DPIA pro souhlas se soubory cookie: kdy musí vydavatelé provést posouzení vlivu na ochranu osobních údajů
Většina vydavatelů považuje posouzení vlivu na ochranu osobních údajů za úlohu zajištění souladu pro někoho jiného — pověřence pro ochranu osobních údajů, externího právního poradce, vzácný technický projekt dotýkající se biometrie. Ve skutečnosti GDPR vyžaduje DPIA pro mnohem širší okruh činností, než si většina provozovatelů reklamních technologií uvědomuje, a mnoho toků souhlasů se soubory cookie a behaviorální reklamy přímo spadá do rozsahu spouštěcích podmínek. Otázka, kterou regulátoři nyní kladou vydavatelům při auditech a šetřeních stížností, je přímá: provedli jste DPIA před nasazením tohoto sledování a můžete nám ho ukázat? Tato příručka vysvětluje, kdy je DPIA povinné, co musí obsahovat a jak vytvořit takové, které přežije přezkum regulátora.
Co je DPIA a proč existuje
Posouzení vlivu na ochranu osobních údajů je definováno v článku 35 GDPR. Jde o zdokumentovanou analýzu, kterou musí správce provést před zahájením jakékoli operace zpracování, která pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob. DPIA nutí správce popsat zpracování, posoudit jeho nezbytnost a přiměřenost, identifikovat rizika a zdokumentovat opatření přijatá k jejich zmírnění. Pokud zůstane reziduální riziko vysoké, musí správce před spuštěním konzultovat dozorový úřad.
Pro vydavatele není DPIA jednorázovým právním artefaktem. Je to ústřední dokument, který regulátor vyžádá při vyšetřování stížnosti na soubory cookie nebo sledování, a dokument, který určuje, zda vydavatel může prokázat odpovědnost podle článku 5(2). Bez něj se důkazní břemeno rozhodně obrací proti vám.
Kdy je DPIA povinné pro toky souborů cookie a souhlasů
Článek 35(3) uvádí tři explicitní spouštěče DPIA. Pokyny Article 29 Working Party (nyní přijaté EDPB) přidávají seznam devíti orientačních kritérií. U zpracovatelské činnosti splňující kterákoli dvě z těchto kritérií se předpokládá, že vyžaduje DPIA. Pro toky souborů cookie a reklamních technologií jsou nejrelevantnější kritéria:
- Systematické a rozsáhlé hodnocení — včetně profilování pro reklamu a personalizaci obsahu.
- Rozsáhlé zpracování — měřeno objemem dat, počtem subjektů údajů, geografickým rozsahem a dobou trvání. Vydavatelské weby se sedmimístnými měsíčními uživateli téměř vždy splňují podmínky.
- Inovativní využití technologií — zahrnuje fingerprinting, identifikaci mezi zařízeními, federované učení, měření pozornosti, behaviorální inferenci na základě AI.
- Sledování polohy nebo chování — přímo zachyceno behaviorální reklamou a retargetingem.
- Kombinování nebo párování datových sad — včetně obohacování na straně serveru, grafů identit, čistých datových místností, propojování platforem zákaznických dat.
Typický mid-tier vydavatelský web využívající behaviorální reklamu a provozující více než hrstku pixelů třetích stran splní nejméně tři z těchto kritérií současně. Předpoklad, že DPIA je vyžadováno, je v praxi téměř jistotou. Několik národních orgánů pro ochranu osobních údajů zveřejnilo vlastní povinné seznamy DPIA; italský Garante, francouzský CNIL a německý DSK všichni označili programatickou reklamu a profilování napříč weby jako výchozí spouštěče DPIA.
Co musí dokument DPIA obsahovat
Článek 35(7) stanoví čtyři povinné obsahové náležitosti. DPIA, ve kterém chybí jakákoli z nich, je regulátory považováno za vůbec neprovedené.
Systematický popis zpracování
Nejde o jednovětové shrnutí. Popis musí zahrnovat každou kategorii zpracovávaných osobních údajů, každý účel, každého příjemce, každou dobu uchování a každý přeshraniční přenos. V případě toku reklamních technologií to znamená uvést každého dodavatele v řetězci TCF, data, která každý přijímá, a právní základ, na který se každý odvolává. Vydavatelé, kteří zkopírují seznam dodavatelů TCF v2.2 přímo do přílohy DPIA, vytvořili funkční dokumenty; ti, kteří jej shrnuli do dvou vět, nikoli.
Posouzení nezbytnosti a přiměřenosti
Nezbytnost se ptá, zda lze stejného účelu dosáhnout s menším množstvím dat nebo s neosobními daty. Pro tok behaviorální reklamy to znamená poctivě řešit, zda by kontextová reklama sloužila stejnému účelu. EDPB Opinion 28/2024 explicitně uvádí, že DPIA nemůže kontextovou reklamu odbýt jedním řádkem — správce musí prokázat, že alternativa byla zvážena, a vysvětlit, proč byla zamítnuta.
