VDAR uzliek pienākumu veikt Datu aizsardzības ietekmes novērtējumu ikvienai apstrādei, kas var radīt augstu risku personu tiesībām un brīvībām. SYAGA DPIA-Express strukturē un dokumentē jūsu DAIN saskaņā ar 35. panta metodoloģiju un EDAK vadlīnijām, bez improvizācijas un bez žargona.
Noteikt, vai jūsu apstrādei nepieciešams DAIN, un pēc tam to veikt pēc noteikumiem
Ikvienai apstrādei, kas var radīt augstu risku fizisko personu tiesībām un brīvībām, pirms tās ieviešanas jāveic Datu aizsardzības ietekmes novērtējums (VDAR, 35. pants).
EDAK (bijusī 29. panta darba grupa, vadlīnijas WP248 rev.01) ir noteikusi 9 augsta riska kritērijus. Tiklīdz apstrāde atbilst vismaz diviem no šiem kritērijiem, principā jāveic DAIN: viena nepareizi identificēta detaļa, un lieta ir nepilnīga.
CNIL publicē apstrāžu sarakstus, kurām DAIN ir vai nav nepieciešams. Precīzi noteikt, kur atrodas jūsu apstrāde, prasa rūpīgu lasīšanu, nevis vispārēju iespaidu.
Pārāk ātri veikts DAIN pakļauj nepilnīgumam uzraudzības iestādes priekšā; DAIN neveikšana, kad tas ir nepieciešams, pakļauj organizāciju 35. panta pārkāpumam. CNIL metode strukturē šo izvēli un to dokumentē.
VDAR 35.7. panta noteiktā struktūra, piemērota jūsu apstrādei, ar pamatotu secinājumu katrā posmā
Analīze pret 35.3. panta 3 gadījumiem, EDAK 9 kritēriju sarakstu (WP248 rev.01) un CNIL sarakstiem par nepieciešamām vai nenepieciešamām apstrādēm. Pamatots secinājums, neatkarīgi no tā, vai DAIN galarezultātā ir obligāts vai nē.
Mērķi, datu un attiecīgo personu kategorijas, saņēmēji, glabāšanas termiņi: pilnīga kartēšana, ko pieprasa 35.7.a pants, saskaņota ar jūsu apstrādes darbību reģistru (30. pants).
Pārbaude, vai katrs savāktais dati ir nepieciešams izvirzītajam mērķim, vai tiesiskais pamats (6. pants) ir identificēts katrai apstrādei, un vai tiek ievērots datu minimizēšanas princips (5.1.c pants).
Katram identificētajam riskam: smagums, iespējamība, jau ieviestie pasākumi, atlikušais risks - tas viss iesniegts tabulas veidā, ko var izmantot jūsu vadība vai DAV.
Paredzētie tehniskie un organizatoriskie pasākumi (32. pants), pamatots secinājums un dokumentēts pamatojums atbildības principa ietvaros (5.2. pants), izmantojams CNIL pārbaudes gadījumā.
Strukturēts, avotos balstīts un godīgs dokuments par to, kas vēl jāapstiprina jūsu juristam vai DAV
Pilnīgs dokuments atbilstoši 35.7. pantam (a-d), ar pamatotu secinājumu.
Iepriekšēja analīze, kas nosaka, vai jūsu apstrāde ietilpst pienākuma tvērumā.
DAIN balstās uz to pašu pamatu kā jūsu apstrādes darbību reģistrs.
Katrs neskaidrības punkts ir skaidri norādīts, nekad izlemts jūsu vietā.
Katrs juridiskais apgalvojums ir avotos balstīts, nevis apgalvots no atmiņas.
Nodots rediģējamā formātā, atkārtoti izmantojams jūsu DAV vai juristam.
Metode, kas balstās uz tekstiem un iestādēm, nevis uz pašu interpretāciju
Datu aizsardzības ietekmes novērtējums. Regulas (ES) 2016/679 konsolidētais teksts (EUR-Lex, CELEX 32016R0679).
EDAK (bijusī 29. panta darba grupa) 9 augsta riska kritēriji, ko CNIL pārņēmusi kā atsauces metodi DAIN pienākuma noteikšanai.
Saraksti ar apstrādēm, kurām DAIN ir vai nav nepieciešams, un CNIL metode ietekmes novērtējuma veikšanai.
Apstrādes darbību reģistrs: saskaņotības pamats (mērķi, dati, termiņi), uz kura balstās ikviens DAIN.
Apjoms ir atkarīgs no apstrāžu skaita, to sarežģītības un no tā, kas jau ir dokumentēts jūsu uzņēmumā. Piedāvājums tiek sagatavots pēc pirmās pārrunas.
