DPIA дегеніміз не және неліктен бар

Деректерді қорғауға әсерді бағалау GDPR-дің Article 35-інде анықталған. Бұл бақылаушы жеке тұлғалардың құқықтары мен бостандықтарына жоғары тәуекел туғызуы ықтимал кез келген өңдеу операциясын іске қоспас бұрын жүргізуі тиіс құжатталған талдау. DPIA бақылаушыны өңдеуді сипаттауға, оның қажеттілігі мен пропорционалдығын бағалауға, тәуекелдерді анықтауға және оларды азайту үшін қабылданған шараларды құжаттауға мәжбүрлейді. Қалдық тәуекел жоғары болып қалса, бақылаушы іске қоспас бұрын қадағалаушы органмен кеңесуі керек.

Баспагерлер үшін DPIA бір реттік заңдық артефакт емес. Бұл реттеуші cookie немесе бақылауға қатысты шағымды тергегенде бірінші сұрайтын орталық құжат, ал баспагер Article 5(2) бойынша есептілікті дәлелдей ала ма екенін осы құжат анықтайды. Онсыз дәлелдеу жүктемесі сізге қарсы шешімді түрде ауысады.

DPIA cookie және келісім ағындары үшін қашан міндетті

Article 35(3) DPIA-ның үш нақты триггерін тізімдейді. Article 29 Working Party нұсқаулықтары (қазір EDPB қабылдаған) тоғыз индикативтік критерийден тұратын тізімді қосады. Осы критерийлердің кез келген екеуіне сай келетін өңдеу қызметі DPIA талап ететіні болжанады. Cookie және ad-tech ағындары үшін ең маңызды критерийлер:

• Жүйелі және кең бағалау — жарнама және контентті жекелендіру үшін профильдеуді қоса алғанда.
• Ауқымды өңдеу — деректер көлемімен, деректер субъектілерінің санымен, географиялық аумақпен және ұзақтығымен өлшенеді. Айлық жеті таңбалы пайдаланушылары бар баспагер сайттары дерлік әрдайым жарамды болады.
• Технологияның инновациялық қолданысы — саусақ изі алу, құрылғыаралық сәйкестендіру, федеративті оқыту, назар өлшеу, AI негізіндегі мінез-құлық тұжырымдарын қамтиды.
• Орналасу немесе мінез-құлықты бақылау — мінез-құлыққа негізделген жарнама мен ретаргетингтен тікелей алынады.
• Деректер жиынтықтарын біріктіру немесе сәйкестендіру — сервер жағынан байыту, сәйкестік графтары, деректерді тазалау бөлмелері, тұтынушы деректер платформасын байланыстыруды қамтиды.

Мінез-құлыққа негізделген жарнаманы пайдаланатын және бірнеше үшінші тарап пикселін іске қосатын типтік орта деңгейлі баспагер сайты бір уақытта осы критерийлердің кемінде үшеуіне сай келеді. DPIA талап етіледі деген болжам практикада іс жүзінде анықтыққа жақын. Бірнеше ұлттық DPA өз міндетті DPIA тізімдерін жариялады; Италияның Garante, Францияның CNIL және Германияның DSK барлығы программатикалық жарнама мен сайтаралық профильдеуді DPIA-ның стандартты триггерлері ретінде атады.

DPIA құжатында не болуы керек

Article 35(7) төрт міндетті мазмұнды белгілейді. Олардың кез келгені жоқ DPIA реттеушілер тарапынан мүлде орындалмаған деп қаралады.

Өңдеудің жүйелі сипаттамасы

Бұл бір параграфтық қысқаша мазмұн емес. Сипаттама өңделетін жеке деректердің әрбір санатын, әрбір мақсатты, әрбір алушыны, әрбір сақтау мерзімін және әрбір шекара асатын ауысымды қамтуы керек. Ad-tech ағыны үшін бұл TCF жолыңыздағы әрбір жеткізушіні, әрқайсысы алатын деректерді және әрқайсысы үшін талап етілетін заңды негізді тізімдеуді білдіреді. TCF v2.2 жеткізуші тізімін тікелей DPIA қосымшасына көшірген баспагерлер жұмыс істейтін құжаттар жасады; оны екі сөйлемге қысқартқандар жасаған жоқ.

Қажеттілік пен пропорционалдықты бағалау

Қажеттілік сол мақсатқа аз деректермен немесе жеке емес деректермен жетуге болатынын сұрайды. Мінез-құлыққа негізделген жарнама ағыны үшін бұл контексттік жарнаманың сол мақсатқа қызмет ете алатынын адал қарастыруды білдіреді. EDPB Opinion 28/2024 DPIA контексттік жарнамаға бір жолмен жауап бере алмайтынын нақты айтады — бақылаушы балама қарастырылғанын дәлелдеп, неге бас тартылғанын түсіндіруі керек.

Деректер субъектілеріне тәуекелдерді бағалау

Тәуекелдерді талдау заңсыз кіруді, рұқсатсыз жариялауды, өзгертуді, жоғалтуды және профильдеудің кеңірек әлеуметтік тәуекелдерін — тежеу әсерлерін, дискриминацияны, бекітілуді қарастыруы керек. Анықталған әрбір тәуекел үшін бағалау ықтималдылықты, ауырлықты және азайтудан кейінгі қалдық деңгейді көрсетуі керек.

