VDAR - 35. PANTS - IETEKMES NOVĒRTĒJUMS (DAIN)

Jūsu DAIN atbilstoši
CNIL metodei

VDAR uzliek pienākumu veikt Datu aizsardzības ietekmes novērtējumu ikvienai apstrādei, kas var radīt augstu risku personu tiesībām un brīvībām. SYAGA DPIA-Express strukturē un dokumentē jūsu DAIN saskaņā ar 35. panta metodoloģiju un EDAK vadlīnijām, bez improvizācijas un bez žargona.

35
VDAR pants (DAIN)
9
EDAK kritēriji (WP248 rev.01)
3
Pienākuma gadījumi (35.3. p.)
4
Metodes sadaļas (35.7. p. a-d)

Pienākums

Noteikt, vai jūsu apstrādei nepieciešams DAIN, un pēc tam to veikt pēc noteikumiem

VDAR 35. pants uzliek pienākumu veikt DAIN

Ikvienai apstrādei, kas var radīt augstu risku fizisko personu tiesībām un brīvībām, pirms tās ieviešanas jāveic Datu aizsardzības ietekmes novērtējums (VDAR, 35. pants).

📋

CNIL "2 kritēriji no 9" noteikums

EDAK (bijusī 29. panta darba grupa, vadlīnijas WP248 rev.01) ir noteikusi 9 augsta riska kritērijus. Tiklīdz apstrāde atbilst vismaz diviem no šiem kritērijiem, principā jāveic DAIN: viena nepareizi identificēta detaļa, un lieta ir nepilnīga.

🔍

CNIL saraksti, kas jāsalīdzina pantu pēc panta

CNIL publicē apstrāžu sarakstus, kurām DAIN ir vai nav nepieciešams. Precīzi noteikt, kur atrodas jūsu apstrāde, prasa rūpīgu lasīšanu, nevis vispārēju iespaidu.

Bez metodes risks ir dubults

Pārāk ātri veikts DAIN pakļauj nepilnīgumam uzraudzības iestādes priekšā; DAIN neveikšana, kad tas ir nepieciešams, pakļauj organizāciju 35. panta pārkāpumam. CNIL metode strukturē šo izvēli un to dokumentē.

Metode: DPIA-Express

VDAR 35.7. panta noteiktā struktūra, piemērota jūsu apstrādei, ar pamatotu secinājumu katrā posmā

1
Pienākuma noteikšana

Vai jūsu apstrādei tiešām nepieciešams DAIN?

Analīze pret 35.3. panta 3 gadījumiem, EDAK 9 kritēriju sarakstu (WP248 rev.01) un CNIL sarakstiem par nepieciešamām vai nenepieciešamām apstrādēm. Pamatots secinājums, neatkarīgi no tā, vai DAIN galarezultātā ir obligāts vai nē.

2
35.7.a pants

Sistemātisks apstrādes apraksts

Mērķi, datu un attiecīgo personu kategorijas, saņēmēji, glabāšanas termiņi: pilnīga kartēšana, ko pieprasa 35.7.a pants, saskaņota ar jūsu apstrādes darbību reģistru (30. pants).

3
35.7.b pants

Nepieciešamība un samērīgums

Pārbaude, vai katrs savāktais dati ir nepieciešams izvirzītajam mērķim, vai tiesiskais pamats (6. pants) ir identificēts katrai apstrādei, un vai tiek ievērots datu minimizēšanas princips (5.1.c pants).

4
35.7.c pants

Risku novērtējums attiecībā uz personām

Katram identificētajam riskam: smagums, iespējamība, jau ieviestie pasākumi, atlikušais risks - tas viss iesniegts tabulas veidā, ko var izmantot jūsu vadība vai DAV.

5
35.7.d un 5.2. pants

Pasākumi un dokumentēts secinājums

Paredzētie tehniskie un organizatoriskie pasākumi (32. pants), pamatots secinājums un dokumentēts pamatojums atbildības principa ietvaros (5.2. pants), izmantojams CNIL pārbaudes gadījumā.

