BDAR - 35 STRAIPSNIS - POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS (PDAV)

Jūsų PDAV, atitinkanti
CNIL metodiką

BDAR reikalauja atlikti poveikio duomenų apsaugai vertinimą (PDAV) kiekvienam duomenų tvarkymui, galinčiam kelti didelę riziką asmenų teisėms ir laisvėms. SYAGA DPIA-Express struktūrizuoja ir dokumentuoja jūsų PDAV pagal 35 straipsnio metodiką ir EDAV gaires, be improvizacijos ir be žargono.

35
BDAR straipsnis (PDAV)
9
EDAV kriterijai (WP248 rev.01)
3
Pareigos atvejai (35.3 str.)
4
Metodikos dalys (35.7 str. a-d)

Pareiga

Nustatyti, ar jūsų duomenų tvarkymui reikalingas PDAV, o tada atlikti jį pagal taisykles

BDAR 35 straipsnis reikalauja PDAV

Kiekvienam duomenų tvarkymui, galinčiam kelti didelę riziką fizinių asmenų teisėms ir laisvėms, prieš jį įgyvendinant turi būti atliktas poveikio duomenų apsaugai vertinimas (BDAR, 35 str.).

📋

CNIL taisyklė „2 kriterijai iš 9"

EDAV (buvusi G29 darbo grupė, gairės WP248 rev.01) apibrėžė 9 didelės rizikos kriterijus. Kai duomenų tvarkymas atitinka bent du iš šių kriterijų, iš esmės turi būti atliktas PDAV: pakanka vieno neteisingai įvertinto kriterijaus, ir dokumentacija tampa neišsami.

🔍

CNIL sąrašai, kuriuos reikia patikrinti punktas po punkto

CNIL (Prancūzijos institucija) skelbia duomenų tvarkymo sąrašus, kuriems PDAV yra reikalingas arba nereikalingas. Norint tiksliai nustatyti, kur patenka jūsų atvejis, reikia kruopštaus skaitymo, o ne bendro įspūdžio.

Be metodikos rizika dviguba

Per greitai atliktas PDAV kelia riziką, kad priežiūros institucija jį laikys neišsamiu; jo neatlikimas, kai jis reikalingas, kelia riziką organizacijai pažeisti 35 straipsnį. CNIL metodika struktūrizuoja šį sprendimą ir jį dokumentuoja.

Metodika: DPIA-Express

BDAR 35.7 straipsnio reikalaujama struktūra, pritaikyta jūsų duomenų tvarkymui, su pagrįsta išvada kiekviename etape

1
Pareigos nustatymas

Ar jūsų duomenų tvarkymui iš tikrųjų reikalingas PDAV?

Analizė pagal 3 atvejus iš 35.3 straipsnio, EDAV 9 kriterijų lentelę (WP248 rev.01) ir CNIL sąrašus, nurodančius, kada PDAV reikalingas arba ne. Pagrįsta išvada, nesvarbu, ar galiausiai PDAV yra privalomas, ar ne.

2
Art. 35.7.a

Sisteminis duomenų tvarkymo aprašymas

Tikslai, duomenų ir susijusių asmenų kategorijos, gavėjai, saugojimo terminai: išsamus žemėlapis, kurio reikalauja 35.7.a straipsnis, suderintas su jūsų duomenų tvarkymo veiklos registru (30 str.).

3
Art. 35.7.b

Būtinumas ir proporcingumas

Patikrinama, ar kiekvienas surinktas duomuo yra būtinas siekiamam tikslui, ar kiekvienam duomenų tvarkymui nustatytas teisinis pagrindas (6 str.), ir ar laikomasi duomenų kiekio mažinimo principo (5.1.c str.).

4
Art. 35.7.c

Rizikos asmenims vertinimas

Kiekvienai nustatytai rizikai: sunkumas, tikimybė, jau taikomos priemonės, likutinė rizika - pateikiama lentele, kurią gali naudoti jūsų vadovybė arba DAP (duomenų apsaugos pareigūnas).

5
Art. 35.7.d ir 5.2

Priemonės ir dokumentuota išvada

Numatomos techninės ir organizacinės priemonės (32 str.), pagrįsta išvada ir dokumentuotas pagrindimas pagal atskaitomybės principą (5.2 str.), kuriuo galima remtis CNIL patikrinimo atveju.

