DPIA για τη συγκατάθεση cookies: πότε οι εκδότες πρέπει να διεξάγουν εκτίμηση αντίκτυπου για την προστασία δεδομένων
Οι περισσότεροι εκδότες θεωρούν την εκτίμηση αντίκτυπου για την προστασία δεδομένων ως εργασία συμμόρφωσης για κάποιον άλλον — τον υπεύθυνο προστασίας δεδομένων, τον εξωτερικό νομικό σύμβουλο, το σπάνιο τεχνολογικό έργο που αφορά βιομετρικά δεδομένα. Στην πραγματικότητα, το GDPR απαιτεί DPIA για ένα πολύ ευρύτερο σύνολο δραστηριοτήτων από ό,τι αντιλαμβάνονται οι περισσότεροι χειριστές adtech, και πολλές ροές συγκατάθεσης cookies και συμπεριφορικής διαφήμισης εμπίπτουν ακριβώς εντός των προϋποθέσεων ενεργοποίησης. Το ερώτημα που θέτουν πλέον οι ρυθμιστικές αρχές στους εκδότες κατά τους ελέγχους και τις έρευνες παραπόνων είναι άμεσο: διεξαγάγατε DPIA πριν αναπτύξετε αυτή την παρακολούθηση και μπορείτε να μας το δείξετε; Αυτός ο οδηγός εξηγεί πότε το DPIA είναι υποχρεωτικό, τι πρέπει να περιέχει και πώς να παράγετε ένα που να αντέχει στον έλεγχο των ρυθμιστικών αρχών.
Τι είναι το DPIA και γιατί υπάρχει
Η εκτίμηση αντίκτυπου για την προστασία δεδομένων ορίζεται στο Άρθρο 35 του GDPR. Είναι μια τεκμηριωμένη ανάλυση που πρέπει να διεξάγει ένας υπεύθυνος επεξεργασίας πριν από την εκκίνηση οποιασδήποτε λειτουργίας επεξεργασίας που ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Το DPIA αναγκάζει τον υπεύθυνο επεξεργασίας να περιγράψει την επεξεργασία, να αξιολογήσει την αναγκαιότητα και αναλογικότητά της, να εντοπίσει κινδύνους και να τεκμηριώσει τα μέτρα που λαμβάνονται για την άμβλυνσή τους. Εάν ο υπολειπόμενος κίνδυνος παραμένει υψηλός, ο υπεύθυνος επεξεργασίας πρέπει να συμβουλευτεί την εποπτική αρχή πριν τεθεί σε λειτουργία.
Για τους εκδότες, το DPIA δεν είναι μεμονωμένο νομικό έγγραφο. Είναι το κεντρικό έγγραφο που θα ζητήσει μια ρυθμιστική αρχή κατά τη διερεύνηση παραπόνου σχετικού με cookies ή παρακολούθηση, και είναι το έγγραφο που καθορίζει αν ο εκδότης μπορεί να αποδείξει λογοδοσία βάσει του Άρθρου 5(2). Χωρίς αυτό, το βάρος της απόδειξης μετατοπίζεται αποφασιστικά εναντίον σας.
Πότε το DPIA είναι υποχρεωτικό για ροές cookies και συγκατάθεσης
Το Άρθρο 35(3) απαριθμεί τρεις ρητές προϋποθέσεις ενεργοποίησης DPIA. Οι κατευθυντήριες γραμμές της Article 29 Working Party (τώρα υιοθετημένες από το EDPB) προσθέτουν κατάλογο εννέα ενδεικτικών κριτηρίων. Μια δραστηριότητα επεξεργασίας που πληροί οποιαδήποτε δύο από αυτά τα κριτήρια τεκμαίρεται ότι απαιτεί DPIA. Για ροές cookies και adtech τα πιο σχετικά κριτήρια είναι:
- Συστηματική και εκτεταμένη αξιολόγηση — συμπεριλαμβανομένης της δημιουργίας προφίλ για διαφήμιση και εξατομίκευση περιεχομένου.