Posouzení rizik pro subjekty údajů
Analýza rizik musí vzít v úvahu nezákonný přístup, neoprávněné zpřístupnění, změnu, ztrátu a širší sociální rizika profilování — odstrašující účinky, diskriminaci, uzamčení. Pro každé identifikované riziko musí posouzení uvést pravděpodobnost, závažnost a reziduální úroveň po zmírňujících opatřeních.
Opatření přijatá k řešení rizik
Zde se platforma pro správu souhlasů objevuje v DPIA. Granulární zachycení souhlasu, odhlášení na úrovni dodavatele, snadné odvolání, limity uchování, šifrování při přenosu a v klidu, smluvní záruky vůči zpracovatelům údajů — každé opatření musí být vázáno na konkrétní identifikované riziko. Obecné prohlášení, že vydavatel používá CMP, není opatřením.
Role pověřence pro ochranu osobních údajů
Článek 35(2) vyžaduje, aby správce při provádění DPIA požádal o radu DPO. Pro vydavatele s určeným DPO je to jednoduché. Pro menší vydavatele bez DPO lze DPIA přesto provést, ale musí být provedeno s doloženým externím poradenstvím — externím právním poradcem, průmyslovým konzultantem nebo compliance týmem dodavatele CMP. Rolí DPO je zpochybňovat analýzu nezbytnosti správce, nikoli ji formálně schvalovat.
Kdy je vyžadována předchozí konzultace
Článek 36 vyžaduje předchozí konzultaci s dozorovým úřadem, pokud DPIA ukáže, že zpracování by vedlo k vysokému riziku, které správce nedokáže zmírnit. V praxi je to u toků souborů cookie a souhlasů vzácné — většinu rizik lze zmírnit prostřednictvím granulárního souhlasu, omezení počtu dodavatelů, limitů uchování a smluvních záruk. Ale není to nula. Dva případy, které spustily předchozí konzultaci v letech 2024 a 2025: identifikátor na základě fingerprintingu nasazený bez integrace TCF, a graf identity napříč zařízeními kombinující data první strany s datovými brokery třetích stran. Vydavatelé zkoumající oba vzory by měli počítat s konzultačním harmonogramem šesti až dvanácti týdnů.
Jak regulátoři využívají DPIA při vyšetřování
DPIA je jediný dokument, který regulátor požaduje jako první, když stížnost na soubory cookie dosáhne fáze formálního vyšetřování. Italský Garante, francouzský CNIL, belgický APD a bavorský BayLDA otevírají své procesní spisy žádostí o DPIA pokrývající dotčenou činnost. Z nedávných rozhodnutí vyplývají tři vzory:
Pozdě vyhotovená DPIA jsou výrazně znehodnocena
DPIA datované po žádosti regulátora nebude považováno za důkaz posouzení před spuštěním. Několik rozhodnutí z roku 2025 výslovně poznamenalo, že dokument byl vytvořen dodatečně a byl tomu odpovídajícím způsobem zvážen. DPIA musí předcházet zahájení zpracování a metadata dokumentu nebo historie verzí by to měly jasně dokládat.
Generická DPIA jsou považována za chybějící
Šablonové DPIA zkopírované z portálu dodavatele CMP bez analýzy specifické pro daný web je stále více odmítáno. Rozhodnutí Garante z roku 2025 proti italské vydavatelské skupině jmenovalo šest z devíti webů v rozsahu a zjistilo, že jedno sdílené DPIA pokrývající všechny z nich nesplnilo článek 35.
Zmírňující opatření musí odpovídat tomu, co je skutečně nasazeno
Pokud DPIA popisuje dobu uchování souborů cookie 60 dní, ale nasazené soubory cookie používají životnost 24 měsíců, regulátor bude DPIA považovat za nepřesné. Čtvrtletní audit nasazené konfigurace oproti popisu DPIA již není volitelný.
Celkový závěr
Pro většinu vydavatelů je praktická odpověď stejná: DPIA je vyžadováno, mělo by být vypracováno před spuštěním jakéhokoli nového sledování a mělo by být čtvrtletně přezkoumáváno oproti nasazené konfiguraci. Dokument nemusí být dlouhý, ale musí být specifický pro daný web, napsaný před spuštěním, schválený DPO nebo zdokumentovaným externím poradcem a sladěný s tím, co skutečně běží v produkci. Vydavatelé, kteří správně zvládnou tyto čtyři body, přemění DPIA z compliance zátěže na nejsilnější obranu, kterou mají, když přijde regulátor ptát.