RODO - ARTYKUŁ 35 - OCENA SKUTKÓW (DPIA)

Twoja DPIA zgodna
z metodą CNIL

RODO nakłada obowiązek przeprowadzenia Oceny Skutków dla Ochrony Danych dla każdego przetwarzania mogącego powodować wysokie ryzyko dla praw i wolności osób fizycznych. SYAGA DPIA-Express strukturyzuje i dokumentuje Twoją DPIA według metodologii artykułu 35 i wytycznych EROD, bez improwizacji i bez żargonu.

35
Artykuł RODO (DPIA)
9
Kryteriów EROD (WP248 rev.01)
3
Przypadki obowiązku (art. 35.3)
4
Elementy metody (art. 35.7 a-d)

Obowiązek

Ustalenie, czy Twoje przetwarzanie wymaga DPIA, a następnie przeprowadzenie jej zgodnie z zasadami

Artykuł 35 RODO nakłada obowiązek DPIA

Każde przetwarzanie mogące powodować wysokie ryzyko dla praw i wolności osób fizycznych musi zostać poddane Ocenie Skutków dla Ochrony Danych przed jego wdrożeniem (RODO, art. 35).

📋

Zasada CNIL „2 kryteria z 9”

EROD (dawniej G29, wytyczne WP248 rev.01) zdefiniowała 9 kryteriów wysokiego ryzyka. Gdy przetwarzanie spełnia co najmniej dwa z tych kryteriów, DPIA co do zasady musi zostać przeprowadzona: jeden źle zidentyfikowany element, a dokumentacja jest niekompletna.

🔍

Listy CNIL do skonfrontowania artykuł po artykule

CNIL (francuski organ ds. ochrony danych) publikuje listy przetwarzań, dla których DPIA jest wymagana lub nie jest wymagana. Ustalenie, gdzie dokładnie sytuuje się Twoje przetwarzanie, wymaga rygorystycznej lektury, nie ogólnego wrażenia.

Bez metody ryzyko jest podwójne

Przeprowadzenie DPIA zbyt pobieżnie naraża na niekompletność wobec organu nadzorczego; nieprzeprowadzenie jej, gdy jest wymagana, naraża organizację na naruszenie artykułu 35. Metoda CNIL strukturyzuje ten wybór i go dokumentuje.

Metoda: DPIA-Express

Struktura narzucona przez artykuł 35.7 RODO, zastosowana do Twojego przetwarzania, z uzasadnionym wnioskiem na każdym etapie

1
Ustalenie obowiązku

Czy Twoje przetwarzanie naprawdę podlega DPIA?

Analiza względem 3 przypadków artykułu 35.3, siatki 9 kryteriów EROD (WP248 rev.01) i list CNIL przetwarzań wymaganych lub niewymaganych. Uzasadniony wniosek, niezależnie od tego, czy DPIA jest ostatecznie obowiązkowa czy nie.

2
Art. 35.7.a

Systematyczny opis przetwarzania

Cele, kategorie danych i osób, których dane dotyczą, odbiorcy, okresy przechowywania: kompletne mapowanie wymagane przez artykuł 35.7.a, spójne z Twoim rejestrem czynności przetwarzania (art. 30).

3
Art. 35.7.b

Niezbędność i proporcjonalność

Weryfikacja, że każda zbierana dana jest niezbędna do realizacji celu, że podstawa prawna (art. 6) jest zidentyfikowana dla każdego przetwarzania oraz że zasada minimalizacji (art. 5.1.c) jest przestrzegana.

4
Art. 35.7.c

Ocena ryzyk dla osób

Dla każdego zidentyfikowanego ryzyka: dotkliwość, prawdopodobieństwo, już wdrożone środki, ryzyko rezydualne, przedstawione w formie tabeli użytecznej dla Twojego kierownictwa lub IOD.

5
Art. 35.7.d i 5.2

Środki i udokumentowany wniosek

Rozważane środki techniczne i organizacyjne (art. 32), uzasadniony wniosek i udokumentowane uzasadnienie w ramach rozliczalności (art. 5.2), gotowe do wykorzystania w razie kontroli CNIL.

