რა არის DPIA და რატომ არსებობს

მონაცემთა დაცვის გავლენის შეფასება განსაზღვრულია GDPR-ის Article 35-ში. ეს არის დოკუმენტირებული ანალიზი, რომელსაც კონტროლერმა უნდა ჩაატაროს ნებისმიერი დამუშავების ოპერაციის გაშვებამდე, რომელსაც სავარაუდოდ მოჰყვება მაღალი რისკი ფიზიკური პირების უფლებებისა და თავისუფლებებისთვის. DPIA კონტროლერს ავალდებულებს აღწეროს დამუშავება, შეაფასოს მისი აუცილებლობა და პროპორციულობა, გამოავლინოს რისკები და დოკუმენტირება გაუკეთოს მათ შესამცირებლად მიღებულ ზომებს. თუ ნარჩენი რისკი კვლავ მაღალია, კონტროლერმა გაშვებამდე უნდა გაიაროს კონსულტაცია სამეთვალყურეო ორგანოსთან.

გამომცემლებისთვის DPIA არ არის ერთჯერადი სამართლებრივი არტეფაქტი. ეს არის ცენტრალური დოკუმენტი, რომელსაც რეგულატორი პირველ რიგში მოითხოვს cookie-ის ან თვალთვალის საჩივრის გამოძიებისას, და ეს არის ის დოკუმენტი, რომელიც განსაზღვრავს, შეძლებს თუ არა გამომცემელი დაამტკიცოს ანგარიშვალდებულება Article 5(2)-ის მიხედვით. მის გარეშე მტკიცების ტვირთი მკაფიოდ გადაინაცვლებს თქვენს წინააღმდეგ.

როდის არის DPIA სავალდებულო cookie-ისა და თანხმობის ნაკადებისთვის

Article 35(3) ჩამოთვლის DPIA-ს სამ ცხად გამომწვევს. Article 29 Working Party-ის სახელმძღვანელო (ახლა EDPB-მ მიიღო) ამატებს ცხრა ინდიკაციური კრიტერიუმის ჩამონათვალს. სავარაუდოდ, DPIA-ს საჭიროება ეხება დამუშავების საქმიანობას, რომელიც ამ კრიტერიუმებიდან ნებისმიერ ორს აკმაყოფილებს. cookie-ისა და ad-tech ნაკადებისთვის ყველაზე რელევანტური კრიტერიუმებია:

• სისტემატური და ვრცელი შეფასება — მათ შორის პროფილირება სარეკლამო და კონტენტის პერსონალიზაციისთვის.
• მასშტაბური დამუშავება — გაზომილი მონაცემთა მოცულობით, მონაცემთა სუბიექტების რაოდენობით, გეოგრაფიული სივრცით და ხანგრძლივობით. გამომცემლის საიტები შვიდნიშნა თვიური მომხმარებლებით თითქმის ყოველთვის ხვდებიან.
• ტექნოლოგიის ინოვაციური გამოყენება — მოიცავს fingerprinting-ს, მოწყობილობათაშორის იდენტიფიკაციას, federated learning-ს, ყურადღების გაზომვას, AI-ზე დაფუძნებულ ქცევის ინტერპრეტაციას.
• მდებარეობის ან ქცევის თვალყური — პირდაპირ მოიცავს ქცევაზე დაფუძნებულ სარეკლამო და რეტარგეტინგს.
• მონაცემთა ნაკრებების გაერთიანება ან შეჯამება — სერვერის მხარის გამდიდრება, პირადობის გრაფები, data clean room-ები, მომხმარებელთა მონაცემების პლატფორმის ინტეგრაცია.

დამახასიათებელი საშუალო დონის გამომცემლის საიტი, რომელიც იყენებს ქცევაზე დაფუძნებულ სარეკლამო და ატარებს სხვადასხვა მესამე მხარის პიქსელებს, ერთდროულად სულ ცოტა სამ ამ კრიტერიუმს შეასრულებს. სავარაუდოდ, DPIA-ს საჭიროება პრაქტიკაში თითქმის განსაზღვრულობად გვევლინება. რამდენიმე ეროვნულმა DPA-მ გამოაქვეყნა DPIA-ს საკუთარი სავალდებულო ჩამონათვალი; იტალიის Garante-მ, საფრანგეთის CNIL-მა და გერმანიის DSK-მა ყველამ დაასახელა პროგრამატული სარეკლამო და საიტთაშორისი პროფილირება DPIA-ს ნაგულისხმევ გამომწვევებად.

