Mis on DPIA ja miks see eksisteerib

Andmekaitse mõjuhinnang on määratletud GDPR artiklis 35. See on dokumenteeritud analüüs, mille vastutav töötleja peab läbi viima enne mis tahes töötlemistoimingu käivitamist, mis tõenäoliselt toob kaasa suure riski füüsiliste isikute õigustele ja vabadustele. DPIA kohustab vastutavat töötlejat kirjeldama töötlemist, hindama selle vajalikkust ja proportsionaalsust, tuvastama riske ning dokumenteerima nende maandamiseks võetud meetmed. Kui jääkrisk jääb kõrgeks, peab vastutav töötleja enne töösse laskmist konsulteerima järelevalveasutusega.

Avaldajate jaoks ei ole DPIA ühekordne õiguslik artefakt. See on keskne dokument, mida reguleerija küpsiste või jälgimiskaebuse uurimisel taotleb, ning see on dokument, mis määrab, kas avaldaja suudab tõendada vastutust vastavalt artiklile 5(2). Ilma selleta läheb tõendamiskohustus otsustavalt teie vastu.

Millal on DPIA küpsiste ja nõusolekuvoogude puhul kohustuslik

Artikkel 35(3) loetleb kolm selget DPIA käivitajat. Artikkel 29 töörühma juhised (nüüd EDPB poolt vastu võetud) lisavad üheksa indikatiivsed kriteeriumit. Töötlemistegevus, mis vastab kahele neist kriteeriumidest, eeldatakse nõudvat DPIA-d. Küpsiste ja reklaamitehnoloogia voogude puhul on kõige asjakohasemad kriteeriumid:

• Süstemaatiline ja ulatuslik hindamine — sealhulgas profileerimine reklaami ja sisu isikupärastamise eesmärgil.
• Suuremahuline töötlemine — mõõdetuna andmemahu, andmesubjektide arvu, geograafilise ulatuse ja kestuse järgi. Avaldajate saidid, millel on igakuiselt seitsekohalised kasutajanumbrid, kvalifitseeruvad peaaegu alati.
• Tehnoloogia uuenduslik kasutamine — hõlmab sõrmejälgede võtmist, seadmeteülest identifitseerimist, federeeritud õppimist, tähelepanu mõõtmist, tehisintellektipõhist käitumuslikku järeldamist.
• Asukoha või käitumise jälgimine — mida käitumusliku reklaami ja uuesti sihtimine otseselt katab.
• Andmekogumite kombineerimine või sobitamine — sealhulgas serveripoolne rikastamine, identiteedigraafikud, andmete puhastusruumid, kliendiandmeplatvormi ühendamine.

Tüüpiline kesktaseme avaldajasait, mis kasutab käitumuslikku reklaami ja käitab rohkem kui mõnda kolmanda osapoole pikslit, täidab samaaegselt vähemalt kolme neist kriteeriumidest. Eeldus, et DPIA on nõutav, on praktikas peaaegu kindlus. Mitmed riiklikud andmekaitseasutused on avaldanud oma kohustuslikud DPIA loendid; Itaalia Garante, Prantsuse CNIL ja Saksa DSK on kõik nimetanud programmaatilise reklaami ja saitideülese profiilianalüüsi vaiketaseme DPIA käivitajatena.

Mida DPIA dokument peab sisaldama

Artikkel 35(7) sätestab neli kohustuslikku sisu. DPIA, millest puudub mõni neist, käsitatakse reguleerijate poolt kui mitte läbi viidut.

Töötlemise süstemaatiline kirjeldus

See ei ole ühelõiguline kokkuvõte. Kirjeldus peab hõlmama kõiki töödeldud isikuandmete kategooriaid, kõiki eesmärke, kõiki vastuvõtjaid, kõiki säilitamisperioode ja kõiki piiriüleseid üleandmisi. Reklaamitehnoloogia voo puhul tähendab see iga TCF-stringis oleva müüja loetlemist, iga saadud andmeid ja iga kohta nõutud õiguslikku alust. Avaldajad, kes kopeerivad TCF v2.2 müüjate nimekirja otse DPIA lisasse, on koostanud töökõlbulikke dokumente; need, kes võtavad selle kokku kahe lausega, ei ole.

Vajalikkuse ja proportsionaalsuse hindamine

Vajalikkus küsib, kas sama eesmärgi saab saavutada vähema andmega või mittepersoniandmetega. Käitumusliku reklaami voo puhul tähendab see kontekstuaalse reklaami vastates ausa hinnangu andmist. EDPB Opinion 28/2024 on selge, et DPIA ei saa kontekstuaalset reklaami ühes reas tagasi lükata — vastutav töötleja peab näitama, et alternatiivi kaaluti, ja selgitama, miks see tagasi lükati.

