GDPR krefst mats á áhrifum á persónuvernd fyrir hvers kyns vinnslu sem gæti skapað mikla áhættu fyrir réttindi og frelsi einstaklinga. SYAGA DPIA-Express skipuleggur og skjalfestir MÁP þitt samkvæmt aðferðafræði 35. greinar og leiðbeiningum EDPB (Evrópska persónuverndar- ráðsins), án spuna og án hrognamáls.
Ákvarða hvort vinnsla þín þurfi MÁP, og framkvæma það síðan samkvæmt reglum
Sérhver vinnsla sem gæti skapað mikla áhættu fyrir réttindi og frelsi einstaklinga þarf mat á áhrifum á persónuvernd áður en hún er sett í framkvæmd (GDPR, 35. gr.).
EDPB (áður G29, leiðbeiningar WP248 rev.01) hefur skilgreint 9 viðmið um mikla áhættu. Um leið og vinnsla uppfyllir að minnsta kosti tvö þessara viðmiða þarf í grundvallar- atriðum að framkvæma MÁP: eitt rangt greint atriði, og skjalið er ófullnægjandi.
CNIL birtir lista yfir vinnslur þar sem MÁP er annaðhvort krafist eða ekki krafist. Að ákvarða nákvæmlega hvar vinnsla þín fellur krefst nákvæmrar yfirferðar, ekki almennrar tilfinningar.
Að framkvæma MÁP of hratt gerir hana ófullnægjandi gagnvart eftirlitsyfirvaldi; að framkvæma hana ekki þegar hennar er krafist skapar brot á 35. grein fyrir stofnunina. Aðferð CNIL skipuleggur þessa ákvörðun og skjalfestir hana.
Uppbyggingin sem 35.7. grein GDPR kveður á um, beitt á vinnslu þína, með rökstuddri niðurstöðu í hverju skrefi
Greining gegn þeim 3 tilvikum sem 35.3. grein tilgreinir, viðmiðatöflu EDPB (9 viðmið, WP248 rev.01) og listum CNIL yfir kröfuskyldar og ókröfuskyldar vinnslur. Rökstudd niðurstaða, hvort sem MÁP reynist á endanum skylda eða ekki.
Tilgangur, flokkar gagna og hlutaðeigandi einstaklinga, viðtakendur, varðveislutími: fullkomin kortlagning sem 35.7.a. grein krefst, í samræmi við vinnsluskrá þína (30. gr.).
Sannprófun á því að hver safnaður gagnaþáttur sé nauðsynlegur fyrir tilganginn, að lagagrundvöllur (6. gr.) sé skilgreindur fyrir hverja vinnslu, og að reglan um lágmörkun gagna (5.1.c. gr.) sé virt.
Fyrir hverja greinda áhættu: alvarleiki, líkur, þegar innleiddar ráðstafanir, eftirstandandi áhætta, sett fram í töflu sem stjórnendur þínir eða persónuverndarfulltrúi (DPO) geta nýtt.
Fyrirhugaðar tæknilegar og skipulagslegar ráðstafanir (32. gr.), rökstudd niðurstaða og skjalfestur rökstuðningur í samræmi við ábyrgðarregluna (5.2. gr.), tiltækt ef til eftirlits CNIL kemur.
Skipulagt og heimildaskráð skjal, hreinskilið um það sem lögfræðingur þinn eða persónuverndarfulltrúi (DPO) þarf enn að staðfesta
Heildarskjalið samkvæmt 35.7. grein (a til d), með rökstuddri niðurstöðu.
Undanfarandi greining sem sker úr um hvort vinnsla þín falli undir skylduna.
MÁP byggir á sama grunni og vinnsluskrá þín.
Hvert óvissuatriði er tilgreint skýrt, aldrei ákveðið í þínum stað.
Sérhver lagaleg fullyrðing er heimildaskráð, ekki sett fram eftir minni.
Afhent á breytanlegu sniði, endurnýtanlegt fyrir DPO þinn eða lögfræðing.
Aðferð sem byggir á lagatextum og yfirvöldum, ekki heimatilbúnum túlkunum
Mat á áhrifum á persónuvernd. Samræmdur texti reglugerðar (ESB) 2016/679 (EUR-Lex, CELEX 32016R0679).
9 viðmið EDPB (áður G29) um mikla áhættu, notuð af CNIL sem viðmiðunaraðferð til að ákvarða MÁP-skyldu.
Listar yfir vinnslur þar sem MÁP er annaðhvort krafist eða ekki krafist, og aðferð CNIL við framkvæmd áhrifamats.
Vinnsluskrá: grunnurinn að samræmi (tilgangur, gögn, tímalengd) sem sérhver MÁP byggir á.
Umfangið ræðst af fjölda vinnsla, flækjustigi þeirra og því sem þegar er skjalfest hjá þér. Tilboð útbúið eftir fyrstu samræður.