Ką jūs gaunate

Struktūrizuotas, šaltiniais pagrįstas ir sąžiningas dokumentas, aiškiai nurodantis, ką dar turi patvirtinti jūsų teisininkas ar DAP

📝

Struktūrizuota PDAV ataskaita

Išsamus dokumentas pagal 35.7 straipsnį (a-d punktai), su pagrįsta išvada.

  • Sisteminis duomenų tvarkymo aprašymas
  • Būtinumo ir proporcingumo analizė
  • Rizikų lentelė (sunkumas/tikimybė/priemonės)
  • Išvada ir dokumentuotas pagrindimas (5.2 str.)

Nustatymo lentelė

Išankstinė analizė, nustatanti, ar jūsų duomenų tvarkymas patenka į pareigos taikymo sritį.

  • 3 atvejai iš 35.3 straipsnio
  • 9 EDAV kriterijai (WP248 rev.01)
  • Palyginimas su CNIL sąrašais
  • Pagrįsta ir šaltiniais paremta išvada
📁

Suderinamumas su 30 str. registru

PDAV remiasi tuo pačiu pagrindu kaip ir jūsų duomenų tvarkymo veiklos registras.

  • Tikslai ir teisiniai pagrindai
  • Duomenų ir asmenų kategorijos
  • Gavėjai ir duomenų tvarkytojai
  • Saugojimo terminai pagal kategoriją
🚩

Punktai, kuriuos turi patvirtinti jūsų teisininkas/DAP

Kiekvienas neaiškus punktas aiškiai pažymimas, niekada nesprendžiamas už jus.

  • Duomenų valdytojo / tvarkytojo statuso nustatymas
  • Teisiniai pagrindai pagal tikslą
  • Nustatyti duomenų perdavimai už ES ribų
  • DAP paskyrimas (37 str.), jei taikoma
🔗

Šaltiniai ir atsekamumas

Kiekvienas teisinis teiginys yra pagrįstas šaltiniu, o ne teigiamas iš atminties.

  • Konsoliduotas BDAR tekstas (CELEX 32016R0679)
  • CNIL puslapiai ir sąrašai (PDAV, registras)
  • EDAV gairės (WP248 rev.01)
  • Patikrinamos nuorodos, cituojamos dokumente
📄

Redaguojamas dokumentas

Pateikiamas redaguojamu formatu, kurį gali pakartotinai naudoti jūsų DAP ar teisininkas.

  • Struktūra, atitinkanti 35.7 straipsnį
  • Pakartotinai naudojamas būsimiems duomenų tvarkymams
  • Paruoštas papildyti prieš galutinį patvirtinimą
  • Neprimetamas jokio fiksuoto formatavimo

Naudojami šaltiniai

Metodika, grindžiama teisės aktais ir institucijomis, o ne savavališkais aiškinimais

35

BDAR - 35 straipsnis

Poveikio duomenų apsaugai vertinimas. Konsoliduotas Reglamento (ES) 2016/679 tekstas (EUR-Lex, CELEX 32016R0679).

EDAV

WP248 rev.01 gairės

9 EDAV (buvusios G29) didelės rizikos kriterijai, kuriuos CNIL naudoja kaip pagrindinę metodiką PDAV pareigai nustatyti.

CNIL

CNIL sąrašai ir metodika

Sąrašai duomenų tvarkymo, kuriems PDAV yra reikalingas arba nereikalingas, ir CNIL (Prancūzijos institucijos) poveikio vertinimo atlikimo metodika.

30

BDAR - 30 straipsnis

Duomenų tvarkymo veiklos registras: suderinamumo pagrindas (tikslai, duomenys, terminai), kuriuo remiasi kiekvienas PDAV.

Individualus PDAV, be paslėptų kainų

Apimtis priklauso nuo duomenų tvarkymo operacijų skaičiaus, jų sudėtingumo ir to, kas jau dokumentuota jūsų organizacijoje. Pasiūlymas parengiamas po pirminio pokalbio.

