GDPR - 35. GR. - MAT Á ÁHRIFUM Á PERSÓNUVERND (MÁP)

MÁP-skjalið þitt í samræmi
við aðferð CNIL

GDPR krefst mats á áhrifum á persónuvernd fyrir hvers kyns vinnslu sem gæti skapað mikla áhættu fyrir réttindi og frelsi einstaklinga. SYAGA DPIA-Express skipuleggur og skjalfestir MÁP þitt samkvæmt aðferðafræði 35. greinar og leiðbeiningum EDPB (Evrópska persónuverndar- ráðsins), án spuna og án hrognamáls.

35
GDPR-grein (MÁP)
9
Viðmið EDPB (WP248 rev.01)
3
Skyldutilvik (35.3. gr.)
4
Þættir aðferðar (35.7. gr. a-d)

Skyldan

Ákvarða hvort vinnsla þín þurfi MÁP, og framkvæma það síðan samkvæmt reglum

35. grein GDPR krefst MÁP

Sérhver vinnsla sem gæti skapað mikla áhættu fyrir réttindi og frelsi einstaklinga þarf mat á áhrifum á persónuvernd áður en hún er sett í framkvæmd (GDPR, 35. gr.).

📋

Regla CNIL um „2 af 9 viðmiðum"

EDPB (áður G29, leiðbeiningar WP248 rev.01) hefur skilgreint 9 viðmið um mikla áhættu. Um leið og vinnsla uppfyllir að minnsta kosti tvö þessara viðmiða þarf í grundvallar- atriðum að framkvæma MÁP: eitt rangt greint atriði, og skjalið er ófullnægjandi.

🔍

Listar CNIL (frönsku persónuverndarstofnunarinnar) sem bera þarf saman lið fyrir lið

CNIL birtir lista yfir vinnslur þar sem MÁP er annaðhvort krafist eða ekki krafist. Að ákvarða nákvæmlega hvar vinnsla þín fellur krefst nákvæmrar yfirferðar, ekki almennrar tilfinningar.

Án aðferðar er áhættan tvöföld

Að framkvæma MÁP of hratt gerir hana ófullnægjandi gagnvart eftirlitsyfirvaldi; að framkvæma hana ekki þegar hennar er krafist skapar brot á 35. grein fyrir stofnunina. Aðferð CNIL skipuleggur þessa ákvörðun og skjalfestir hana.

Aðferðin: DPIA-Express

Uppbyggingin sem 35.7. grein GDPR kveður á um, beitt á vinnslu þína, með rökstuddri niðurstöðu í hverju skrefi

1
Ákvörðun um skyldu

Fellur vinnsla þín raunverulega undir MÁP-skylduna?

Greining gegn þeim 3 tilvikum sem 35.3. grein tilgreinir, viðmiðatöflu EDPB (9 viðmið, WP248 rev.01) og listum CNIL yfir kröfuskyldar og ókröfuskyldar vinnslur. Rökstudd niðurstaða, hvort sem MÁP reynist á endanum skylda eða ekki.

2
35.7.a. gr.

Kerfisbundin lýsing á vinnslunni

Tilgangur, flokkar gagna og hlutaðeigandi einstaklinga, viðtakendur, varðveislutími: fullkomin kortlagning sem 35.7.a. grein krefst, í samræmi við vinnsluskrá þína (30. gr.).

3
35.7.b. gr.

Nauðsyn og meðalhóf

Sannprófun á því að hver safnaður gagnaþáttur sé nauðsynlegur fyrir tilganginn, að lagagrundvöllur (6. gr.) sé skilgreindur fyrir hverja vinnslu, og að reglan um lágmörkun gagna (5.1.c. gr.) sé virt.

4
35.7.c. gr.

Mat á áhættu fyrir einstaklinga

Fyrir hverja greinda áhættu: alvarleiki, líkur, þegar innleiddar ráðstafanir, eftirstandandi áhætta, sett fram í töflu sem stjórnendur þínir eða persónuverndarfulltrúi (DPO) geta nýtt.

5
35.7.d. og 5.2. gr.

Ráðstafanir og skjalfest niðurstaða

Fyrirhugaðar tæknilegar og skipulagslegar ráðstafanir (32. gr.), rökstudd niðurstaða og skjalfestur rökstuðningur í samræmi við ábyrgðarregluna (5.2. gr.), tiltækt ef til eftirlits CNIL kemur.

