DPIA क्या है और यह क्यों मौजूद है

डेटा सुरक्षा प्रभाव मूल्यांकन GDPR के Article 35 में परिभाषित है। यह एक प्रलेखित विश्लेषण है जो नियंत्रक को किसी भी प्रसंस्करण ऑपरेशन शुरू करने से पहले करना होगा जो प्राकृतिक व्यक्तियों के अधिकारों और स्वतंत्रता के लिए उच्च जोखिम उत्पन्न करने की संभावना रखता है। DPIA नियंत्रक को प्रसंस्करण का वर्णन करने, इसकी आवश्यकता और आनुपातिकता का आकलन करने, जोखिमों की पहचान करने और उन्हें कम करने के लिए उठाए गए उपायों को दस्तावेज़ीकृत करने के लिए बाध्य करता है। यदि अवशिष्ट जोखिम उच्च रहता है, तो नियंत्रक को लाइव होने से पहले पर्यवेक्षी प्राधिकरण से परामर्श करना होगा।

प्रकाशकों के लिए, DPIA एक बार का कानूनी कलाकृति नहीं है। यह वह केंद्रीय दस्तावेज़ है जो एक नियामक कुकी या ट्रैकिंग शिकायत की जांच करते समय मांगेगा, और यह वह दस्तावेज़ है जो निर्धारित करता है कि प्रकाशक Article 5(2) के तहत जवाबदेही प्रदर्शित कर सकता है या नहीं। इसके बिना, सबूत का बोझ निर्णायक रूप से आपके खिलाफ स्थानांतरित हो जाता है।

कुकी और सहमति फ्लो के लिए DPIA कब अनिवार्य है

Article 35(3) तीन स्पष्ट DPIA ट्रिगर सूचीबद्ध करता है। Article 29 Working Party के दिशानिर्देश (अब EDPB द्वारा अपनाए गए) नौ संकेतात्मक मानदंडों की एक सूची जोड़ते हैं। एक प्रसंस्करण गतिविधि जो उन मानदंडों में से किसी दो को पूरा करती है उसे DPIA की आवश्यकता मानी जाती है। कुकी और ad-tech फ्लो के लिए सबसे प्रासंगिक मानदंड हैं:

• व्यवस्थित और व्यापक मूल्यांकन — विज्ञापन और सामग्री वैयक्तिकरण के लिए प्रोफाइलिंग सहित।
• बड़े पैमाने पर प्रसंस्करण — डेटा वॉल्यूम, डेटा विषयों की संख्या, भौगोलिक सीमा और अवधि से मापा जाता है। सात अंकों के मासिक उपयोगकर्ताओं वाली प्रकाशक साइटें लगभग हमेशा अर्हता प्राप्त करती हैं।
• प्रौद्योगिकी का अभिनव उपयोग — फिंगरप्रिंटिंग, क्रॉस-डिवाइस पहचान, फेडरेटेड लर्निंग, ध्यान माप, AI-आधारित व्यवहार संबंधी अनुमान को कवर करता है।
• स्थान या व्यवहार की ट्रैकिंग — सीधे व्यवहारिक विज्ञापन और रिटार्गेटिंग द्वारा कवर किया जाता है।
• डेटासेट का संयोजन या मिलान — सर्वर-साइड संवर्धन, पहचान ग्राफ, डेटा क्लीन रूम, ग्राहक डेटा प्लेटफ़ॉर्म स्टिचिंग सहित।

एक विशिष्ट मध्य-स्तरीय प्रकाशक साइट जो व्यवहारिक विज्ञापन का उपयोग करती है और कुछ से अधिक तृतीय-पक्ष पिक्सेल चलाती है, एक साथ इन मानदंडों में से कम से कम तीन को पूरा करेगी। यह धारणा कि DPIA की आवश्यकता है, व्यवहार में, लगभग निश्चितता है। कई राष्ट्रीय DPA ने अपनी अनिवार्य DPIA सूचियां प्रकाशित की हैं; Italian Garante, French CNIL और German DSK ने सभी प्रोग्रामेटिक विज्ञापन और क्रॉस-साइट प्रोफाइलिंग को डिफ़ॉल्ट DPIA ट्रिगर के रूप में नामित किया है।

DPIA दस्तावेज़ में क्या होना चाहिए

Article 35(7) चार अनिवार्य सामग्री निर्धारित करता है। उनमें से किसी एक की कमी वाले DPIA को नियामकों द्वारा ऐसे माना जाता है जैसे वह किया ही नहीं गया।

