DPIA Nədir və Niyə Mövcuddur

Məlumatların Mühafizəsinə Təsir Qiymətləndirməsi GDPR-in 35-ci maddəsində müəyyən edilmişdir. Bu, nəzarətçinin fiziki şəxslərin hüquq və azadlıqları üçün yüksək risk yaratması ehtimalı olan hər hansı emal əməliyyatını başlatmazdan əvvəl həyata keçirməli olduğu sənədli analizdir. DPIA nəzarətçini emalı təsvir etməyə, onun zəruriliyi və mütənasibliyi qiymətləndirməyə, riskləri müəyyənləşdirməyə və onları azaltmaq üçün görülən tədbirləri sənədləşdirməyə məcbur edir. Qalıq risk yüksək qalmağa davam edərsə, nəzarətçi canlı yayıma başlamazdan əvvəl nəzarət orqanına məsləhət etməlidir.

Naşirlər üçün DPIA birdəfəlik hüquqi artefakt deyil. Bu, tənzimləyicinin cookie və ya izləmə şikayətini araşdırarkən tələb edəcəyi mərkəzi sənəd və naşirin 5(2)-ci maddə çərçivəsində hesabatlılığı nümayiş etdirə biləcəyini müəyyən edən sənəddir. Bu olmadan sübut yükü qəti şəkildə sizin əleyhinizə keçir.

Cookie və Razılıq Axınları üçün DPIA Nə Zaman Məcburidir

Maddə 35(3) üç açıq DPIA tetikleyicisini sadalayır. Article 29 Working Party təlimatları (indi EDPB tərəfindən qəbul edilmiş) doqquz göstərici meyar siyahısı əlavə edir. Bu meyarlardan hər ikisini ödəyən emal fəaliyyətinin DPIA tələb etdiyi güman edilir. Cookie və reklam texnologiyaları axınları üçün ən müvafiq meyarlar bunlardır:

• Sistematik və geniş qiymətləndirmə — reklam və məzmun fərdiləşdirməsi üçün profilləşdirmə daxil olmaqla.
• Geniş miqyaslı emal — məlumat həcmi, məlumat subyektlərinin sayı, coğrafi əhatə dairəsi və müddət ilə ölçülür. Aylıq yeddi rəqəmli istifadəçisi olan naşir saytları demək olar ki, həmişə bu şərtə uyğun gəlir.
• Texnologiyanın innovativ istifadəsi — barmaq izi çıxarma, cihazlar arası identifikasiya, federativ öyrənmə, diqqət ölçümü, AI əsaslı davranış çıxarımı daxildir.
• Yerin və ya davranışın izlənməsi — birbaşa davranış reklamçılığı və yenidən hədəfləmə ilə əhatə edilir.
• Məlumat dəstlərinin birləşdirilməsi və ya uyğunlaşdırılması — server tərəfindən zənginləşdirmə, kimlik qrafikləri, məlumat təmizləmə otaqları, müştəri məlumat platforması birləşdirməsi daxil olmaqla.

Davranış reklamçılığından istifadə edən və bir neçədən çox üçüncü tərəf pikselini işlədən tipik orta səviyyəli naşir saytı eyni anda bu meyarların ən azı üçünü ödəyəcəkdir. DPIA-nın tələb olunduğuna dair güman praktikada demək olar ki, qətidir. Bir neçə milli məlumat qoruma qurumu öz məcburi DPIA siyahılarını dərc etmişdir; İtalyan Garante, Fransız CNIL və Alman DSK proqramlı reklamçılığı və saytlar arası profilləşdirməyi defolt DPIA tetikleyiciləri kimi adlandırmışdır.

DPIA Sənədi Nə Əhatə Etməlidir

Maddə 35(7) dörd məcburi məzmun müəyyən edir. Bunlardan hər hansı birini əhatə etməyən DPIA tənzimləyicilər tərəfindən heç aparılmamış kimi qəbul edilir.

Emalın sistematik təsviri

Bu, bir paraqraflıq xülasə deyil. Təsvir emal edilən şəxsi məlumatların hər kateqoriyasını, hər məqsədi, hər alıcını, hər saxlama müddətini və hər sərhəddən kənara köçürməni əhatə etməlidir. Reklam texnologiyası axını üçün bu, TCF sətirinizdəki hər satıcını, hər birinin aldığı məlumatları və hər biri üçün iddia edilən hüquqi əsasları sadalamaq deməkdir. TCF v2.2 satıcı siyahısını birbaşa DPIA əlavəsinə köçürən naşirlər işlək sənədlər hazırlamışdır; onu iki cümlədə xülasə edənlər isə bunu etməmişdir.

Zəruriliyin və mütənasibliyin qiymətləndirilməsi

Zərurililik eyni məqsədə daha az məlumatla və ya qeyri-şəxsi məlumatlarla nail olunub-olunmayacağını soruşur. Davranış reklamçılığı axını üçün bu, kontekstual reklamçılığın eyni məqsədə xidmət edib-etməyəcəyini dürüstcəsinə həll etmək deməkdir. EDPB Opinion 28/2024 açıqca bildirir ki, DPIA kontekstual reklamçılığı bir sətirdə rədd edə bilməz — nəzarətçi alternativin nəzərə alındığını nümayiş etdirməli və niyə rədd edildiyini izah etməlidir.