რა უნდა შეიცავდეს DPIA-ს დოკუმენტი

Article 35(7) ადგენს ოთხ სავალდებულო შინაარსს. DPIA, რომელსაც არარსებობს მათგან რომელიმე, რეგულატორების მიერ ისეა განხილული, თითქოს საერთოდ არ ჩატარებულა.

დამუშავების სისტემატური აღწერა

ეს არ არის ერთ პარაგრაფიანი შეჯამება. აღწერა უნდა მოიცავდეს დამუშავებული პერსონალური მონაცემების ყველა კატეგორიას, ყველა მიზანს, ყველა მიმღებს, ყველა შენახვის ვადას და ყველა სასაზღვრო გადაცემას. ad-tech ნაკადისთვის ეს ნიშნავს თქვენი TCF სტრიქონის ყველა მომწოდებლის, მათ მიერ მიღებული მონაცემების და თითოეულისთვის მოთხოვნილი კანონიერი საფუძვლის ჩამონათვლებს. გამომცემლებმა, ვინც TCF v2.2-ის მომწოდებლების ჩამონათვალი პირდაპირ DPIA-ს დანართში გადაიტანეს, გამოამუშავეს სასარგებლო დოკუმენტები; ვინც ორ წინადადებაში შეაჯამა - ვერ გამოამუშავეს.

აუცილებლობისა და პროპორციულობის შეფასება

აუცილებლობა ეკითხება, შეიძლება თუ არა ერთი და იგივე მიზანი ნაკლები მონაცემებით ან არაპერსონალური მონაცემებით მიღწეული. ქცევაზე დაფუძნებული სარეკლამო ნაკადისთვის ეს ნიშნავს პატიოსნად გაანალიზოთ, მოემსახურება თუ არა კონტექსტური სარეკლამო ერთ და იმავე მიზანს. EDPB Opinion 28/2024 ცხადად მიუთითებს, რომ DPIA ვერ უარყოფს კონტექსტურ სარეკლამო ერთ სტრიქონში — კონტროლერმა უნდა დაამტკიცოს, რომ ალტერნატივა განიხილა და განმარტოს, რატომ უარყო.

მონაცემთა სუბიექტებისთვის რისკების შეფასება

რისკის ანალიზი უნდა ითვალისწინებდეს უნებართვო წვდომას, უნებართვო გამჟღავნებას, ცვლილებას, დაკარგვას და პროფილირების უფრო ფართო სოციალურ რისკებს — მამოძრავებელი ეფექტები, დისკრიმინაცია, ჩაკეტვა. თითოეული გამოვლენილი რისკისთვის შეფასებამ უნდა მიუთითოს ალბათობა, სიმძიმე და შემცირების შემდეგ ნარჩენი დონე.

რისკებთან გასამკლავებლად მიღებული ზომები

სწორედ აქ ჩნდება თანხმობის მართვის პლატფორმა DPIA-ში. დეტალური თანხმობის მოპოვება, მომწოდებლის მიხედვით opt-out, მარტივი გაუქმება, შენახვის შეზღუდვები, გადაცემისა და მოსვენების დროს დაშიფვრა, მონაცემთა დამამუშავებლებზე სახელშეკრულებო გარანტიები — თითოეული ზომა უნდა იყოს დაკავშირებული კონკრეტულ იდენტიფიცირებულ რისკთან. ზოგადი განცხადება, რომ გამომცემელი CMP-ს იყენებს, ზომა არ არის.

მონაცემთა დაცვის ოფიცრის როლი

Article 35(2) ავალდებულებს კონტროლერს DPIA-ს განხორციელებისას DPO-ს რჩევა სთხოვოს. დანიშნული DPO-ს მქონე გამომცემლებისთვის ეს მარტივია. მცირე გამომცემლებისთვის DPO-ს გარეშე, DPIA კვლავ შეიძლება განხორციელდეს, მაგრამ უნდა ჩატარდეს დოკუმენტირებული გარე რჩევით — გარე იურისტი, ინდუსტრიის კონსულტანტი ან CMP მომწოდებლის შესაბამისობის გუნდი. DPO-ს როლი არის კონტროლერის აუცილებლობის ანალიზის გამოწვევა, არა მისი დადასტურება.