प्रसंस्करण का एक व्यवस्थित विवरण

यह एक पैराग्राफ का सारांश नहीं है। विवरण में प्रसंस्करित व्यक्तिगत डेटा की प्रत्येक श्रेणी, प्रत्येक उद्देश्य, प्रत्येक प्राप्तकर्ता, प्रत्येक प्रतिधारण अवधि और प्रत्येक सीमा-पार स्थानांतरण को शामिल किया जाना चाहिए। एक ad-tech फ्लो के लिए इसका मतलब आपकी TCF स्ट्रिंग में प्रत्येक विक्रेता को सूचीबद्ध करना है, प्रत्येक को प्राप्त होने वाला डेटा और प्रत्येक के लिए दावा किया गया कानूनी आधार। जो प्रकाशक TCF v2.2 विक्रेता सूची को सीधे DPIA परिशिष्ट में कॉपी करते हैं उन्होंने कार्यात्मक दस्तावेज़ तैयार किए हैं; जो इसे दो वाक्यों में सारांशित करते हैं उन्होंने नहीं।

आवश्यकता और आनुपातिकता का एक मूल्यांकन

आवश्यकता पूछती है कि क्या कम डेटा के साथ या गैर-व्यक्तिगत डेटा के साथ एक ही उद्देश्य प्राप्त किया जा सकता है। एक व्यवहारिक-विज्ञापन फ्लो के लिए इसका मतलब ईमानदारी से यह संबोधित करना है कि क्या प्रासंगिक विज्ञापन उसी उद्देश्य की सेवा करेगा। EDPB Opinion 28/2024 स्पष्ट है कि एक DPIA एक पंक्ति में प्रासंगिक विज्ञापन को खारिज नहीं कर सकता — नियंत्रक को यह प्रदर्शित करना होगा कि विकल्प पर विचार किया गया था और समझाना होगा कि इसे क्यों अस्वीकार किया गया।

डेटा विषयों के लिए जोखिमों का एक मूल्यांकन

जोखिम विश्लेषण में गैरकानूनी पहुंच, अनधिकृत प्रकटीकरण, परिवर्तन, हानि और प्रोफाइलिंग के व्यापक सामाजिक जोखिमों पर विचार करना होगा — ठंडक प्रभाव, भेदभाव, लॉक-इन। प्रत्येक पहचाने गए जोखिम के लिए मूल्यांकन में संभावना, गंभीरता और शमन के बाद अवशिष्ट स्तर बताना होगा।

जोखिमों को संबोधित करने के लिए उठाए गए उपाय

यहीं सहमति प्रबंधन प्लेटफ़ॉर्म DPIA में प्रकट होती है। ग्रैनुलर सहमति कैप्चर, विक्रेता-दर-विक्रेता ऑप्ट-आउट, आसान निकासी, प्रतिधारण सीमाएं, ट्रांसिट और आराम में एन्क्रिप्शन, डेटा प्रोसेसर पर संविदात्मक सुरक्षा उपाय — प्रत्येक उपाय एक विशिष्ट पहचाने गए जोखिम से जुड़ा होना चाहिए। एक सामान्य बयान कि प्रकाशक CMP का उपयोग करता है एक उपाय नहीं है।

डेटा सुरक्षा अधिकारी की भूमिका

Article 35(2) के लिए आवश्यक है कि DPIA करते समय नियंत्रक DPO की सलाह लें। नामित DPO वाले प्रकाशकों के लिए यह सीधा है। बिना DPO के छोटे प्रकाशकों के लिए, DPIA फिर भी किया जा सकता है लेकिन इसे प्रलेखित बाहरी सलाह के साथ किया जाना चाहिए — बाहरी वकील, एक उद्योग सलाहकार, या CMP विक्रेता की अनुपालन टीम। DPO की भूमिका नियंत्रक के आवश्यकता विश्लेषण को चुनौती देना है, न कि उसे रबर-स्टैम्प करना।