Þú veist ekki hvort vinnsla þín falli undir skylduna
Vinnsla sem greind er í mikilli áhættu
Margar áhættuvinnslur sem þarf að ná yfir
MÁP er aldrei endanlegt skjal
35.11. grein GDPR krefst þess að greiningin sé endurskoðuð ef verulegar breytingar verða á vinnslunni (nýr vinnsluaðili, breyting á hýsingu, útvíkkun á söfnunarumfangi). Tilboð fyrir endurskoðun er útbúið í hverju tilviki fyrir sig.
Lýstu vinnslu þinni fyrir okkur, við sendum þér sérsniðið tilboð.
Það sem lagatextinn raunverulega segir, á einföldu máli. Hvert atriði heldur tengli sínum við opinbera skjalið.
MÁP er einfaldlega matsvinna: skoðaðar eru þær áhættur sem gagnavinnsla skapar fyrir einstaklinga, áður en hún er sett í framkvæmd. CNIL skilgreinir hana sem „formlegt ferli til að meta áhættu sem tengist vinnslu persónuupplýsinga". Þetta er ekki enn eitt stjórnsýsluformsatriðið, heldur skynsamlegt verkfæri sem GDPR gerir að skyldu í ákveðnum tilvikum. Heimild: CNIL →
Það þarf ekki að vera stórt fyrirtæki til að falla undir þetta. CNIL telur að MÁP sé skylda um leið og vinnsla uppfyllir að minnsta kosti tvö af eftirfarandi níu tilvikum: að meta eða flokka einstaklinga, taka sjálfvirka ákvörðun sem hefur raunveruleg áhrif á þá, hafa kerfisbundið eftirlit með þeim, safna viðkvæmum gögnum (heilsufari, uppruna o.s.frv.), safna í stórum stíl, tengja saman margar gagnagrunna, beinast að viðkvæmum hópum (starfsfólki, sjúklingum, ólögráða einstaklingum...), nota nýja tækni, eða svipta einhvern rétti eða þjónustu. Heimild: CNIL →
Til að forðast ágiskanir hefur CNIL birt tvo opinbera lista: lista yfir 14 tegundir vinnslu þar sem MÁP er skylda (heilsufarsgögn, mannauðssnið, eftirlit með starfsfólki, staðsetningarrakning í stórum stíl...), og lista yfir 12 tegundir þar sem hennar er ekki krafist (launavinnsla og starfsmannastjórnun hjá færri en 250 starfsmönnum án sniðgreiningar, birgjastjórnun, sjúklingaskrá hjá einum sjálfstætt starfandi heilbrigðisstarfsmanni...). Þessir listar ná ekki yfir öll tilvik, en þeir svara þegar mörgum algengum aðstæðum. Heimild: listi CNIL yfir kröfuskyldar vinnslur →
GDPR (35. grein) krefst ekki heillar skáldsögu, heldur fjögurra nákvæmra þátta: að lýsa vinnslunni og tilgangi hennar, sannreyna að hún sé raunverulega nauðsynleg og í réttu hlutfalli, meta áhættu fyrir hlutaðeigandi einstaklinga, og loks telja upp fyrirhugaðar ráðstafanir til að draga úr þeirri áhættu. Skýr niðurstaða í lokin: er vinnslan ásættanleg, og á hvaða forsendum. Heimild: GDPR, 35. grein →
Ef stofnun þín hefur tilnefnt persónuverndarfulltrúa (DPO), krefst GDPR þess að leitað sé ráða hjá honum þegar MÁP er framkvæmt, og að hann fái það hlutverk að sannreyna að greiningin hafi verið rétt unnin. Þetta er öryggisnet, ekki gátreitur til að merkja við: DPO er réttur viðbragðsaðili áður en niðurstaða er staðfest. Heimild: GDPR, 35. og 39. grein →
Ef vinnslan, þrátt fyrir fyrirhugaðar ráðstafanir, felur enn í sér mikla áhættu fyrir einstaklinga, krefst GDPR samráðs við CNIL áður en hafist er handa. CNIL hefur þá átta vikur til að gefa skriflegt álit (framlengjanlegt um sex vikur ef málið er flókið). Til huggunar: þetta tilvik er undantekning, ekki regla. Heimild: GDPR, 36. grein →
CNIL bendir á að GDPR-sektir geti numið allt að 10 milljónum evra eða 2% af árlegri veltu á heimsvísu, hvort sem er hærra. Þetta er lögbundið hámark, ekki óumflýjanleg örlög: vel unnin MÁP er einmitt það sem gerir kleift að sýna, ef til eftirlits kemur, að málið hafi verið tekið alvarlega. Heimild: CNIL →
Evrópska persónuverndarráðið (EDPB) setti, frá 14. apríl til 9. júní 2026, drög að sameiginlegu MÁP-sniðmáti í opið samráð, ætlað til að samræma vinnubrögð milli Evrópulanda. Samráðinu er nú lokið; við fylgjumst með framvindu málsins til að upplýsa viðskiptavini okkar þegar þar að kemur. Heimild: EDPB →