מה זה DPIA ולמה הוא קיים

הערכת השפעה על הגנת מידע מוגדרת בסעיף 35 של GDPR. זוהי ניתוח מתועד שבקר חייב לבצע לפני השקת כל פעולת עיבוד שעשויה לגרום לסיכון גבוה לזכויות וחירויות של אנשים טבעיים. ה-DPIA מאלץ את הבקר לתאר את העיבוד, להעריך את הנחיצות והמידתיות שלו, לזהות סיכונים ולתעד את האמצעים שננקטו להפחתתם. אם הסיכון השיורי נשאר גבוה, הבקר חייב להתייעץ עם רשות הפיקוח לפני ההפעלה.

עבור מפרסמים, ה-DPIA אינו חפץ משפטי חד-פעמי. זהו המסמך המרכזי שרגולטור יבקש בעת חקירת תלונה על עוגיות או מעקב, וזהו המסמך הקובע אם המפרסם יכול להדגים אחריות לפי סעיף 5(2). בלעדיו, נטל ההוכחה עובר נגדך באופן מכריע.

מתי DPIA חובה עבור זרימות עוגיות והסכמה

סעיף 35(3) מפרט שלושה מפעילי DPIA מפורשים. הנחיות קבוצת העבודה של סעיף 29 (שאומצו כעת על ידי EDPB) מוסיפות רשימה של תשעה קריטריונים מנחים. פעילות עיבוד העומדת בשניים מהקריטריונים הללו נחזקת כמחייבת DPIA. עבור זרימות עוגיות וטכנולוגיית פרסום, הקריטריונים הרלוונטיים ביותר הם:

• הערכה שיטתית ומקיפה — כולל יצירת פרופיל לפרסום ולהתאמה אישית של תוכן.
• עיבוד בקנה מידה גדול — נמדד לפי נפח נתונים, מספר נושאי הנתונים, היקף גיאוגרפי ומשך זמן. אתרי מפרסמים עם משתמשים חודשיים בספרות שבע כמעט תמיד מתאימים.
• שימוש חדשני בטכנולוגיה — מכסה טביעת אצבע דיגיטלית, זיהוי בין-מכשירי, למידה מאוחדת, מדידת תשומת לב, הסקה התנהגותית מבוססת בינה מלאכותית.
• מעקב אחר מיקום או התנהגות — מכוסה ישירות על ידי פרסום התנהגותי ורי-טרגטינג.
• שילוב או התאמה של מערכי נתונים — כולל העשרה בצד שרת, גרפי זהות, חדרי ניקוי נתונים, תפירת פלטפורמת נתוני לקוחות.

אתר מפרסם טיפוסי ברמה בינונית המשתמש בפרסום התנהגותי ומפעיל יותר ממספר פיקסלים של צד שלישי יעמוד בלפחות שלושה מהקריטריונים הללו בו-זמנית. ההנחה שנדרש DPIA היא, בפועל, כמעט ודאות. מספר DPA לאומיות פרסמו את רשימות ה-DPIA החובה שלהן; Garante האיטלקי, CNIL הצרפתי ו-DSK הגרמני כולם ציינו פרסום פרוגרמטי ויצירת פרופיל בין-אתרי כמפעילי DPIA ברירת מחדל.

מה חייב המסמך DPIA להכיל

סעיף 35(7) קובע ארבעה תכנים חובה. DPIA החסר אחד מהם מטופל על ידי רגולטורים כאילו לא בוצע כלל.

תיאור שיטתי של העיבוד

זה אינו סיכום של פסקה אחת. התיאור חייב לכסות כל קטגוריה של נתונים אישיים המעובדים, כל מטרה, כל נמען, כל תקופת שמירה וכל העברה חוצת גבולות. עבור זרימת טכנולוגיית פרסום זה אומר לרשום כל ספק במחרוזת TCF שלכם, הנתונים שכל אחד מקבל והבסיס המשפטי הנטען עבור כל אחד. מפרסמים שמעתיקים את רשימת הספקים של TCF v2.2 ישירות לנספח ה-DPIA הפיקו מסמכים עובדים; אלה שמסכמים אותה בשתי משפטים לא.

הערכת הנחיצות והמידתיות

הנחיצות שואלת האם ניתן להשיג את אותה מטרה עם פחות נתונים או עם נתונים לא-אישיים. עבור זרימת פרסום התנהגותי זה אומר לטפל בכנות בשאלה האם פרסום הקשרי היה משרת את אותה מטרה. EDPB Opinion 28/2024 מפורש בכך ש-DPIA אינו יכול לדחות פרסום הקשרי בשורה אחת — הבקר חייב להדגים שהחלופה נשקלה ולהסביר מדוע היא נדחתה.

