GDPR pålegger en personvernkonsekvensvurdering (DPIA) for enhver behandling som kan medføre høy risiko for enkeltpersoners rettigheter og friheter. SYAGA DPIA-Express strukturerer og dokumenterer din DPIA etter metodikken i artikkel 35 og EDPBs retningslinjer, uten improvisasjon og uten fagsjargong.
Avklare om behandlingen deres må underlegges en DPIA, og deretter gjennomføre den etter reglene
Enhver behandling som kan medføre høy risiko for fysiske personers rettigheter og friheter, skal underlegges en personvernkonsekvensvurdering før den settes i verk (GDPR, art. 35).
EDPB (tidligere Artikkel 29-gruppen, retningslinjene WP248 rev.01) har definert 9 kriterier for høy risiko. Så snart en behandling oppfyller minst to av disse kriteriene, skal det i prinsippet gjennomføres en DPIA: én feilaktig vurdert brikke, og dokumentasjonen blir ufullstendig.
CNIL (fransk myndighet) publiserer lister over behandlinger der DPIA kreves eller ikke kreves. Å fastslå nøyaktig hvor deres behandling befinner seg, krever en grundig gjennomgang, ikke et generelt inntrykk.
Å gjennomføre en DPIA for raskt gjør den ufullstendig overfor et tilsynsorgan; å ikke gjennomføre den når den kreves, utsetter virksomheten for et brudd på artikkel 35. CNIL-metoden strukturerer dette valget og dokumenterer det.
Strukturen som pålegges av GDPR artikkel 35.7, anvendt på deres behandling, med en begrunnet konklusjon på hvert trinn
Analyse mot de 3 tilfellene i artikkel 35.3, EDPBs 9-kriterier-mal (WP248 rev.01) og CNIL-listene over påkrevde eller ikke-påkrevde behandlinger. Begrunnet konklusjon, enten DPIA til slutt er obligatorisk eller ikke.
Formål, kategorier av data og berørte personer, mottakere, lagringstid: den fullstendige kartleggingen som kreves etter artikkel 35.7.a, i samsvar med protokollen over behandlingsaktiviteter (art. 30).
Kontroll av at hver innsamlede opplysning er nødvendig for det tilsiktede formålet, at behandlingsgrunnlaget (art. 6) er identifisert for hver behandling, og at prinsippet om dataminimering (art. 5.1.c) overholdes.
For hver identifiserte risiko: alvorlighetsgrad, sannsynlighet, allerede iverksatte tiltak, restrisiko, fremstilt i en tabell som kan brukes direkte av ledelsen eller personvernombudet deres.
Planlagte tekniske og organisatoriske tiltak (art. 32), begrunnet konklusjon og dokumentert begrunnelse i tråd med ansvarlighetsprinsippet (art. 5.2), klar til bruk ved eventuelt tilsyn fra CNIL.
Et strukturert, kildebelagt dokument, ærlig om hva som fortsatt må valideres av deres jurist eller personvernombud
Det fullstendige dokumentet etter artikkel 35.7 (a til d), med en begrunnet konklusjon.
Den innledende analysen som avgjør om behandlingen deres faller inn under plikten.
DPIA-en bygger på samme grunnlag som protokollen over behandlingsaktiviteter.
Hvert usikkerhetspunkt påpekes eksplisitt, aldri avgjort på deres vegne.
Hver juridisk påstand er kildebelagt, ikke gjengitt fra hukommelsen.
Levert i et redigerbart format, gjenbrukbart av deres personvernombud eller jurist.
En metode bygget på lovtekster og myndigheter, ikke egne tolkninger
Personvernkonsekvensvurdering. Konsolidert tekst av forordning (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
EDPBs (tidligere Artikkel 29-gruppens) 9 kriterier for høy risiko, benyttet av CNIL som referansemetode for å fastsette DPIA-plikten.
Lister over behandlinger der DPIA kreves eller ikke kreves, samt CNILs metode for gjennomføring av en konsekvensvurdering.
Protokoll over behandlingsaktiviteter: grunnlaget for sammenheng (formål, data, lagringstid) som enhver DPIA bygger på.
Omfanget avhenger av antall behandlinger, hvor kompliserte de er, og hva som allerede er dokumentert hos dere. Tilbud utarbeides etter en innledende samtale.
