GDPR nalaga izvedbo ocene učinka na varstvo podatkov za vsako obdelavo, ki lahko povzroči veliko tveganje za pravice in svoboščine posameznikov. SYAGA DPIA-Express strukturira in dokumentira vašo oceno učinka po metodologiji člena 35 in smernicah EOVP, brez improvizacije in brez žargona.
Ugotoviti, ali mora biti za vašo obdelavo izvedena ocena učinka, in jo nato izvesti po pravilih
Za vsako obdelavo, ki lahko povzroči veliko tveganje za pravice in svoboščine fizičnih oseb, je treba pred njeno uvedbo izvesti oceno učinka na varstvo podatkov (GDPR, čl. 35).
EOVP (nekdanja skupina G29, smernice WP248 rev.01) je opredelil 9 meril visokega tveganja. Takoj ko obdelava izpolnjuje vsaj dve od teh meril, je treba načeloma izvesti oceno učinka: en sam napačno opredeljen element in dokumentacija je nepopolna.
CNIL objavlja sezname obdelav, za katere je ocena učinka zahtevana ali ni zahtevana. Natančna umestitev vaše obdelave zahteva natančno branje, ne pa splošnega vtisa.
Prehitro izvedena ocena učinka je izpostavljena nepopolnosti pred nadzornim organom; njena neizvedba, kadar je zahtevana, izpostavlja organizacijo kršitvi člena 35. Metoda CNIL to odločitev strukturira in dokumentira.
Struktura, ki jo nalaga člen 35.7 GDPR, uporabljena za vašo obdelavo, z utemeljenim zaključkom pri vsakem koraku
Analiza glede na 3 primere iz člena 35.3, mrežo 9 meril EOVP (WP248 rev.01) in sezname CNIL zahtevanih ali nezahtevanih obdelav. Utemeljen zaključek, ne glede na to, ali je ocena učinka na koncu obvezna ali ne.
Nameni, kategorije podatkov in zadevnih oseb, prejemniki, roki hrambe: popoln zemljevid, ki ga zahteva člen 35.7.a, usklajen z vašo evidenco dejavnosti obdelave (čl. 30).
Preverjanje, da je vsak zbrani podatek potreben za zasledovani namen, da je pravna podlaga (čl. 6) opredeljena za vsako obdelavo, in da je upoštevano načelo minimizacije (čl. 5.1.c).
Za vsako prepoznano tveganje: resnost, verjetnost, že uvedeni ukrepi, preostalo tveganje, predstavljeno v obliki tabele, ki jo lahko uporabi vaše vodstvo ali vaš DPO.
Predvideni tehnični in organizacijski ukrepi (čl. 32), utemeljen zaključek in dokumentirana utemeljitev v skladu z načelom odgovornosti (čl. 5.2), uporabna v primeru nadzora CNIL.
Strukturiran, virovan dokument, ki pošteno navaja, kaj mora še potrditi vaš pravnik ali DPO
Popoln dokument po členu 35.7 (a do d), z utemeljenim zaključkom.
Predhodna analiza, ki odloči, ali vaša obdelava spada v okvir obveznosti.
Ocena učinka temelji na isti osnovi kot vaša evidenca dejavnosti obdelave.
Vsaka negotova točka je izrecno označena, nikoli ni odločena namesto vas.
Vsaka pravna trditev je virovana, ne navedena na pamet.
Predan v urejevalni obliki, ki jo lahko ponovno uporabi vaš DPO ali pravnik.
Metoda, ki temelji na besedilih in organih, ne na lastnih razlagah
Ocena učinka na varstvo podatkov. Prečiščeno besedilo Uredbe (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
9 meril visokega tveganja EOVP (nekdanja skupina G29), ki jih je CNIL povzel kot referenčno metodo za ugotavljanje obveznosti ocene učinka.
Seznami obdelav, za katere je ocena učinka zahtevana ali ni zahtevana, in metoda CNIL za izvedbo ocene učinka.
Evidenca dejavnosti obdelave: osnova skladnosti (nameni, podatki, roki), na kateri temelji vsaka ocena učinka.
Obseg je odvisen od števila obdelav, njihove zapletenosti in tega, kar je pri vas že dokumentirano. Ponudba se pripravi po uvodnem pogovoru.
