostali rizik, prikazano u obliku tablice koju vaša uprava ili vaš DPO mogu izravno koristiti.
Predviđene tehničke i organizacijske mjere (čl. 32), obrazložen zaključak i dokumentirano opravdanje u okviru odgovornosti (accountability, čl. 5.2), spremno za korištenje u slučaju nadzora francuskog tijela CNIL.
Strukturiran, izvoran dokument, iskren u pogledu onoga što tek treba potvrditi vaš pravnik ili DPO
Potpun dokument koji prati članak 35.7 (a do d), s obrazloženim zaključkom.
Prethodna analiza koja odlučuje ulazi li vaša obrada u područje obveze.
DPIA se oslanja na istu osnovu kao i vaša evidencija aktivnosti obrade.
Svaka nesigurna točka je izričito označena, nikad umjesto vas odlučena.
Svaka pravna tvrdnja je izvorna, ne izrečena iz sjećanja.
Isporučen u uredivom formatu, koji vaš DPO ili pravnik može ponovno koristiti.
Metoda koja se oslanja na tekstove i tijela, a ne na vlastita tumačenja
Procjena učinka na zaštitu podataka. Pročišćeni tekst Uredbe (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
9 kriterija visokog rizika EDPB-a (bivši G29), koje francusko tijelo CNIL koristi kao referentnu metodu za utvrđivanje obveze DPIA.
Popisi obrada za koje je DPIA obvezna ili neobvezna, te metoda francuskog tijela CNIL za provedbu procjene učinka.
Evidencija aktivnosti obrade: osnova usklađenosti (svrhe, podaci, rokovi) na kojoj se temelji svaka DPIA.
Opseg ovisi o broju obrada, njihovoj složenosti i o onome što je već dokumentirano kod vas. Ponuda se izrađuje nakon prvog razgovora.
Ne znate je li vaša obrada obuhvaćena
Obrada prepoznata kao visokorizična
Više rizičnih obrada za pokriti
DPIA nikada nije trajno zaključena
Članak 35.11 GDPR-a nameže ponovnu provjeru analize u slučaju značajne promjene obrade (novi izvršitelj obrade, promjena hostinga, proširenje opsega prikupljanja). Ponuda za ponovnu provjeru izrađuje se za svaki slučaj posebno.
Opišite nam svoju obradu, javit ćemo vam se s personaliziranom ponudom.
Ono što tekst zaista kaže, sažeto jednostavnim jezikom. Svaka točka zadržava poveznicu na službeni dokument.
DPIA je jednostavno posao procjene: gleda se koje rizike obrada podataka nosi za osobe, prije njezine provedbe. Francusko tijelo CNIL je definira kao "formalni proces koji omogućuje procjenu rizika povezanih s obradom osobnih podataka". Nije riječ o još jednoj administrativnoj formalnosti, već o alatu zdravog razuma koji GDPR čini obveznim u određenim slučajevima. Izvor: CNIL →
Ne treba biti veliko poduzeće da biste bili obuhvaćeni. CNIL smatra da je DPIA obvezna čim obrada ispuni najmanje dvije od ovih devet situacija: ocjenjivanje ili vrednovanje osoba, donošenje automatizirane odluke koja ima stvaran učinak na njih, njihovo sustavno praćenje, prikupljanje osjetljivih podataka (zdravlje, podrijetlo itd.), prikupljanje u velikoj mjeri, ukrštanje više baza podataka, ciljanje ranjivih osoba (zaposlenici, pacijenti, maloljetnici...), korištenje nove tehnologije, ili uskraćivanje prava ili usluge nekoj osobi. Izvor: CNIL →
Kako bi se izbjeglo nagađanje, francusko tijelo CNIL objavilo je dva službena popisa: popis od 14 vrsta obrada gdje je DPIA obvezna (podaci o zdravlju, HR profiliranje, nadzor zaposlenika, geolokacija u velikoj mjeri...), i popis od 12 vrsta gdje nije potrebna (plaće i upravljanje osobljem manjim od 250 zaposlenika bez profiliranja, upravljanje dobavljačima, karton pacijenta izoliranog zdravstvenog djelatnika...). Ti popisi ne pokrivaju sve slučajeve, ali već odgovaraju na mnoge uobičajene situacije. Izvor: popis CNIL-a obveznih obrada →
GDPR (članak 35) ne traži roman, već četiri precizna elementa: opisati obradu i njezin cilj, provjeriti je li zaista nužna i razmjerna, procijeniti rizike za osobe na koje se odnosi, zatim popisati predviđene mjere za smanjenje tih rizika. Na kraju jasan zaključak: je li obrada prihvatljiva, i pod kojim uvjetima. Izvor: GDPR, članak 35 →
Ako je vaša organizacija imenovala službenika za zaštitu podataka, GDPR nameže obvezu zatražiti njegov savjet pri provedbi DPIA-e, te ga zadužiti za provjeru da je analiza zaista provedena. To je zaštitna mjera, a ne kvačica za označiti: DPO ostaje ispravan refleks prije potvrde zaključka. Izvor: GDPR, članci 35 i 39 →
Ako, unatoč predviđenim mjerama, obrada i dalje predstavlja visok rizik za osobe, GDPR nameže obvezu konzultacije francuskog tijela CNIL prije početka. Ono tada ima osam tjedana za davanje pisanog mišljenja (produljivo za šest tjedana ako je dosje složen). Umirujuće je znati: taj slučaj ostaje iznimka, a ne pravilo. Izvor: GDPR, članak 36 →
Francusko tijelo CNIL podsjeća da kazne prema GDPR-u mogu dosegnuti do 10 milijuna eura ili 2% godišnjeg svjetskog prihoda, ovisno o tome koji je iznos veći. To je zakonska gornja granica, a ne fatalnost: dobro provedena DPIA upravo je ono što u slučaju nadzora omogućuje da se pokaže kako je pitanje shvaćeno ozbiljno. Izvor: CNIL →
Europski odbor za zaštitu podataka (EDPB) proveo je javno savjetovanje, od 14. travnja do 9. lipnja 2026., o nacrtu jedinstvenog predloška DPIA-e namijenjenog usklađivanju praksi među europskim zemljama. Savjetovanje je sada zatvoreno; pratimo daljnji tijek ovog projekta kako bismo o njemu pravovremeno obavijestili naše klijente. Izvor: EDPB →