RGPD ukladá povinnosť vykonať posúdenie vplyvu na ochranu údajov pre každé spracúvanie, ktoré môže predstavovať vysoké riziko pre práva a slobody dotknutých osôb. SYAGA DPIA-Express štruktúruje a dokumentuje vaše DPIA podľa metodiky článku 35 a usmernení EDPB, bez improvizácie a bez odborného žargónu.
Určiť, či vaše spracúvanie musí byť predmetom DPIA, a následne ju vykonať podľa pravidiel
Každé spracúvanie, ktoré môže predstavovať vysoké riziko pre práva a slobody fyzických osôb, musí byť pred svojím zavedením predmetom posúdenia vplyvu na ochranu údajov (RGPD, čl. 35).
EDPB (predtým pracovná skupina G29, usmernenia WP248 rev.01) definoval 9 kritérií vysokého rizika. Ak spracúvanie spĺňa aspoň dve z týchto kritérií, DPIA sa v zásade musí vykonať: jedna prehliadnutá skutočnosť a spis je neúplný.
CNIL zverejňuje zoznamy spracúvaní, pri ktorých je DPIA vyžadovaná alebo nevyžadovaná. Určiť, kam presne patrí vaše spracúvanie, si vyžaduje dôsledné čítanie, nie všeobecný dojem.
Vykonať DPIA príliš rýchlo vystavuje riziku neúplnosti pred dozorným úradom; nevykonať ju, keď je vyžadovaná, vystavuje organizáciu porušeniu článku 35. Metóda CNIL toto rozhodnutie štruktúruje a dokumentuje.
Štruktúra stanovená článkom 35.7 RGPD, uplatnená na vaše spracúvanie, s odôvodneným záverom pri každom kroku
Analýza voči 3 prípadom článku 35.3, mriežke 9 kritérií EDPB (WP248 rev.01) a zoznamom CNIL vyžadovaných alebo nevyžadovaných spracúvaní. Odôvodnený záver, či je DPIA napokon povinná alebo nie.
Účely, kategórie údajov a dotknutých osôb, príjemcovia, doby uchovávania: kompletné mapovanie vyžadované článkom 35.7.a, v súlade s vaším registrom spracovateľských činností (čl. 30).
Overenie, že každý zbieraný údaj je nevyhnutný na sledovaný účel, že právny základ (čl. 6) je identifikovaný pre každé spracúvanie a že je dodržaná zásada minimalizácie (čl. 5.1.c).
Pre každé identifikované riziko: závažnosť, pravdepodobnosť, už zavedené opatrenia, zostatkové riziko, prezentované formou tabuľky použiteľnej vaším vedením alebo vašou DPO.
Zvažované technické a organizačné opatrenia (čl. 32), odôvodnený záver a zdokumentované zdôvodnenie v zmysle zásady zodpovednosti (čl. 5.2), použiteľné v prípade kontroly zo strany CNIL.
Štruktúrovaný, doložený dokument, úprimný v tom, čo ešte musí potvrdiť váš právnik alebo vaša DPO
Kompletný dokument podľa článku 35.7 (a až d), s odôvodneným záverom.
Predbežná analýza, ktorá rozhodne, či vaše spracúvanie patrí do rozsahu povinnosti.
DPIA vychádza z rovnakého základu ako váš register spracovateľských činností.
Každý neistý bod je výslovne označený, nikdy nie rozhodnutý namiesto vás.
Každé právne tvrdenie je doložené zdrojom, nie uvedené z pamäti.
Odovzdaný v upraviteľnom formáte, opätovne použiteľný vašou DPO alebo vaším právnikom.
Metóda opierajúca sa o texty a úrady, nie o vlastné interpretácie
Posúdenie vplyvu na ochranu údajov. Konsolidované znenie Nariadenia (EÚ) 2016/679 (EUR-Lex, CELEX 32016R0679).
9 kritérií vysokého rizika podľa EDPB (predtým G29), prevzatých CNIL (francúzsky úrad) ako referenčnú metódu na určenie povinnosti DPIA.
Zoznamy spracúvaní, pri ktorých je DPIA vyžadovaná alebo nevyžadovaná, a metóda CNIL na vykonanie posúdenia vplyvu.
Register spracovateľských činností: základ konzistentnosti (účely, údaje, doby), o ktorý sa opiera každá DPIA.
Rozsah závisí od počtu spracúvaní, ich zložitosti a od toho, čo už máte zdokumentované. Cenová ponuka po úvodnom rozhovore.
