BDAR reikalauja atlikti poveikio duomenų apsaugai vertinimą (PDAV) kiekvienam duomenų tvarkymui, galinčiam kelti didelę riziką asmenų teisėms ir laisvėms. SYAGA DPIA-Express struktūrizuoja ir dokumentuoja jūsų PDAV pagal 35 straipsnio metodiką ir EDAV gaires, be improvizacijos ir be žargono.
Nustatyti, ar jūsų duomenų tvarkymui reikalingas PDAV, o tada atlikti jį pagal taisykles
Kiekvienam duomenų tvarkymui, galinčiam kelti didelę riziką fizinių asmenų teisėms ir laisvėms, prieš jį įgyvendinant turi būti atliktas poveikio duomenų apsaugai vertinimas (BDAR, 35 str.).
EDAV (buvusi G29 darbo grupė, gairės WP248 rev.01) apibrėžė 9 didelės rizikos kriterijus. Kai duomenų tvarkymas atitinka bent du iš šių kriterijų, iš esmės turi būti atliktas PDAV: pakanka vieno neteisingai įvertinto kriterijaus, ir dokumentacija tampa neišsami.
CNIL (Prancūzijos institucija) skelbia duomenų tvarkymo sąrašus, kuriems PDAV yra reikalingas arba nereikalingas. Norint tiksliai nustatyti, kur patenka jūsų atvejis, reikia kruopštaus skaitymo, o ne bendro įspūdžio.
Per greitai atliktas PDAV kelia riziką, kad priežiūros institucija jį laikys neišsamiu; jo neatlikimas, kai jis reikalingas, kelia riziką organizacijai pažeisti 35 straipsnį. CNIL metodika struktūrizuoja šį sprendimą ir jį dokumentuoja.
BDAR 35.7 straipsnio reikalaujama struktūra, pritaikyta jūsų duomenų tvarkymui, su pagrįsta išvada kiekviename etape
Analizė pagal 3 atvejus iš 35.3 straipsnio, EDAV 9 kriterijų lentelę (WP248 rev.01) ir CNIL sąrašus, nurodančius, kada PDAV reikalingas arba ne. Pagrįsta išvada, nesvarbu, ar galiausiai PDAV yra privalomas, ar ne.
Tikslai, duomenų ir susijusių asmenų kategorijos, gavėjai, saugojimo terminai: išsamus žemėlapis, kurio reikalauja 35.7.a straipsnis, suderintas su jūsų duomenų tvarkymo veiklos registru (30 str.).
Patikrinama, ar kiekvienas surinktas duomuo yra būtinas siekiamam tikslui, ar kiekvienam duomenų tvarkymui nustatytas teisinis pagrindas (6 str.), ir ar laikomasi duomenų kiekio mažinimo principo (5.1.c str.).
Kiekvienai nustatytai rizikai: sunkumas, tikimybė, jau taikomos priemonės, likutinė rizika - pateikiama lentele, kurią gali naudoti jūsų vadovybė arba DAP (duomenų apsaugos pareigūnas).
Numatomos techninės ir organizacinės priemonės (32 str.), pagrįsta išvada ir dokumentuotas pagrindimas pagal atskaitomybės principą (5.2 str.), kuriuo galima remtis CNIL patikrinimo atveju.
Struktūrizuotas, šaltiniais pagrįstas ir sąžiningas dokumentas, aiškiai nurodantis, ką dar turi patvirtinti jūsų teisininkas ar DAP
Išsamus dokumentas pagal 35.7 straipsnį (a-d punktai), su pagrįsta išvada.
Išankstinė analizė, nustatanti, ar jūsų duomenų tvarkymas patenka į pareigos taikymo sritį.
PDAV remiasi tuo pačiu pagrindu kaip ir jūsų duomenų tvarkymo veiklos registras.
Kiekvienas neaiškus punktas aiškiai pažymimas, niekada nesprendžiamas už jus.
Kiekvienas teisinis teiginys yra pagrįstas šaltiniu, o ne teigiamas iš atminties.
Pateikiamas redaguojamu formatu, kurį gali pakartotinai naudoti jūsų DAP ar teisininkas.
Metodika, grindžiama teisės aktais ir institucijomis, o ne savavališkais aiškinimais
Poveikio duomenų apsaugai vertinimas. Konsoliduotas Reglamento (ES) 2016/679 tekstas (EUR-Lex, CELEX 32016R0679).
9 EDAV (buvusios G29) didelės rizikos kriterijai, kuriuos CNIL naudoja kaip pagrindinę metodiką PDAV pareigai nustatyti.
Sąrašai duomenų tvarkymo, kuriems PDAV yra reikalingas arba nereikalingas, ir CNIL (Prancūzijos institucijos) poveikio vertinimo atlikimo metodika.
Duomenų tvarkymo veiklos registras: suderinamumo pagrindas (tikslai, duomenys, terminai), kuriuo remiasi kiekvienas PDAV.
Apimtis priklauso nuo duomenų tvarkymo operacijų skaičiaus, jų sudėtingumo ir to, kas jau dokumentuota jūsų organizacijoje. Pasiūlymas parengiamas po pirminio pokalbio.
