DPIA a cookie-hozzájáruláshoz: Mikor kötelező az adatvédelmi hatásvizsgálat a kiadók számára
A legtöbb kiadó az adatvédelmi hatásvizsgálatra valaki más feladataként tekint — az adatvédelmi tisztviselőre, külső jogi tanácsadóra, vagy azokra a ritka fejlesztési projektekre, amelyek biometrikus adatokat érintenek. A valóságban a GDPR jóval szélesebb tevékenységi körre írja elő a DPIA-t, mint amennyit a legtöbb ad-tech üzemeltető felismer, és számos cookie-hozzájárulási és viselkedésalapú reklámozási folyamat egyértelműen beleesik a kiváltó kritériumok körébe. A hatóságok ma már közvetlen kérdéssel fordulnak a kiadókhoz auditok és panaszvizsgálatok során: elvégezték-e a DPIA-t a nyomkövetés bevezetése előtt, és be tudják-e azt mutatni. Ez az útmutató elmagyarázza, mikor kötelező a DPIA, mit kell tartalmaznia, és hogyan készíthet olyan dokumentumot, amely kiállja a hatósági vizsgálatot.
Mi a DPIA és miért létezik
Az adatvédelmi hatásvizsgálatot a GDPR 35. cikke határozza meg. Ez egy dokumentált elemzés, amelyet az adatkezelőnek el kell végeznie, mielőtt olyan adatkezelési műveletet indít, amely valószínűleg magas kockázatot jelent a természetes személyek jogaira és szabadságaira nézve. A DPIA arra kötelezi az adatkezelőt, hogy leírja az adatkezelést, értékelje annak szükségességét és arányosságát, azonosítsa a kockázatokat, és dokumentálja a csökkentésükre hozott intézkedéseket. Ha a maradványkockázat magas marad, az adatkezelőnek az indítás előtt konzultálnia kell a felügyeleti hatósággal.
A kiadók számára a DPIA nem egyszeri jogi dokumentum. Ez az a központi irat, amelyet a hatóság cookie- vagy nyomkövetési panasz vizsgálata esetén elsőként kér be, és ez határozza meg, hogy a kiadó az Article 5(2) szerinti elszámoltathatóságot bizonyítani tudja-e. Enélkül a bizonyítási teher egyértelműen a kiadóra hárul.
Mikor kötelező a DPIA a cookie- és hozzájárulási folyamatoknál
Az Article 35(3) három explicit DPIA-kiváltó tényezőt sorol fel. Az Article 29 Working Party iránymutatásai (amelyeket az EDPB azóta elfogadott) kilenc indikatív kritériumot tartalmaznak. Egy adatkezelési tevékenység, amely ezek közül bármelyik kettőnek megfelel, vélelmezhetően DPIA-t igényel. A cookie- és ad-tech folyamatok szempontjából a legfontosabb kritériumok a következők:
- Szisztematikus és kiterjedt értékelés — beleértve a reklámozási és tartalomszabályozási célú profilalkotást.
- Nagyléptékű adatkezelés — amelyet az adatmennyiség, az érintett személyek száma, a földrajzi kiterjedés és az időtartam alapján mérnek. A havi több millió látogatóval rendelkező kiadói oldalak szinte mindig ide tartoznak.
- Technológia innovatív alkalmazása — magában foglalja az ujjlenyomat-vételt, az eszközök közötti azonosítást, a szövetségi tanulást, a figyelemmérést és az AI-alapú viselkedési következtetést.
- Helyadatok vagy viselkedés nyomkövetése — közvetlenül vonatkozik a viselkedésalapú reklámozásra és az újracélzásra.
- Adatkészletek kombinálása vagy egyeztetése — beleértve a szerver oldali bővítést, az identitásgráfokat, az adattisztítókat és az ügyfél-adatplatform összekapcsolását.
Egy tipikus közepes méretű kiadói oldal, amely viselkedésalapú reklámozást alkalmaz és több tucatnyi harmadik féltől származó pixelt futtat, egyszerre legalább három ilyen kritériumot teljesít. A DPIA szükségességének vélelme a gyakorlatban szinte biztosnak tekinthető. Számos nemzeti adatvédelmi hatóság közzétette saját kötelező DPIA-listáját; az olasz Garante, a francia CNIL és a német DSK mind megnevezték a programmatikus hirdetést és a webhelyek közötti profilalkotást alapértelmezett DPIA-kiváltókként.
Mit kell tartalmaznia a DPIA-dokumentumnak
Az Article 35(7) négy kötelező tartalmi elemet határoz meg. Az ezek bármelyikét nélkülöző DPIA-t a hatóságok úgy kezelik, mintha nem is készült volna el.
Az adatkezelés szisztematikus leírása
Ez nem egy bekezdéses összefoglaló. A leírásnak ki kell terjednie minden személyes adatkategóriára, minden célra, minden címzettre, minden megőrzési időre és minden határokon átnyúló adattovábbításra. Egy ad-tech folyamatnál ez azt jelenti, hogy fel kell sorolni a TCF-karakterlánc minden szállítóját, az általuk kapott adatokat és az egyes esetekre hivatkozott jogalapot. Azok a kiadók, akik a TCF v2.2 szállítói listát közvetlenül a DPIA-mellékletbe másolják, használható dokumentumot készítettek; azok, akik azt két mondatban foglalják össze, nem.
