Што такое DPIA і чаму яна існуе

Ацэнка ўздзеяння на абарону даных вызначана ў Артыкуле 35 GDPR. Гэта задакументаваны аналіз, які кантралёр павінен выканаць да запуску любой аперацыі апрацоўкі, якая, верагодна, прывядзе да высокай рызыкі для правоў і свабод фізічных асоб. DPIA вымушае кантралёра апісаць апрацоўку, ацаніць яе неабходнасць і прапарцыйнасць, выявіць рызыкі і задакументаваць меры, прынятыя для іх змякчэння. Калі застаткавая рызыка застаецца высокай, кантралёр павінен пракансультавацца з наглядным органам перад запускам.

Для выдаўцоў DPIA — гэта не разовы юрыдычны артэфакт. Гэта цэнтральны дакумент, які рэгулятар запытае пры расследаванні скаргі на cookie або адсочванне, і гэта дакумент, які вызначае, ці можа выдавец прадэманстраваць падсправаздачнасць згодна з Артыкулам 5(2). Без яе цяжар доказу рашуча змяшчаецца супраць вас.

Калі DPIA абавязковая для патокаў cookie і згоды

Артыкул 35(3) пералічвае тры яўныя трыгеры DPIA. Кіруючыя прынцыпы Працоўнай групы па Артыкуле 29 (цяпер прынятыя EDPB) дадаюць спіс з дзевяці індыкатыўных крытэрыяў. Дзейнасць па апрацоўцы, якая адпавядае любым двум з гэтых крытэрыяў, лічыцца такой, што патрабуе DPIA. Для патокаў cookie і ad-tech найбольш рэлевантныя крытэрыі:

• Сістэматычная і шырокая ацэнка — уключаючы прафіляванне для рэкламы і персаналізацыі кантэнту.
• Буйнамаштабная апрацоўка — вымяраемая аб'ёмам даных, колькасцю суб'ектаў даных, геаграфічным ахопам і працягласцю. Сайты выдаўцоў з сямізначнай колькасцю штомесячных карыстальнікаў амаль заўсёды кваліфікуюцца.
• Інавацыйнае выкарыстанне тэхналогій — ахоплівае зняцце адбіткаў, крос-прыладную ідэнтыфікацыю, федэратыўнае навучанне, вымярэнне ўвагі, паводніцкі вывад на аснове ШІ.
• Адсочванне месцазнаходжання або паводзін — напрамую захопліваецца паводніцкай рэкламай і рэтаргетынгам.
• Камбінаванне або супастаўленне набораў даных — уключаючы серверное ўзбагачэнне, графы ідэнтычнасці, чыстыя пакоі даных, сшыванне платформ даных кліентаў.

Тыповы сайт выдаўца сярэдняга ўзроўню, які выкарыстоўвае паводніцкую рэкламу і запускае больш за жменьку іншапартыйных пікселяў, трапіць пад мінімум тры з гэтых крытэрыяў адначасова. Прэзумпцыя, што DPIA патрабуецца, на практыцы амаль дакладнасць. Некалькі нацыянальных DPA апублікавалі свае ўласныя абавязковыя спісы DPIA; італьянскі Garante, французскі CNIL і нямецкі DSK — усе назвалі праграматычную рэкламу і крос-сайтавае прафіляванне трыгерамі DPIA па змаўчанні.

Што павінен змяшчаць дакумент DPIA

Артыкул 35(7) устанаўлівае чатыры абавязковыя зместы. DPIA, у якой адсутнічае любы з іх, разглядаецца рэгулятарамі як наогул не праведзеная.

Сістэматычнае апісанне апрацоўкі

Гэта не аднапараграфны рэзюмэ. Апісанне павінна ахопліваць кожную катэгорыю апрацоўваемых персанальных даных, кожную мэту, кожнага атрымальніка, кожны перыяд захоўвання і кожную трансгранічную перадачу. Для патоку ad-tech гэта азначае пералічэнне кожнага пастаўшчыка ў вашым радку TCF, даных, якія кожны атрымлівае, і заяўленай прававой асновы для кожнага. Выдаўцы, якія капіруюць спіс пастаўшчыкоў TCF v2.2 прама ў дадатак DPIA, вырабілі працаздольныя дакументы; тыя, хто рэзюмуе яго ў двух сказах, — не.

Ацэнка неабходнасці і прапарцыйнасці

Неабходнасць пытаецца, ці можа тая ж мэта быць дасягнута з меншай колькасцю даных або з неперсанальнымі данымі. Для патоку паводніцкай рэкламы гэта азначае сумленны разгляд таго, ці служыла б кантэкстная рэклама той жа мэце. Заключэнне EDPB 28/2024 яўна абвяшчае, што DPIA не можа адхіліць кантэкстную рэкламу адным радком — кантралёр павінен прадэманстраваць, што альтэрнатыва была разгледжана, і растлумачыць, чаму яна была адхілена.