Það sem þú færð

Skipulagt og heimildaskráð skjal, hreinskilið um það sem lögfræðingur þinn eða persónuverndarfulltrúi (DPO) þarf enn að staðfesta

📝

Skipulögð MÁP-skýrsla

Heildarskjalið samkvæmt 35.7. grein (a til d), með rökstuddri niðurstöðu.

  • Kerfisbundin lýsing á vinnslunni
  • Greining á nauðsyn og meðalhófi
  • Áhættutafla (alvarleiki/líkur/ráðstafanir)
  • Niðurstaða og skjalfestur rökstuðningur (5.2. gr.)

Ákvörðunartafla

Undanfarandi greining sem sker úr um hvort vinnsla þín falli undir skylduna.

  • Þrjú tilvik 35.3. greinar
  • 9 viðmið EDPB (WP248 rev.01)
  • Samanburður við lista CNIL
  • Rökstudd og heimildaskráð niðurstaða
📁

Samræmi við vinnsluskrá skv. 30. gr.

MÁP byggir á sama grunni og vinnsluskrá þín.

  • Tilgangur og lagagrundvöllur
  • Flokkar gagna og einstaklinga
  • Viðtakendur og vinnsluaðilar
  • Varðveislutími eftir flokkum
🚩

Atriði sem lögfræðingur/DPO þarf að staðfesta

Hvert óvissuatriði er tilgreint skýrt, aldrei ákveðið í þínum stað.

  • Flokkun ábyrgðaraðili/vinnsluaðili
  • Lagagrundvöllur fyrir hvern tilgang
  • Greindir flutningar utan ESB
  • Tilnefning persónuverndarfulltrúa (37. gr.), eftir því sem við á
🔗

Heimildir og rekjanleiki

Sérhver lagaleg fullyrðing er heimildaskráð, ekki sett fram eftir minni.

  • Samræmdur texti GDPR (CELEX 32016R0679)
  • Síður og listar CNIL (MÁP, vinnsluskrá)
  • Leiðbeiningar EDPB (WP248 rev.01)
  • Sannreynanlegar vefslóðir tilgreindar í skjalinu
📄

Breytanlegt skjal

Afhent á breytanlegu sniði, endurnýtanlegt fyrir DPO þinn eða lögfræðing.

  • Uppbygging í samræmi við 35.7. grein
  • Endurnýtanlegt fyrir framtíðarvinnslur þínar
  • Tilbúið til að fullklára fyrir lokastaðfestingu
  • Ekkert fast snið þröngvað upp á þig

Heimildir sem stuðst er við

Aðferð sem byggir á lagatextum og yfirvöldum, ekki heimatilbúnum túlkunum

35

GDPR - 35. grein

Mat á áhrifum á persónuvernd. Samræmdur texti reglugerðar (ESB) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Leiðbeiningar WP248 rev.01

9 viðmið EDPB (áður G29) um mikla áhættu, notuð af CNIL sem viðmiðunaraðferð til að ákvarða MÁP-skyldu.

CNIL

Listar og aðferð CNIL

Listar yfir vinnslur þar sem MÁP er annaðhvort krafist eða ekki krafist, og aðferð CNIL við framkvæmd áhrifamats.

30

GDPR - 30. grein

Vinnsluskrá: grunnurinn að samræmi (tilgangur, gögn, tímalengd) sem sérhver MÁP byggir á.

Sérsniðin MÁP, engin falin verð

Umfangið ræðst af fjölda vinnsla, flækjustigi þeirra og því sem þegar er skjalfest hjá þér. Tilboð útbúið eftir fyrstu samræður.

Ákvörðun um skyldu

Þú veist ekki hvort vinnsla þín falli undir skylduna

Samkvæmt tilboði
eftir fjölda vinnsla sem greina þarf
  • Viðmiðatafla EDPB (9 viðmið)
  • Samanburður við 35.3. grein
  • Sannprófun á listum CNIL
  • Rökstudd og heimildaskráð niðurstaða
Fá tilboð

Fjölærð áætlun

Margar áhættuvinnslur sem þarf að ná yfir

Samkvæmt tilboði
eftir fjölda vinnsla og tíðni endurskoðunar
  • Allt úr Fullbúin MÁP +
  • Sameiginlegur aðferðarammi
  • Reglubundin endurskoðun (35.11. gr.)
  • Samræmi viðhaldið við vinnsluskrá (30. gr.)
Fá tilboð

MÁP er aldrei endanlegt skjal

35.11. grein GDPR krefst þess að greiningin sé endurskoðuð ef verulegar breytingar verða á vinnslunni (nýr vinnsluaðili, breyting á hýsingu, útvíkkun á söfnunarumfangi). Tilboð fyrir endurskoðun er útbúið í hverju tilviki fyrir sig.