A szükségesség és az arányosság értékelése
A szükségesség azt kérdezi, hogy ugyanaz a cél kevesebb adattal vagy nem személyes adattal is elérhető-e. Egy viselkedésalapú reklámozási folyamatnál ez azt jelenti, hogy őszintén meg kell vizsgálni, hogy a kontextuális reklámozás is ugyanezt a célt szolgálná-e. Az EDPB Opinion 28/2024 egyértelműen kimondja, hogy a DPIA egyetlen sorban nem söpörheti félre a kontextuális reklámozást — az adatkezelőnek bizonyítania kell, hogy az alternatívát mérlegelte, és meg kell magyaráznia, miért utasította el.
Az érintettekre vonatkozó kockázatok értékelése
A kockázatelemzésnek figyelembe kell vennie a jogosulatlan hozzáférést, az engedély nélküli közzétételt, a módosítást, az adatvesztést és a profilalkotás szélesebb körű társadalmi kockázatait — elrettentő hatások, diszkrimináció, bezárkózás. Minden azonosított kockázatnál az értékelésnek tartalmaznia kell a valószínűséget, a súlyosságot és a kockázatcsökkentő intézkedések utáni maradványszintet.
A kockázatok kezelésére hozott intézkedések
Ebben a részben jelenik meg a hozzájáruláskezelő platform a DPIA-ban. A részletes hozzájárulás rögzítése, a szállítónkénti leiratkozás, az egyszerű visszavonás, a megőrzési korlátok, a titkosítás átvitel és tárolás során, az adatfeldolgozókra vonatkozó szerződéses biztosítékok — minden intézkedést egy konkrét azonosított kockázathoz kell kapcsolni. Az a puszta állítás, hogy a kiadó CMP-t használ, nem minősül intézkedésnek.
Az adatvédelmi tisztviselő szerepe
Az Article 35(2) előírja, hogy az adatkezelő a DPIA elvégzésekor kérje ki a DPO tanácsát. A kijelölt DPO-val rendelkező kiadóknál ez egyértelmű. A DPO nélküli kisebb kiadóknál a DPIA elvégezhető, de dokumentált külső tanácsadással kell alátámasztani — külső jogi tanácsadóval, iparági szakértővel vagy egy CMP-szállító megfelelőségi csapatával. A DPO feladata, hogy megkérdőjelezze az adatkezelő szükségességi elemzését, ne pedig jóváhagyja azt.
Mikor szükséges az előzetes konzultáció
Az Article 36 előzetes konzultációt ír elő a felügyeleti hatósággal, ha a DPIA azt mutatja, hogy az adatkezelés olyan magas kockázatot eredményezne, amelyet az adatkezelő nem tud csökkenteni. A gyakorlatban ez ritkán fordul elő cookie- és hozzájárulási folyamatoknál — a legtöbb kockázat részletes hozzájárulással, szállítói körszűkítéssel, megőrzési korlátokkal és szerződéses biztosítékokkal csökkenthető. De nem nulla. Két eset, amelyek 2024-ben és 2025-ben előzetes konzultációt váltottak ki: TCF-integráció nélkül telepített ujjlenyomat-alapú azonosító, valamint egy eszközök közötti identitásgráf, amely belső adatokat harmadik féltől származó adatbrókerekkel kombinált. Az ilyen megoldásokat tervező kiadóknak hat-tizenkét hetes konzultációs időszakra kell felkészülniük.
Hogyan használják a hatóságok a DPIA-t a vizsgálatok során
A DPIA az az egyetlen dokumentum, amelyet a hatóság először kér be, amikor egy cookie-panasz formális vizsgálati szakaszba kerül. Az olasz Garante, a francia CNIL, a belga APD és a bajor BayLDA egyaránt a kérdéses tevékenységre vonatkozó DPIA bekérésével nyitja az eljárási aktákat. A közelmúlt döntéseiből három minta rajzolódik ki:
A késve benyújtott DPIA-kat erősen leértékelik
A hatóság megkeresése után keltezett DPIA-t nem fogadják el az indítás előtti értékelés bizonyítékaként. Több 2025-ös határozat kifejezetten megjegyezte, hogy a dokumentum utólag készült, és ennek megfelelően vette figyelembe. A DPIA-nak meg kell előznie az adatkezelés megindítását, és a dokumentum metaadatainak vagy verzióelőzményének ezt egyértelművé kell tennie.
A generikus DPIA-kat hiányzónak tekintik
A CMP-szállítók portáljáról másolt, webhelyspecifikus elemzés nélküli sablon DPIA-kat egyre inkább elutasítják. A 2025-ös Garante-határozat egy olasz kiadói csoport ellen hat webhelyet nevezett meg a kilencből, és megállapította, hogy egyetlen, valamennyit lefedő DPIA nem felel meg az Article 35 követelményeinek.
A csökkentő intézkedéseknek meg kell egyezniük a ténylegesen telepített megoldásokkal
Ha a DPIA 60 napos cookie-megőrzést ír le, de a telepített cookie-k 24 hónapos élettartamot alkalmaznak, a hatóság a DPIA-t pontatlannak minősíti. A telepített konfiguráció negyedéves auditálása a DPIA-leírással szemben már nem tekinthető opcionálisnak.
Összefoglalás
A legtöbb kiadó számára a gyakorlati válasz ugyanaz: a DPIA kötelező, az új nyomkövetés bevezetése előtt kell elkészíteni, és negyedévente felül kell vizsgálni a telepített konfigurációval szemben. A dokumentumnak nem kell hosszúnak lennie, de webhelyspecifikusnak kell lennie, az indítás előtt kell megírni, a DPO-nak vagy dokumentált külső tanácsadónak alá kell írnia, és összhangban kell lennie azzal, ami ténylegesen fut az éles környezetben. Azok a kiadók, akik ezt a négy pontot teljesítik, a DPIA-t megfelelőségi teherből a legerősebb védelemmé alakítják át, amikor a hatóság kérdésekkel fordul hozzájuk.