GDPR - ČLEN 35 - OCENA UČINKA (DPIA)

Vaša ocena učinka, skladna
z metodo CNIL

GDPR nalaga izvedbo ocene učinka na varstvo podatkov za vsako obdelavo, ki lahko povzroči veliko tveganje za pravice in svoboščine posameznikov. SYAGA DPIA-Express strukturira in dokumentira vašo oceno učinka po metodologiji člena 35 in smernicah EOVP, brez improvizacije in brez žargona.

35
Člen GDPR (ocena učinka)
9
Merila EOVP (WP248 rev.01)
3
Primeri obveznosti (čl. 35.3)
4
Deli metode (čl. 35.7 a-d)

Obveznost

Ugotoviti, ali mora biti za vašo obdelavo izvedena ocena učinka, in jo nato izvesti po pravilih

Člen 35 GDPR nalaga oceno učinka

Za vsako obdelavo, ki lahko povzroči veliko tveganje za pravice in svoboščine fizičnih oseb, je treba pred njeno uvedbo izvesti oceno učinka na varstvo podatkov (GDPR, čl. 35).

📋

Pravilo CNIL »2 merili od 9«

EOVP (nekdanja skupina G29, smernice WP248 rev.01) je opredelil 9 meril visokega tveganja. Takoj ko obdelava izpolnjuje vsaj dve od teh meril, je treba načeloma izvesti oceno učinka: en sam napačno opredeljen element in dokumentacija je nepopolna.

🔍

Sezname CNIL je treba preveriti člen za členom

CNIL objavlja sezname obdelav, za katere je ocena učinka zahtevana ali ni zahtevana. Natančna umestitev vaše obdelave zahteva natančno branje, ne pa splošnega vtisa.

Brez metode je tveganje dvojno

Prehitro izvedena ocena učinka je izpostavljena nepopolnosti pred nadzornim organom; njena neizvedba, kadar je zahtevana, izpostavlja organizacijo kršitvi člena 35. Metoda CNIL to odločitev strukturira in dokumentira.

Metoda: DPIA-Express

Struktura, ki jo nalaga člen 35.7 GDPR, uporabljena za vašo obdelavo, z utemeljenim zaključkom pri vsakem koraku

1
Ugotavljanje obveznosti

Ali je za vašo obdelavo res potrebna ocena učinka?

Analiza glede na 3 primere iz člena 35.3, mrežo 9 meril EOVP (WP248 rev.01) in sezname CNIL zahtevanih ali nezahtevanih obdelav. Utemeljen zaključek, ne glede na to, ali je ocena učinka na koncu obvezna ali ne.

2
Čl. 35.7.a

Sistematičen opis obdelave

Nameni, kategorije podatkov in zadevnih oseb, prejemniki, roki hrambe: popoln zemljevid, ki ga zahteva člen 35.7.a, usklajen z vašo evidenco dejavnosti obdelave (čl. 30).

3
Čl. 35.7.b

Nujnost in sorazmernost

Preverjanje, da je vsak zbrani podatek potreben za zasledovani namen, da je pravna podlaga (čl. 6) opredeljena za vsako obdelavo, in da je upoštevano načelo minimizacije (čl. 5.1.c).

4
Čl. 35.7.c

Ocena tveganj za posameznike

Za vsako prepoznano tveganje: resnost, verjetnost, že uvedeni ukrepi, preostalo tveganje, predstavljeno v obliki tabele, ki jo lahko uporabi vaše vodstvo ali vaš DPO.

5
Čl. 35.7.d in 5.2

Ukrepi in dokumentiran zaključek

Predvideni tehnični in organizacijski ukrepi (čl. 32), utemeljen zaključek in dokumentirana utemeljitev v skladu z načelom odgovornosti (čl. 5.2), uporabna v primeru nadzora CNIL.

Kaj prejmete

Strukturiran, virovan dokument, ki pošteno navaja, kaj mora še potrditi vaš pravnik ali DPO

📝

Strukturirano poročilo ocene učinka

Popoln dokument po členu 35.7 (a do d), z utemeljenim zaključkom.

  • Sistematičen opis obdelave
  • Analiza nujnosti in sorazmernosti
  • Tabela tveganj (resnost/verjetnost/ukrepi)
  • Zaključek in dokumentirana utemeljitev (čl. 5.2)

Mreža za ugotavljanje obveznosti

Predhodna analiza, ki odloči, ali vaša obdelava spada v okvir obveznosti.

  • 3 primeri iz člena 35.3
  • 9 meril EOVP (WP248 rev.01)
  • Primerjava s seznami CNIL
  • Utemeljen in virovan zaključek
📁

Skladnost z evidenco iz čl. 30

Ocena učinka temelji na isti osnovi kot vaša evidenca dejavnosti obdelave.

  • Nameni in pravne podlage
  • Kategorije podatkov in oseb
  • Prejemniki in obdelovalci
  • Roki hrambe po kategorijah
🚩

Točke za potrditev s strani pravnika/DPO

Vsaka negotova točka je izrecno označena, nikoli ni odločena namesto vas.