Ne veste, ali vaša obdelava spada med zadevne
Prepoznana obdelava z visokim tveganjem
Več tveganih obdelav za pokritje
Ocena učinka nikoli ni dokončna
Člen 35.11 GDPR nalaga ponovni pregled analize v primeru pomembne spremembe obdelave (nov obdelovalec, sprememba gostovanja, razširitev obsega zbiranja). Ponudba za ponovni pregled se pripravi za vsak primer posebej.
Opišite nam svojo obdelavo, mi se vam vrnemo s prilagojeno ponudbo.
Kaj besedilo res pravi, povzeto v preprostem jeziku. Vsaka točka ohranja povezavo na uradni dokument.
Ocena učinka je preprosto delo vrednotenja: pogleda se tveganja, ki jih obdelava podatkov predstavlja za posameznike, preden se jo uvede. CNIL jo opredeljuje kot »formalni postopek za ocenjevanje tveganj, povezanih z obdelavo osebnih podatkov«. To ni le še ena upravna formalnost, temveč orodje zdrave pameti, ki ga GDPR v določenih primerih nalaga. Vir: CNIL (francoski organ) →
Ni treba biti veliko podjetje, da bi bili zavezanec. CNIL šteje, da je ocena učinka obvezna, takoj ko obdelava izpolnjuje vsaj dve od naslednjih devetih situacij: ocenjevanje ali vrednotenje oseb, sprejemanje avtomatizirane odločitve, ki ima nanje resničen učinek, njihovo sistematično spremljanje, zbiranje občutljivih podatkov (zdravje, izvor itd.), zbiranje v velikem obsegu, povezovanje več baz podatkov, ciljanje na ranljive osebe (zaposlene, paciente, mladoletnike ...), uporaba nove tehnologije, ali odvzem nekomu pravice ali storitve. Vir: CNIL (francoski organ) →
Da bi se izognil ugibanju, je CNIL objavil dva uradna seznama: seznam 14 vrst obdelav, pri katerih je ocena učinka obvezna (zdravstveni podatki, kadrovsko profiliranje, nadzor zaposlenih, geolokacija v velikem obsegu ...), in seznam 12 vrst obdelav, kjer ni zahtevana (plače in upravljanje kadrov pri manj kot 250 zaposlenih brez profiliranja, upravljanje dobaviteljev, kartoteka pacienta pri samostojnem zdravstvenem delavcu ...). Ta seznama ne pokrivata vseh primerov, vendar že odgovarjata na veliko pogostih situacij. Vir: seznam CNIL zahtevanih obdelav →
GDPR (člen 35) ne zahteva romana, temveč štiri natančne sestavne dele: opisati obdelavo in njen namen, preveriti, ali je res nujna in sorazmerna, oceniti tveganja za zadevne osebe, nato pa navesti predvidene ukrepe za zmanjšanje teh tveganj. Na koncu jasen zaključek: ali je obdelava sprejemljiva, in pod kakšnimi pogoji. Vir: GDPR, člen 35 →
Če je vaša organizacija imenovala pooblaščenca za varstvo podatkov, GDPR nalaga, da ga zaprosite za nasvet ob izvedbi ocene učinka in da ga zadolžite za preverjanje, ali je bila analiza res izvedena. To je varovalka, ne kljukica: DPO ostaja pravi refleks pred potrditvijo zaključka. Vir: GDPR, člena 35 in 39 →
Če kljub predvidenim ukrepom obdelava še vedno predstavlja visoko tveganje za posameznike, GDPR nalaga posvetovanje s CNIL pred začetkom. Ta ima nato osem tednov časa za podajo pisnega mnenja (podaljšljivo za šest tednov, če je dokumentacija zapletena). Pomirjujoče je vedeti, da ta primer ostaja izjema, ne pravilo. Vir: GDPR, člen 36 →
CNIL opozarja, da lahko globe po GDPR dosežejo do 10 milijonov evrov ali 2 % svetovnega letnega prometa, glede na višji znesek. To je zakonska zgornja meja, ne usoda: dobro izvedena ocena učinka je prav to, kar omogoča, da se v primeru nadzora dokaže, da je bilo vprašanje vzeto resno. Vir: CNIL (francoski organ) →
Evropski odbor za varstvo podatkov (EOVP/EDPB) je od 14. aprila do 9. junija 2026 izvedel javno posvetovanje o osnutku enotne predloge ocene učinka, namenjene uskladitvi praks med evropskimi državami. Posvetovanje je zdaj zaključeno; spremljamo nadaljnji razvoj tega projekta, da o njem obvestimo naše stranke, ko bo čas za to. Vir: EDPB →