GDPR - 35. CIKK - ADATVÉDELMI HATÁSVIZSGÁLAT (DPIA)

Az Ön DPIA-ja
a CNIL módszertana szerint

A GDPR adatvédelmi hatásvizsgálatot ír elő minden olyan adatkezelés esetén, amely valószínűleg magas kockázatot jelent az érintettek jogaira és szabadságaira nézve. A SYAGA DPIA-Express a 35. cikk módszertana és az EDPB iránymutatásai alapján strukturálja és dokumentálja az Ön DPIA-ját, rögtönzés és szakzsargon nélkül.

35
GDPR cikk (DPIA)
9
EDPB kritérium (WP248 rev.01)
3
Kötelező eset (35.3. cikk)
4
Módszertani elem (35.7 a-d cikk)

A kötelezettség

Meghatározni, hogy az Ön adatkezelése DPIA-köteles-e, majd azt szabályosan lefolytatni

A GDPR 35. cikke DPIA-t ír elő

Minden olyan adatkezelést, amely valószínűleg magas kockázatot jelent a természetes személyek jogaira és szabadságaira nézve, a bevezetése előtt adatvédelmi hatásvizsgálatnak kell alávetni (GDPR, 35. cikk).

📋

A CNIL „9-ből 2 kritérium” szabálya

Az EDPB (korábban 29. cikk szerinti munkacsoport, WP248 rev.01 iránymutatás) 9 magas kockázati kritériumot határozott meg. Amint egy adatkezelés e kritériumok közül legalább kettőnek megfelel, elvben DPIA-t kell végezni: egyetlen rosszul azonosított elem is hiányossá teheti a dossziét.

🔍

A CNIL listái, cikkről cikkre összevetve

A CNIL (francia adatvédelmi hatóság) listákat tesz közzé azokról az adatkezelésekről, amelyeknél a DPIA kötelező, illetve nem kötelező. Annak pontos meghatározása, hogy az Ön adatkezelése hova tartozik, alapos elemzést igényel, nem általános benyomást.

Módszer nélkül a kockázat kettős

Egy DPIA túl gyors elvégzése hiányossághoz vezethet egy felügyeleti hatóság előtt; ha pedig kötelező esetben nem végzik el, az a 35. cikk megsértésének minősül. A CNIL módszertana strukturálja és dokumentálja ezt a döntést.

A módszer: DPIA-Express

A GDPR 35.7. cikke által előírt struktúra, az Ön adatkezelésére alkalmazva, minden lépésnél indokolt következtetéssel

1
A kötelezettség meghatározása

Valóban DPIA-köteles az Ön adatkezelése?

Elemzés a 35.3. cikk 3 esete, az EDPB 9 kritériumból álló rácsa (WP248 rev.01) és a CNIL kötelező/nem kötelező adatkezelési listái alapján. Indokolt következtetés, akár kötelező végül a DPIA, akár nem.

2
35.7.a cikk

Az adatkezelés szisztematikus leírása

Célok, adat- és érintetti kategóriák, címzettek, megőrzési idők: a 35.7.a cikk által megkövetelt teljes feltérképezés, összhangban az adatkezelési tevékenységek nyilvántartásával (30. cikk).

3
35.7.b cikk

Szükségesség és arányosság

Annak ellenőrzése, hogy minden gyűjtött adat szükséges-e a kitűzött célhoz, hogy minden adatkezeléshez azonosították-e a jogalapot (6. cikk), és hogy az adattakarékosság elvét (5.1.c cikk) betartják-e.

4
35.7.c cikk

Az érintettekre gyakorolt kockázatok értékelése

Minden azonosított kockázathoz: súlyosság, valószínűség, már meglévő intézkedések, maradványkockázat, az Ön vezetése vagy adatvédelmi tisztviselője (DPO) számára használható táblázatos formában.

5
35.7.d és 5.2 cikk

Intézkedések és dokumentált következtetés

Tervezett technikai és szervezési intézkedések (32. cikk), indokolt következtetés és dokumentált igazolás az elszámoltathatóság elve (5.2. cikk) alapján, felhasználható egy CNIL-ellenőrzés esetén.

