Hvad en DPIA er, og hvorfor den eksisterer

Konsekvensanalysen vedrørende databeskyttelse er defineret i artikel 35 i GDPR. Det er en dokumenteret analyse, som en dataansvarlig skal udføre, inden der iværksættes en behandlingsoperation, som sandsynligvis vil resultere i en høj risiko for fysiske personers rettigheder og friheder. DPIA'en tvinger den dataansvarlige til at beskrive behandlingen, vurdere dens nødvendighed og proportionalitet, identificere risici og dokumentere de foranstaltninger, der er truffet for at mindske dem. Hvis restrisikoen forbliver høj, skal den dataansvarlige konsultere tilsynsmyndigheden, inden der sættes i gang.

For udgivere er DPIA'en ikke et engangsjuridisk artefakt. Det er det centrale dokument, som en regulator vil anmode om ved undersøgelse af en cookie- eller sporingsklage, og det er det dokument, der bestemmer, om udgiveren kan påvise ansvarlighed i henhold til Artikel 5(2). Uden det forskydes bevisbyrden afgørende imod dig.

Hvornår en DPIA er obligatorisk for cookie- og samtykkeflows

Artikel 35(3) opstiller tre udtrykkelige DPIA-udløsere. Retningslinjerne fra Article 29 Working Party (nu vedtaget af EDPB) tilføjer en liste med ni vejledende kriterier. En behandlingsaktivitet, der opfylder to af disse kriterier, formodes at kræve en DPIA. For cookie- og adtech-flows er de mest relevante kriterier:

• Systematisk og omfattende evaluering — herunder profilering til reklame og indholdspersonalisering.
• Behandling i stor skala — målt ved datamængde, antal registrerede, geografisk rækkevidde og varighed. Udgiverwebsteder med syvcifrerede månedlige brugere opfylder næsten altid kravene.
• Innovativ brug af teknologi — dækker fingeraftryk, identifikation på tværs af enheder, fødereret læring, opmærksomhedsmåling og AI-baseret adfærdsinferens.
• Sporing af lokation eller adfærd — direkte fanget af adfærdsbaseret reklame og retargeting.
• Kombinering eller sammenstilling af datasæt — herunder server-side berigelse, identitetsgraf, rene datarum og sammenstilling af kundedataplatforme.

Et typisk mid-tier udgiverwebsted, der bruger adfærdsbaseret reklame og kører mere end en håndfuld tredjepartspixels, vil opfylde mindst tre af disse kriterier samtidigt. Formodningen om, at en DPIA er påkrævet, er i praksis nærmest en vished. Adskillige nationale datatilsynsmyndigheder har offentliggjort deres egne obligatoriske DPIA-lister; det italienske Garante, det franske CNIL og det tyske DSK har alle nævnt programmatisk reklame og sporing på tværs af websteder som standard DPIA-udløsere.

Hvad DPIA-dokumentet skal indeholde

Artikel 35(7) fastsætter fire obligatoriske indhold. En DPIA, der mangler nogen af dem, behandles af regulatorer som om den slet ikke er gennemført.

En systematisk beskrivelse af behandlingen

Dette er ikke et enkeltafsnits resumé. Beskrivelsen skal dække alle kategorier af personoplysninger, der behandles, hvert formål, hver modtager, hver opbevaringsperiode og enhver grænseoverskridende overførsel. For et adtech-flow betyder det at angive hver leverandør i din TCF-streng, de data, hver modtager, og det lovlige grundlag, der påberåbes for hver. Udgivere, der kopierer TCF v2.2-leverandørlisten direkte ind i DPIA-bilaget, har produceret brugbare dokumenter; de, der opsummerer det i to sætninger, har ikke.

En vurdering af nødvendighed og proportionalitet

Nødvendighed spørger, om det samme formål kan opnås med færre data eller med ikke-personlige data. For et adfærdsbaseret reklameflow betyder det ærligt at adressere, om kontekstuel reklame ville tjene samme formål. EDPB Opinion 28/2024 er eksplicit om, at en DPIA ikke kan afvise kontekstuel reklame i en enkelt linje — den dataansvarlige skal påvise, at alternativet er overvejet, og forklare, hvorfor det blev afvist.

En vurdering af risici for de registrerede

Risikoanalysen skal tage hensyn til ulovlig adgang, uautoriseret videregivelse, ændring, tab og de bredere sociale risici ved profilering — afskrækkende virkninger, diskrimination og fastlåsning. For hver identificeret risiko skal vurderingen angive sandsynlighed, alvorlighed og residualniveauet efter afhjælpende foranstaltninger.

