GDPR - ARTIKEL 35 - KONSEKVENSBEDÖMNING (DPIA)

Er DPIA i linje
med CNIL:s metod

GDPR kräver en konsekvensbedömning avseende dataskydd för varje behandling som kan medföra en hög risk för fysiska personers rättigheter och friheter. SYAGA DPIA-Express strukturerar och dokumenterar er DPIA enligt metodiken i artikel 35 och EDPB:s riktlinjer, utan improvisation och utan jargong.

35
GDPR-artikel (DPIA)
9
EDPB-kriterier (WP248 rev.01)
3
Skyldighetsfall (art. 35.3)
4
Metodsteg (art. 35.7 a-d)

Skyldigheten

Avgör om er behandling måste genomgå en DPIA, och genomför den sedan enligt reglerna

Artikel 35 i GDPR kräver en DPIA

Varje behandling som kan medföra en hög risk för fysiska personers rättigheter och friheter måste genomgå en konsekvensbedömning avseende dataskydd innan den genomförs (GDPR, art. 35).

📋

CNIL:s regel om «2 av 9 kriterier»

EDPB (f.d. G29, riktlinjer WP248 rev.01) har definierat 9 kriterier för hög risk. Så snart en behandling uppfyller minst två av dessa kriterier ska i princip en DPIA genomföras: en enda felbedömd punkt gör att underlaget blir ofullständigt.

🔍

CNIL-listor som måste jämföras punkt för punkt

CNIL publicerar listor över behandlingar där DPIA krävs eller inte krävs. Att avgöra exakt var er behandling hamnar kräver en noggrann genomgång, inte ett allmänt intryck.

Utan metod är risken dubbel

Att genomföra en DPIA för snabbt riskerar att göra den ofullständig inför en tillsynsmyndighet; att inte genomföra den när den krävs utsätter organisationen för en överträdelse av artikel 35. CNIL:s metod strukturerar detta val och dokumenterar det.

Metoden: DPIA-Express

Strukturen som krävs enligt artikel 35.7 i GDPR, tillämpad på er behandling, med en motiverad slutsats i varje steg

1
Fastställande av skyldighet

Omfattas er behandling verkligen av DPIA-kravet?

Analys mot de 3 fallen i artikel 35.3, EDPB:s matris med 9 kriterier (WP248 rev.01) och CNIL:s listor över behandlingar som kräver eller inte kräver DPIA. Motiverad slutsats, oavsett om DPIA slutligen är obligatorisk eller inte.

2
Art. 35.7.a

Systematisk beskrivning av behandlingen

Ändamål, kategorier av uppgifter och registrerade, mottagare, lagringstider: den fullständiga kartläggning som krävs enligt artikel 35.7.a, i linje med ert register över behandlingar (art. 30).

3
Art. 35.7.b

Nödvändighet och proportionalitet

Kontroll av att varje insamlad uppgift är nödvändig för det avsedda ändamålet, att den rättsliga grunden (art. 6) är identifierad för varje behandling, och att principen om uppgiftsminimering (art. 5.1.c) efterlevs.

4
Art. 35.7.c

Riskbedömning för de registrerade

För varje identifierad risk: allvarlighetsgrad, sannolikhet, befintliga åtgärder, kvarstående risk, presenterat i en tabell som er ledning eller ert dataskyddsombud (DPO) kan använda direkt.

5
Art. 35.7.d och 5.2

Åtgärder och dokumenterad slutsats

Planerade tekniska och organisatoriska åtgärder (art. 32), motiverad slutsats och dokumenterad motivering enligt principen om ansvarsskyldighet (art. 5.2), användbar vid en eventuell CNIL-kontroll.

Vad ni får

Ett strukturerat, källbelagt dokument som ärligt anger vad som återstår för er jurist eller ert dataskyddsombud att godkänna

📝

Strukturerad DPIA-rapport

Det fullständiga dokumentet enligt artikel 35.7 (a-d), med en motiverad slutsats.

  • Systematisk beskrivning av behandlingen
  • Analys av nödvändighet och proportionalitet
  • Risktabell (allvarlighetsgrad/sannolikhet/åtgärder)
  • Slutsats och dokumenterad motivering (art. 5.2)

Bedömningsmatris

Den inledande analysen som avgör om er behandling omfattas av kravet.

  • De 3 fallen i artikel 35.3
  • EDPB:s 9 kriterier (WP248 rev.01)
  • Jämförelse med CNIL:s listor
  • Motiverad och källbelagd slutsats
📁

Samstämmighet med registret enligt art. 30

DPIA:n bygger på samma underlag som ert register över behandlingar.

  • Ändamål och rättsliga grunder
  • Kategorier av uppgifter och registrerade
  • Mottagare och personuppgiftsbiträden
  • Lagringstider per kategori
🚩

Punkter som er jurist/DPO ska godkänna

Varje osäker punkt flaggas tydligt och avgörs aldrig åt er.