Pareigos nustatymas

Nežinote, ar jūsų duomenų tvarkymui taikoma pareiga

Pagal pasiūlymą
priklausomai nuo analizuotinų duomenų tvarkymo operacijų skaičiaus
  • EDAV 9 kriterijų lentelė
  • Palyginimas su 35.3 straipsniu
  • CNIL sąrašų patikrinimas
  • Pagrįsta ir šaltiniais paremta išvada
Prašyti pasiūlymo

Kelerių metų programa

Keli rizikingi duomenų tvarkymai, kuriuos reikia apimti

Pagal pasiūlymą
priklausomai nuo duomenų tvarkymo operacijų skaičiaus ir peržiūros dažnumo
  • Viskas iš „Išsamus PDAV" +
  • Bendra metodologinė sistema
  • Periodinė peržiūra (35.11 str.)
  • Palaikomas suderinamumas su registru (30 str.)
Prašyti pasiūlymo

PDAV niekada nėra galutinis

BDAR 35.11 straipsnis reikalauja peržiūrėti analizę, kai duomenų tvarkymas reikšmingai pasikeičia (naujas duomenų tvarkytojas, talpinimo pakeitimas, surinkimo apimties išplėtimas). Peržiūros pasiūlymas rengiamas individualiai.

Dažnai užduodami klausimai

Ar mano duomenų tvarkymui iš tikrųjų taikoma PDAV pareiga?
Tai priklauso nuo trijų metodiškai patikrintų elementų: 3 atvejų iš BDAR 35.3 straipsnio, EDAV 9 kriterijų lentelės (gairės WP248 rev.01, kurias taiko CNIL: kai atitinkami bent 2 kriterijai iš 9, iš esmės turi būti atliktas PDAV), ir CNIL sąrašų, nurodančių, kada tvarkymui reikalingas PDAV. Pateiktas dokumentas išsprendžia šį klausimą ir jį pagrindžia punktas po punkto.
Ką tiksliai apima pateiktas dokumentas?
Dokumentas, struktūrizuotas pagal BDAR 35.7 straipsnį: sisteminis duomenų tvarkymo aprašymas (a), būtinumo ir proporcingumo analizė (b), rizikos duomenų subjektams vertinimas (c), numatomos techninės ir organizacinės priemonės (d), o tada pagrįsta išvada. Kiekviena teisinė nuoroda yra pagrįsta šaltiniu (konsoliduotas BDAR tekstas, CNIL, EDAV).
O jei mano duomenų tvarkymui galiausiai PDAV pareiga netaikoma?
Dokumentas išsaugomas savanoriškai, dokumentavimo tikslais: jis pagrindžia jūsų sprendimą neatlikti formalaus PDAV pagal atskaitomybės principą (BDAR 5.2 str.) ir gali būti panaudotas CNIL patikrinimo atveju.
Ar šis dokumentas pakeičia mano advokato ar DAP nuomonę?
Ne. DPIA-Express yra metodologinė pagalbinė priemonė, kuri struktūrizuoja ir dokumentuoja analizę; tai nėra teisinė konsultacija. Kiekviename pateiktame dokumente aiškiai išvardijami punktai, kuriuos prieš bet kokį oficialų naudojimą turi patvirtinti jūsų teisininkas arba duomenų apsaugos pareigūnas.
Kas mano organizacijoje turi atlikti PDAV?
Duomenų valdytojas išlieka teisiškai atsakingas už PDAV; DAP, jei toks paskirtas, turi būti konsultuojamas (BDAR 35.2 str.). DPIA-Express parengia medžiagą (aprašymą, riziką, priemones), kad ši konsultacija vyktų remiantis jau struktūrizuota byla, o ne tuščiu lapu.
Kodėl rinktis SYAGA, o ne atlikti viską vidiniais ištekliais?
SYAGA Consulting veikia nuo 2009 m. ir taiko tą pačią metodiką savo pačios duomenų tvarkymui, įskaitant savo Microsoft 365 audito produktą, kurio PDAV pareigos analizė seka lygiai tokia pačia struktūra. Mes nepateikiame bendro šablono: kiekvienas dokumentas kuriamas atskirai kiekvienam duomenų tvarkymui, straipsnis po straipsnio.

Pasiruošę dokumentuoti savo PDAV?

Aprašykite mums savo duomenų tvarkymą, ir mes pateiksime individualų pasiūlymą.

Teisės aktų stebėsena - oficialūs šaltiniai

Ką iš tikrųjų sako teisės aktas, paprasta kalba. Kiekvienas punktas išlaiko nuorodą į oficialų dokumentą.

📋

Kas yra PDAV paprastai kalbant?