De foranstaltninger, der er truffet for at imødegå risiciene

Her optræder samtykkehåndteringsplatformen i DPIA'en. Granulær samtykkeindhentning, framelding pr. leverandør, nem tilbagekaldelse, opbevaringsgrænser, kryptering under transport og i hvile, kontraktmæssige garantier over for databehandlere — hver foranstaltning skal knyttes til en specifik identificeret risiko. En generisk erklæring om, at udgiveren bruger en CMP, er ikke en foranstaltning.

Databeskyttelsesrådgiverens rolle

Artikel 35(2) kræver, at den dataansvarlige søger DPO'ens rådgivning ved gennemførelsen af en DPIA. For udgivere med en udpeget DPO er dette ligetil. For mindre udgivere uden en DPO kan DPIA'en stadig gennemføres, men skal udføres med dokumenteret ekstern rådgivning — ekstern juridisk rådgiver, branchekonsulent eller en CMP-leverandørs complianceteam. DPO'ens rolle er at udfordre den dataansvarliges nødvendighedsanalyse, ikke at godkende den.

Hvornår forudgående høring er påkrævet

Artikel 36 kræver forudgående høring af tilsynsmyndigheden, når DPIA'en viser, at behandlingen vil resultere i en høj risiko, som den dataansvarlige ikke kan afhjælpe. I praksis er dette sjældent for cookie- og samtykkeflows — de fleste risici kan afhjælpes gennem granulært samtykke, leverandørreduktion, opbevaringsgrænser og kontraktmæssige garantier. Men det er ikke nul. To tilfælde, der har udløst forudgående høring i 2024 og 2025: en fingeraftryksbaseret identifikator implementeret uden TCF-integration, og en identitetsgraf på tværs af enheder, der kombinerede first-party data med tredjepartsdatabrokers. Udgivere, der undersøger begge mønstre, bør planlægge en høringsfrist på seks til tolv uger.

Hvordan regulatorer bruger DPIA'en i undersøgelser

DPIA'en er det eneste dokument, som en regulator beder om først, når en cookieklage når det formelle undersøgelsesstadium. Det italienske Garante, det franske CNIL, det belgiske APD og det bayerske BayLDA åbner alle deres proceduremæssige filer med en anmodning om den DPIA, der dækker den pågældende aktivitet. Tre mønstre fremkommer fra nylige afgørelser:

Sent udarbejdede DPIA'er fratrækkes kraftigt

En DPIA dateret efter regulatorens anmodning vil ikke blive behandlet som bevis for en forhåndsvurdering. Adskillige 2025-afgørelser har eksplicit bemærket, at dokumentet var oprettet efterfølgende og vægtet det derefter. DPIA'en skal gå forud for behandlingens igangsættelse, og dokumentets metadata eller versionshistorik bør gøre det klart.

Generiske DPIA'er behandles som manglende

En skabelon-DPIA kopieret fra en CMP-leverandørs portal uden webstedsspecifik analyse afvises i stigende grad. 2025 Garante-afgørelsen mod en italiensk udgivergruppe navngav seks af de ni websteder i scope og konstaterede, at en enkelt delt DPIA, der dækkede dem alle, ikke opfyldte Artikel 35.

Afhjælpende foranstaltninger skal matche det, der faktisk er implementeret

Hvis DPIA'en beskriver en 60-dages cookie-opbevaring, men de implementerede cookies bruger en levetid på 24 måneder, vil regulatoren behandle DPIA'en som unøjagtig. Kvartalsmæssig revision af den implementerede konfiguration i forhold til DPIA-beskrivelsen er ikke længere valgfri.

At samle det hele

For de fleste udgivere er det praktiske svar det samme: en DPIA er påkrævet, den bør udarbejdes, inden ny sporing igangsættes, og den bør revideres kvartalsvis i forhold til den implementerede konfiguration. Dokumentet behøver ikke at være langt, men det skal være specifikt for webstedet, skrevet inden lancering, godkendt af DPO'en eller dokumenteret ekstern rådgiver og afstemt med det, der faktisk kører i produktion. Udgivere, der håndterer disse fire punkter korrekt, forvandler DPIA'en fra en compliancebyrde til det stærkeste forsvar, de har, når en regulator kommer og spørger.