Jūs nezināt, vai jūsu apstrāde ir skarta
Identificēta augsta riska apstrāde
Vairākas riska apstrādes, kas jāaptver
DAIN nekad nav galīgs
VDAR 35.11. pants uzliek pienākumu pārskatīt analīzi, ja apstrādē notiek būtiskas izmaiņas (jauns apstrādātājs, hostinga maiņa, savākšanas apjoma paplašināšana). Pārskatīšanas piedāvājums tiek sagatavots individuāli.
Aprakstiet mums savu apstrādi, mēs ar jums sazināsimies ar individuālu piedāvājumu.
Tas, ko tiešām saka teksts, vienkāršā valodā. Katrs punkts saglabā saiti uz oficiālo dokumentu.
DAIN ir vienkārši novērtēšanas darbs: tiek aplūkoti riski, ko datu apstrāde rada personām, pirms tās ieviešanas. CNIL to definē kā "formālu procesu, kas ļauj novērtēt riskus, kas saistīti ar personas datu apstrādi". Tā nav vēl viena administratīva formalitāte, tas ir veselā saprāta rīks, ko VDAR dažos gadījumos padara obligātu. Avots: CNIL →
Nav jābūt lielam uzņēmumam, lai būtu skarts. CNIL uzskata, ka DAIN ir obligāts, tiklīdz apstrāde atbilst vismaz divām no šīm deviņām situācijām: personu vērtēšana vai novērtēšana, automatizēta lēmuma pieņemšana, kam ir reāla ietekme uz tām, sistemātiska novērošana, sensitīvu datu (veselība, izcelsme u.c.) vākšana, liela mēroga vākšana, vairāku datubāzu apvienošana, mērķauditorija ir neaizsargātas personas (darbinieki, pacienti, nepilngadīgie...), jaunas tehnoloģijas izmantošana, vai kāda tiesību vai pakalpojuma liegšana. Avots: CNIL →
Lai izvairītos no minējumiem, CNIL ir publicējusi divus oficiālus sarakstus: 14 apstrāžu veidu sarakstu, kur DAIN ir obligāts (veselības dati, personāla profilēšana, darbinieku novērošana, liela mēroga ģeolokācija...), un 12 veidu sarakstu, kur tas nav nepieciešams (alga un personāla vadība mazāk nekā 250 darbinieku uzņēmumos bez profilēšanas, piegādātāju pārvaldība, atsevišķa veselības aprūpes speciālista pacientu lietas...). Šie saraksti neaptver visus gadījumus, bet jau atbild uz daudzām biežām situācijām. Avots: CNIL saraksts par nepieciešamām apstrādēm →
VDAR (35. pants) neprasa romānu, bet gan četrus precīzus elementus: aprakstīt apstrādi un tās mērķi, pārbaudīt, vai tā tiešām ir nepieciešama un samērīga, novērtēt riskus attiecīgajām personām, tad uzskaitīt paredzētos pasākumus šo risku mazināšanai. Beigās skaidrs secinājums: vai apstrāde ir pieņemama, un ar kādiem nosacījumiem. Avots: VDAR, 35. pants →
Ja jūsu organizācija ir iecēlusi Datu aizsardzības speciālistu, VDAR uzliek pienākumu lūgt viņa padomu, veicot DAIN, un uzticēt viņam pārbaudīt, vai analīze tiešām ir veikta. Tas ir aizsargmehānisms, nevis atzīmējama ķeksīša rūtiņa: DAV joprojām ir pareizais solis pirms secinājuma apstiprināšanas. Avots: VDAR, 35. un 39. pants →
Ja, neraugoties uz paredzētajiem pasākumiem, apstrāde joprojām rada augstu risku personām, VDAR uzliek pienākumu konsultēties ar CNIL pirms sākuma. Tai tad ir astoņas nedēļas, lai sniegtu rakstisku atzinumu (var pagarināt par sešām nedēļām, ja lieta ir sarežģīta). Nomierinoši zināt: šis gadījums paliek izņēmums, nevis likums. Avots: VDAR, 36. pants →
CNIL atgādina, ka VDAR naudas sodi var sasniegt līdz 10 miljoniem eiro vai 2% no gada globālā apgrozījuma, atkarībā no tā, kura summa ir lielāka. Tas ir tiesisks maksimums, nevis neizbēgamība: labi veikts DAIN tieši ļauj pierādīt pārbaudes gadījumā, ka jautājums ticis uztverts nopietni. Avots: CNIL →
Eiropas Datu aizsardzības kolēģija (EDAK/EDPB) no 2026. gada 14. aprīļa līdz 9. jūnijam rīkoja sabiedrisko apspriešanu par vienotā DAIN parauga projektu, kura mērķis ir saskaņot prakses Eiropas valstīs. Apspriešana tagad ir slēgta; mēs sekojam līdzi šī projekta virzībai, lai savlaicīgi informētu savus klientus. Avots: EDPB →