GDPR kräver en konsekvensbedömning avseende dataskydd för varje behandling som kan medföra en hög risk för fysiska personers rättigheter och friheter. SYAGA DPIA-Express strukturerar och dokumenterar er DPIA enligt metodiken i artikel 35 och EDPB:s riktlinjer, utan improvisation och utan jargong.
Avgör om er behandling måste genomgå en DPIA, och genomför den sedan enligt reglerna
Varje behandling som kan medföra en hög risk för fysiska personers rättigheter och friheter måste genomgå en konsekvensbedömning avseende dataskydd innan den genomförs (GDPR, art. 35).
EDPB (f.d. G29, riktlinjer WP248 rev.01) har definierat 9 kriterier för hög risk. Så snart en behandling uppfyller minst två av dessa kriterier ska i princip en DPIA genomföras: en enda felbedömd punkt gör att underlaget blir ofullständigt.
CNIL publicerar listor över behandlingar där DPIA krävs eller inte krävs. Att avgöra exakt var er behandling hamnar kräver en noggrann genomgång, inte ett allmänt intryck.
Att genomföra en DPIA för snabbt riskerar att göra den ofullständig inför en tillsynsmyndighet; att inte genomföra den när den krävs utsätter organisationen för en överträdelse av artikel 35. CNIL:s metod strukturerar detta val och dokumenterar det.
Strukturen som krävs enligt artikel 35.7 i GDPR, tillämpad på er behandling, med en motiverad slutsats i varje steg
Analys mot de 3 fallen i artikel 35.3, EDPB:s matris med 9 kriterier (WP248 rev.01) och CNIL:s listor över behandlingar som kräver eller inte kräver DPIA. Motiverad slutsats, oavsett om DPIA slutligen är obligatorisk eller inte.
Ändamål, kategorier av uppgifter och registrerade, mottagare, lagringstider: den fullständiga kartläggning som krävs enligt artikel 35.7.a, i linje med ert register över behandlingar (art. 30).
Kontroll av att varje insamlad uppgift är nödvändig för det avsedda ändamålet, att den rättsliga grunden (art. 6) är identifierad för varje behandling, och att principen om uppgiftsminimering (art. 5.1.c) efterlevs.
För varje identifierad risk: allvarlighetsgrad, sannolikhet, befintliga åtgärder, kvarstående risk, presenterat i en tabell som er ledning eller ert dataskyddsombud (DPO) kan använda direkt.
Planerade tekniska och organisatoriska åtgärder (art. 32), motiverad slutsats och dokumenterad motivering enligt principen om ansvarsskyldighet (art. 5.2), användbar vid en eventuell CNIL-kontroll.
Ett strukturerat, källbelagt dokument som ärligt anger vad som återstår för er jurist eller ert dataskyddsombud att godkänna
Det fullständiga dokumentet enligt artikel 35.7 (a-d), med en motiverad slutsats.
Den inledande analysen som avgör om er behandling omfattas av kravet.
DPIA:n bygger på samma underlag som ert register över behandlingar.
Varje osäker punkt flaggas tydligt och avgörs aldrig åt er.
Varje juridiskt påstående är källbelagt, inte hämtat ur minnet.
Levereras i ett redigerbart format som ert dataskyddsombud eller er jurist kan återanvända.
En metod som bygger på lagtexter och myndigheter, inte på egna tolkningar
Konsekvensbedömning avseende dataskydd. Konsoliderad text av förordning (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
EDPB:s (f.d. G29) 9 kriterier för hög risk, som CNIL använder som referensmetod för att fastställa DPIA-skyldigheten.
Listor över behandlingar där DPIA krävs eller inte krävs, samt CNIL:s metod för att genomföra en konsekvensbedömning.
Register över behandlingar: den samstämmiga grund (ändamål, uppgifter, lagringstider) som varje DPIA bygger på.
Omfattningen beror på antalet behandlingar, deras komplexitet och vad som redan är dokumenterat hos er. Offert upprättas efter ett första samtal.