Məlumat subyektlərinə olan risklərin qiymətləndirilməsi

Riskin təhlili qeyri-qanuni giriş, icazəsiz açıqlama, dəyişiklik, itkini və profilləşdirmənin daha geniş sosial risklərini nəzərə almalıdır — əngəlləyici təsirlər, ayrı-seçkilik, kilidlənmə. Müəyyən edilmiş hər risk üçün qiymətləndirmə ehtimallılığı, ciddilik dərəcəsini və azaldıcı tədbirlərdən sonrakı qalıq səviyyəni qeyd etməlidir.

Riskləri aradan qaldırmaq üçün görülən tədbirlər

Budur, razılıq idarəetmə platformasının DPIA-da göründüyü yer. Dənəvər razılıq toplanması, satıcı əsasında imtina, asan geri çəkilmə, saxlama məhdudiyyətləri, ötürmə zamanı və istirahət halında şifrələmə, məlumat emalçıları üzərindəki müqavilə təminatları — hər bir tədbir müəyyən edilmiş konkret riskə bağlanmalıdır. Naşirin CMP istifadə etdiyinə dair ümumi bəyanat bir tədbir deyil.

Məlumatların Mühafizəsi Müvəkkilinin Rolu

Maddə 35(2) nəzarətçidən DPIA apararkən DPO-nun məsləhətini almasını tələb edir. Təyin edilmiş DPO-ya malik naşirlər üçün bu sadədir. DPO-su olmayan kiçik naşirlər üçün DPIA yenə də aparıla bilər, lakin sənədləşdirilmiş xarici məsləhətlə — xarici hüquq məsləhətçisi, sənaye konsultantı və ya CMP satıcısının uyğunluq komandası ilə həyata keçirilməlidir. DPO-nun rolu nəzarətçinin zərurililik analizini yoxlamaq, onu möhürləmək deyil.

Əvvəlcədən Məsləhət Nə Zaman Tələb Olunur

Maddə 36, DPIA-nın emalın nəzarətçinin aradan qaldıra bilməyəcəyi yüksək riski nəticə verəcəyini göstərdiyi halda nəzarət orqanı ilə əvvəlcədən məsləhəti tələb edir. Praktikada bu, cookie və razılıq axınları üçün nadirdir — əksər risklər dənəvər razılıq, satıcıların azaldılması, saxlama məhdudiyyətləri və müqavilə təminatları vasitəsilə aradan qaldırıla bilər. Lakin bu sıfır deyil. 2024 və 2025-ci illərdə əvvəlcədən məsləhəti tetikleyen iki hal: TCF inteqrasiyası olmadan yerləşdirilmiş barmaq izi əsaslı identifikator və birinci tərəf məlumatlarını üçüncü tərəf məlumat brokerlərinin məlumatları ilə birləşdirən cihazlar arası kimlik qrafiki. Bu modellərin hər ikisini araşdıran naşirlər altı-on iki həftəlik məsləhət cədvəli planlaşdırmalıdır.

Tənzimləyicilər Araşdırmalarda DPIA-dan Necə İstifadə Edir

DPIA, cookie şikayəti rəsmi araşdırma mərhələsinə çatdıqda tənzimləyicinin ilk tələb etdiyi yeganə sənəddir. İtalyan Garante, Fransız CNIL, Belçika APD və Bavariya BayLDA hamısı prosedur fayllarını müzakirə olunan fəaliyyəti əhatə edən DPIA tələbi ilə açır. Son qərarlardan üç model ortaya çıxır:

Gecikmə ilə hazırlanmış DPIA-lar ciddi şəkildə endirilir

Tənzimləyicinin tələbindən sonra tarixlənmiş DPIA əvvəlcədən qiymətləndirmənin sübutu kimi qəbul edilməyəcəkdir. Bir neçə 2025 qərarı açıqca sənədin sonradan yaradıldığını qeyd etmiş və ona müvafiq çəki vermişdir. DPIA emalın başlanmasından əvvəl olmalıdır və sənədin metadata-sı və ya versiya tarixi bunu aydın etməlidir.

Ümumi DPIA-lar olmayan kimi qəbul edilir

Sayta xas analiz olmadan CMP satıcısının portalından köçürülmüş şablon DPIA getdikcə daha çox rədd edilir. İtalyan naşir qrupuna qarşı 2025 Garante qərarı əhatə dairəsindəki doqquz saytdan altısına istinad etdi və hamısını əhatə edən vahid ortaq DPIA-nın 35-ci maddəni ödəmədiyini müəyyən etdi.

Azaldıcı tədbirlər faktiki olaraq yerləşdirilənə uyğun olmalıdır

DPIA 60 günlük cookie saxlama müddətini təsvir edirsə, lakin yerləşdirilmiş cookielər 24 aylıq ömür istifadə edirsə, tənzimləyici DPIA-nı qeyri-dəqiq kimi qiymətləndirəcəkdir. Yerləşdirilmiş konfiqurasiyanın DPIA təsvirinə qarşı rüblük auditi artıq ixtiyari deyil.

Hər Şeyi Bir Araya Gətirmək

Əksər naşirlər üçün praktik cavab eynidir: DPIA tələb olunur, hər hansı yeni izləmə başlanmazdan əvvəl hazırlanmalıdır və yerləşdirilmiş konfiqurasyona qarşı rüblük olaraq nəzərdən keçirilməlidir. Sənədin uzun olması lazım deyil, lakin sayta xas olmalı, başlanmazdan əvvəl yazılmalı, DPO və ya sənədləşdirilmiş xarici məsləhətçi tərəfindən təsdiqlənməli və istehsalatda faktiki olaraq işləyənə uyğun olmalıdır. Bu dörd nöqtəni düzgün anlayan naşirlər DPIA-nı uyğunluq yükündən tənzimləyici qapıya gəldikdə ən güclü müdafiəyə çevirirlər.