RODO nakłada obowiązek przeprowadzenia Oceny Skutków dla Ochrony Danych dla każdego przetwarzania mogącego powodować wysokie ryzyko dla praw i wolności osób fizycznych. SYAGA DPIA-Express strukturyzuje i dokumentuje Twoją DPIA według metodologii artykułu 35 i wytycznych EROD, bez improwizacji i bez żargonu.
Ustalenie, czy Twoje przetwarzanie wymaga DPIA, a następnie przeprowadzenie jej zgodnie z zasadami
Każde przetwarzanie mogące powodować wysokie ryzyko dla praw i wolności osób fizycznych musi zostać poddane Ocenie Skutków dla Ochrony Danych przed jego wdrożeniem (RODO, art. 35).
EROD (dawniej G29, wytyczne WP248 rev.01) zdefiniowała 9 kryteriów wysokiego ryzyka. Gdy przetwarzanie spełnia co najmniej dwa z tych kryteriów, DPIA co do zasady musi zostać przeprowadzona: jeden źle zidentyfikowany element, a dokumentacja jest niekompletna.
CNIL (francuski organ ds. ochrony danych) publikuje listy przetwarzań, dla których DPIA jest wymagana lub nie jest wymagana. Ustalenie, gdzie dokładnie sytuuje się Twoje przetwarzanie, wymaga rygorystycznej lektury, nie ogólnego wrażenia.
Przeprowadzenie DPIA zbyt pobieżnie naraża na niekompletność wobec organu nadzorczego; nieprzeprowadzenie jej, gdy jest wymagana, naraża organizację na naruszenie artykułu 35. Metoda CNIL strukturyzuje ten wybór i go dokumentuje.
Struktura narzucona przez artykuł 35.7 RODO, zastosowana do Twojego przetwarzania, z uzasadnionym wnioskiem na każdym etapie
Analiza względem 3 przypadków artykułu 35.3, siatki 9 kryteriów EROD (WP248 rev.01) i list CNIL przetwarzań wymaganych lub niewymaganych. Uzasadniony wniosek, niezależnie od tego, czy DPIA jest ostatecznie obowiązkowa czy nie.
Cele, kategorie danych i osób, których dane dotyczą, odbiorcy, okresy przechowywania: kompletne mapowanie wymagane przez artykuł 35.7.a, spójne z Twoim rejestrem czynności przetwarzania (art. 30).
Weryfikacja, że każda zbierana dana jest niezbędna do realizacji celu, że podstawa prawna (art. 6) jest zidentyfikowana dla każdego przetwarzania oraz że zasada minimalizacji (art. 5.1.c) jest przestrzegana.
Dla każdego zidentyfikowanego ryzyka: dotkliwość, prawdopodobieństwo, już wdrożone środki, ryzyko rezydualne, przedstawione w formie tabeli użytecznej dla Twojego kierownictwa lub IOD.
Rozważane środki techniczne i organizacyjne (art. 32), uzasadniony wniosek i udokumentowane uzasadnienie w ramach rozliczalności (art. 5.2), gotowe do wykorzystania w razie kontroli CNIL.
Ustrukturyzowany, opatrzony źródłami dokument, uczciwie wskazujący, co pozostaje do zatwierdzenia przez Twojego prawnika lub IOD
Kompletny dokument zgodny z artykułem 35.7 (a-d), z uzasadnionym wnioskiem.
Wstępna analiza rozstrzygająca, czy Twoje przetwarzanie wchodzi w zakres obowiązku.
DPIA opiera się na tej samej podstawie co Twój rejestr czynności przetwarzania.
Każdy punkt niepewności jest wyraźnie zaznaczony, nigdy nie rozstrzygamy go za Ciebie.
Każde twierdzenie prawne jest opatrzone źródłem, nie podawane z pamięci.
Dostarczony w formacie edytowalnym, wielokrotnego użytku przez Twojego IOD lub prawnika.
Metoda oparta na przepisach i organach, nie na własnych interpretacjach
Ocena skutków dla ochrony danych. Skonsolidowany tekst Rozporządzenia (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).
9 kryteriów wysokiego ryzyka EROD (dawniej G29), przyjętych przez CNIL jako metoda referencyjna do ustalenia obowiązku DPIA.
Listy przetwarzań, dla których DPIA jest wymagana lub niewymagana, oraz metoda CNIL prowadzenia oceny skutków.
Rejestr czynności przetwarzania: podstawa spójności (cele, dane, okresy), na której opiera się każda DPIA.
Zakres zależy od liczby przetwarzań, ich złożoności i tego, co jest już udokumentowane u Ciebie. Wycena ustalana po wstępnej rozmowie.