  • Opredelitev upravljavec / obdelovalec
  • Pravne podlage po namenu
  • Prepoznani prenosi izven EU
  • Imenovanje DPO (čl. 37), če je potrebno
🔗

Viri in sledljivost

Vsaka pravna trditev je virovana, ne navedena na pamet.

  • Prečiščeno besedilo GDPR (CELEX 32016R0679)
  • Strani in seznami CNIL (ocena učinka, evidenca)
  • Smernice EOVP (WP248 rev.01)
  • Preverljivi URL-ji, navedeni v dokumentu
📄

Urejevalni dokument

Predan v urejevalni obliki, ki jo lahko ponovno uporabi vaš DPO ali pravnik.

  • Struktura, skladna s členom 35.7
  • Ponovno uporabljiv za vaše prihodnje obdelave
  • Pripravljen za dopolnitev pred končno potrditvijo
  • Brez vsiljene fiksne oblike

Uporabljeni viri

Metoda, ki temelji na besedilih in organih, ne na lastnih razlagah

35

GDPR - Člen 35

Ocena učinka na varstvo podatkov. Prečiščeno besedilo Uredbe (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EOVP

Smernice WP248 rev.01

9 meril visokega tveganja EOVP (nekdanja skupina G29), ki jih je CNIL povzel kot referenčno metodo za ugotavljanje obveznosti ocene učinka.

CNIL

Seznami in metoda CNIL

Seznami obdelav, za katere je ocena učinka zahtevana ali ni zahtevana, in metoda CNIL za izvedbo ocene učinka.

30

GDPR - Člen 30

Evidenca dejavnosti obdelave: osnova skladnosti (nameni, podatki, roki), na kateri temelji vsaka ocena učinka.

Ocena učinka po meri, brez skritih cen

Obseg je odvisen od števila obdelav, njihove zapletenosti in tega, kar je pri vas že dokumentirano. Ponudba se pripravi po uvodnem pogovoru.

Ugotavljanje obveznosti

Ne veste, ali vaša obdelava spada med zadevne

Po ponudbi
glede na število obdelav za analizo
  • Mreža 9 meril EOVP
  • Primerjava s členom 35.3
  • Preverjanje seznamov CNIL
  • Utemeljen in virovan zaključek
Zahtevajte ponudbo

Večletni program

Več tveganih obdelav za pokritje

Po ponudbi
glede na število obdelav in ritem ponovnih pregledov
  • Vse iz paketa Popolna ocena učinka +
  • Skupen metodološki okvir
  • Periodičen ponovni pregled (čl. 35.11)
  • Ohranjena skladnost z evidenco (čl. 30)
Zahtevajte ponudbo

Ocena učinka nikoli ni dokončna

Člen 35.11 GDPR nalaga ponovni pregled analize v primeru pomembne spremembe obdelave (nov obdelovalec, sprememba gostovanja, razširitev obsega zbiranja). Ponudba za ponovni pregled se pripravi za vsak primer posebej.

Pogosta vprašanja

Ali za mojo obdelavo res velja obveznost ocene učinka?
To je odvisno od treh sistematično preverjenih elementov: 3 primerov iz člena 35.3 GDPR, mreže 9 meril EOVP (smernice WP248 rev.01, ki jih povzema CNIL: takoj ko sta izpolnjeni 2 od 9 meril, je treba načeloma izvesti oceno učinka) in seznamov CNIL zahtevanih ali nezahtevanih obdelav. Predani dokument to vprašanje reši in ga utemelji, točko za točko.
Kaj natančno vsebuje predani dokument?
Dokument, strukturiran po členu 35.7 GDPR: sistematičen opis obdelave (a), analiza nujnosti in sorazmernosti (b), ocena tveganj za zadevne osebe (c), predvideni tehnični in organizacijski ukrepi (d), nato utemeljen zaključek. Vsaka pravna referenca je virovana (prečiščeno besedilo GDPR, CNIL, EOVP).
Kaj pa, če moja obdelava na koncu ni zavezana k oceni učinka?
Dokument se ohrani prostovoljno in dokumentarno: predstavlja utemeljitev vaše odločitve, da ne izvedete formalne ocene učinka, v skladu z načelom odgovornosti (čl. 5.2 GDPR), uporabno v primeru nadzora CNIL.
Ali ta dokument nadomesti mnenje mojega odvetnika ali mojega DPO?
Ne. DPIA-Express je metodološko podporno orodje, ki strukturira in dokumentira analizo; ne predstavlja pravnega nasveta. Vsak predani dokument izrecno navaja točke, ki jih mora še potrditi vaš pravnik ali vaš pooblaščenec za varstvo podatkov, preden se uporabi kot dokazilo.
Kdo mora izvesti oceno učinka v moji organizaciji?
Upravljavec obdelave ostaja pravno odgovoren za oceno učinka; DPO, kadar obstaja, je treba obvezno posvetovati (čl. 35.2 GDPR). DPIA-Express pripravi vsebino (opis, tveganja, ukrepe), da se to posvetovanje izvede na že strukturirani dokumentaciji, ne na praznem listu.
Zakaj izbrati SYAGA namesto izvedbe povsem interno?
SYAGA Consulting obstaja od leta 2009 in isto metodo uporablja za lastne obdelave, vključno z lastnim produktom za revizijo Microsoft 365, katerega analiza obveznosti ocene učinka sledi natanko tej strukturi. Ne dobavljamo generične predloge: vsak dokument je zgrajen obdelava za obdelavo, člen za člen.