Co otrzymujesz

Ustrukturyzowany, opatrzony źródłami dokument, uczciwie wskazujący, co pozostaje do zatwierdzenia przez Twojego prawnika lub IOD

📝

Ustrukturyzowany raport DPIA

Kompletny dokument zgodny z artykułem 35.7 (a-d), z uzasadnionym wnioskiem.

  • Systematyczny opis przetwarzania
  • Analiza niezbędności i proporcjonalności
  • Tabela ryzyk (dotkliwość/prawdopodobieństwo/środki)
  • Wniosek i udokumentowane uzasadnienie (art. 5.2)

Siatka ustalenia obowiązku

Wstępna analiza rozstrzygająca, czy Twoje przetwarzanie wchodzi w zakres obowiązku.

  • 3 przypadki artykułu 35.3
  • 9 kryteriów EROD (WP248 rev.01)
  • Konfrontacja z listami CNIL
  • Uzasadniony i udokumentowany wniosek
📁

Spójność z rejestrem art. 30

DPIA opiera się na tej samej podstawie co Twój rejestr czynności przetwarzania.

  • Cele i podstawy prawne
  • Kategorie danych i osób
  • Odbiorcy i podmioty przetwarzające
  • Okresy przechowywania wg kategorii
🚩

Punkty do zatwierdzenia przez prawnika/IOD

Każdy punkt niepewności jest wyraźnie zaznaczony, nigdy nie rozstrzygamy go za Ciebie.

  • Kwalifikacja administrator / podmiot przetwarzający
  • Podstawy prawne dla każdego celu
  • Zidentyfikowane transfery poza UE
  • Wyznaczenie IOD (art. 37), jeśli dotyczy
🔗

Źródła i identyfikowalność

Każde twierdzenie prawne jest opatrzone źródłem, nie podawane z pamięci.

  • Skonsolidowany tekst RODO (CELEX 32016R0679)
  • Strony i listy CNIL (DPIA, rejestr)
  • Wytyczne EROD (WP248 rev.01)
  • Weryfikowalne adresy URL cytowane w dokumencie
📄

Dokument edytowalny

Dostarczony w formacie edytowalnym, wielokrotnego użytku przez Twojego IOD lub prawnika.

  • Struktura zgodna z artykułem 35.7
  • Wielokrotnego użytku dla przyszłych przetwarzań
  • Gotowy do uzupełnienia przed ostatecznym zatwierdzeniem
  • Bez narzuconego sztywnego formatowania

Wykorzystane referencje

Metoda oparta na przepisach i organach, nie na własnych interpretacjach

35

RODO - Artykuł 35

Ocena skutków dla ochrony danych. Skonsolidowany tekst Rozporządzenia (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).

EROD

Wytyczne WP248 rev.01

9 kryteriów wysokiego ryzyka EROD (dawniej G29), przyjętych przez CNIL jako metoda referencyjna do ustalenia obowiązku DPIA.

CNIL

Listy i metoda CNIL

Listy przetwarzań, dla których DPIA jest wymagana lub niewymagana, oraz metoda CNIL prowadzenia oceny skutków.

30

RODO - Artykuł 30

Rejestr czynności przetwarzania: podstawa spójności (cele, dane, okresy), na której opiera się każda DPIA.

DPIA na miarę, bez ukrytych cen

Zakres zależy od liczby przetwarzań, ich złożoności i tego, co jest już udokumentowane u Ciebie. Wycena ustalana po wstępnej rozmowie.

Ustalenie obowiązku

Nie wiesz, czy Twoje przetwarzanie jest objęte obowiązkiem

Na wycenę
w zależności od liczby przetwarzań do analizy
  • Siatka 9 kryteriów EROD
  • Konfrontacja z artykułem 35.3
  • Weryfikacja list CNIL
  • Uzasadniony i udokumentowany wniosek
Poproś o wycenę

Program wieloletni

Kilka przetwarzań ryzykownych do objęcia

Na wycenę
w zależności od liczby przetwarzań i częstotliwości przeglądu
  • Wszystko z Pełnej DPIA +
  • Wspólne ramy metodologiczne
  • Okresowy przegląd (art. 35.11)
  • Spójność utrzymana z rejestrem (art. 30)
Poproś o wycenę

DPIA nigdy nie jest ustalona raz na zawsze

Artykuł 35.11 RODO nakłada obowiązek ponownego zbadania analizy w przypadku istotnej zmiany przetwarzania (nowy podmiot przetwarzający, zmiana hostingu, rozszerzenie zakresu zbierania danych). Wycena przeglądu jest ustalana indywidualnie.