Algengar spurningar

Fellur vinnsla mín raunverulega undir MÁP-skylduna?
Það ræðst af þremur atriðum sem könnuð eru kerfisbundið: þeim 3 tilvikum sem 35.3. grein GDPR tilgreinir, viðmiðatöflu EDPB (9 viðmið, leiðbeiningar WP248 rev.01, notaðar af CNIL: um leið og 2 af 9 viðmiðum eru uppfyllt þarf í grundvallaratriðum að framkvæma MÁP), og listum CNIL yfir kröfuskyldar og ókröfuskyldar vinnslur. Skjalið sem afhent er sker úr um þessa spurningu og rökstyður hana, lið fyrir lið.
Hvað nákvæmlega er í skjalinu sem afhent er?
Skjal skipulagt samkvæmt 35.7. grein GDPR: kerfisbundin lýsing á vinnslunni (a), greining á nauðsyn og meðalhófi (b), mat á áhættu fyrir hlutaðeigandi einstaklinga (c), fyrirhugaðar tæknilegar og skipulagslegar ráðstafanir (d), og loks rökstudd niðurstaða. Sérhver lagatilvísun er heimildaskráð (samræmdur texti GDPR, CNIL, EDPB).
Hvað ef vinnsla mín fellur á endanum ekki undir MÁP-skylduna?
Skjalið er engu að síður varðveitt í frjálsum og skjalfestum tilgangi: það myndar rökstuðninginn fyrir ákvörðun þinni um að framkvæma ekki formlega MÁP, í samræmi við ábyrgðarregluna (5.2. gr. GDPR), tiltækt ef til eftirlits CNIL kemur.
Kemur þetta skjal í stað álits lögfræðings míns eða DPO?
Nei. DPIA-Express er verkfæri til aðferðafræðilegs stuðnings sem skipuleggur og skjalfestir greininguna; það telst ekki lögfræðileg ráðgjöf. Hvert skjal sem afhent er telur skýrt upp þau atriði sem lögfræðingur þinn eða persónuverndarfulltrúi þarf enn að staðfesta áður en skjalið er notað sem gilt sönnunargagn.
Hver á að framkvæma MÁP hjá minni stofnun?
Ábyrgðaraðili vinnslunnar ber áfram lagalega ábyrgð á MÁP; leita skal ráða hjá DPO, ef slíkur er til staðar (35.2. gr. GDPR). DPIA-Express undirbýr efnið (lýsingu, áhættu, ráðstafanir) þannig að þetta samráð fari fram á grundvelli þegar skipulags skjals, ekki auðs blaðs.
Hvers vegna að fara í gegnum SYAGA fremur en að gera þetta alfarið innanhúss?
SYAGA Consulting hefur starfað síðan 2009 og notar þessa sömu aðferð á eigin vinnslur, þar á meðal á sína eigin Microsoft 365 úttektarvöru, þar sem greiningin á MÁP-skyldunni fylgir nákvæmlega þessari uppbyggingu. Við afhendum ekki almennt sniðmát: hvert skjal er byggt vinnslu fyrir vinnslu, grein fyrir grein.

Tilbúin(n) að skjalfesta MÁP þitt?

Lýstu vinnslu þinni fyrir okkur, við sendum þér sérsniðið tilboð.

Regluvöktun - opinberar heimildir

Það sem lagatextinn raunverulega segir, á einföldu máli. Hvert atriði heldur tengli sínum við opinbera skjalið.

📋

Hvað er MÁP, í stuttu máli?

