A GDPR adatvédelmi hatásvizsgálatot ír elő minden olyan adatkezelés esetén, amely valószínűleg magas kockázatot jelent az érintettek jogaira és szabadságaira nézve. A SYAGA DPIA-Express a 35. cikk módszertana és az EDPB iránymutatásai alapján strukturálja és dokumentálja az Ön DPIA-ját, rögtönzés és szakzsargon nélkül.
Meghatározni, hogy az Ön adatkezelése DPIA-köteles-e, majd azt szabályosan lefolytatni
Minden olyan adatkezelést, amely valószínűleg magas kockázatot jelent a természetes személyek jogaira és szabadságaira nézve, a bevezetése előtt adatvédelmi hatásvizsgálatnak kell alávetni (GDPR, 35. cikk).
Az EDPB (korábban 29. cikk szerinti munkacsoport, WP248 rev.01 iránymutatás) 9 magas kockázati kritériumot határozott meg. Amint egy adatkezelés e kritériumok közül legalább kettőnek megfelel, elvben DPIA-t kell végezni: egyetlen rosszul azonosított elem is hiányossá teheti a dossziét.
A CNIL (francia adatvédelmi hatóság) listákat tesz közzé azokról az adatkezelésekről, amelyeknél a DPIA kötelező, illetve nem kötelező. Annak pontos meghatározása, hogy az Ön adatkezelése hova tartozik, alapos elemzést igényel, nem általános benyomást.
Egy DPIA túl gyors elvégzése hiányossághoz vezethet egy felügyeleti hatóság előtt; ha pedig kötelező esetben nem végzik el, az a 35. cikk megsértésének minősül. A CNIL módszertana strukturálja és dokumentálja ezt a döntést.
A GDPR 35.7. cikke által előírt struktúra, az Ön adatkezelésére alkalmazva, minden lépésnél indokolt következtetéssel
Elemzés a 35.3. cikk 3 esete, az EDPB 9 kritériumból álló rácsa (WP248 rev.01) és a CNIL kötelező/nem kötelező adatkezelési listái alapján. Indokolt következtetés, akár kötelező végül a DPIA, akár nem.
Célok, adat- és érintetti kategóriák, címzettek, megőrzési idők: a 35.7.a cikk által megkövetelt teljes feltérképezés, összhangban az adatkezelési tevékenységek nyilvántartásával (30. cikk).
Annak ellenőrzése, hogy minden gyűjtött adat szükséges-e a kitűzött célhoz, hogy minden adatkezeléshez azonosították-e a jogalapot (6. cikk), és hogy az adattakarékosság elvét (5.1.c cikk) betartják-e.
Minden azonosított kockázathoz: súlyosság, valószínűség, már meglévő intézkedések, maradványkockázat, az Ön vezetése vagy adatvédelmi tisztviselője (DPO) számára használható táblázatos formában.
Tervezett technikai és szervezési intézkedések (32. cikk), indokolt következtetés és dokumentált igazolás az elszámoltathatóság elve (5.2. cikk) alapján, felhasználható egy CNIL-ellenőrzés esetén.
Egy strukturált, forrásokkal ellátott dokumentum, amely őszintén jelzi, mit kell még jóváhagynia az Ön jogászának vagy DPO-jának
A teljes dokumentum a 35.7. cikk (a-d) szerint, indokolt következtetéssel.
Az előzetes elemzés, amely eldönti, hogy az Ön adatkezelése a kötelezettség hatálya alá tartozik-e.
A DPIA ugyanarra az alapra épül, mint az Ön adatkezelési tevékenységek nyilvántartása.
Minden bizonytalan pont kifejezetten jelölve van, sohasem döntjük el Ön helyett.
Minden jogi állítás forrásolt, nem emlékezetből állítjuk.
Szerkeszthető formátumban átadva, az Ön DPO-ja vagy jogásza által újrafelhasználható.
Egy módszer, amely a jogszabályokra és a hatóságokra épül, nem saját értelmezésekre
Adatvédelmi hatásvizsgálat. Az (EU) 2016/679 rendelet egységes szerkezetbe foglalt szövege (EUR-Lex, CELEX 32016R0679).
Az EDPB (korábban 29. cikk szerinti munkacsoport) 9 magas kockázati kritériuma, amelyet a CNIL referencia-módszerként alkalmaz a DPIA-kötelezettség meghatározásához.
Listák azokról az adatkezelésekről, amelyeknél a DPIA kötelező, illetve nem kötelező, valamint a CNIL hatásvizsgálati módszertana.
Adatkezelési tevékenységek nyilvántartása: az az összhangalap (célok, adatok, időtartamok), amelyre minden DPIA épül.
A terjedelem az adatkezelések számától, összetettségüktől és attól függ, hogy Önöknél mi van már dokumentálva. Az árajánlat egy első egyeztetés után készül.