Nie wiesz, czy Twoje przetwarzanie jest objęte obowiązkiem
Przetwarzanie zidentyfikowane jako wysokiego ryzyka
Kilka przetwarzań ryzykownych do objęcia
DPIA nigdy nie jest ustalona raz na zawsze
Artykuł 35.11 RODO nakłada obowiązek ponownego zbadania analizy w przypadku istotnej zmiany przetwarzania (nowy podmiot przetwarzający, zmiana hostingu, rozszerzenie zakresu zbierania danych). Wycena przeglądu jest ustalana indywidualnie.
Opisz nam swoje przetwarzanie, wrócimy do Ciebie ze spersonalizowaną wyceną.
To, co naprawdę mówi przepis, streszczone prostym językiem. Każdy punkt zachowuje link do dokumentu oficjalnego.
DPIA to po prostu praca oceniająca: patrzymy na ryzyka, jakie przetwarzanie danych stwarza dla osób, zanim je wdrożymy. CNIL definiuje ją jako "formalny proces pozwalający ocenić ryzyka związane z przetwarzaniem danych osobowych". To nie kolejna formalność administracyjna, to narzędzie zdrowego rozsądku, uczynione obowiązkowym przez RODO w niektórych przypadkach. Źródło: CNIL →
Nie trzeba być dużym przedsiębiorstwem, aby być objętym obowiązkiem. CNIL uważa, że DPIA jest obowiązkowa, gdy przetwarzanie spełnia co najmniej dwie z dziewięciu sytuacji: ocenianie lub punktowanie osób, podejmowanie zautomatyzowanej decyzji mającej realny wpływ na nie, systematyczne ich monitorowanie, zbieranie danych wrażliwych (zdrowie, pochodzenie itd.), zbieranie na dużą skalę, krzyżowanie kilku baz danych, dotyczenie osób wrażliwych (pracownicy, pacjenci, małoletni...), wykorzystywanie nowej technologii, lub pozbawianie kogoś prawa lub usługi. Źródło: CNIL →
Aby uniknąć zgadywania, CNIL opublikowała dwie oficjalne listy: listę 14 typów przetwarzań, gdzie DPIA jest obowiązkowa (dane zdrowotne, profilowanie HR, monitorowanie pracowników, geolokalizacja na dużą skalę...), oraz listę 12 typów, gdzie nie jest wymagana (płace i zarządzanie personelem poniżej 250 pracowników bez profilowania, zarządzanie dostawcami, dokumentacja pacjenta pojedynczego pracownika ochrony zdrowia...). Listy te nie obejmują wszystkich przypadków, ale odpowiadają już na wiele typowych sytuacji. Źródło: lista CNIL przetwarzań wymaganych →
RODO (artykuł 35) nie wymaga powieści, lecz czterech precyzyjnych elementów: opisać przetwarzanie i jego cel, sprawdzić, czy jest naprawdę niezbędne i proporcjonalne, ocenić ryzyka dla osób, których dane dotyczą, a następnie wymienić przewidziane środki dla zmniejszenia tych ryzyk. Na końcu jasny wniosek: czy przetwarzanie jest akceptowalne, i na jakich warunkach. Źródło: RODO, artykuł 35 →
Jeśli Twoja organizacja wyznaczyła Inspektora Ochrony Danych, RODO nakazuje zasięgnąć jego opinii przy przeprowadzaniu DPIA i zlecić mu weryfikację, że analiza została rzeczywiście wykonana. To zabezpieczenie, nie pole do odhaczenia: IOD pozostaje właściwym punktem odniesienia przed zatwierdzeniem wniosku. Źródło: RODO, artykuły 35 i 39 →
Jeśli mimo przewidzianych środków przetwarzanie nadal stwarza wysokie ryzyko dla osób, RODO nakazuje skonsultować się z CNIL przed rozpoczęciem. Ma ona wtedy osiem tygodni na wydanie pisemnej opinii (możliwe przedłużenie o sześć tygodni, jeśli sprawa jest złożona). Uspokajający fakt: ten przypadek pozostaje wyjątkiem, nie regułą. Źródło: RODO, artykuł 36 →
CNIL przypomina, że kary RODO mogą sięgać do 10 milionów euro lub 2% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa. To pułap prawny, nie fatalizm: dobrze przeprowadzona DPIA jest właśnie tym, co pozwala pokazać, w razie kontroli, że kwestia została potraktowana poważnie. Źródło: CNIL →
Europejska Rada Ochrony Danych (EROD/EDPB) poddała pod konsultacje publiczne, od 14 kwietnia do 9 czerwca 2026, projekt jednolitego wzorca DPIA mającego zharmonizować praktyki między krajami europejskimi. Konsultacje są już zamknięte; śledzimy dalsze losy tego projektu, aby poinformować o nich naszych klientów w odpowiednim czasie. Źródło: EDPB →