Andmesubjektidele mõeldud riskide hindamine

Riskianalüüs peab arvestama ebaseaduslikku juurdepääsu, loata avalikustamist, muutmist, kaotust ja profileerimise laiemaid sotsiaalseid riske — pärssivaid mõjusid, diskrimineerimist, lukustumist. Iga tuvastatud riski puhul peab hindamine märkima tõenäosuse, raskusastme ja maandamisjärgse jääktaseme.

Riskide lahendamiseks võetud meetmed

Siin ilmub DPIA-s nõusolekuhaldusplatvorm. Granuleeritud nõusoleku kogumine, müüjapõhine loobumise võimalus, lihtne tagasivõtmine, säilitamispiirangud, krüptimine edastamisel ja puhkeolekus, lepingulised kaitsemeetmed andmetöötlejatele — iga meede peab olema seotud konkreetse tuvastatud riskiga. Üldine avaldus, et avaldaja kasutab CMP-d, ei ole meede.

Andmekaitseametniku roll

Artikkel 35(2) nõuab, et vastutav töötleja küsiks DPIA läbiviimisel DPO nõu. Nimetatud DPO-ga avaldajate jaoks on see lihtne. Väiksemate avaldajate jaoks, kellel ei ole DPO-d, saab DPIA siiski läbi viia, kuid see tuleb läbi viia dokumenteeritud välise nõustamisega — välise nõustaja, valdkonna konsultandi või CMP müüja vastavusmeeskonnaga. DPO roll on vaidlustada vastutava töötleja vajalikkuse analüüs, mitte seda tembeldada.

Millal on vajalik eelnev konsultatsioon

Artikkel 36 nõuab järelevalveasutusega eelnevat konsulteerimist, kui DPIA näitab, et töötlemine tooks kaasa suure riski, mida vastutav töötleja ei suuda maandada. Praktikas on see küpsiste ja nõusolekuvoogude puhul harv — enamikku riske saab maandada granuleeritud nõusoleku, müüjate arvu vähendamise, säilitamispiirangute ja lepinguliste kaitsemeetmetega. Kuid see ei ole null. Kaks juhtumit, mis on 2024. ja 2025. aastal eelneva konsultatsiooni käivitanud: TCF integratsioonita kasutusele võetud sõrmejäljepõhine identifikaator ja esimese ja kolmanda osapoole andmemaaklerite andmeid ühendav seadmeteülene identiteedigraafik. Avaldajad, kes uurivad kumbagi mustrit, peaksid planeerima kuue kuni kaheteistkümne nädala pikkuse konsultatsiooni ajakava.

Kuidas reguleerijad uurimises DPIA-d kasutavad

DPIA on ainus dokument, mida reguleerija esmalt taotleb, kui küpsisekaebus jõuab ametliku uurimise etappi. Itaalia Garante, Prantsuse CNIL, Belgia APD ja Baieri BayLDA kõik avavad oma menetlustoimikud taotlusega DPIA järele, mis katab küsimuse all olevat tegevust. Viimastest otsustest ilmneb kolm mustrit:

Hilja koostatud DPIA-d saavad suure allahindluse

DPIA-d, mis on dateeritud pärast reguleerija taotlust, ei käsitleta eelkäivituse hindamise tõendina. Mitmed 2025. aasta otsused on selgesõnaliselt märkinud, et dokument loodi tagantjärele, ja kaalunud seda vastavalt. DPIA peab eelnema töötlemise käivitamisele ning dokumendi metaandmed või versiooni ajalugu peaksid seda selgelt näitama.

Üldiseid DPIA-sid käsitatakse puuduvana

CMP müüja portaalist kopeeritud mallipõhist DPIA-d ilma saidi-spetsiifilise analüüsita lükatakse üha enam tagasi. 2025. aasta Garante otsus Itaalia avaldajate rühma vastu nimetas kuut üheksast skoobis olevast saidist ning leidis, et kõiki neid kattev üks ühine DPIA ei rahulda artiklit 35.

Maandamismeetmed peavad ühtima tegelikult kasutatuga

Kui DPIA kirjeldab 60-päevast küpsiste säilitamist, kuid kasutusele võetud küpsised kasutavad 24-kuulist eluiga, käsitab reguleerija DPIA-d ebatäpsena. Kasutatava konfiguratsiooni kvartaalne audit võrreldes DPIA kirjeldusega ei ole enam vabatahtlik.

Kokkuvõte

Enamiku avaldajate jaoks on praktiline vastus sama: DPIA on nõutav, see tuleks koostada enne uue jälgimise käivitamist ja seda tuleks kord kvartalis üle vaadata vastavalt kasutatavale konfiguratsioonile. Dokument ei pea olema pikk, kuid see peab olema saidipõhine, enne käivitamist kirjutatud, DPO või dokumenteeritud välise nõustaja poolt heaks kiidetud ning vastavuses tootmises tegelikult töötavaga. Avaldajad, kes need neli punkti õigesti saavad, muudavad DPIA vastavustakistusest tugevaimaks kaitseks, mis neil on, kui reguleerija tuleb küsima.