Ko jūs saņemat

Strukturēts, avotos balstīts un godīgs dokuments par to, kas vēl jāapstiprina jūsu juristam vai DAV

📝

Strukturēts DAIN ziņojums

Pilnīgs dokuments atbilstoši 35.7. pantam (a-d), ar pamatotu secinājumu.

  • Sistemātisks apstrādes apraksts
  • Nepieciešamības un samērīguma analīze
  • Risku tabula (smagums/iespējamība/pasākumi)
  • Secinājums un dokumentēts pamatojums (5.2. p.)

Noteikšanas kritēriju tabula

Iepriekšēja analīze, kas nosaka, vai jūsu apstrāde ietilpst pienākuma tvērumā.

  • 35.3. panta 3 gadījumi
  • EDAK 9 kritēriji (WP248 rev.01)
  • Salīdzinājums ar CNIL sarakstiem
  • Pamatots un avotos balstīts secinājums
📁

Saskaņotība ar 30. panta reģistru

DAIN balstās uz to pašu pamatu kā jūsu apstrādes darbību reģistrs.

  • Mērķi un tiesiskie pamati
  • Datu un personu kategorijas
  • Saņēmēji un apstrādātāji
  • Glabāšanas termiņi pa kategorijām
🚩

Punkti, kas jāapstiprina juristam/DAV

Katrs neskaidrības punkts ir skaidri norādīts, nekad izlemts jūsu vietā.

  • Pārziņa/apstrādātāja kvalifikācija
  • Tiesiskie pamati pēc mērķa
  • Identificēti datu pārsūtījumi ārpus ES
  • DAV iecelšana (37. pants), ja piemērojams
🔗

Avoti un izsekojamība

Katrs juridiskais apgalvojums ir avotos balstīts, nevis apgalvots no atmiņas.

  • Konsolidēts VDAR teksts (CELEX 32016R0679)
  • CNIL lapas un saraksti (DAIN, reģistrs)
  • EDAK vadlīnijas (WP248 rev.01)
  • Dokumentā minētas pārbaudāmas URL adreses
📄

Rediģējams dokuments

Nodots rediģējamā formātā, atkārtoti izmantojams jūsu DAV vai juristam.

  • Struktūra atbilstoši 35.7. pantam
  • Atkārtoti izmantojams turpmākajām apstrādēm
  • Gatavs papildināšanai pirms galīgā apstiprinājuma
  • Nav uzspiests fiksēts noformējums

Izmantotās atsauces

Metode, kas balstās uz tekstiem un iestādēm, nevis uz pašu interpretāciju

35

VDAR - 35. pants

Datu aizsardzības ietekmes novērtējums. Regulas (ES) 2016/679 konsolidētais teksts (EUR-Lex, CELEX 32016R0679).

EDAK

Vadlīnijas WP248 rev.01

EDAK (bijusī 29. panta darba grupa) 9 augsta riska kritēriji, ko CNIL pārņēmusi kā atsauces metodi DAIN pienākuma noteikšanai.

CNIL

CNIL saraksti un metode

Saraksti ar apstrādēm, kurām DAIN ir vai nav nepieciešams, un CNIL metode ietekmes novērtējuma veikšanai.

30

VDAR - 30. pants

Apstrādes darbību reģistrs: saskaņotības pamats (mērķi, dati, termiņi), uz kura balstās ikviens DAIN.

Individuāls DAIN, bez slēptām cenām

Apjoms ir atkarīgs no apstrāžu skaita, to sarežģītības un no tā, kas jau ir dokumentēts jūsu uzņēmumā. Piedāvājums tiek sagatavots pēc pirmās pārrunas.

Pienākuma noteikšana

Jūs nezināt, vai jūsu apstrāde ir skarta

Pēc pieprasījuma
atkarībā no analizējamo apstrāžu skaita
  • EDAK 9 kritēriju tabula
  • Salīdzinājums ar 35.3. pantu
  • CNIL sarakstu pārbaude
  • Pamatots un avotos balstīts secinājums
Pieprasīt piedāvājumu

Vairāku gadu programma

Vairākas riska apstrādes, kas jāaptver

Pēc pieprasījuma
atkarībā no apstrāžu skaita un pārskatīšanas biežuma
  • Viss no Pilna DAIN +
  • Kopīgs metodoloģiskais ietvars
  • Periodiska pārskatīšana (35.11. p.)
  • Saskaņotība ar reģistru (30. p.)
Pieprasīt piedāvājumu

DAIN nekad nav galīgs

VDAR 35.11. pants uzliek pienākumu pārskatīt analīzi, ja apstrādē notiek būtiskas izmaiņas (jauns apstrādātājs, hostinga maiņa, savākšanas apjoma paplašināšana). Pārskatīšanas piedāvājums tiek sagatavots individuāli.