PDAV - tai tiesiog vertinimo darbas: prieš įgyvendinant duomenų tvarkymą, įvertinama, kokią riziką jis kelia žmonėms. CNIL (Prancūzijos institucija) jį apibrėžia kaip „formalų procesą, leidžiantį įvertinti su asmens duomenų tvarkymu susijusią riziką". Tai ne dar viena administracinė formalumas, o sveiko proto priemonė, kurią BDAR tam tikrais atvejais paverčia privaloma. Šaltinis: CNIL →

🎯

Kam tai iš tikrųjų taikoma: taisyklė „2 kriterijai iš 9"

Nebūtina būti didele įmone, kad tai būtų aktualu. CNIL laikosi nuomonės, kad PDAV yra privalomas, kai duomenų tvarkymas atitinka bent du iš šių devynių atvejų: asmenų vertinimas ar reitingavimas, automatizuoto sprendimo, turinčio realų poveikį asmenims, priėmimas, sistemingas jų sekimas, jautrių duomenų (sveikatos, kilmės ir kt.) rinkimas, didelio masto duomenų rinkimas, kelių duomenų bazių sujungimas, pažeidžiamų asmenų (darbuotojų, pacientų, nepilnamečių...) tikslinis apėmimas, naujos technologijos naudojimas arba asmens teisės ar paslaugos atėmimas. Šaltinis: CNIL →

Du CNIL sąrašai, kurie dažnai jau atsako už jus

Kad nereikėtų spėlioti, CNIL paskelbė du oficialius sąrašus: 14 duomenų tvarkymo tipų sąrašą, kuriems PDAV yra privalomas (sveikatos duomenys, personalo profiliavimas, darbuotojų sekimas, didelio masto geolokacija...), ir 12 tipų sąrašą, kuriems jis nereikalingas (darbo užmokestis ir personalo valdymas mažiau nei 250 darbuotojų įmonėse be profiliavimo, tiekėjų valdymas, pavienio sveikatos priežiūros specialisto paciento byla...). Šie sąrašai neapima visų atvejų, tačiau jau atsako į daugybę įprastų situacijų. Šaltinis: CNIL reikalaujamų duomenų tvarkymų sąrašas →

🧩

Ką analizė iš tikrųjų turi apimti

BDAR (35 straipsnis) nereikalauja romano, o keturių aiškių elementų: aprašyti duomenų tvarkymą ir jo tikslą, patikrinti, ar jis iš tikrųjų būtinas ir proporcingas, įvertinti riziką duomenų subjektams, o tada išvardyti numatomas priemones šiai rizikai sumažinti. Pabaigoje - aiški išvada: ar duomenų tvarkymas yra priimtinas, ir kokiomis sąlygomis. Šaltinis: BDAR, 35 straipsnis →

👤

Jūsų DAP vaidmuo (jei jį turite)

Jei jūsų organizacija paskyrė duomenų apsaugos pareigūną, BDAR reikalauja su juo pasitarti atliekant PDAV ir pavesti jam patikrinti, ar analizė buvo tinkamai atlikta. Tai apsaugos priemonė, o ne varnelė formoje: DAP išlieka teisingas žingsnis prieš patvirtinant išvadą. Šaltinis: BDAR, 35 ir 39 straipsniai →

O jei rizika po analizės išlieka didelė?

Jei, nepaisant numatytų priemonių, duomenų tvarkymas asmenims vis dar kelia didelę riziką, BDAR reikalauja prieš pradedant pasikonsultuoti su CNIL. Tada institucija turi aštuonias savaites pateikti rašytinę nuomonę (galima pratęsti šešiomis savaitėmis, jei byla sudėtinga). Verta žinoti: šis atvejis lieka išimtimi, o ne taisykle. Šaltinis: BDAR, 36 straipsnis →

💰

Sankcijos, be dramatizavimo

CNIL primena, kad BDAR baudos gali siekti iki 10 milijonų eurų arba 2% pasaulinės metinės apyvartos, priklausomai nuo to, kuri suma didesnė. Tai teisinė riba, o ne neišvengiama lemtis: gerai atliktas PDAV kaip tik ir leidžia patikrinimo atveju parodyti, kad klausimas buvo vertinamas rimtai. Šaltinis: CNIL →

📢

Europos naujiena, kurią verta stebėti

Europos duomenų apsaugos valdyba (EDAV/EDPB) nuo 2026 m. balandžio 14 d. iki birželio 9 d. surengė viešas konsultacijas dėl bendro PDAV šablono projekto, skirto suvienodinti praktiką tarp Europos šalių. Konsultacijos jau baigtos; mes stebime šio projekto tolesnę eigą, kad laiku informuotume savo klientus. Šaltinis: EDPB →