  • Bedömning av personuppgiftsansvarig/personuppgiftsbiträde
  • Rättsliga grunder per ändamål
  • Identifierade överföringar utanför EU
  • Utseende av ett dataskyddsombud (art. 37), i förekommande fall
🔗

Källor och spårbarhet

Varje juridiskt påstående är källbelagt, inte hämtat ur minnet.

  • Konsoliderad GDPR-text (CELEX 32016R0679)
  • CNIL:s sidor och listor (DPIA, register)
  • EDPB:s riktlinjer (WP248 rev.01)
  • Verifierbara webbadresser angivna i dokumentet
📄

Redigerbart dokument

Levereras i ett redigerbart format som ert dataskyddsombud eller er jurist kan återanvända.

  • Struktur i enlighet med artikel 35.7
  • Återanvändbar för era framtida behandlingar
  • Klar att kompletteras före slutligt godkännande
  • Ingen låst formatering påtvingas

Referenser som används

En metod som bygger på lagtexter och myndigheter, inte på egna tolkningar

35

GDPR - Artikel 35

Konsekvensbedömning avseende dataskydd. Konsoliderad text av förordning (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Riktlinjer WP248 rev.01

EDPB:s (f.d. G29) 9 kriterier för hög risk, som CNIL använder som referensmetod för att fastställa DPIA-skyldigheten.

CNIL

CNIL:s listor och metod

Listor över behandlingar där DPIA krävs eller inte krävs, samt CNIL:s metod för att genomföra en konsekvensbedömning.

30

GDPR - Artikel 30

Register över behandlingar: den samstämmiga grund (ändamål, uppgifter, lagringstider) som varje DPIA bygger på.

En skräddarsydd DPIA, utan dolda kostnader

Omfattningen beror på antalet behandlingar, deras komplexitet och vad som redan är dokumenterat hos er. Offert upprättas efter ett första samtal.

Fastställande av skyldighet

Ni vet inte om er behandling omfattas

Enligt offert
beroende på antalet behandlingar som ska analyseras
  • EDPB:s matris med 9 kriterier
  • Jämförelse mot artikel 35.3
  • Kontroll mot CNIL:s listor
  • Motiverad och källbelagd slutsats
Begär en offert

Flerårigt program

Flera riskbehandlingar att täcka

Enligt offert
beroende på antalet behandlingar och granskningsfrekvensen
  • Allt i Fullständig DPIA, plus:
  • Gemensamt metodramverk
  • Periodisk granskning (art. 35.11)
  • Fortsatt samstämmighet med registret (art. 30)
Begär en offert

En DPIA är aldrig statisk

Artikel 35.11 i GDPR kräver att analysen granskas på nytt vid en betydande förändring av behandlingen (nytt personuppgiftsbiträde, byte av hosting, utökad omfattning av insamlingen). En offert för granskning upprättas från fall till fall.

Vanliga frågor

Omfattas min behandling verkligen av DPIA-kravet?
Det beror på tre faktorer som kontrolleras metodiskt: de 3 fallen i artikel 35.3 i GDPR, EDPB:s matris med 9 kriterier (riktlinjer WP248 rev.01, som används av CNIL: så snart 2 av 9 kriterier är uppfyllda ska i princip en DPIA genomföras), samt CNIL:s listor över behandlingar som kräver eller inte kräver DPIA. Det levererade dokumentet avgör denna fråga och motiverar den, punkt för punkt.
Vad innehåller exakt det levererade dokumentet?
Ett dokument strukturerat enligt artikel 35.7 i GDPR: systematisk beskrivning av behandlingen (a), analys av nödvändighet och proportionalitet (b), riskbedömning för de registrerade (c), planerade tekniska och organisatoriska åtgärder (d), samt en motiverad slutsats. Varje juridisk referens är källbelagd (konsoliderad GDPR-text, CNIL, EDPB).
Vad händer om min behandling till slut inte omfattas av DPIA-kravet?
Dokumentet behålls ändå frivilligt som dokumentation: det utgör motiveringen till ert beslut att inte genomföra en formell DPIA, enligt principen om ansvarsskyldighet (art. 5.2 i GDPR), och kan användas vid en eventuell CNIL-kontroll.
Ersätter detta dokument min advokats eller mitt dataskyddsombuds bedömning?
Nej. DPIA-Express är ett metodstöd som strukturerar och dokumenterar analysen; det utgör inte juridisk rådgivning. Varje levererat dokument listar tydligt de punkter som återstår för er jurist eller ert dataskyddsombud att godkänna innan dokumentet används som bevis gentemot tredje part.
Vem ska genomföra DPIA:n i min organisation?
Den personuppgiftsansvarige förblir juridiskt ansvarig för DPIA:n; dataskyddsombudet, om ett sådant finns, ska rådfrågas (art. 35.2 i GDPR). DPIA-Express förbereder underlaget (beskrivning, risker, åtgärder) så att denna konsultation sker utifrån ett redan strukturerat underlag, inte ett blankt papper.
Varför anlita SYAGA i stället för att göra allt internt?
SYAGA Consulting har funnits sedan 2009 och tillämpar samma metod på sina egna behandlingar, inklusive sin egen Microsoft 365-revisionsprodukt, vars DPIA-analys följer exakt denna struktur. Vi levererar ingen generisk mall: varje dokument byggs behandling för behandling, artikel för artikel.