Biežāk uzdotie jautājumi

Vai manai apstrādei tiešām nepieciešams DAIN?
Tas ir atkarīgs no trim metodiski pārbaudītiem elementiem: VDAR 35.3. panta 3 gadījumiem, EDAK 9 kritēriju tabulas (vadlīnijas WP248 rev.01, ko pārņēmusi CNIL: tiklīdz ir izpildīti 2 no 9 kritērijiem, principā jāveic DAIN), un CNIL sarakstiem par nepieciešamām vai nenepieciešamām apstrādēm. Nodotais dokuments izlemj šo jautājumu un to pamato, punktu pēc punkta.
Kas tieši ir nodotajā dokumentā?
Dokuments, kas strukturēts saskaņā ar VDAR 35.7. pantu: sistemātisks apstrādes apraksts (a), nepieciešamības un samērīguma analīze (b), attiecīgo personu risku novērtējums (c), paredzētie tehniskie un organizatoriskie pasākumi (d), tad pamatots secinājums. Katra juridiskā atsauce ir avotos balstīta (konsolidēts VDAR teksts, CNIL, EDAK).
Un, ja manai apstrādei galarezultātā nav nepieciešams DAIN?
Dokuments tiek saglabāts brīvprātīgi un dokumentāri: tas kalpo kā pamatojums jūsu lēmumam neveikt formālu DAIN, atbildības principa ietvaros (VDAR 5.2. pants), izmantojams CNIL pārbaudes gadījumā.
Vai šis dokuments aizstāj mana advokāta vai DAV atzinumu?
Nē. DPIA-Express ir metodoloģiskā atbalsta rīks, kas strukturē un dokumentē analīzi; tas nav juridisks atzinums. Katrā nodotajā dokumentā ir skaidri uzskaitīti punkti, kas vēl jāapstiprina jūsu juristam vai Datu aizsardzības speciālistam pirms jebkādas saistošas izmantošanas.
Kam manā organizācijā jāveic DAIN?
Pārzinis juridiski paliek atbildīgs par DAIN; DAV, ja tāds ir iecelts, jākonsultē (VDAR 35.2. pants). DPIA-Express sagatavo pamatmateriālu (aprakstu, riskus, pasākumus), lai šī konsultācija notiktu par jau strukturētu lietu, nevis tukšu lapu.
Kāpēc izmantot SYAGA, nevis veikt to pilnībā pašu spēkiem?
SYAGA Consulting darbojas kopš 2009. gada un piemēro šo pašu metodi savām pašas apstrādēm, tostarp savam Microsoft 365 audita produktam, kura DAIN pienākuma analīze seko tieši šai struktūrai. Mēs nesniedzam vispārīgu veidni: katrs dokuments tiek veidots apstrādei pa apstrādei, pantam pa pantam.

Gatavi dokumentēt savu DAIN?

Aprakstiet mums savu apstrādi, mēs ar jums sazināsimies ar individuālu piedāvājumu.

Normatīvā uzraudzība - oficiāli avoti

Tas, ko tiešām saka teksts, vienkāršā valodā. Katrs punkts saglabā saiti uz oficiālo dokumentu.

📋

Kas ir DAIN, vienkārši sakot?