Amit Ön kap

Egy strukturált, forrásokkal ellátott dokumentum, amely őszintén jelzi, mit kell még jóváhagynia az Ön jogászának vagy DPO-jának

📝

Strukturált DPIA jelentés

A teljes dokumentum a 35.7. cikk (a-d) szerint, indokolt következtetéssel.

  • Az adatkezelés szisztematikus leírása
  • Szükségességi és arányossági elemzés
  • Kockázati táblázat (súlyosság/valószínűség/intézkedések)
  • Következtetés és dokumentált igazolás (5.2. cikk)

Meghatározási rács

Az előzetes elemzés, amely eldönti, hogy az Ön adatkezelése a kötelezettség hatálya alá tartozik-e.

  • A 35.3. cikk 3 esete
  • Az EDPB 9 kritériuma (WP248 rev.01)
  • Összevetés a CNIL listáival
  • Indokolt és forrásolt következtetés
📁

Összhang a 30. cikk szerinti nyilvántartással

A DPIA ugyanarra az alapra épül, mint az Ön adatkezelési tevékenységek nyilvántartása.

  • Célok és jogalapok
  • Adat- és érintetti kategóriák
  • Címzettek és adatfeldolgozók
  • Megőrzési idők kategóriánként
🚩

Az Ön jogásza/DPO-ja által jóváhagyandó pontok

Minden bizonytalan pont kifejezetten jelölve van, sohasem döntjük el Ön helyett.

  • Adatkezelő / adatfeldolgozó minősítés
  • Jogalapok célonként
  • Azonosított EU-n kívüli adattovábbítások
  • DPO kijelölése (37. cikk), adott esetben
🔗

Források és nyomon követhetőség

Minden jogi állítás forrásolt, nem emlékezetből állítjuk.

  • Egységes szerkezetbe foglalt GDPR szöveg (CELEX 32016R0679)
  • CNIL oldalak és listák (DPIA, nyilvántartás)
  • EDPB iránymutatások (WP248 rev.01)
  • Ellenőrizhető URL-ek a dokumentumban idézve
📄

Szerkeszthető dokumentum

Szerkeszthető formátumban átadva, az Ön DPO-ja vagy jogásza által újrafelhasználható.

  • A 35.7. cikknek megfelelő struktúra
  • Újrafelhasználható jövőbeli adatkezeléseihez
  • A végleges jóváhagyás előtt kiegészítésre kész
  • Nincs rögzített, kötelező formázás

Felhasznált hivatkozások

Egy módszer, amely a jogszabályokra és a hatóságokra épül, nem saját értelmezésekre

35

GDPR - 35. cikk

Adatvédelmi hatásvizsgálat. Az (EU) 2016/679 rendelet egységes szerkezetbe foglalt szövege (EUR-Lex, CELEX 32016R0679).

EDPB

WP248 rev.01 iránymutatás

Az EDPB (korábban 29. cikk szerinti munkacsoport) 9 magas kockázati kritériuma, amelyet a CNIL referencia-módszerként alkalmaz a DPIA-kötelezettség meghatározásához.

CNIL

CNIL listák és módszertan

Listák azokról az adatkezelésekről, amelyeknél a DPIA kötelező, illetve nem kötelező, valamint a CNIL hatásvizsgálati módszertana.

30

GDPR - 30. cikk

Adatkezelési tevékenységek nyilvántartása: az az összhangalap (célok, adatok, időtartamok), amelyre minden DPIA épül.

Egyedi DPIA, rejtett árak nélkül

A terjedelem az adatkezelések számától, összetettségüktől és attól függ, hogy Önöknél mi van már dokumentálva. Az árajánlat egy első egyeztetés után készül.

Kötelezettség-meghatározás

Nem tudja, hogy az Ön adatkezelése érintett-e

Árajánlat alapján
az elemzendő adatkezelések száma szerint
  • Az EDPB 9 kritériumból álló rácsa
  • Összevetés a 35.3. cikkel
  • A CNIL listáinak ellenőrzése
  • Indokolt és forrásolt következtetés
Ajánlatkérés

Többéves program

Több kockázatos adatkezelés lefedése

Árajánlat alapján
az adatkezelések száma és a felülvizsgálati ütem szerint
  • Minden a Teljes DPIA-ból, plusz:
  • Közös módszertani keret
  • Időszakos felülvizsgálat (35.11. cikk)
  • Összhang fenntartása a nyilvántartással (30. cikk)
Ajánlatkérés

Egy DPIA sohasem végleges

A GDPR 35.11. cikke előírja az elemzés felülvizsgálatát az adatkezelés jelentős változása esetén (új adatfeldolgozó, tárhelyváltás, a gyűjtött adatok körének bővítése). A felülvizsgálati árajánlat eseti alapon készül.