Dere vet ikke om behandlingen deres er omfattet
Behandling identifisert som høyrisiko
Flere risikobehandlinger som skal dekkes
En DPIA er aldri statisk
Artikkel 35.11 i GDPR pålegger en ny gjennomgang av analysen ved vesentlige endringer i behandlingen (ny databehandler, endret hosting, utvidet innsamlingsomfang). Tilbud for gjennomgang utarbeides fra sak til sak.
Beskriv behandlingen deres for oss, så kommer vi tilbake med et skreddersydd tilbud.
Det teksten faktisk sier, tilrettelagt på et enkelt språk. Hvert punkt beholder lenken til det offisielle dokumentet.
En DPIA er ganske enkelt en vurderingsjobb: man ser på risikoene en databehandling utsetter enkeltpersoner for, før den settes i gang. CNIL (fransk myndighet) definerer den som "en formell prosess for å vurdere risikoene knyttet til behandling av personopplysninger". Det er ikke enda et administrativt formalitetskrav, det er et sunn fornuft-verktøy som GDPR gjør obligatorisk i visse tilfeller. Kilde: CNIL →
Man trenger ikke være en stor virksomhet for å være omfattet. CNIL (fransk myndighet) mener en DPIA er obligatorisk så snart en behandling oppfyller minst to av disse ni situasjonene: vurdere eller score enkeltpersoner, treffe en automatisert beslutning som har reell effekt på dem, overvåke dem systematisk, samle inn sensitive opplysninger (helse, opprinnelse osv.), samle inn i stor skala, koble sammen flere databaser, rette seg mot sårbare personer (ansatte, pasienter, mindreårige...), bruke ny teknologi, eller frata noen en rettighet eller en tjeneste. Kilde: CNIL →
For å unngå gjetting har CNIL (fransk myndighet) publisert to offisielle lister: en liste med 14 typer behandlinger der DPIA er obligatorisk (helsedata, HR-profilering, overvåking av ansatte, geolokalisering i stor skala...), og en liste med 12 typer der den ikke kreves (lønn og personaladministrasjon for under 250 ansatte uten profilering, leverandøradministrasjon, pasientjournal hos en enkeltstående helsepersonell...). Disse listene dekker ikke alle tilfeller, men de svarer allerede på mange vanlige situasjoner. Kilde: CNIL-listen over påkrevde behandlinger →
GDPR (artikkel 35) krever ikke en roman, men fire presise bestanddeler: beskrive behandlingen og dens formål, kontrollere at den virkelig er nødvendig og forholdsmessig, vurdere risikoene for de registrerte, og deretter liste opp planlagte tiltak for å redusere disse risikoene. En klar konklusjon til slutt: er behandlingen akseptabel, og på hvilke vilkår. Kilde: GDPR, artikkel 35 →
Dersom organisasjonen deres har utnevnt et personvernombud, pålegger GDPR å be om dets råd når DPIA-en gjennomføres, og å be det kontrollere at analysen faktisk er gjennomført. Det er en sikkerhetsmekanisme, ikke en avkrysningsboks: personvernombudet bør alltid rådspørres før en konklusjon godkjennes. Kilde: GDPR, artikkel 35 og 39 →
Dersom behandlingen, til tross for planlagte tiltak, fortsatt utgjør en høy risiko for de registrerte, pålegger GDPR å rådspørre CNIL (fransk myndighet) før oppstart. Den har da åtte uker til å avgi sin skriftlige uttalelse (kan forlenges med seks uker dersom saken er kompleks). Betryggende å vite: dette tilfellet forblir unntaket, ikke regelen. Kilde: GDPR, artikkel 36 →
CNIL (fransk myndighet) minner om at GDPR-bøter kan nå opp til 10 millioner euro eller 2 % av global årsomsetning, avhengig av hvilket beløp som er høyest. Dette er et lovfestet tak, ikke en uunngåelig skjebne: en godt gjennomført DPIA er nettopp det som gjør det mulig å vise, ved et eventuelt tilsyn, at spørsmålet er tatt på alvor. Kilde: CNIL →
Det europeiske personvernrådet (EDPB) sendte fra 14. april til 9. juni 2026 ut et forslag til en felles DPIA-mal til offentlig høring, med sikte på å harmonisere praksisen mellom europeiske land. Høringen er nå avsluttet; vi følger med på hva som skjer videre med dette prosjektet for å informere kundene våre når tiden er inne. Kilde: EDPB →