Redo att dokumentera er DPIA?

Beskriv er behandling för oss, så återkommer vi med en personlig offert.

Regelbevakning - officiella källor

Vad lagtexten faktiskt säger, sammanfattat i klarspråk. Varje punkt behåller sin länk till det officiella dokumentet.

📋

Vad är en DPIA, i klarspråk?

En DPIA är helt enkelt ett bedömningsarbete: man tittar på de risker en databehandling innebär för de registrerade, innan den sätts i drift. CNIL definierar den som "en formell process för att bedöma riskerna med behandling av personuppgifter". Det är inte ytterligare en administrativ formalitet, utan ett sunt förnuftsverktyg som GDPR gör obligatoriskt i vissa fall. Källa: CNIL →

🎯

Vem berörs egentligen: regeln om «2 av 9 kriterier»

Man behöver inte vara ett stort företag för att beröras. CNIL anser att en DPIA är obligatorisk så snart en behandling uppfyller minst två av dessa nio situationer: bedöma eller poängsätta personer, fatta ett automatiserat beslut som får verklig effekt för dem, systematiskt övervaka dem, samla in känsliga uppgifter (hälsa, ursprung osv.), samla in i stor skala, korsköra flera databaser, rikta sig mot utsatta personer (anställda, patienter, minderåriga...), använda ny teknik, eller beröva någon en rättighet eller en tjänst. Källa: CNIL →

Två CNIL-listor som ofta svarar åt er

För att slippa gissa har CNIL publicerat två officiella listor: en lista med 14 typer av behandlingar där DPIA är obligatorisk (hälsodata, HR-profilering, övervakning av anställda, storskalig geolokalisering...), och en lista med 12 typer där den inte krävs (löner och personaladministration för färre än 250 anställda utan profilering, leverantörshantering, patientjournal hos en enskild vårdgivare...). Dessa listor täcker inte alla fall, men de besvarar redan många vanliga situationer. Källa: CNIL:s lista över behandlingar som kräver DPIA →

🧩

Vad analysen verkligen måste innehålla

GDPR (artikel 35) kräver inte en roman, utan fyra precisa byggstenar: beskriva behandlingen och dess syfte, kontrollera att den verkligen är nödvändig och proportionerlig, bedöma riskerna för de registrerade, och sedan lista de planerade åtgärderna för att minska riskerna. En tydlig slutsats i slutet: är behandlingen acceptabel, och på vilka villkor. Källa: GDPR, artikel 35 →

👤

Ert dataskyddsombuds roll (om ni har ett)

Om er organisation har utsett ett dataskyddsombud kräver GDPR att ni rådfrågar det när DPIA:n genomförs, och att ombudet får i uppgift att kontrollera att analysen verkligen har utförts. Det är ett skyddsnät, inte en bock i en ruta: dataskyddsombudet är rätt instans att vända sig till innan en slutsats fastställs. Källa: GDPR, artiklarna 35 och 39 →

Vad händer om risken kvarstår hög efter analysen?

Om behandlingen, trots de planerade åtgärderna, fortfarande innebär en hög risk för de registrerade, kräver GDPR att CNIL rådfrågas innan behandlingen påbörjas. Myndigheten har då åtta veckor på sig att lämna ett skriftligt yttrande (kan förlängas med sex veckor om ärendet är komplext). Betryggande att veta: detta fall förblir undantaget, inte regeln. Källa: GDPR, artikel 36 →

💰

Sanktionerna, utan att dramatisera

CNIL påminner om att GDPR-böterna kan uppgå till 10 miljoner euro eller 2 % av den globala årsomsättningen, det högsta av de två beloppen. Det är ett juridiskt tak, inte ett oundvikligt öde: en väl genomförd DPIA är just det som gör det möjligt att visa, vid en kontroll, att frågan har tagits på allvar. Källa: CNIL →

📢

En europeisk nyhet att följa

Europeiska dataskyddsstyrelsen (EDPB) höll mellan den 14 april och 9 juni 2026 ett offentligt samråd om ett förslag till en gemensam DPIA-mall avsedd att harmonisera praxis mellan europeiska länder. Samrådet är nu avslutat; vi följer utvecklingen av detta förslag för att informera våra kunder när det är dags. Källa: EDPB →