Što je DPIA i zašto postoji

Procjena učinka na zaštitu podataka definirana je u Članku 35 GDPR-a. To je dokumentirana analiza koju voditelj obrade mora provesti prije pokretanja bilo koje obrade koja će vjerojatno rezultirati visokim rizikom za prava i slobode fizičkih osoba. DPIA prisiljava voditelja obrade da opiše obradu, procijeni njezinu nužnost i proporcionalnost, identificira rizike i dokumentira mjere poduzete za njihovo ublažavanje. Ako rezidualni rizik ostane visok, voditelj obrade mora se savjetovati s nadzornim tijelom prije puštanja u rad.

Za nakladnike, DPIA nije jednokratni pravni artefakt. To je središnji dokument koji će regulator zatražiti pri istrazi žalbe na kolačiće ili praćenje, a to je dokument koji određuje može li nakladnik dokazati odgovornost u skladu s Člankom 5(2). Bez njega, teret dokaza odlučno se premješta protiv vas.

Kada je DPIA obavezan za tokove kolačića i pristanka

Članak 35(3) navodi tri eksplicitna okidača DPIA. Smjernice Radne grupe Članka 29 (koje je sada usvojio EDPB) dodaju popis od devet indikativnih kriterija. Za aktivnost obrade koja ispunjava bilo koja dva od tih kriterija pretpostavlja se da zahtijeva DPIA. Za tokove kolačića i adtech-a najrelevantniji kriteriji su:

• Sustavna i opsežna procjena — uključujući profiliranje za oglašavanje i personalizaciju sadržaja.
• Obrada u velikom opsegu — mjerena količinom podataka, brojem ispitanika, geografskim opsegom i trajanjem. Web-mjesta nakladnika sa sedmeroznamenkastim brojevima mjesečnih korisnika gotovo uvijek se kvalificiraju.
• Inovativna upotreba tehnologije — pokriva fingerprinting, identifikaciju između uređaja, federalno učenje, mjerenje pažnje, bihevioralno zaključivanje temeljeno na AI-u.
• Praćenje lokacije ili ponašanja — izravno pokriveno bihevioralnim oglašavanjem i ponovnim ciljanjem.
• Kombiniranje ili usklađivanje skupova podataka — uključujući obogaćivanje na strani poslužitelja, grafove identiteta, sobe za čišćenje podataka, spajanje platformi za podatke o klijentima.

Tipično web-mjesto nakladnika srednje razine koje koristi bihevioralno oglašavanje i pokreće više od nekolicine piksela trećih strana istovremeno će ispuniti najmanje tri od ovih kriterija. Pretpostavka da je DPIA potreban je, u praksi, gotovo sigurnost. Nekoliko nacionalnih DPA-a objavilo je vlastite obvezne popise DPIA; talijanski Garante, francuski CNIL i njemački DSK svi su naveli programatsko oglašavanje i profiliranje između web-mjesta kao zadane okidače DPIA-e.

Što dokument DPIA mora sadržavati

Članak 35(7) utvrđuje četiri obvezna sadržaja. DPIA kojemu nedostaje bilo koji od njih regulatori tretiraju kao da uopće nije proveden.

Sustavni opis obrade

Ovo nije sažetak od jednog odlomka. Opis mora pokrivati svaku kategoriju obrađenih osobnih podataka, svaku svrhu, svakog primatelja, svako razdoblje pohrane i svaki prekogranični prijenos. Za tok adtech-a to znači navesti svakog dobavljača u vašem TCF nizu, podatke koje svaki prima i pravnu osnovu zatraženu za svakoga. Nakladnici koji izravno kopiraju popis dobavljača TCF v2.2 u prilog DPIA-e izradili su upotrebljive dokumente; oni koji ga sažimaju u dvije rečenice nisu.

Procjena nužnosti i proporcionalnosti

Nužnost pita može li se ista svrha postići s manje podataka ili s neosobnim podacima. Za tok bihevioralnog oglašavanja to znači iskreno razmatranje bi li kontekstualno oglašavanje poslužilo istoj svrsi. EDPB Opinion 28/2024 izričit je u tome da DPIA ne može odbaciti kontekstualno oglašavanje u jednom retku — voditelj obrade mora dokazati da je alternativa razmatrana i objasniti zašto je odbačena.