MÁP er einfaldlega matsvinna: skoðaðar eru þær áhættur sem gagnavinnsla skapar fyrir einstaklinga, áður en hún er sett í framkvæmd. CNIL skilgreinir hana sem „formlegt ferli til að meta áhættu sem tengist vinnslu persónuupplýsinga". Þetta er ekki enn eitt stjórnsýsluformsatriðið, heldur skynsamlegt verkfæri sem GDPR gerir að skyldu í ákveðnum tilvikum. Heimild: CNIL →

🎯

Hverjir falla raunverulega undir: reglan um „2 af 9 viðmiðum"

Það þarf ekki að vera stórt fyrirtæki til að falla undir þetta. CNIL telur að MÁP sé skylda um leið og vinnsla uppfyllir að minnsta kosti tvö af eftirfarandi níu tilvikum: að meta eða flokka einstaklinga, taka sjálfvirka ákvörðun sem hefur raunveruleg áhrif á þá, hafa kerfisbundið eftirlit með þeim, safna viðkvæmum gögnum (heilsufari, uppruna o.s.frv.), safna í stórum stíl, tengja saman margar gagnagrunna, beinast að viðkvæmum hópum (starfsfólki, sjúklingum, ólögráða einstaklingum...), nota nýja tækni, eða svipta einhvern rétti eða þjónustu. Heimild: CNIL →

Tveir listar CNIL sem oft svara fyrir þig

Til að forðast ágiskanir hefur CNIL birt tvo opinbera lista: lista yfir 14 tegundir vinnslu þar sem MÁP er skylda (heilsufarsgögn, mannauðssnið, eftirlit með starfsfólki, staðsetningarrakning í stórum stíl...), og lista yfir 12 tegundir þar sem hennar er ekki krafist (launavinnsla og starfsmannastjórnun hjá færri en 250 starfsmönnum án sniðgreiningar, birgjastjórnun, sjúklingaskrá hjá einum sjálfstætt starfandi heilbrigðisstarfsmanni...). Þessir listar ná ekki yfir öll tilvik, en þeir svara þegar mörgum algengum aðstæðum. Heimild: listi CNIL yfir kröfuskyldar vinnslur →

🧩

Það sem greiningin þarf raunverulega að innihalda

GDPR (35. grein) krefst ekki heillar skáldsögu, heldur fjögurra nákvæmra þátta: að lýsa vinnslunni og tilgangi hennar, sannreyna að hún sé raunverulega nauðsynleg og í réttu hlutfalli, meta áhættu fyrir hlutaðeigandi einstaklinga, og loks telja upp fyrirhugaðar ráðstafanir til að draga úr þeirri áhættu. Skýr niðurstaða í lokin: er vinnslan ásættanleg, og á hvaða forsendum. Heimild: GDPR, 35. grein →

👤

Hlutverk DPO þíns (ef þú hefur slíkan)

Ef stofnun þín hefur tilnefnt persónuverndarfulltrúa (DPO), krefst GDPR þess að leitað sé ráða hjá honum þegar MÁP er framkvæmt, og að hann fái það hlutverk að sannreyna að greiningin hafi verið rétt unnin. Þetta er öryggisnet, ekki gátreitur til að merkja við: DPO er réttur viðbragðsaðili áður en niðurstaða er staðfest. Heimild: GDPR, 35. og 39. grein →

Hvað ef áhættan er áfram mikil eftir greininguna?

Ef vinnslan, þrátt fyrir fyrirhugaðar ráðstafanir, felur enn í sér mikla áhættu fyrir einstaklinga, krefst GDPR samráðs við CNIL áður en hafist er handa. CNIL hefur þá átta vikur til að gefa skriflegt álit (framlengjanlegt um sex vikur ef málið er flókið). Til huggunar: þetta tilvik er undantekning, ekki regla. Heimild: GDPR, 36. grein →

💰

Viðurlögin, án dramatíkur

CNIL bendir á að GDPR-sektir geti numið allt að 10 milljónum evra eða 2% af árlegri veltu á heimsvísu, hvort sem er hærra. Þetta er lögbundið hámark, ekki óumflýjanleg örlög: vel unnin MÁP er einmitt það sem gerir kleift að sýna, ef til eftirlits kemur, að málið hafi verið tekið alvarlega. Heimild: CNIL →

📢

Evrópsk þróun sem fylgjast þarf með

Evrópska persónuverndarráðið (EDPB) setti, frá 14. apríl til 9. júní 2026, drög að sameiginlegu MÁP-sniðmáti í opið samráð, ætlað til að samræma vinnubrögð milli Evrópulanda. Samráðinu er nú lokið; við fylgjumst með framvindu málsins til að upplýsa viðskiptavini okkar þegar þar að kemur. Heimild: EDPB →