पूर्व परामर्श कब आवश्यक है

Article 36 को पर्यवेक्षी प्राधिकरण के साथ पूर्व परामर्श की आवश्यकता है जहां DPIA दिखाता है कि प्रसंस्करण उच्च जोखिम का परिणाम होगा जिसे नियंत्रक कम नहीं कर सकता। व्यवहार में यह कुकी और सहमति फ्लो के लिए दुर्लभ है — अधिकांश जोखिमों को ग्रैनुलर सहमति, विक्रेता कमी, प्रतिधारण सीमाओं और संविदात्मक सुरक्षा उपायों के माध्यम से कम किया जा सकता है। लेकिन यह शून्य नहीं है। दो मामले जिन्होंने 2024 और 2025 में पूर्व परामर्श को ट्रिगर किया: TCF एकीकरण के बिना तैनात एक फिंगरप्रिंटिंग-आधारित पहचानकर्ता, और एक क्रॉस-डिवाइस पहचान ग्राफ जिसने प्रथम-पक्ष डेटा को तृतीय-पक्ष डेटा दलालों के साथ संयुक्त किया। किसी भी पैटर्न की खोज करने वाले प्रकाशकों को छह से बारह सप्ताह की परामर्श समयरेखा की योजना बनानी चाहिए।

नियामक जांच में DPIA का उपयोग कैसे करते हैं

DPIA वह एकल दस्तावेज़ है जिसे एक नियामक सबसे पहले मांगता है जब एक कुकी शिकायत औपचारिक जांच चरण तक पहुंचती है। Italian Garante, French CNIL, Belgian APD और Bavarian BayLDA सभी प्रश्न में गतिविधि को कवर करने वाले DPIA के अनुरोध के साथ अपनी प्रक्रियात्मक फाइलें खोलते हैं। हाल के निर्णयों से तीन पैटर्न उभरते हैं:

देर से तैयार DPIA को भारी छूट मिलती है

नियामक के अनुरोध के बाद दिनांकित DPIA को पूर्व-लॉन्च मूल्यांकन के साक्ष्य के रूप में नहीं माना जाएगा। कई 2025 निर्णयों ने स्पष्ट रूप से उल्लेख किया है कि दस्तावेज़ पोस्ट-हॉक बनाया गया था और तदनुसार इसे वजन दिया। DPIA को प्रसंस्करण के लॉन्च से पहले होना चाहिए, और दस्तावेज़ का मेटाडेटा या संस्करण इतिहास उसे स्पष्ट करना चाहिए।

सामान्य DPIA को अनुपस्थित माना जाता है

साइट-विशिष्ट विश्लेषण के बिना CMP विक्रेता के पोर्टल से कॉपी किया गया एक टेम्पलेट DPIA तेजी से अस्वीकार किया जा रहा है। एक इतालवी प्रकाशक समूह के खिलाफ 2025 Garante निर्णय ने दायरे में नौ में से छह साइटों का नाम लिया और पाया कि उन सभी को कवर करने वाला एक साझा DPIA Article 35 को संतुष्ट नहीं करता।

शमन उपाय वास्तव में तैनात से मेल खाने चाहिए

यदि DPIA 60-दिन की कुकी प्रतिधारण का वर्णन करता है लेकिन तैनात कुकीज़ 24 महीने की लाइफटाइम का उपयोग करती हैं, तो नियामक DPIA को अयथार्थ मानेगा। DPIA विवरण के विरुद्ध तैनात कॉन्फ़िगरेशन का त्रैमासिक ऑडिट अब वैकल्पिक नहीं है।

सब कुछ एक साथ रखना

अधिकांश प्रकाशकों के लिए व्यावहारिक उत्तर समान है: DPIA आवश्यक है, किसी भी नई ट्रैकिंग लॉन्च होने से पहले इसे तैयार किया जाना चाहिए, और तैनात कॉन्फ़िगरेशन के विरुद्ध तिमाही आधार पर इसकी समीक्षा की जानी चाहिए। दस्तावेज़ लंबा नहीं होना चाहिए, लेकिन यह साइट के लिए विशिष्ट होना चाहिए, लॉन्च से पहले लिखा जाना चाहिए, DPO या प्रलेखित बाहरी सलाहकार द्वारा हस्ताक्षरित होना चाहिए, और उत्पादन में वास्तव में क्या चल रहा है उसके साथ संरेखित होना चाहिए। जो प्रकाशक उन चार बिंदुओं को सही तरीके से प्राप्त करते हैं वे DPIA को अनुपालन बोझ से उस सबसे मजबूत बचाव में बदल देते हैं जो उनके पास होती है जब एक नियामक पूछताछ करने आता है।