הערכת הסיכונים לנושאי הנתונים

ניתוח הסיכון חייב לשקול גישה בלתי-חוקית, גילוי בלתי-מורשה, שינוי, אובדן וסיכונים חברתיים רחבים יותר של יצירת פרופיל — אפקטים מצמצמים, אפליה, נעילה. עבור כל סיכון שזוהה, ההערכה חייבת לציין סבירות, חומרה ורמה שיורית לאחר הפחתות.

האמצעים שננקטו לטיפול בסיכונים

כאן מופיעה פלטפורמת ניהול ההסכמה ב-DPIA. לכידת הסכמה מפורטת, ביטול הסכמה לפי ספק, נסיגה קלה, הגבלות שמירה, הצפנה בזמן מעבר ובמנוחה, ערבויות חוזיות על מעבדי נתונים — כל אמצעי חייב להיות קשור לסיכון ספציפי שזוהה. הצהרה כללית שהמפרסם משתמש ב-CMP אינה אמצעי.

תפקיד קצין הגנת המידע

סעיף 35(2) מחייב את הבקר לבקש את עצת ה-DPO בעת ביצוע DPIA. עבור מפרסמים עם DPO ממונה זה פשוט. עבור מפרסמים קטנים יותר ללא DPO, ניתן עדיין לבצע את ה-DPIA אך יש לבצעו עם ייעוץ חיצוני מתועד — יועץ משפטי חיצוני, יועץ תעשייתי, או צוות הציות של ספק CMP. תפקיד ה-DPO הוא לאתגר את ניתוח הנחיצות של הבקר, לא לאשר אותו אוטומטית.

מתי נדרשת התייעצות מוקדמת

סעיף 36 מחייב התייעצות מוקדמת עם רשות הפיקוח כאשר ה-DPIA מראה שהעיבוד יגרום לסיכון גבוה שהבקר אינו יכול להפחית. בפועל זה נדיר עבור זרימות עוגיות והסכמה — ניתן להפחית את רוב הסיכונים באמצעות הסכמה מפורטת, צמצום ספקים, הגבלות שמירה וערבויות חוזיות. אך זה לא אפס. שני מקרים שהפעילו התייעצות מוקדמת ב-2024 וב-2025: מזהה מבוסס טביעת אצבע שנפרס ללא שילוב TCF, וגרף זהות בין-מכשירי ששילב נתוני צד ראשון עם מתווכי נתוני צד שלישי. מפרסמים שחוקרים אחד משני הדפוסים צריכים לתכנן ציר זמן של ייעוץ של שש עד שתים עשרה שבועות.

כיצד משתמשים רגולטורים ב-DPIA בחקירות

ה-DPIA הוא המסמך היחיד שרגולטור מבקש ראשון כאשר תלונת עוגיות מגיעה לשלב החקירה הרשמי. Garante האיטלקי, CNIL הצרפתי, APD הבלגי ו-BayLDA הבווארי פותחים את תיקי הנהלים שלהם עם בקשה ל-DPIA המכסה את הפעילות הנדונה. שלושה דפוסים עולים מהחלטות אחרונות:

DPIA שהופקו באיחור מוזלים מאוד

DPIA הממוצע לאחר בקשת הרגולטור לא יטופל כראיה להערכה טרום-השקה. מספר החלטות של 2025 ציינו במפורש שהמסמך נוצר בדיעבד ושקלו אותו בהתאם. ה-DPIA חייב להקדים את השקת העיבוד, והמטא-נתונים או היסטוריית הגרסאות של המסמך צריכים להבהיר זאת.

DPIA גנריים מטופלים כחסרים

DPIA תבנית שהועתק מפורטל של ספק CMP ללא ניתוח ספציפי לאתר נדחה יותר ויותר. החלטת Garante 2025 נגד קבוצת מפרסמים איטלקית ציינה שישה מתוך תשעת האתרים בהיקף ומצאה שה-DPIA המשותף היחיד המכסה את כולם אינו עומד בסעיף 35.

אמצעי ההפחתה חייבים להתאים למה שנפרס בפועל

אם ה-DPIA מתאר שמירת עוגיות של 60 יום אך העוגיות הנפרסות משתמשות בחיי שימוש של 24 חודשים, הרגולטור יתייחס ל-DPIA כבלתי-מדויק. ביקורת רבעונית של התצורה הנפרסת מול תיאור ה-DPIA אינה אופציונלית עוד.

סיכום

עבור רוב המפרסמים התשובה המעשית זהה: DPIA נדרש, יש לנסחו לפני השקת כל מעקב חדש, ויש לבדוק אותו רבעונית מול התצורה הנפרסת. המסמך אינו חייב להיות ארוך, אך הוא חייב להיות ספציפי לאתר, כתוב לפני ההשקה, חתום על ידי ה-DPO או יועץ חיצוני מתועד, ומתואם למה שרץ בפועל בסביבת הייצור. מפרסמים שמשיגים את ארבע הנקודות הללו נכון הופכים את ה-DPIA ממעמסת ציות להגנה החזקה ביותר שיש להם כאשר רגולטור בא לשאול.