Тәуекелдерді жою үшін қабылданған шаралар

Осы жерде келісімді басқару платформасы DPIA-да пайда болады. Егжей-тегжейлі келісімді жинау, жеткізуші бойынша опт-аут, оңай кері алу, сақтау шектеулері, транзит кезінде және тыныштық кезінде шифрлау, деректерді өңдеушілерге шарттық кепілдіктер — әрбір шара нақты анықталған тәуекелмен байланысты болуы керек. Баспагердің CMP пайдаланатыны туралы жалпы мәлімдеме шара емес.

Деректерді қорғау жөніндегі офицердің рөлі

Article 35(2) бақылаушыдан DPIA жүргізу кезінде DPO кеңесін сұрауды талап етеді. Тағайындалған DPO бар баспагерлер үшін бұл қарапайым. DPO жоқ кіші баспагерлер үшін DPIA әлі де жүргізілуі мүмкін, бірақ құжатталған сыртқы кеңеспен — сыртқы заң кеңесшісімен, салалық кеңесшімен немесе CMP жеткізушісінің сәйкестік тобымен жүргізілуі керек. DPO рөлі бақылаушының қажеттілік талдауына күмән туғызу, оны мақұлдау емес.

Алдын ала кеңес қашан қажет

Article 36 DPIA өңдеу бақылаушы азайта алмайтын жоғары тәуекел туғызатынын көрсеткен жерде қадағалаушы органмен алдын ала кеңесуді талап етеді. Практикада бұл cookie және келісім ағындары үшін сирек кездеседі — тәуекелдердің көпшілігін егжей-тегжейлі келісім, жеткізушілерді азайту, сақтау шектеулері және шарттық кепілдіктер арқылы азайтуға болады. Бірақ нөл емес. 2024 және 2025 жылдары алдын ала кеңесуді қозғаған екі жағдай: TCF интеграциясыз орналастырылған саусақ ізіне негізделген идентификатор және бірінші тараптың деректерін үшінші тараптың деректер брокерлерімен біріктірген құрылғыаралық сәйкестік графы. Осы үлгілердің кез келгенін зерттеп жатқан баспагерлер алты-он екі апталық кеңес мерзімін жоспарлауы керек.

Реттеушілер тергеулерде DPIA-ны қалай пайдаланады

DPIA — бұл cookie бойынша шағым ресми тергеу кезеңіне жеткенде реттеуші бірінші сұрайтын жалғыз құжат. Италияның Garante, Францияның CNIL, Бельгияның APD және Баварияның BayLDA барлығы тергеу астындағы қызметті қамтитын DPIA сұраумен іс жүргізу материалдарын ашады. Соңғы шешімдерден үш үлгі байқалады:

Кеш дайындалған DPIA-лар айтарлықтай жеңілдетілген

Реттеушінің сұрауынан кейінгі күнмен берілген DPIA іске қосу алдындағы бағалаудың дәлелі ретінде қаралмайды. 2025 жылғы бірнеше шешімде құжат факт кейін жасалғаны нақты айтылып, тиісінше есепке алынды. DPIA өңдеуді іске қоспас бұрын болуы керек, ал құжаттың метадеректері немесе нұсқа тарихы мұны анық көрсетуі керек.

Жалпы DPIA-лар жоқ деп саналады

CMP жеткізушісінің порталынан сайтқа тән талдауыз көшірілген шаблон DPIA бас тарту үшін жиі қолданылады. Итальян баспагерлер тобына қарсы 2025 жылғы Garante шешімі аумақтағы тоғыздың алтысын атады және олардың барлығын қамтитын бір ортақ DPIA Article 35-ті қанағаттандырмайтынын анықтады.

Азайту шаралары нақты орналастырылғанға сай болуы керек

Егер DPIA 60 күндік cookie сақтауды сипаттаса, бірақ орналастырылған cookie 24 айлық өмір сүруді пайдаланса, реттеуші DPIA-ны дұрыс емес деп қарайды. DPIA сипаттамасына қарсы орналастырылған конфигурацияны тоқсандық аудиттеу енді міндетті емес.

Барлығын бірге жинақтау

Баспагерлердің көпшілігі үшін практикалық жауап бірдей: DPIA қажет, кез келген жаңа бақылауды іске қоспас бұрын жасалуы керек және орналастырылған конфигурацияға қарсы тоқсандық тексерілуі керек. Құжат ұзын болуы шарт емес, бірақ сайтқа тән болуы, іске қоспас бұрын жазылуы, DPO немесе құжатталған сыртқы кеңесшімен тіркелуі және өндірісте нақты не жұмыс істейтінімен үйлесімді болуы керек. Осы төрт нүктені дұрыс орындаған баспагерлер DPIA-ны сәйкестік жүктемесінен реттеуші сұрақпен келгенде олардың ең мықты қорғаныс шарасына айналдырады.