GDPR - ARTIKKEL 35 - PERSONVERNKONSEKVENSVURDERING (DPIA)

Din DPIA i tråd med
metoden til CNIL

GDPR pålegger en personvernkonsekvensvurdering (DPIA) for enhver behandling som kan medføre høy risiko for enkeltpersoners rettigheter og friheter. SYAGA DPIA-Express strukturerer og dokumenterer din DPIA etter metodikken i artikkel 35 og EDPBs retningslinjer, uten improvisasjon og uten fagsjargong.

35
GDPR-artikkel (DPIA)
9
EDPB-kriterier (WP248 rev.01)
3
Tilfeller med plikt (art. 35.3)
4
Metodedeler (art. 35.7 a-d)

Plikten

Avklare om behandlingen deres må underlegges en DPIA, og deretter gjennomføre den etter reglene

Artikkel 35 i GDPR pålegger en DPIA

Enhver behandling som kan medføre høy risiko for fysiske personers rettigheter og friheter, skal underlegges en personvernkonsekvensvurdering før den settes i verk (GDPR, art. 35).

📋

CNIL-regelen om "2 av 9 kriterier"

EDPB (tidligere Artikkel 29-gruppen, retningslinjene WP248 rev.01) har definert 9 kriterier for høy risiko. Så snart en behandling oppfyller minst to av disse kriteriene, skal det i prinsippet gjennomføres en DPIA: én feilaktig vurdert brikke, og dokumentasjonen blir ufullstendig.

🔍

CNIL-lister som må sjekkes artikkel for artikkel

CNIL (fransk myndighet) publiserer lister over behandlinger der DPIA kreves eller ikke kreves. Å fastslå nøyaktig hvor deres behandling befinner seg, krever en grundig gjennomgang, ikke et generelt inntrykk.

Uten metode er risikoen dobbel

Å gjennomføre en DPIA for raskt gjør den ufullstendig overfor et tilsynsorgan; å ikke gjennomføre den når den kreves, utsetter virksomheten for et brudd på artikkel 35. CNIL-metoden strukturerer dette valget og dokumenterer det.

Metoden: DPIA-Express

Strukturen som pålegges av GDPR artikkel 35.7, anvendt på deres behandling, med en begrunnet konklusjon på hvert trinn

1
Fastsettelse av plikten

Er behandlingen deres virkelig underlagt DPIA-plikten?

Analyse mot de 3 tilfellene i artikkel 35.3, EDPBs 9-kriterier-mal (WP248 rev.01) og CNIL-listene over påkrevde eller ikke-påkrevde behandlinger. Begrunnet konklusjon, enten DPIA til slutt er obligatorisk eller ikke.

2
Art. 35.7.a

Systematisk beskrivelse av behandlingen

Formål, kategorier av data og berørte personer, mottakere, lagringstid: den fullstendige kartleggingen som kreves etter artikkel 35.7.a, i samsvar med protokollen over behandlingsaktiviteter (art. 30).

3
Art. 35.7.b

Nødvendighet og forholdsmessighet

Kontroll av at hver innsamlede opplysning er nødvendig for det tilsiktede formålet, at behandlingsgrunnlaget (art. 6) er identifisert for hver behandling, og at prinsippet om dataminimering (art. 5.1.c) overholdes.

4
Art. 35.7.c

Risikovurdering for de registrerte

For hver identifiserte risiko: alvorlighetsgrad, sannsynlighet, allerede iverksatte tiltak, restrisiko, fremstilt i en tabell som kan brukes direkte av ledelsen eller personvernombudet deres.

5
Art. 35.7.d og 5.2

Tiltak og dokumentert konklusjon

Planlagte tekniske og organisatoriske tiltak (art. 32), begrunnet konklusjon og dokumentert begrunnelse i tråd med ansvarlighetsprinsippet (art. 5.2), klar til bruk ved eventuelt tilsyn fra CNIL.

Det dere mottar

Et strukturert, kildebelagt dokument, ærlig om hva som fortsatt må valideres av deres jurist eller personvernombud

📝

Strukturert DPIA-rapport

Det fullstendige dokumentet etter artikkel 35.7 (a til d), med en begrunnet konklusjon.

  • Systematisk beskrivelse av behandlingen
  • Analyse av nødvendighet og forholdsmessighet
  • Risikotabell (alvorlighetsgrad/sannsynlighet/tiltak)
  • Konklusjon og dokumentert begrunnelse (art. 5.2)

Fastsettelsesmal

Den innledende analysen som avgjør om behandlingen deres faller inn under plikten.

  • De 3 tilfellene i artikkel 35.3
  • EDPBs 9 kriterier (WP248 rev.01)
  • Sammenligning med CNIL-listene
  • Begrunnet og kildebelagt konklusjon
📁

Samsvar med protokoll art. 30

DPIA-en bygger på samme grunnlag som protokollen over behandlingsaktiviteter.

  • Formål og behandlingsgrunnlag
  • Kategorier av data og personer
  • Mottakere og databehandlere
  • Lagringstid per kategori
🚩

Punkter til validering hos jurist/personvernombud

Hvert usikkerhetspunkt påpekes eksplisitt, aldri avgjort på deres vegne.