Nežinote, ar jūsų duomenų tvarkymui taikoma pareiga
Nustatytas didelės rizikos duomenų tvarkymas
Keli rizikingi duomenų tvarkymai, kuriuos reikia apimti
PDAV niekada nėra galutinis
BDAR 35.11 straipsnis reikalauja peržiūrėti analizę, kai duomenų tvarkymas reikšmingai pasikeičia (naujas duomenų tvarkytojas, talpinimo pakeitimas, surinkimo apimties išplėtimas). Peržiūros pasiūlymas rengiamas individualiai.
Aprašykite mums savo duomenų tvarkymą, ir mes pateiksime individualų pasiūlymą.
Ką iš tikrųjų sako teisės aktas, paprasta kalba. Kiekvienas punktas išlaiko nuorodą į oficialų dokumentą.
PDAV - tai tiesiog vertinimo darbas: prieš įgyvendinant duomenų tvarkymą, įvertinama, kokią riziką jis kelia žmonėms. CNIL (Prancūzijos institucija) jį apibrėžia kaip „formalų procesą, leidžiantį įvertinti su asmens duomenų tvarkymu susijusią riziką". Tai ne dar viena administracinė formalumas, o sveiko proto priemonė, kurią BDAR tam tikrais atvejais paverčia privaloma. Šaltinis: CNIL →
Nebūtina būti didele įmone, kad tai būtų aktualu. CNIL laikosi nuomonės, kad PDAV yra privalomas, kai duomenų tvarkymas atitinka bent du iš šių devynių atvejų: asmenų vertinimas ar reitingavimas, automatizuoto sprendimo, turinčio realų poveikį asmenims, priėmimas, sistemingas jų sekimas, jautrių duomenų (sveikatos, kilmės ir kt.) rinkimas, didelio masto duomenų rinkimas, kelių duomenų bazių sujungimas, pažeidžiamų asmenų (darbuotojų, pacientų, nepilnamečių...) tikslinis apėmimas, naujos technologijos naudojimas arba asmens teisės ar paslaugos atėmimas. Šaltinis: CNIL →
Kad nereikėtų spėlioti, CNIL paskelbė du oficialius sąrašus: 14 duomenų tvarkymo tipų sąrašą, kuriems PDAV yra privalomas (sveikatos duomenys, personalo profiliavimas, darbuotojų sekimas, didelio masto geolokacija...), ir 12 tipų sąrašą, kuriems jis nereikalingas (darbo užmokestis ir personalo valdymas mažiau nei 250 darbuotojų įmonėse be profiliavimo, tiekėjų valdymas, pavienio sveikatos priežiūros specialisto paciento byla...). Šie sąrašai neapima visų atvejų, tačiau jau atsako į daugybę įprastų situacijų. Šaltinis: CNIL reikalaujamų duomenų tvarkymų sąrašas →
BDAR (35 straipsnis) nereikalauja romano, o keturių aiškių elementų: aprašyti duomenų tvarkymą ir jo tikslą, patikrinti, ar jis iš tikrųjų būtinas ir proporcingas, įvertinti riziką duomenų subjektams, o tada išvardyti numatomas priemones šiai rizikai sumažinti. Pabaigoje - aiški išvada: ar duomenų tvarkymas yra priimtinas, ir kokiomis sąlygomis. Šaltinis: BDAR, 35 straipsnis →
Jei jūsų organizacija paskyrė duomenų apsaugos pareigūną, BDAR reikalauja su juo pasitarti atliekant PDAV ir pavesti jam patikrinti, ar analizė buvo tinkamai atlikta. Tai apsaugos priemonė, o ne varnelė formoje: DAP išlieka teisingas žingsnis prieš patvirtinant išvadą. Šaltinis: BDAR, 35 ir 39 straipsniai →
Jei, nepaisant numatytų priemonių, duomenų tvarkymas asmenims vis dar kelia didelę riziką, BDAR reikalauja prieš pradedant pasikonsultuoti su CNIL. Tada institucija turi aštuonias savaites pateikti rašytinę nuomonę (galima pratęsti šešiomis savaitėmis, jei byla sudėtinga). Verta žinoti: šis atvejis lieka išimtimi, o ne taisykle. Šaltinis: BDAR, 36 straipsnis →
CNIL primena, kad BDAR baudos gali siekti iki 10 milijonų eurų arba 2% pasaulinės metinės apyvartos, priklausomai nuo to, kuri suma didesnė. Tai teisinė riba, o ne neišvengiama lemtis: gerai atliktas PDAV kaip tik ir leidžia patikrinimo atveju parodyti, kad klausimas buvo vertinamas rimtai. Šaltinis: CNIL →
Europos duomenų apsaugos valdyba (EDAV/EDPB) nuo 2026 m. balandžio 14 d. iki birželio 9 d. surengė viešas konsultacijas dėl bendro PDAV šablono projekto, skirto suvienodinti praktiką tarp Europos šalių. Konsultacijos jau baigtos; mes stebime šio projekto tolesnę eigą, kad laiku informuotume savo klientus. Šaltinis: EDPB →