DAIN ir vienkārši novērtēšanas darbs: tiek aplūkoti riski, ko datu apstrāde rada personām, pirms tās ieviešanas. CNIL to definē kā "formālu procesu, kas ļauj novērtēt riskus, kas saistīti ar personas datu apstrādi". Tā nav vēl viena administratīva formalitāte, tas ir veselā saprāta rīks, ko VDAR dažos gadījumos padara obligātu. Avots: CNIL →

🎯

Kas tiešām ir skarts: "2 kritēriji no 9" noteikums

Nav jābūt lielam uzņēmumam, lai būtu skarts. CNIL uzskata, ka DAIN ir obligāts, tiklīdz apstrāde atbilst vismaz divām no šīm deviņām situācijām: personu vērtēšana vai novērtēšana, automatizēta lēmuma pieņemšana, kam ir reāla ietekme uz tām, sistemātiska novērošana, sensitīvu datu (veselība, izcelsme u.c.) vākšana, liela mēroga vākšana, vairāku datubāzu apvienošana, mērķauditorija ir neaizsargātas personas (darbinieki, pacienti, nepilngadīgie...), jaunas tehnoloģijas izmantošana, vai kāda tiesību vai pakalpojuma liegšana. Avots: CNIL →

Divi CNIL saraksti, kas bieži atbild jūsu vietā

Lai izvairītos no minējumiem, CNIL ir publicējusi divus oficiālus sarakstus: 14 apstrāžu veidu sarakstu, kur DAIN ir obligāts (veselības dati, personāla profilēšana, darbinieku novērošana, liela mēroga ģeolokācija...), un 12 veidu sarakstu, kur tas nav nepieciešams (alga un personāla vadība mazāk nekā 250 darbinieku uzņēmumos bez profilēšanas, piegādātāju pārvaldība, atsevišķa veselības aprūpes speciālista pacientu lietas...). Šie saraksti neaptver visus gadījumus, bet jau atbild uz daudzām biežām situācijām. Avots: CNIL saraksts par nepieciešamām apstrādēm →

🧩

Ko analīzei tiešām jāsatur

VDAR (35. pants) neprasa romānu, bet gan četrus precīzus elementus: aprakstīt apstrādi un tās mērķi, pārbaudīt, vai tā tiešām ir nepieciešama un samērīga, novērtēt riskus attiecīgajām personām, tad uzskaitīt paredzētos pasākumus šo risku mazināšanai. Beigās skaidrs secinājums: vai apstrāde ir pieņemama, un ar kādiem nosacījumiem. Avots: VDAR, 35. pants →

👤

Jūsu DAV loma (ja tāds jums ir)

Ja jūsu organizācija ir iecēlusi Datu aizsardzības speciālistu, VDAR uzliek pienākumu lūgt viņa padomu, veicot DAIN, un uzticēt viņam pārbaudīt, vai analīze tiešām ir veikta. Tas ir aizsargmehānisms, nevis atzīmējama ķeksīša rūtiņa: DAV joprojām ir pareizais solis pirms secinājuma apstiprināšanas. Avots: VDAR, 35. un 39. pants →

Un, ja risks pēc analīzes joprojām ir augsts?

Ja, neraugoties uz paredzētajiem pasākumiem, apstrāde joprojām rada augstu risku personām, VDAR uzliek pienākumu konsultēties ar CNIL pirms sākuma. Tai tad ir astoņas nedēļas, lai sniegtu rakstisku atzinumu (var pagarināt par sešām nedēļām, ja lieta ir sarežģīta). Nomierinoši zināt: šis gadījums paliek izņēmums, nevis likums. Avots: VDAR, 36. pants →

💰

Sankcijas, bez dramatizēšanas

CNIL atgādina, ka VDAR naudas sodi var sasniegt līdz 10 miljoniem eiro vai 2% no gada globālā apgrozījuma, atkarībā no tā, kura summa ir lielāka. Tas ir tiesisks maksimums, nevis neizbēgamība: labi veikts DAIN tieši ļauj pierādīt pārbaudes gadījumā, ka jautājums ticis uztverts nopietni. Avots: CNIL →

📢

Eiropas jaunums, kas jāseko līdzi

Eiropas Datu aizsardzības kolēģija (EDAK/EDPB) no 2026. gada 14. aprīļa līdz 9. jūnijam rīkoja sabiedrisko apspriešanu par vienotā DAIN parauga projektu, kura mērķis ir saskaņot prakses Eiropas valstīs. Apspriešana tagad ir slēgta; mēs sekojam līdzi šī projekta virzībai, lai savlaicīgi informētu savus klientus. Avots: EDPB →