- Επεξεργασία μεγάλης κλίμακας — μετριέται με βάση τον όγκο δεδομένων, τον αριθμό υποκειμένων δεδομένων, τη γεωγραφική έκταση και τη διάρκεια. Ιστότοποι εκδοτών με εκατομμύρια μηνιαίους χρήστες σχεδόν πάντα πληρούν τις προϋποθέσεις.
- Καινοτόμος χρήση τεχνολογίας — καλύπτει fingerprinting, αναγνώριση διαφορετικών συσκευών, ομοσπονδιακή μάθηση, μέτρηση προσοχής, συμπερασματολογία συμπεριφοράς βάσει AI.
- Παρακολούθηση τοποθεσίας ή συμπεριφοράς — άμεσα καλύπτεται από τη συμπεριφορική διαφήμιση και το retargeting.
- Συνδυασμός ή αντιστοίχιση συνόλων δεδομένων — συμπεριλαμβανομένης εμπλουτισμού από τον διακομιστή, γράφων ταυτότητας, καθαρών δωματίων δεδομένων, σύνδεσης πλατφορμών δεδομένων πελατών.
Ένας τυπικός ιστότοπος εκδότη μεσαίου επιπέδου που χρησιμοποιεί συμπεριφορική διαφήμιση και εκτελεί περισσότερα από μερικά pixel τρίτων θα πληροί τουλάχιστον τρία από αυτά τα κριτήρια ταυτόχρονα. Το τεκμήριο ότι απαιτείται DPIA είναι, στην πράξη, σχεδόν βεβαιότητα. Αρκετές εθνικές αρχές προστασίας δεδομένων έχουν δημοσιεύσει τους δικούς τους υποχρεωτικούς καταλόγους DPIA· το ιταλικό Garante, η γαλλική CNIL και το γερμανικό DSK έχουν όλοι ονομάσει τη προγραμματική διαφήμιση και τη δημιουργία προφίλ μεταξύ ιστοτόπων ως προεπιλεγμένες ενεργοποιήσεις DPIA.
Τι πρέπει να περιέχει το έγγραφο DPIA
Το Άρθρο 35(7) ορίζει τέσσερα υποχρεωτικά περιεχόμενα. Ένα DPIA που του λείπει κάποιο από αυτά αντιμετωπίζεται από τις ρυθμιστικές αρχές σαν να μην έχει πραγματοποιηθεί καθόλου.
Συστηματική περιγραφή της επεξεργασίας
Αυτό δεν είναι μονοπαράγραφη σύνοψη. Η περιγραφή πρέπει να καλύπτει κάθε κατηγορία προσωπικών δεδομένων που υποβάλλεται σε επεξεργασία, κάθε σκοπό, κάθε αποδέκτη, κάθε περίοδο διατήρησης και κάθε διασυνοριακή μεταφορά. Για μια ροή adtech αυτό σημαίνει απαρίθμηση κάθε προμηθευτή στο TCF string σας, τα δεδομένα που λαμβάνει ο καθένας και τη νομική βάση που επικαλείται για τον καθένα. Εκδότες που αντιγράφουν απευθείας τον κατάλογο προμηθευτών TCF v2.2 στο παράρτημα DPIA έχουν παράγει λειτουργικά έγγραφα· εκείνοι που τον συνόψισαν σε δύο προτάσεις δεν το έχουν κάνει.
Αξιολόγηση αναγκαιότητας και αναλογικότητας
Η αναγκαιότητα ρωτά αν ο ίδιος σκοπός μπορεί να επιτευχθεί με λιγότερα δεδομένα ή με μη προσωπικά δεδομένα. Για μια ροή συμπεριφορικής διαφήμισης αυτό σημαίνει να αντιμετωπίσετε ειλικρινά αν η συμφραζομενική διαφήμιση θα εξυπηρετούσε τον ίδιο σκοπό. Το EDPB Opinion 28/2024 είναι σαφές ότι ένα DPIA δεν μπορεί να απορρίψει τη συμφραζομενική διαφήμιση σε μία γραμμή — ο υπεύθυνος επεξεργασίας πρέπει να αποδείξει ότι εξετάστηκε η εναλλακτική και να εξηγήσει γιατί απορρίφθηκε.