Neviete, či sa vás spracúvanie týka
Identifikované spracúvanie s vysokým rizikom
Viacero rizikových spracúvaní na pokrytie
DPIA nie je nikdy definitívna
Článok 35.11 RGPD ukladá povinnosť prehodnotiť analýzu v prípade významnej zmeny spracúvania (nový sprostredkovateľ, zmena hostingu, rozšírenie rozsahu zberu). Cenová ponuka na prehodnotenie sa stanovuje individuálne.
Opíšte nám vaše spracúvanie, ozveme sa vám s individuálnou cenovou ponukou.
Čo text skutočne hovorí, zhrnuté jednoduchým jazykom. Každý bod si zachováva odkaz na oficiálny dokument.
DPIA je jednoducho hodnotiaca práca: skúma sa, aké riziká spracúvanie údajov predstavuje pre dotknuté osoby, ešte pred jeho zavedením. CNIL (francúzsky úrad) ju definuje ako "formálny proces umožňujúci vyhodnotiť riziká spojené so spracúvaním osobných údajov". Nejde o ďalšiu administratívnu formalitu, je to nástroj zdravého rozumu, ktorý sa v určitých prípadoch stal povinným vďaka RGPD. Zdroj: CNIL →
Nemusíte byť veľká spoločnosť, aby sa vás to týkalo. CNIL (francúzsky úrad) považuje DPIA za povinnú, hneď ako spracúvanie spĺňa aspoň dve z týchto deviatich situácií: hodnotenie alebo bodovanie osôb, automatizované rozhodovanie s reálnym vplyvom na osoby, systematické sledovanie, zber citlivých údajov (zdravie, pôvod atď.), zber vo veľkom rozsahu, krížové prepojenie viacerých databáz, zameranie na zraniteľné osoby (zamestnanci, pacienti, maloletí...), použitie novej technológie, alebo pozbavenie niekoho práva či služby. Zdroj: CNIL →
Aby sa predišlo hádaniu, CNIL (francúzsky úrad) zverejnil dva oficiálne zoznamy: zoznam 14 typov spracúvaní, pri ktorých je DPIA povinná (zdravotné údaje, HR profilovanie, sledovanie zamestnancov, geolokalizácia vo veľkom rozsahu...), a zoznam 12 typov, pri ktorých nie je vyžadovaná (mzdová a personálna agenda pod 250 zamestnancov mimo profilovania, správa dodávateľov, pacientsky spis samostatného zdravotníckeho pracovníka...). Tieto zoznamy nepokrývajú všetky prípady, ale už odpovedajú na mnohé bežné situácie. Zdroj: zoznam CNIL vyžadovaných spracúvaní →
RGPD (článok 35) nepožaduje román, ale štyri presné zložky: opísať spracúvanie a jeho cieľ, overiť, že je skutočne nevyhnutné a primerané, posúdiť riziká pre dotknuté osoby a napokon vymenovať plánované opatrenia na zníženie týchto rizík. Na konci jasný záver: je spracúvanie prijateľné, a za akých podmienok. Zdroj: RGPD, článok 35 →
Ak vaša organizácia vymenovala Zodpovednú osobu pre ochranu údajov, RGPD ukladá povinnosť požiadať ju o radu pri vykonávaní DPIA a poveriť ju overením, že analýza bola riadne vykonaná. Je to poistka, nie políčko na zaškrtnutie: DPO zostáva správnym reflexom pred schválením záveru. Zdroj: RGPD, články 35 a 39 →
Ak napriek plánovaným opatreniam spracúvanie stále predstavuje vysoké riziko pre dotknuté osoby, RGPD ukladá povinnosť konzultovať s CNIL (francúzsky úrad) pred spustením. Ten má potom osem týždňov na vydanie písomného stanoviska (predĺžiteľné o šesť týždňov, ak je spis zložitý). Upokojujúce zistenie: tento prípad zostáva výnimkou, nie pravidlom. Zdroj: RGPD, článok 36 →
CNIL (francúzsky úrad) pripomína, že pokuty podľa RGPD môžu dosiahnuť až 10 miliónov eur alebo 2 % z celosvetového ročného obratu, podľa toho, ktorá suma je vyššia. Je to zákonný strop, nie nevyhnutnosť: dobre vykonaná DPIA je práve to, čo v prípade kontroly umožňuje preukázať, že otázka bola vzatá vážne. Zdroj: CNIL →
Európsky výbor pre ochranu údajov (EDPB) dal od 14. apríla do 9. júna 2026 do verejnej konzultácie návrh jednotného vzoru DPIA, ktorý má zosúladiť postupy medzi európskymi krajinami. Konzultácia je už uzavretá; sledujeme ďalší vývoj tohto projektu, aby sme o ňom v pravý čas informovali našich klientov. Zdroj: EDPB →