Ste pripravljeni dokumentirati svojo oceno učinka?

Opišite nam svojo obdelavo, mi se vam vrnemo s prilagojeno ponudbo.

Regulativni pregled - uradni viri

Kaj besedilo res pravi, povzeto v preprostem jeziku. Vsaka točka ohranja povezavo na uradni dokument.

📋

Kaj je ocena učinka, preprosto povedano?

Ocena učinka je preprosto delo vrednotenja: pogleda se tveganja, ki jih obdelava podatkov predstavlja za posameznike, preden se jo uvede. CNIL jo opredeljuje kot »formalni postopek za ocenjevanje tveganj, povezanih z obdelavo osebnih podatkov«. To ni le še ena upravna formalnost, temveč orodje zdrave pameti, ki ga GDPR v določenih primerih nalaga. Vir: CNIL (francoski organ) →

🎯

Koga to res zadeva: pravilo »2 merili od 9«

Ni treba biti veliko podjetje, da bi bili zavezanec. CNIL šteje, da je ocena učinka obvezna, takoj ko obdelava izpolnjuje vsaj dve od naslednjih devetih situacij: ocenjevanje ali vrednotenje oseb, sprejemanje avtomatizirane odločitve, ki ima nanje resničen učinek, njihovo sistematično spremljanje, zbiranje občutljivih podatkov (zdravje, izvor itd.), zbiranje v velikem obsegu, povezovanje več baz podatkov, ciljanje na ranljive osebe (zaposlene, paciente, mladoletnike ...), uporaba nove tehnologije, ali odvzem nekomu pravice ali storitve. Vir: CNIL (francoski organ) →

Dva seznama CNIL, ki pogosto odgovorita namesto vas

Da bi se izognil ugibanju, je CNIL objavil dva uradna seznama: seznam 14 vrst obdelav, pri katerih je ocena učinka obvezna (zdravstveni podatki, kadrovsko profiliranje, nadzor zaposlenih, geolokacija v velikem obsegu ...), in seznam 12 vrst obdelav, kjer ni zahtevana (plače in upravljanje kadrov pri manj kot 250 zaposlenih brez profiliranja, upravljanje dobaviteljev, kartoteka pacienta pri samostojnem zdravstvenem delavcu ...). Ta seznama ne pokrivata vseh primerov, vendar že odgovarjata na veliko pogostih situacij. Vir: seznam CNIL zahtevanih obdelav →

🧩

Kaj mora analiza res vsebovati

GDPR (člen 35) ne zahteva romana, temveč štiri natančne sestavne dele: opisati obdelavo in njen namen, preveriti, ali je res nujna in sorazmerna, oceniti tveganja za zadevne osebe, nato pa navesti predvidene ukrepe za zmanjšanje teh tveganj. Na koncu jasen zaključek: ali je obdelava sprejemljiva, in pod kakšnimi pogoji. Vir: GDPR, člen 35 →

👤

Vloga vašega DPO (če ga imate)

Če je vaša organizacija imenovala pooblaščenca za varstvo podatkov, GDPR nalaga, da ga zaprosite za nasvet ob izvedbi ocene učinka in da ga zadolžite za preverjanje, ali je bila analiza res izvedena. To je varovalka, ne kljukica: DPO ostaja pravi refleks pred potrditvijo zaključka. Vir: GDPR, člena 35 in 39 →

Kaj pa, če tveganje po analizi ostane visoko?

Če kljub predvidenim ukrepom obdelava še vedno predstavlja visoko tveganje za posameznike, GDPR nalaga posvetovanje s CNIL pred začetkom. Ta ima nato osem tednov časa za podajo pisnega mnenja (podaljšljivo za šest tednov, če je dokumentacija zapletena). Pomirjujoče je vedeti, da ta primer ostaja izjema, ne pravilo. Vir: GDPR, člen 36 →

💰

Sankcije, brez pretiravanja

CNIL opozarja, da lahko globe po GDPR dosežejo do 10 milijonov evrov ali 2 % svetovnega letnega prometa, glede na višji znesek. To je zakonska zgornja meja, ne usoda: dobro izvedena ocena učinka je prav to, kar omogoča, da se v primeru nadzora dokaže, da je bilo vprašanje vzeto resno. Vir: CNIL (francoski organ) →

📢

Evropska novost, ki jo velja spremljati

Evropski odbor za varstvo podatkov (EOVP/EDPB) je od 14. aprila do 9. junija 2026 izvedel javno posvetovanje o osnutku enotne predloge ocene učinka, namenjene uskladitvi praks med evropskimi državami. Posvetovanje je zdaj zaključeno; spremljamo nadaljnji razvoj tega projekta, da o njem obvestimo naše stranke, ko bo čas za to. Vir: EDPB →