როდის არის საჭირო წინასწარი კონსულტაცია

Article 36 ითხოვს წინასწარ კონსულტაციას სამეთვალყურეო ორგანოსთან, სადაც DPIA გვიჩვენებს, რომ დამუშავება გამოიწვევდა მაღალ რისკს, რომლის შემცირება კონტროლერს არ შეუძლია. პრაქტიკაში ეს cookie-ისა და თანხმობის ნაკადებისთვის იშვიათია — რისკების უმეტესობის შემცირება შესაძლებელია დეტალური თანხმობის, მომწოდებლის შემცირების, შენახვის შეზღუდვებისა და სახელშეკრულებო გარანტიების მეშვეობით. მაგრამ ნული არ არის. ორი შემთხვევა, რამაც 2024 და 2025 წლებში წინასწარი კონსულტაცია გამოიწვია: TCF ინტეგრაციის გარეშე გამოყენებული fingerprinting-ზე დაფუძნებული იდენტიფიკატორი და მოწყობილობათაშორისი პირადობის გრაფი, რომელმაც პირველი მხარის მონაცემები მესამე მხარის მონაცემების ბროკერებთან გააერთიანა. ამ ნებისმიერი მოდელის გამოძიების გამომცემლებმა ექვსიდან თორმეტ კვირამდე კონსულტაციის ვადა უნდა დაგეგმონ.

როგორ იყენებენ რეგულატორები DPIA-ს გამოძიებებში

DPIA არის ის ერთადერთი დოკუმენტი, რომელსაც რეგულატორი პირველ რიგში ითხოვს, როდესაც cookie-ის საჩივარი ფორმალური გამოძიების სტადიას აღწევს. იტალიის Garante, საფრანგეთის CNIL, ბელგიის APD და ბავარიის BayLDA ყველამ გახსნა საპროცედურო საქმეები შესაბამის საქმიანობასთან დაკავშირებული DPIA-ს მოთხოვნით. ბოლო გადაწყვეტილებებიდან სამი მოდელი ჩნდება:

გვიან წარმოებულ DPIA-ებს დიდი ფასდაკლება ეძლევათ

DPIA, რომელიც რეგულატორის მოთხოვნის შემდეგ არის დათარიღებული, გაშვებამდელი შეფასების მტკიცებულებად არ ჩაითვლება. 2025 წლის რამდენიმე გადაწყვეტილებამ ცხადად აღნიშნა, რომ დოკუმენტი post-hoc-ად შეიქმნა და შესაბამისად შეაფასა. DPIA დამუშავების გაშვებას უნდა უსწრებდეს, და დოკუმენტის მეტამონაცემები ან ვერსიის ისტორია ამას ნათელი უნდა ხდიდეს.

ზოგადი DPIA-ები დაკარგულად განიხილება

CMP მომწოდებლის პორტალიდან გადმოკოპირებული შაბლონური DPIA საიტისთვის სპეციფიური ანალიზის გარეშე სულ უფრო მეტად უარყოფილია. 2025 წლის Garante-ს გადაწყვეტილება იტალიური გამომცემლების ჯგუფის წინააღმდეგ ჩამოთვლის ცხრა საიტიდან ექვსს და ადგენს, რომ მათ ყველას მომცველი ერთი სერვისული DPIA Article 35-ს არ აკმაყოფილებდა.

შემარბილებელი ზომები უნდა შეესაბამებოდეს რეალურად განლაგებულ ზომებს

თუ DPIA 60-დღიან cookie-ის შენახვას აღწერს, მაგრამ განლაგებული cookie-ები 24-თვიან ვადას იყენებენ, რეგულატორი DPIA-ს ზუსტ-არარსებულად მიიჩნევს. DPIA-ს აღწერასთან განლაგებული კონფიგურაციის კვარტალური აუდიტი სურვილისამებრი აღარ არის.

ყველაფრის გაერთიანება

გამომცემლების უმეტესობისთვის პრაქტიკული პასუხი ერთია: DPIA საჭიროა, ახალი თვალთვალის გაშვებამდე უნდა შემუშავდეს და განლაგებული კონფიგურაციის მიმართ კვარტალურად უნდა განიხილებოდეს. დოკუმენტი გრძელი არ უნდა იყოს, მაგრამ ის უნდა იყოს საიტისთვის სპეციფიური, გაშვებამდე დაწერილი, DPO-ს ან დოკუმენტირებული გარე მრჩეველის მიერ დამოწმებული, და შეესაბამებოდეს რეალურად წარმოებაში გაშვებულ ყველაფერს. გამომცემლები, ვინც ამ ოთხ პუნქტს სწორად ასრულებს, DPIA-ს შესაბამისობის ტვირთიდან გარდაქმნის ყველაზე ძლიერ თავდაცვად, რომელიც მათ გააჩნიათ, როდესაც რეგულატორი კითხვით მოდის.