Najczęściej zadawane pytania

Czy moje przetwarzanie naprawdę podlega obowiązkowi DPIA?
Zależy to od trzech elementów sprawdzanych metodycznie: 3 przypadków artykułu 35.3 RODO, siatki 9 kryteriów EROD (wytyczne WP248 rev.01, przyjęte przez CNIL: gdy spełnione są 2 kryteria z 9, DPIA co do zasady musi zostać przeprowadzona) oraz list CNIL przetwarzań wymaganych lub niewymaganych. Dostarczony dokument rozstrzyga tę kwestię i uzasadnia ją, punkt po punkcie.
Co dokładnie zawiera dostarczony dokument?
Dokument ustrukturyzowany zgodnie z artykułem 35.7 RODO: systematyczny opis przetwarzania (a), analiza niezbędności i proporcjonalności (b), ocena ryzyk dla osób, których dane dotyczą (c), rozważane środki techniczne i organizacyjne (d), a następnie uzasadniony wniosek. Każde odniesienie prawne jest opatrzone źródłem (skonsolidowany tekst RODO, CNIL, EROD).
A jeśli moje przetwarzanie ostatecznie nie podlega obowiązkowi DPIA?
Dokument jest utrzymywany dobrowolnie, w celach dokumentacyjnych: stanowi uzasadnienie Twojej decyzji o nieprzeprowadzaniu formalnej DPIA, w ramach zasady rozliczalności (art. 5.2 RODO), gotowe do wykorzystania w razie kontroli CNIL.
Czy ten dokument zastępuje opinię mojego prawnika lub IOD?
Nie. DPIA-Express jest narzędziem wsparcia metodologicznego, które strukturyzuje i dokumentuje analizę; nie stanowi porady prawnej. Każdy dostarczony dokument wyraźnie wymienia punkty pozostające do zatwierdzenia przez Twojego prawnika lub Inspektora Ochrony Danych przed jakimkolwiek użyciem jako dowód wobec osób trzecich.
Kto powinien przeprowadzić DPIA w mojej organizacji?
Administrator danych pozostaje prawnie odpowiedzialny za DPIA; IOD, jeśli został wyznaczony, musi zostać skonsultowany (art. 35.2 RODO). DPIA-Express przygotowuje materię (opis, ryzyka, środki), aby ta konsultacja odbywała się na już ustrukturyzowanej dokumentacji, a nie na czystej kartce.
Dlaczego skorzystać z SYAGA zamiast robić to w całości wewnętrznie?
SYAGA Consulting istnieje od 2009 roku i stosuje tę samą metodę do własnych przetwarzań, w tym do własnego produktu audytu Microsoft 365, którego analiza obowiązku DPIA przebiega dokładnie według tej struktury. Nie dostarczamy generycznego szablonu: każdy dokument jest budowany przetwarzanie po przetwarzaniu, artykuł po artykule.

Gotowy, by udokumentować swoją DPIA?

Opisz nam swoje przetwarzanie, wrócimy do Ciebie ze spersonalizowaną wyceną.

Monitoring regulacyjny - źródła oficjalne

To, co naprawdę mówi przepis, streszczone prostym językiem. Każdy punkt zachowuje link do dokumentu oficjalnego.

📋

Czym jest DPIA, mówiąc wprost?