Procjena rizika za ispitanike

Analiza rizika mora razmatrati nezakoniti pristup, neovlašteno otkrivanje, izmjenu, gubitak i šire društvene rizike profiliranja — odvraćajuće učinke, diskriminaciju, zaključanost. Za svaki identificirani rizik procjena mora navesti vjerojatnost, ozbiljnost i rezidualni nivo nakon ublažavanja.

Mjere poduzete za rješavanje rizika

Tu se u DPIA pojavljuje platforma za upravljanje pristankom. Granularno prikupljanje pristanka, isključivanje po dobavljaču, lako povlačenje, ograničenja pohrane, enkripcija u prijenosu i u mirovanju, ugovorna jamstva za procesore podataka — svaka mjera mora biti vezana uz određeni identificirani rizik. Generička izjava da nakladnik koristi CMP nije mjera.

Uloga službenika za zaštitu podataka

Članak 35(2) zahtijeva od voditelja obrade da zatraži savjet DPO-a pri provođenju DPIA-e. Za nakladnike s imenovanim DPO-om to je jednostavno. Za manje nakladnike bez njega, DPIA se i dalje može provesti, ali mora biti proveden s dokumentiranim vanjskim savjetom — vanjskim odvjetnicima, industrijskim konzultantom ili timom za usklađenost dobavljača CMP-a. Uloga DPO-a je osporavati analizu nužnosti voditelja obrade, a ne je automatski odobravati.

Kada je prethodno savjetovanje potrebno

Članak 36 zahtijeva prethodno savjetovanje s nadzornim tijelom kada DPIA pokazuje da bi obrada rezultirala visokim rizikom koji voditelj obrade ne može ublažiti. U praksi to je rijetko za tokove kolačića i pristanka — većina rizika može se ublažiti granularnim pristankom, smanjenjem broja dobavljača, ograničenjima pohrane i ugovornim jamstvima. Ali nije nula. Dva slučaja koja su pokrenula prethodno savjetovanje 2024. i 2025. godine: identifikator temeljen na fingerprinting-u implementiran bez TCF integracije i graf identiteta između uređaja koji je kombinirao podatke prve strane s posrednicima podataka treće strane. Nakladnici koji istražuju bilo koji od ovih obrazaca trebaju planirati vremenski okvir savjetovanja od šest do dvanaest tjedana.

Kako regulatori koriste DPIA u istragama

DPIA je jedini dokument koji regulator traži prvi kada žalba na kolačiće dosegne fazu formalne istrage. Talijanski Garante, francuski CNIL, belgijski APD i bavarski BayLDA svi otvaraju svoje procesne spise zahtjevom za DPIA koji pokriva predmetnu aktivnost. Tri obrasca proizlaze iz nedavnih odluka:

Kasno izrađeni DPIA-ovi naveliko se odbacuju

DPIA datiran nakon zahtjeva regulatora neće se tretirati kao dokaz procjene prije pokretanja. Nekoliko odluka iz 2025. izričito je napomenulo da je dokument stvoren naknadno i ponderiralo ga u skladu s tim. DPIA mora prethoditi pokretanju obrade, a metapodaci ili povijest verzija dokumenta trebali bi to jasno pokazati.

Generički DPIA-ovi tretiraju se kao nedostajući

Predložak DPIA-e kopiran s portala dobavljača CMP-a bez analize specifične za web-mjesto sve se više odbija. Odluka Garante-a iz 2025. protiv talijanske grupe nakladnika imenovala je šest od devet web-mjesta u opsegu i utvrdila da jedan zajednički DPIA koji pokriva sve nije zadovoljio Članak 35.

Mjere ublažavanja moraju odgovarati onom što je stvarno implementirano

Ako DPIA opisuje zadržavanje kolačića od 60 dana, ali implementirani kolačići koriste životni vijek od 24 mjeseca, regulator će DPIA tretirati kao netočan. Tromjesečna revizija implementirane konfiguracije u odnosu na opis DPIA-e više nije izborna.

Sve zajedno

Za većinu nakladnika praktični odgovor je isti: DPIA je potreban, treba ga sastaviti prije pokretanja bilo kojeg novog praćenja i treba ga tromjesečno pregledavati u odnosu na implementiranu konfiguraciju. Dokument ne mora biti dugačak, ali mora biti specifičan za web-mjesto, napisan prije pokretanja, odobren od DPO-a ili dokumentiranog vanjskog savjetnika i usklađen s onim što stvarno radi u produkcijskom okruženju. Nakladnici koji ta četiri boda ispravno ispune pretvaraju DPIA iz tereta usklađenosti u najjaču obranu koju imaju kada regulator dođe pitati.