RGPD impune o Evaluare a Impactului asupra Protecției Datelor pentru orice prelucrare susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor. SYAGA DPIA-Express structurează și documentează AIPD-ul dumneavoastră conform metodologiei articolului 35 și liniilor directoare ale CEPD, fără improvizație și fără jargon.
Determinați dacă prelucrarea dumneavoastră trebuie să facă obiectul unei AIPD, apoi conduceți-o conform regulilor
Orice prelucrare susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice trebuie să facă obiectul unei Evaluări a Impactului asupra Protecției Datelor înainte de punerea sa în aplicare (RGPD, art. 35).
CEPD (fost G29, linii directoare WP248 rev.01) a definit 9 criterii de risc ridicat. De îndată ce o prelucrare îndeplinește cel puțin două dintre aceste criterii, o AIPD trebuie în principiu să fie realizată: o singură piesă identificată greșit, și dosarul este incomplet.
CNIL publică liste de prelucrări pentru care AIPD este necesară sau nu este necesară. A determina unde se situează exact prelucrarea dumneavoastră necesită o lectură riguroasă, nu o impresie generală.
A conduce o AIPD prea repede o expune la incompletitudine în fața unei autorități de control; a nu o conduce atunci când este necesară expune organizația unei încălcări a articolului 35. Metoda CNIL structurează această alegere și o documentează.
Structura impusă de articolul 35.7 din RGPD, aplicată prelucrării dumneavoastră, cu o concluzie motivată la fiecare etapă
Analiză în raport cu cele 3 cazuri ale articolului 35.3, grila celor 9 criterii ale CEPD (WP248 rev.01) și listele CNIL ale prelucrărilor necesare sau nu. Concluzie motivată, indiferent dacă AIPD este în final obligatorie sau nu.
Scopuri, categorii de date și de persoane vizate, destinatari, durate de păstrare: cartografierea completă cerută de articolul 35.7.a, coerentă cu registrul dumneavoastră al activităților de prelucrare (art. 30).
Verificarea că fiecare dată colectată este necesară scopului urmărit, că temeiul legal (art. 6) este identificat pentru fiecare prelucrare, și că principiul minimizării (art. 5.1.c) este respectat.
Pentru fiecare risc identificat: gravitate, probabilitate, măsuri deja existente, risc rezidual, prezentate sub formă de tabel utilizabil de către conducerea dumneavoastră sau de responsabilul dumneavoastră cu protecția datelor (DPO).
Măsuri tehnice și organizatorice avute în vedere (art. 32), concluzie motivată și justificare documentată în temeiul responsabilității (accountability, art. 5.2), utilizabilă în caz de control al CNIL.
Un document structurat, cu surse, și onest în privința a ceea ce rămâne de validat de către juristul sau DPO-ul dumneavoastră
Documentul complet conform articolului 35.7 (a-d), cu o concluzie motivată.
Analiza prealabilă care tranșează dacă prelucrarea dumneavoastră intră în domeniul obligației.
AIPD se bazează pe același soclu ca și registrul dumneavoastră al activităților de prelucrare.
Fiecare punct de incertitudine este semnalat explicit, niciodată tranșat în locul dumneavoastră.
Fiecare afirmație juridică are o sursă, nu este afirmată din memorie.
Livrat într-un format editabil, reutilizabil de către DPO-ul sau juristul dumneavoastră.
O metodă care se bazează pe texte și autorități, nu pe interpretări proprii
Evaluarea impactului asupra protecției datelor. Textul consolidat al Regulamentului (UE) 2016/679 (EUR-Lex, CELEX 32016R0679).
Cele 9 criterii de risc ridicat ale CEPD (fost G29), preluate de CNIL ca metodă de referință pentru determinarea obligației de AIPD.
Liste ale prelucrărilor pentru care AIPD este necesară sau nu, și metoda CNIL de conducere a unei evaluări de impact.
Registrul activităților de prelucrare: soclul de coerență (scopuri, date, durate) pe care se bazează orice AIPD.
Perimetrul depinde de numărul de prelucrări, de complexitatea lor și de ceea ce este deja documentat la dumneavoastră. Ofertă stabilită după un prim schimb de informații.