Αξιολόγηση κινδύνων για τα υποκείμενα δεδομένων
Η ανάλυση κινδύνων πρέπει να λαμβάνει υπόψη παράνομη πρόσβαση, μη εξουσιοδοτημένη αποκάλυψη, αλλοίωση, απώλεια και τους ευρύτερους κοινωνικούς κινδύνους της δημιουργίας προφίλ — αποτρεπτικά αποτελέσματα, διακρίσεις, εγκλωβισμό. Για κάθε εντοπισμένο κίνδυνο η αξιολόγηση πρέπει να αναφέρει πιθανότητα, σοβαρότητα και το υπολειπόμενο επίπεδο μετά τα μέτρα άμβλυνσης.
Τα μέτρα που ελήφθησαν για την αντιμετώπιση των κινδύνων
Εδώ εμφανίζεται η πλατφόρμα διαχείρισης συγκατάθεσης στο DPIA. Λεπτομερής καταγραφή συγκατάθεσης, εξαίρεση ανά προμηθευτή, εύκολη ανάκληση, όρια διατήρησης, κρυπτογράφηση κατά τη μεταφορά και σε ηρεμία, συμβατικές διασφαλίσεις για τους εκτελούντες την επεξεργασία — κάθε μέτρο πρέπει να συνδέεται με συγκεκριμένο εντοπισμένο κίνδυνο. Μια γενική δήλωση ότι ο εκδότης χρησιμοποιεί CMP δεν αποτελεί μέτρο.
Ο ρόλος του υπεύθυνου προστασίας δεδομένων
Το Άρθρο 35(2) απαιτεί από τον υπεύθυνο επεξεργασίας να ζητά τη γνώμη του DPO κατά τη διεξαγωγή DPIA. Για εκδότες με ορισμένο DPO αυτό είναι απλό. Για μικρότερους εκδότες χωρίς DPO, το DPIA μπορεί ακόμα να διεξαχθεί αλλά πρέπει να πραγματοποιηθεί με τεκμηριωμένη εξωτερική συμβουλή — εξωτερικός νομικός σύμβουλος, εμπειρογνώμονας του κλάδου ή η ομάδα συμμόρφωσης ενός παρόχου CMP. Ο ρόλος του DPO είναι να αμφισβητεί την ανάλυση αναγκαιότητας του υπεύθυνου επεξεργασίας, όχι να την εγκρίνει τυπικά.
Πότε απαιτείται προηγούμενη διαβούλευση
Το Άρθρο 36 απαιτεί προηγούμενη διαβούλευση με την εποπτική αρχή όταν το DPIA δείχνει ότι η επεξεργασία θα οδηγούσε σε υψηλό κίνδυνο που ο υπεύθυνος επεξεργασίας δεν μπορεί να άρει. Στην πράξη αυτό είναι σπάνιο για ροές cookies και συγκατάθεσης — οι περισσότεροι κίνδυνοι μπορούν να αμβλυνθούν μέσω λεπτομερούς συγκατάθεσης, μείωσης προμηθευτών, ορίων διατήρησης και συμβατικών διασφαλίσεων. Αλλά δεν είναι μηδέν. Δύο περιπτώσεις που ενεργοποίησαν προηγούμενη διαβούλευση το 2024 και 2025: αναγνωριστικό βάσει fingerprinting που αναπτύχθηκε χωρίς ενσωμάτωση TCF, και γράφος ταυτότητας μεταξύ συσκευών που συνδύαζε δεδομένα πρώτου μέρους με μεσίτες δεδομένων τρίτων. Εκδότες που εξερευνούν οποιοδήποτε πρότυπο πρέπει να σχεδιάσουν χρονοδιάγραμμα διαβούλευσης έξι έως δώδεκα εβδομάδων.