  • Vurdering av behandlingsansvarlig / databehandler
  • Behandlingsgrunnlag per formål
  • Identifiserte overføringer utenfor EU/EØS
  • Utnevnelse av personvernombud (art. 37), om aktuelt
🔗

Kilder og sporbarhet

Hver juridisk påstand er kildebelagt, ikke gjengitt fra hukommelsen.

  • Konsolidert GDPR-tekst (CELEX 32016R0679)
  • CNIL-sider og -lister (DPIA, protokoll)
  • EDPB-retningslinjer (WP248 rev.01)
  • Verifiserbare URL-er sitert i dokumentet
📄

Redigerbart dokument

Levert i et redigerbart format, gjenbrukbart av deres personvernombud eller jurist.

  • Struktur i tråd med artikkel 35.7
  • Gjenbrukbart for fremtidige behandlinger
  • Klart til å fylles ut før endelig validering
  • Ingen fastlåst formatering pålagt

Referanser som brukes

En metode bygget på lovtekster og myndigheter, ikke egne tolkninger

35

GDPR - Artikkel 35

Personvernkonsekvensvurdering. Konsolidert tekst av forordning (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Retningslinjer WP248 rev.01

EDPBs (tidligere Artikkel 29-gruppens) 9 kriterier for høy risiko, benyttet av CNIL som referansemetode for å fastsette DPIA-plikten.

CNIL

CNIL-lister og -metode (fransk myndighet)

Lister over behandlinger der DPIA kreves eller ikke kreves, samt CNILs metode for gjennomføring av en konsekvensvurdering.

30

GDPR - Artikkel 30

Protokoll over behandlingsaktiviteter: grunnlaget for sammenheng (formål, data, lagringstid) som enhver DPIA bygger på.

En skreddersydd DPIA, uten skjulte priser

Omfanget avhenger av antall behandlinger, hvor kompliserte de er, og hva som allerede er dokumentert hos dere. Tilbud utarbeides etter en innledende samtale.

Fastsettelse av plikt

Dere vet ikke om behandlingen deres er omfattet

På forespørsel
avhengig av antall behandlinger som skal analyseres
  • EDPBs 9-kriterier-mal
  • Sammenligning med artikkel 35.3
  • Kontroll mot CNIL-listene
  • Begrunnet og kildebelagt konklusjon
Be om et tilbud

Flerårig program

Flere risikobehandlinger som skal dekkes

På forespørsel
avhengig av antall behandlinger og gjennomgangstakt
  • Alt i Fullstendig DPIA +
  • Felles metoderammeverk
  • Periodisk gjennomgang (art. 35.11)
  • Vedlikeholdt samsvar med protokollen (art. 30)
Be om et tilbud

En DPIA er aldri statisk

Artikkel 35.11 i GDPR pålegger en ny gjennomgang av analysen ved vesentlige endringer i behandlingen (ny databehandler, endret hosting, utvidet innsamlingsomfang). Tilbud for gjennomgang utarbeides fra sak til sak.

Ofte stilte spørsmål

Er behandlingen vår virkelig underlagt DPIA-plikten?
Det avhenger av tre forhold som vurderes systematisk: de 3 tilfellene i GDPR artikkel 35.3, EDPBs 9-kriterier-mal (retningslinjene WP248 rev.01, benyttet av CNIL: så snart 2 av 9 kriterier er oppfylt, skal det i prinsippet gjennomføres en DPIA), og CNIL-listene over påkrevde eller ikke-påkrevde behandlinger. Dokumentet som leveres, avgjør dette spørsmålet og begrunner det punkt for punkt.
Hva inneholder egentlig dokumentet som leveres?
Et dokument strukturert etter GDPR artikkel 35.7: systematisk beskrivelse av behandlingen (a), analyse av nødvendighet og forholdsmessighet (b), risikovurdering for de registrerte (c), planlagte tekniske og organisatoriske tiltak (d), og deretter en begrunnet konklusjon. Hver juridiske referanse er kildebelagt (konsolidert GDPR-tekst, CNIL, EDPB).
Hva om behandlingen vår til slutt ikke er underlagt DPIA-plikten?
Dokumentet beholdes på frivillig og dokumentarisk grunnlag: det utgjør begrunnelsen for beslutningen om ikke å gjennomføre en formell DPIA, i tråd med ansvarlighetsprinsippet (art. 5.2 i GDPR), klart til bruk ved eventuelt tilsyn fra CNIL.
Erstatter dette dokumentet uttalelsen fra vår advokat eller vårt personvernombud?
Nei. DPIA-Express er et metodisk støtteverktøy som strukturerer og dokumenterer analysen; det utgjør ikke juridisk rådgivning. Hvert leverte dokument lister eksplisitt opp punktene som fortsatt må valideres av deres jurist eller personvernombud før noen bindende bruk.
Hvem skal gjennomføre DPIA-en i vår organisasjon?
Den behandlingsansvarlige er fortsatt juridisk ansvarlig for DPIA-en; personvernombudet, dersom et slikt finnes, skal rådspørres (art. 35.2 i GDPR). DPIA-Express forbereder materialet (beskrivelse, risikoer, tiltak) slik at denne rådspørringen skjer på et allerede strukturert grunnlag, og ikke på et blankt ark.
Hvorfor bruke SYAGA fremfor å gjøre det helt internt?
SYAGA Consulting har eksistert siden 2009 og anvender denne samme metoden på sine egne behandlinger, inkludert sitt eget Microsoft 365-revisjonsprodukt, der analysen av DPIA-plikten følger nøyaktig denne strukturen. Vi leverer ikke en generisk mal: hvert dokument bygges behandling for behandling, artikkel for artikkel.