Gyakran ismételt kérdések

Valóban DPIA-köteles az adatkezelésem?
Ez három módszeresen ellenőrzött elemtől függ: a GDPR 35.3. cikkének 3 esete, az EDPB 9 kritériumból álló rácsa (WP248 rev.01 iránymutatás, amelyet a CNIL is átvesz: amint 9-ből 2 kritérium teljesül, elvben DPIA-t kell végezni), és a CNIL kötelező/nem kötelező adatkezelési listái. A leszállított dokumentum eldönti ezt a kérdést, és pontról pontra igazolja.
Pontosan mit tartalmaz a leszállított dokumentum?
Egy, a GDPR 35.7. cikke szerint strukturált dokumentumot: az adatkezelés szisztematikus leírása (a), szükségességi és arányossági elemzés (b), az érintettekre gyakorolt kockázatok értékelése (c), tervezett technikai és szervezési intézkedések (d), majd egy indokolt következtetés. Minden jogi hivatkozás forrásolt (egységes szerkezetbe foglalt GDPR szöveg, CNIL, EDPB).
Mi történik, ha az adatkezelésem végül nem DPIA-köteles?
A dokumentumot önkéntes és dokumentációs jelleggel megőrizzük: ez igazolja az Ön döntését arról, hogy nem végez formális DPIA-t, az elszámoltathatóság elve alapján (GDPR 5.2. cikk), és felhasználható egy CNIL-ellenőrzés esetén.
Ez a dokumentum helyettesíti az ügyvédem vagy DPO-m véleményét?
Nem. A DPIA-Express egy módszertani támogató eszköz, amely strukturálja és dokumentálja az elemzést; nem minősül jogi tanácsnak. Minden leszállított dokumentum kifejezetten felsorolja azokat a pontokat, amelyeket az Ön jogászának vagy adatvédelmi tisztviselőjének (DPO) kell jóváhagynia, mielőtt bármilyen hivatkozható felhasználásra kerülne sor.
Kinek kell elvégeznie a DPIA-t az Ön szervezetében?
Az adatkezelő marad jogilag felelős a DPIA-ért; az adatvédelmi tisztviselőt (DPO), ha van ilyen, konzultálni kell (GDPR 35.2. cikk). A DPIA-Express előkészíti az anyagot (leírás, kockázatok, intézkedések), hogy ez a konzultáció egy már strukturált dossziéra épüljön, ne egy üres lapra.
Miért érdemes a SYAGA-t igénybe venni, ahelyett hogy teljesen házon belül végeznék?
A SYAGA Consulting 2009 óta létezik, és ugyanezt a módszert alkalmazza saját adatkezeléseire is, beleértve saját Microsoft 365 audit termékét, amelynek DPIA-kötelezettségi elemzése pontosan ezt a struktúrát követi. Nem egy általános sablont szállítunk: minden dokumentum adatkezelésenként, cikkenként épül fel.

Készen áll a DPIA-ja dokumentálására?

Írja le nekünk az adatkezelését, és személyre szabott árajánlattal jelentkezünk.

Jogszabályi figyelés - hivatalos források

Amit a jogszabály valójában mond, egyszerű nyelven feldolgozva. Minden pont megőrzi a hivatalos dokumentumra mutató hivatkozását.

📋

Mi az a DPIA, egyszerűen?