Πώς χρησιμοποιούν οι ρυθμιστικές αρχές το DPIA στις έρευνες
Το DPIA είναι το μοναδικό έγγραφο που ζητά πρώτα μια ρυθμιστική αρχή όταν ένα παράπονο για cookies φτάσει στο στάδιο της επίσημης έρευνας. Το ιταλικό Garante, η γαλλική CNIL, το βελγικό APD και το βαυαρικό BayLDA ανοίγουν όλοι τους φακέλους τους με αίτημα για το DPIA που καλύπτει τη συγκεκριμένη δραστηριότητα. Τρία πρότυπα προκύπτουν από πρόσφατες αποφάσεις:
Τα DPIA που παράγονται καθυστερημένα υποτιμώνται σημαντικά
Ένα DPIA με ημερομηνία μετά το αίτημα της ρυθμιστικής αρχής δεν θα αντιμετωπιστεί ως αποδεικτικό στοιχείο αξιολόγησης πριν την εκκίνηση. Αρκετές αποφάσεις του 2025 σημείωσαν ρητά ότι το έγγραφο δημιουργήθηκε εκ των υστέρων και το σταθμίστηκε ανάλογα. Το DPIA πρέπει να προηγείται της εκκίνησης της επεξεργασίας, και τα μεταδεδομένα ή το ιστορικό εκδόσεων του εγγράφου πρέπει να το καθιστούν σαφές.
Τα γενικά DPIA αντιμετωπίζονται ως ανύπαρκτα
Ένα πρότυπο DPIA αντιγραμμένο από την πύλη παρόχου CMP χωρίς ανάλυση ειδική για τον ιστότοπο απορρίπτεται όλο και περισσότερο. Η απόφαση Garante του 2025 κατά ιταλικού εκδοτικού ομίλου κατονόμασε έξι από τους εννέα ιστότοπους στο πεδίο εφαρμογής και διαπίστωσε ότι ένα μοναδικό κοινό DPIA που τους κάλυπτε όλους δεν ικανοποιούσε το Άρθρο 35.
Τα μέτρα άμβλυνσης πρέπει να αντιστοιχούν σε ό,τι έχει πράγματι αναπτυχθεί
Αν το DPIA περιγράφει διατήρηση cookies 60 ημερών αλλά τα αναπτυγμένα cookies χρησιμοποιούν διάρκεια 24 μηνών, η ρυθμιστική αρχή θα αντιμετωπίσει το DPIA ως ανακριβές. Ο τριμηνιαίος έλεγχος της αναπτυγμένης διαμόρφωσης σε σχέση με την περιγραφή του DPIA δεν είναι πλέον προαιρετικός.
Συνολική εικόνα
Για τους περισσότερους εκδότες η πρακτική απάντηση είναι η ίδια: ένα DPIA απαιτείται, πρέπει να συνταχθεί πριν ξεκινήσει οποιαδήποτε νέα παρακολούθηση και πρέπει να επανεξετάζεται τριμηνιαία σε σχέση με την αναπτυγμένη διαμόρφωση. Το έγγραφο δεν χρειάζεται να είναι μεγάλο, αλλά πρέπει να είναι ειδικό για τον ιστότοπο, γραμμένο πριν την εκκίνηση, εγκεκριμένο από τον DPO ή τεκμηριωμένο εξωτερικό σύμβουλο και ευθυγραμμισμένο με αυτό που εκτελείται πράγματι σε παραγωγή. Εκδότες που κάνουν σωστά αυτά τα τέσσερα σημεία μετατρέπουν το DPIA από βάρος συμμόρφωσης στην ισχυρότερη άμυνα που έχουν όταν έρθει μια ρυθμιστική αρχή να ρωτήσει.