Klar til å dokumentere DPIA-en deres?

Beskriv behandlingen deres for oss, så kommer vi tilbake med et skreddersydd tilbud.

Regelverksovervåking - offisielle kilder

Det teksten faktisk sier, tilrettelagt på et enkelt språk. Hvert punkt beholder lenken til det offisielle dokumentet.

📋

Hva er egentlig en DPIA?

En DPIA er ganske enkelt en vurderingsjobb: man ser på risikoene en databehandling utsetter enkeltpersoner for, før den settes i gang. CNIL (fransk myndighet) definerer den som "en formell prosess for å vurdere risikoene knyttet til behandling av personopplysninger". Det er ikke enda et administrativt formalitetskrav, det er et sunn fornuft-verktøy som GDPR gjør obligatorisk i visse tilfeller. Kilde: CNIL →

🎯

Hvem er egentlig omfattet: regelen om "2 av 9 kriterier"

Man trenger ikke være en stor virksomhet for å være omfattet. CNIL (fransk myndighet) mener en DPIA er obligatorisk så snart en behandling oppfyller minst to av disse ni situasjonene: vurdere eller score enkeltpersoner, treffe en automatisert beslutning som har reell effekt på dem, overvåke dem systematisk, samle inn sensitive opplysninger (helse, opprinnelse osv.), samle inn i stor skala, koble sammen flere databaser, rette seg mot sårbare personer (ansatte, pasienter, mindreårige...), bruke ny teknologi, eller frata noen en rettighet eller en tjeneste. Kilde: CNIL →

To CNIL-lister som ofte svarer på vegne av dere

For å unngå gjetting har CNIL (fransk myndighet) publisert to offisielle lister: en liste med 14 typer behandlinger der DPIA er obligatorisk (helsedata, HR-profilering, overvåking av ansatte, geolokalisering i stor skala...), og en liste med 12 typer der den ikke kreves (lønn og personaladministrasjon for under 250 ansatte uten profilering, leverandøradministrasjon, pasientjournal hos en enkeltstående helsepersonell...). Disse listene dekker ikke alle tilfeller, men de svarer allerede på mange vanlige situasjoner. Kilde: CNIL-listen over påkrevde behandlinger →

🧩

Det analysen egentlig må inneholde

GDPR (artikkel 35) krever ikke en roman, men fire presise bestanddeler: beskrive behandlingen og dens formål, kontrollere at den virkelig er nødvendig og forholdsmessig, vurdere risikoene for de registrerte, og deretter liste opp planlagte tiltak for å redusere disse risikoene. En klar konklusjon til slutt: er behandlingen akseptabel, og på hvilke vilkår. Kilde: GDPR, artikkel 35 →

👤

Rollen til personvernombudet deres (om dere har et)

Dersom organisasjonen deres har utnevnt et personvernombud, pålegger GDPR å be om dets råd når DPIA-en gjennomføres, og å be det kontrollere at analysen faktisk er gjennomført. Det er en sikkerhetsmekanisme, ikke en avkrysningsboks: personvernombudet bør alltid rådspørres før en konklusjon godkjennes. Kilde: GDPR, artikkel 35 og 39 →

Hva om risikoen fortsatt er høy etter analysen?

Dersom behandlingen, til tross for planlagte tiltak, fortsatt utgjør en høy risiko for de registrerte, pålegger GDPR å rådspørre CNIL (fransk myndighet) før oppstart. Den har da åtte uker til å avgi sin skriftlige uttalelse (kan forlenges med seks uker dersom saken er kompleks). Betryggende å vite: dette tilfellet forblir unntaket, ikke regelen. Kilde: GDPR, artikkel 36 →

💰

Sanksjonene, uten å dramatisere

CNIL (fransk myndighet) minner om at GDPR-bøter kan nå opp til 10 millioner euro eller 2 % av global årsomsetning, avhengig av hvilket beløp som er høyest. Dette er et lovfestet tak, ikke en uunngåelig skjebne: en godt gjennomført DPIA er nettopp det som gjør det mulig å vise, ved et eventuelt tilsyn, at spørsmålet er tatt på alvor. Kilde: CNIL →

📢

En europeisk utvikling å følge med på

Det europeiske personvernrådet (EDPB) sendte fra 14. april til 9. juni 2026 ut et forslag til en felles DPIA-mal til offentlig høring, med sikte på å harmonisere praksisen mellom europeiske land. Høringen er nå avsluttet; vi følger med på hva som skjer videre med dette prosjektet for å informere kundene våre når tiden er inne. Kilde: EDPB →