DPIA to po prostu praca oceniająca: patrzymy na ryzyka, jakie przetwarzanie danych stwarza dla osób, zanim je wdrożymy. CNIL definiuje ją jako "formalny proces pozwalający ocenić ryzyka związane z przetwarzaniem danych osobowych". To nie kolejna formalność administracyjna, to narzędzie zdrowego rozsądku, uczynione obowiązkowym przez RODO w niektórych przypadkach. Źródło: CNIL →

🎯

Kogo naprawdę dotyczy: zasada „2 kryteriów z 9”

Nie trzeba być dużym przedsiębiorstwem, aby być objętym obowiązkiem. CNIL uważa, że DPIA jest obowiązkowa, gdy przetwarzanie spełnia co najmniej dwie z dziewięciu sytuacji: ocenianie lub punktowanie osób, podejmowanie zautomatyzowanej decyzji mającej realny wpływ na nie, systematyczne ich monitorowanie, zbieranie danych wrażliwych (zdrowie, pochodzenie itd.), zbieranie na dużą skalę, krzyżowanie kilku baz danych, dotyczenie osób wrażliwych (pracownicy, pacjenci, małoletni...), wykorzystywanie nowej technologii, lub pozbawianie kogoś prawa lub usługi. Źródło: CNIL →

Dwie listy CNIL, które często odpowiadają za Ciebie

Aby uniknąć zgadywania, CNIL opublikowała dwie oficjalne listy: listę 14 typów przetwarzań, gdzie DPIA jest obowiązkowa (dane zdrowotne, profilowanie HR, monitorowanie pracowników, geolokalizacja na dużą skalę...), oraz listę 12 typów, gdzie nie jest wymagana (płace i zarządzanie personelem poniżej 250 pracowników bez profilowania, zarządzanie dostawcami, dokumentacja pacjenta pojedynczego pracownika ochrony zdrowia...). Listy te nie obejmują wszystkich przypadków, ale odpowiadają już na wiele typowych sytuacji. Źródło: lista CNIL przetwarzań wymaganych →

🧩

Co analiza naprawdę musi zawierać

RODO (artykuł 35) nie wymaga powieści, lecz czterech precyzyjnych elementów: opisać przetwarzanie i jego cel, sprawdzić, czy jest naprawdę niezbędne i proporcjonalne, ocenić ryzyka dla osób, których dane dotyczą, a następnie wymienić przewidziane środki dla zmniejszenia tych ryzyk. Na końcu jasny wniosek: czy przetwarzanie jest akceptowalne, i na jakich warunkach. Źródło: RODO, artykuł 35 →

👤

Rola Twojego IOD (jeśli go masz)

Jeśli Twoja organizacja wyznaczyła Inspektora Ochrony Danych, RODO nakazuje zasięgnąć jego opinii przy przeprowadzaniu DPIA i zlecić mu weryfikację, że analiza została rzeczywiście wykonana. To zabezpieczenie, nie pole do odhaczenia: IOD pozostaje właściwym punktem odniesienia przed zatwierdzeniem wniosku. Źródło: RODO, artykuły 35 i 39 →

A jeśli ryzyko pozostaje wysokie po analizie?

Jeśli mimo przewidzianych środków przetwarzanie nadal stwarza wysokie ryzyko dla osób, RODO nakazuje skonsultować się z CNIL przed rozpoczęciem. Ma ona wtedy osiem tygodni na wydanie pisemnej opinii (możliwe przedłużenie o sześć tygodni, jeśli sprawa jest złożona). Uspokajający fakt: ten przypadek pozostaje wyjątkiem, nie regułą. Źródło: RODO, artykuł 36 →

💰

Sankcje, bez dramatyzowania

CNIL przypomina, że kary RODO mogą sięgać do 10 milionów euro lub 2% rocznego światowego obrotu, w zależności od tego, która kwota jest wyższa. To pułap prawny, nie fatalizm: dobrze przeprowadzona DPIA jest właśnie tym, co pozwala pokazać, w razie kontroli, że kwestia została potraktowana poważnie. Źródło: CNIL →

📢

Aktualność europejska do śledzenia

Europejska Rada Ochrony Danych (EROD/EDPB) poddała pod konsultacje publiczne, od 14 kwietnia do 9 czerwca 2026, projekt jednolitego wzorca DPIA mającego zharmonizować praktyki między krajami europejskimi. Konsultacje są już zamknięte; śledzimy dalsze losy tego projektu, aby poinformować o nich naszych klientów w odpowiednim czasie. Źródło: EDPB →