Ni vet inte om er behandling omfattas
Behandling identifierad med hög risk
Flera riskbehandlingar att täcka
En DPIA är aldrig statisk
Artikel 35.11 i GDPR kräver att analysen granskas på nytt vid en betydande förändring av behandlingen (nytt personuppgiftsbiträde, byte av hosting, utökad omfattning av insamlingen). En offert för granskning upprättas från fall till fall.
Beskriv er behandling för oss, så återkommer vi med en personlig offert.
Vad lagtexten faktiskt säger, sammanfattat i klarspråk. Varje punkt behåller sin länk till det officiella dokumentet.
En DPIA är helt enkelt ett bedömningsarbete: man tittar på de risker en databehandling innebär för de registrerade, innan den sätts i drift. CNIL definierar den som "en formell process för att bedöma riskerna med behandling av personuppgifter". Det är inte ytterligare en administrativ formalitet, utan ett sunt förnuftsverktyg som GDPR gör obligatoriskt i vissa fall. Källa: CNIL →
Man behöver inte vara ett stort företag för att beröras. CNIL anser att en DPIA är obligatorisk så snart en behandling uppfyller minst två av dessa nio situationer: bedöma eller poängsätta personer, fatta ett automatiserat beslut som får verklig effekt för dem, systematiskt övervaka dem, samla in känsliga uppgifter (hälsa, ursprung osv.), samla in i stor skala, korsköra flera databaser, rikta sig mot utsatta personer (anställda, patienter, minderåriga...), använda ny teknik, eller beröva någon en rättighet eller en tjänst. Källa: CNIL →
För att slippa gissa har CNIL publicerat två officiella listor: en lista med 14 typer av behandlingar där DPIA är obligatorisk (hälsodata, HR-profilering, övervakning av anställda, storskalig geolokalisering...), och en lista med 12 typer där den inte krävs (löner och personaladministration för färre än 250 anställda utan profilering, leverantörshantering, patientjournal hos en enskild vårdgivare...). Dessa listor täcker inte alla fall, men de besvarar redan många vanliga situationer. Källa: CNIL:s lista över behandlingar som kräver DPIA →
GDPR (artikel 35) kräver inte en roman, utan fyra precisa byggstenar: beskriva behandlingen och dess syfte, kontrollera att den verkligen är nödvändig och proportionerlig, bedöma riskerna för de registrerade, och sedan lista de planerade åtgärderna för att minska riskerna. En tydlig slutsats i slutet: är behandlingen acceptabel, och på vilka villkor. Källa: GDPR, artikel 35 →
Om er organisation har utsett ett dataskyddsombud kräver GDPR att ni rådfrågar det när DPIA:n genomförs, och att ombudet får i uppgift att kontrollera att analysen verkligen har utförts. Det är ett skyddsnät, inte en bock i en ruta: dataskyddsombudet är rätt instans att vända sig till innan en slutsats fastställs. Källa: GDPR, artiklarna 35 och 39 →
Om behandlingen, trots de planerade åtgärderna, fortfarande innebär en hög risk för de registrerade, kräver GDPR att CNIL rådfrågas innan behandlingen påbörjas. Myndigheten har då åtta veckor på sig att lämna ett skriftligt yttrande (kan förlängas med sex veckor om ärendet är komplext). Betryggande att veta: detta fall förblir undantaget, inte regeln. Källa: GDPR, artikel 36 →
CNIL påminner om att GDPR-böterna kan uppgå till 10 miljoner euro eller 2 % av den globala årsomsättningen, det högsta av de två beloppen. Det är ett juridiskt tak, inte ett oundvikligt öde: en väl genomförd DPIA är just det som gör det möjligt att visa, vid en kontroll, att frågan har tagits på allvar. Källa: CNIL →
Europeiska dataskyddsstyrelsen (EDPB) höll mellan den 14 april och 9 juni 2026 ett offentligt samråd om ett förslag till en gemensam DPIA-mall avsedd att harmonisera praxis mellan europeiska länder. Samrådet är nu avslutat; vi följer utvecklingen av detta förslag för att informera våra kunder när det är dags. Källa: EDPB →