Ацэнка рызык для суб'ектаў даных

Аналіз рызык павінен улічваць незаконны доступ, несанкцыянаванае раскрыццё, змяненне, страту і больш шырокія сацыяльныя рызыкі прафілявання — стрымліваючыя эфекты, дыскрымінацыю, прывязку. Для кожнай выяўленай рызыкі ацэнка павінна ўказваць верагоднасць, сур'ёзнасць і застаткавы ўзровень пасля змякчэнняў.

Меры, прынятыя для ўстаранення рызык

Менавіта тут платформа кіравання згодай з'яўляецца ў DPIA. Дэталёвы захоп згоды, адмова ад кожнага пастаўшчыка, лёгкае адкліканне, абмежаванні захоўвання, шыфраванне пры перадачы і ў спакоі, дагаворныя гарантыі на апрацоўшчыкаў даных — кожная мера павінна быць прывязана да канкрэтнай выяўленай рызыкі. Агульная заява, што выдавец выкарыстоўвае CMP, не з'яўляецца мерай.

Роля супрацоўніка па абароне даных

Артыкул 35(2) патрабуе ад кантралёра запытваць параду DPO пры правядзенні DPIA. Для выдаўцоў з прызначаным DPO гэта проста. Для меншых выдаўцоў без яго DPIA усё роўна можа быць праведзена, але павінна выконвацца з задакументаванай знешняй парадай — знешні юрысконсульт, галіновы кансультант або каманда адпаведнасці пастаўшчыка CMP. Роля DPO — аспрэчваць аналіз неабходнасці кантралёра, а не штампаваць яго.

Калі патрабуецца папярэдняя кансультацыя

Артыкул 36 патрабуе папярэдняй кансультацыі з наглядным органам, калі DPIA паказвае, што апрацоўка прывядзе да высокай рызыкі, якую кантралёр не можа змякчыць. На практыцы гэта рэдка для патокаў cookie і згоды — большасць рызык можна змякчыць праз дэталёвую згоду, скарачэнне пастаўшчыкоў, абмежаванні захоўвання і дагаворныя гарантыі. Але гэта не нуль. Два выпадкі, якія запусцілі папярэднюю кансультацыю ў 2024 і 2025 гадах: ідэнтыфікатар на аснове зняцця адбіткаў, разгорнуты без інтэграцыі TCF, і крос-прыладны граф ідэнтычнасці, які аб'ядноўваў first-party даныя са іншапартыйнымі брокерамі даных. Выдаўцы, якія даследуюць любы з гэтых патэрнаў, павінны планаваць тэрмін кансультацыі ад шасці да дванаццаці тыдняў.

Як рэгулятары выкарыстоўваюць DPIA ў расследаваннях

DPIA — гэта адзіны дакумент, які рэгулятар запытвае першым, калі скарга на cookie дасягае стадыі фармальнага расследавання. Італьянскі Garante, французскі CNIL, бельгійскі APD і баварскі BayLDA — усе адкрываюць свае працэдурныя справы з запыту DPIA, якая пакрывае разглядаемую дзейнасць. З нядаўніх рашэнняў вынікаюць тры патэрны:

Позна створаныя DPIA моцна дыскантуюцца

DPIA, датаваная пасля запыту рэгулятара, не будзе разглядацца як доказ перадзапускавой ацэнкі. Некалькі рашэнняў 2025 года яўна адзначылі, што дакумент быў створаны заднім лікам, і ўзважылі яго адпаведна. DPIA павінна папярэднічаць запуску апрацоўкі, і метаданыя дакумента або гісторыя версій павінны рабіць гэта ясным.

Агульныя DPIA разглядаюцца як адсутныя

Шаблонная DPIA, скапіраваная з партала пастаўшчыка CMP без аналізу, спецыфічнага для сайта, усё часцей адхіляецца. Рашэнне Garante 2025 года супраць італьянскай выдавецкай групы назвала шэсць з дзевяці сайтаў у вобласці прымянення і пастанавіла, што адзіная агульная DPIA, якая пакрывае іх усе, не задавальняе Артыкул 35.

Меры змякчэння павінны адпавядаць таму, што фактычна разгорнута

Калі DPIA апісвае 60-дзённае захоўванне cookie, але разгорнутыя cookie выкарыстоўваюць 24-месячны тэрмін жыцця, рэгулятар будзе разглядаць DPIA як недакладную. Штоквартальны аўдыт разгорнутай канфігурацыі супраць апісання DPIA больш не з'яўляецца неабавязковым.

Збіраем разам

Для большасці выдаўцоў практычны адказ аднолькавы: DPIA патрабуецца, яна павінна быць складзена да запуску любога новага адсочвання, і яна павінна правярацца штоквартальна супраць разгорнутай канфігурацыі. Дакумент не павінен быць доўгім, але ён павінен быць спецыфічны для сайта, напісаны да запуску, ухвалены DPO або задакументаваным знешнім кансультантам і ўзгоднены з тым, што фактычна працуе ў вытворчасці. Выдаўцы, якія правільна выконваюць гэтыя чатыры пункты, ператвараюць DPIA з цяжару адпаведнасці ў самую моцную абарону, якую яны маюць, калі рэгулятар прыходзіць з пытаннямі.