Nu știți dacă prelucrarea dumneavoastră este vizată
Prelucrare identificată cu risc ridicat
Mai multe prelucrări cu risc de acoperit
O AIPD nu este niciodată fixă definitiv
Articolul 35.11 din RGPD impune reexaminarea analizei în caz de evoluție semnificativă a prelucrării (nou împuternicit, schimbare de găzduire, extinderea perimetrului de colectare). O ofertă de reexaminare se stabilește de la caz la caz.
Descrieți-ne prelucrarea dumneavoastră, revenim către dumneavoastră cu o ofertă personalizată.
Ce spune cu adevărat textul, digerat în limbaj simplu. Fiecare punct își păstrează legătura către documentul oficial.
O AIPD este pur și simplu o lucrare de evaluare: se analizează riscurile pe care o prelucrare de date le prezintă pentru persoane, înainte de a o pune în aplicare. CNIL o definește ca „un proces formal care permite evaluarea riscurilor legate de prelucrarea datelor cu caracter personal”. Nu este o formalitate administrativă în plus, este un instrument de bun-simț devenit obligatoriu prin RGPD în anumite cazuri. Sursă: CNIL (autoritate franceză) →
Nu este nevoie să fii o companie mare pentru a fi vizat. CNIL consideră că o AIPD este obligatorie de îndată ce o prelucrare îndeplinește cel puțin două dintre aceste nouă situații: a nota sau evalua persoane, a lua o decizie automatizată care are un efect real asupra acestora, a le supraveghea în mod sistematic, a colecta date sensibile (sănătate, origine etc.), a colecta la scară largă, a încrucișa mai multe baze de date, a viza persoane vulnerabile (angajați, pacienți, minori...), a utiliza o tehnologie nouă, sau a priva pe cineva de un drept sau de un serviciu. Sursă: CNIL (autoritate franceză) →
Pentru a evita ghicitul, CNIL a publicat două liste oficiale: o listă de 14 tipuri de prelucrări unde AIPD este obligatorie (date de sănătate, profilare HR, supravegherea angajaților, geolocalizare la scară largă...), și o listă de 12 tipuri unde nu este necesară (salarizare și gestiunea personalului sub 250 de angajați fără profilare, gestiunea furnizorilor, dosarul pacientului al unui profesionist din sănătate izolat...). Aceste liste nu acoperă toate cazurile, dar răspund deja la multe situații curente. Sursă: lista CNIL a prelucrărilor necesare (autoritate franceză) →
RGPD (articolul 35) nu cere un roman, ci patru elemente precise: descrierea prelucrării și a obiectivului său, verificarea că este cu adevărat necesară și proporțională, evaluarea riscurilor pentru persoanele vizate, apoi listarea măsurilor prevăzute pentru a reduce aceste riscuri. O concluzie clară la final: prelucrarea este acceptabilă, și în ce condiții. Sursă: RGPD, articolul 35 →
Dacă organizația dumneavoastră a desemnat un Responsabil cu Protecția Datelor, RGPD impune să i se ceară acestuia sfatul în momentul conducerii AIPD, și să fie însărcinat să verifice că analiza a fost într-adevăr realizată. Este o măsură de siguranță, nu o căsuță de bifat: DPO-ul rămâne reflexul corect înainte de a valida o concluzie. Sursă: RGPD, articolele 35 și 39 →
Dacă, în ciuda măsurilor prevăzute, prelucrarea prezintă în continuare un risc ridicat pentru persoane, RGPD impune consultarea CNIL înainte de a începe. Aceasta dispune atunci de opt săptămâni pentru a-și da avizul scris (prelungibil cu șase săptămâni dacă dosarul este complex). Liniștitor de știut: acest caz rămâne excepția, nu regula. Sursă: RGPD, articolul 36 →
CNIL reamintește că amenzile RGPD pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri anuală mondială, în funcție de suma cea mai mare. Este un plafon legal, nu o fatalitate: o AIPD bine condusă este tocmai ceea ce permite să se arate, în caz de control, că problema a fost tratată cu seriozitate. Sursă: CNIL (autoritate franceză) →
Comitetul European pentru Protecția Datelor (CEPD/EDPB) a supus consultării publice, din 14 aprilie până la 9 iunie 2026, un proiect de model unic de AIPD destinat să armonizeze practicile între țările europene. Consultarea este acum închisă; urmărim continuarea dată acestui proiect pentru a informa clienții noștri la momentul potrivit. Sursă: EDPB →