A DPIA egyszerűen egy értékelési munka: megnézzük, milyen kockázatokat jelent egy adatkezelés az érintettek számára, mielőtt bevezetnénk. A CNIL úgy határozza meg, mint „egy formális eljárást a személyes adatok kezeléséhez kapcsolódó kockázatok értékelésére”. Nem egy újabb adminisztratív formaság, hanem egy józan ész diktálta eszköz, amelyet a GDPR bizonyos esetekben kötelezővé tesz. Forrás: CNIL →

🎯

Kit érint valójában: a „9-ből 2 kritérium” szabály

Nem kell nagyvállalatnak lenni ahhoz, hogy érintett legyen. A CNIL szerint a DPIA kötelező, amint egy adatkezelés a következő kilenc helyzet közül legalább kettőnek megfelel: személyek pontozása vagy értékelése, olyan automatizált döntés meghozatala, amely valós hatással van rájuk, szisztematikus megfigyelésük, érzékeny adatok gyűjtése (egészségügyi, származási stb.), nagy léptékű adatgyűjtés, több adatbázis összekapcsolása, kiszolgáltatott személyek (munkavállalók, betegek, kiskorúak...) célzása, új technológia alkalmazása, vagy valakinek egy jogtól vagy szolgáltatástól való megfosztása. Forrás: CNIL →

Két CNIL lista, amely gyakran helyette dönt

A találgatás elkerülése érdekében a CNIL két hivatalos listát tett közzé: egy 14 adatkezelés-típusból álló listát, ahol a DPIA kötelező (egészségügyi adatok, HR-profilalkotás, munkavállalók megfigyelése, nagy léptékű geolokáció...), és egy 12 típusból álló listát, ahol nem kötelező (250 fő alatti bérszámfejtés és személyzeti ügyintézés profilalkotás nélkül, beszállító-kezelés, egy önállóan dolgozó egészségügyi szakember betegdossziéja...). Ezek a listák nem fedik le az összes esetet, de már sok gyakori helyzetre választ adnak. Forrás: CNIL lista a kötelező adatkezelésekről →

🧩

Amit az elemzésnek valóban tartalmaznia kell

A GDPR (35. cikk) nem regényt kér, hanem négy pontos elemet: az adatkezelés és célja leírása, annak ellenőrzése, hogy valóban szükséges és arányos-e, az érintettekre gyakorolt kockázatok értékelése, majd a kockázatok csökkentésére tervezett intézkedések felsorolása. A végén egy világos következtetés: elfogadható-e az adatkezelés, és milyen feltételekkel. Forrás: GDPR, 35. cikk →

👤

Az Ön DPO-jának szerepe (ha van ilyen)

Ha az Ön szervezete adatvédelmi tisztviselőt (DPO) jelölt ki, a GDPR előírja, hogy a DPIA elvégzésekor ki kell kérni a véleményét, és meg kell bízni annak ellenőrzésével, hogy az elemzés valóban megtörtént-e. Ez egy védőháló, nem egy bejelölendő négyzet: a DPO marad a helyes reflex egy következtetés jóváhagyása előtt. Forrás: GDPR, 35. és 39. cikk →

Mi van, ha a kockázat az elemzés után is magas marad?

Ha a tervezett intézkedések ellenére az adatkezelés még mindig magas kockázatot jelent az érintettekre, a GDPR előírja, hogy a bevezetés előtt konzultálni kell a CNIL-lel. Ekkor a hatóságnak nyolc hete van írásbeli véleménye megadására (bonyolult dosszié esetén hat héttel meghosszabbítható). Megnyugtató tudni: ez az eset kivétel marad, nem szabály. Forrás: GDPR, 36. cikk →

💰

A szankciók, dramatizálás nélkül

A CNIL emlékeztet, hogy a GDPR-bírságok elérhetik akár a 10 millió eurót, vagy a globális éves árbevétel 2%-át, a magasabb összeg szerint. Ez egy jogi felső határ, nem végzet: egy jól elvégzett DPIA éppen azt teszi lehetővé, hogy egy ellenőrzés esetén bizonyítható legyen, a kérdést komolyan vették. Forrás: CNIL →

📢

Egy követendő európai fejlemény

Az Európai Adatvédelmi Testület (EDPB) 2026. április 14. és június 9. között nyilvános konzultációra bocsátott egy egységes DPIA-sablon tervezetet, amelynek célja az európai országok gyakorlatának összehangolása. A konzultáció mára lezárult; figyelemmel kísérjük a projekt folytatását, hogy annak idején tájékoztassuk ügyfeleinket. Forrás: EDPB →