Nem tudja, hogy az Ön adatkezelése érintett-e
Magas kockázatúnak azonosított adatkezelés
Több kockázatos adatkezelés lefedése
Egy DPIA sohasem végleges
A GDPR 35.11. cikke előírja az elemzés felülvizsgálatát az adatkezelés jelentős változása esetén (új adatfeldolgozó, tárhelyváltás, a gyűjtött adatok körének bővítése). A felülvizsgálati árajánlat eseti alapon készül.
Írja le nekünk az adatkezelését, és személyre szabott árajánlattal jelentkezünk.
Amit a jogszabály valójában mond, egyszerű nyelven feldolgozva. Minden pont megőrzi a hivatalos dokumentumra mutató hivatkozását.
A DPIA egyszerűen egy értékelési munka: megnézzük, milyen kockázatokat jelent egy adatkezelés az érintettek számára, mielőtt bevezetnénk. A CNIL úgy határozza meg, mint „egy formális eljárást a személyes adatok kezeléséhez kapcsolódó kockázatok értékelésére”. Nem egy újabb adminisztratív formaság, hanem egy józan ész diktálta eszköz, amelyet a GDPR bizonyos esetekben kötelezővé tesz. Forrás: CNIL →
Nem kell nagyvállalatnak lenni ahhoz, hogy érintett legyen. A CNIL szerint a DPIA kötelező, amint egy adatkezelés a következő kilenc helyzet közül legalább kettőnek megfelel: személyek pontozása vagy értékelése, olyan automatizált döntés meghozatala, amely valós hatással van rájuk, szisztematikus megfigyelésük, érzékeny adatok gyűjtése (egészségügyi, származási stb.), nagy léptékű adatgyűjtés, több adatbázis összekapcsolása, kiszolgáltatott személyek (munkavállalók, betegek, kiskorúak...) célzása, új technológia alkalmazása, vagy valakinek egy jogtól vagy szolgáltatástól való megfosztása. Forrás: CNIL →
A találgatás elkerülése érdekében a CNIL két hivatalos listát tett közzé: egy 14 adatkezelés-típusból álló listát, ahol a DPIA kötelező (egészségügyi adatok, HR-profilalkotás, munkavállalók megfigyelése, nagy léptékű geolokáció...), és egy 12 típusból álló listát, ahol nem kötelező (250 fő alatti bérszámfejtés és személyzeti ügyintézés profilalkotás nélkül, beszállító-kezelés, egy önállóan dolgozó egészségügyi szakember betegdossziéja...). Ezek a listák nem fedik le az összes esetet, de már sok gyakori helyzetre választ adnak. Forrás: CNIL lista a kötelező adatkezelésekről →
A GDPR (35. cikk) nem regényt kér, hanem négy pontos elemet: az adatkezelés és célja leírása, annak ellenőrzése, hogy valóban szükséges és arányos-e, az érintettekre gyakorolt kockázatok értékelése, majd a kockázatok csökkentésére tervezett intézkedések felsorolása. A végén egy világos következtetés: elfogadható-e az adatkezelés, és milyen feltételekkel. Forrás: GDPR, 35. cikk →
Ha az Ön szervezete adatvédelmi tisztviselőt (DPO) jelölt ki, a GDPR előírja, hogy a DPIA elvégzésekor ki kell kérni a véleményét, és meg kell bízni annak ellenőrzésével, hogy az elemzés valóban megtörtént-e. Ez egy védőháló, nem egy bejelölendő négyzet: a DPO marad a helyes reflex egy következtetés jóváhagyása előtt. Forrás: GDPR, 35. és 39. cikk →
Ha a tervezett intézkedések ellenére az adatkezelés még mindig magas kockázatot jelent az érintettekre, a GDPR előírja, hogy a bevezetés előtt konzultálni kell a CNIL-lel. Ekkor a hatóságnak nyolc hete van írásbeli véleménye megadására (bonyolult dosszié esetén hat héttel meghosszabbítható). Megnyugtató tudni: ez az eset kivétel marad, nem szabály. Forrás: GDPR, 36. cikk →
A CNIL emlékeztet, hogy a GDPR-bírságok elérhetik akár a 10 millió eurót, vagy a globális éves árbevétel 2%-át, a magasabb összeg szerint. Ez egy jogi felső határ, nem végzet: egy jól elvégzett DPIA éppen azt teszi lehetővé, hogy egy ellenőrzés esetén bizonyítható legyen, a kérdést komolyan vették. Forrás: CNIL →
Az Európai Adatvédelmi Testület (EDPB) 2026. április 14. és június 9. között nyilvános konzultációra bocsátott egy egységes DPIA-sablon tervezetet, amelynek célja az európai országok gyakorlatának összehangolása. A konzultáció mára lezárult; figyelemmel kísérjük a projekt folytatását, hogy annak idején tájékoztassuk ügyfeleinket. Forrás: EDPB →