Kas yra DPIA ir kodėl ji egzistuoja

Duomenų apsaugos poveikio vertinimas yra apibrėžtas GDPR Article 35. Tai yra dokumentuota analizė, kurią valdytojas privalo atlikti prieš pradėdamas bet kokią tvarkymo operaciją, kuri greičiausiai sukels didelę riziką fizinių asmenų teisėms ir laisvėms. DPIA įpareigoja valdytoją aprašyti tvarkymą, įvertinti jo būtinumą ir proporcingumą, nustatyti rizikas ir dokumentuoti joms sumažinti taikytas priemones. Jei likutinė rizika išlieka didelė, valdytojas prieš pradėdamas veiklą turi konsultuotis su priežiūros institucija.

Leidėjams DPIA nėra vienkartinis teisinis dokumentas. Tai pagrindinis dokumentas, kurį reguliuotojas pareikalaus tirdamas slapukų ar stebėjimo skundą, ir dokumentas, lemiantis, ar leidėjas gali įrodyti atskaitomybę pagal Article 5(2). Be jo įrodinėjimo našta ryžtingai perkeliama prieš jus.

Kada DPIA yra privaloma slapukų ir sutikimo srautams

Article 35(3) išvardija tris aiškius DPIA paleidimo veiksnius. Article 29 Working Party gairės (dabar priimtos EDPB) prideda devynių orientacinių kriterijų sąrašą. Daroma prielaida, kad tvarkymo veikla, atitinkanti bet kuriuos du iš šių kriterijų, reikalauja DPIA. Slapukų ir ad-tech srautams aktualiausi kriterijai yra:

• Sisteminis ir išsamus vertinimas — įskaitant profiliavimą reklamos ir turinio personalizavimo tikslais.
• Didelio masto tvarkymas — matuojamas pagal duomenų apimtį, duomenų subjektų skaičių, geografinę aprėptį ir trukmę. Leidėjų svetainės su septynženkle mėnesio vartotojų baze beveik visada atitinka šį kriterijų.
• Inovatyvus technologijų naudojimas — apima pirštų atspaudų paėmimą, tapatybės nustatymą tarp įrenginių, federacinį mokymą, dėmesio matavimą, AI pagrįstą elgsenos išvadų darymą.
• Vietos ar elgsenos stebėjimas — tiesiogiai apimamas elgsena grindžiamos reklamos ir pakartotinio taikymo.
• Duomenų rinkinių derinimas ar gretinimas — įskaitant serverio pusės praturtinimą, tapatybės grafus, duomenų valymo kambarius, klientų duomenų platformos jungimą.

Tipinė vidutinio lygio leidėjo svetainė, naudojanti elgsena grindžiamą reklamą ir paleidžianti daugiau nei kelis trečiųjų šalių pikselius, vienu metu atitiks bent tris iš šių kriterijų. Prielaida, kad DPIA yra reikalinga, praktiškai beveik neabejotinai. Kelios nacionalinės DPA paskelbė savo privalomų DPIA sąrašus; Italijos Garante, Prancūzijos CNIL ir Vokietijos DSK visi įvardijo programatinę reklamą ir stebėjimą per svetaines kaip numatytuosius DPIA paleidimo veiksnius.

Ką turi apimti DPIA dokumentas

Article 35(7) nustato keturis privalomus turinio elementus. DPIA, kurioje trūksta bet kurio iš jų, reguliuotojų traktuojama taip, lyg ji visai nebūtų atlikta.

Sisteminis tvarkymo aprašymas

Tai nėra vieno paragrafo santrauka. Aprašymas turi apimti kiekvieną tvarkomų asmens duomenų kategoriją, kiekvieną tikslą, kiekvieną gavėją, kiekvieną saugojimo laikotarpį ir kiekvieną tarpvalstybinį perdavimą. Ad-tech srautui tai reiškia išvardijimą kiekvieno pardavėjo jūsų TCF eilutėje, kiekvieno jų gaunamų duomenų ir kiekvienam teikiamo teisinio pagrindo. Leidėjai, kurie TCF v2.2 pardavėjų sąrašą tiesiogiai įkopijavo į DPIA priedą, parengė tinkamus dokumentus; tie, kurie jį apibendrino dviem sakiniais, to nepadarė.

Būtinumo ir proporcingumo vertinimas

Būtinumas klausia, ar tas pats tikslas gali būti pasiektas su mažiau duomenų arba su neasmeniniu duomenimis. Elgsena grindžiamos reklamos srautui tai reiškia sąžiningai spręsti, ar kontekstinė reklama galėtų tarnauti tam pačiam tikslui. EDPB Opinion 28/2024 aiškiai nurodo, kad DPIA negali atmesti kontekstinės reklamos viena eilute — valdytojas turi įrodyti, kad alternatyva buvo svarstyta, ir paaiškinti, kodėl ji buvo atmesta.

Duomenų subjektų rizikos vertinimas

Rizikos analizė turi apsvarstyti neteisėtą prieigą, nesankcionuotą atskleidimą, pakeitimą, praradimą ir platesnes socialines profiliavimo rizikas — atgrasantį poveikį, diskriminaciją, įsisavinimą. Kiekvienai nustatytai rizikai vertinimas turi nurodyti tikimybę, sunkumą ir likutinį lygį po mažinimo priemonių.

Rizikai šalinti taikytos priemonės

Čia DPIA pasirodo sutikimų valdymo platforma. Detalus sutikimo surinkimas, atsisakymas pagal kiekvieną pardavėją, lengvas atšaukimas, saugojimo apribojimai, šifravimas siuntimo ir laikymo metu, sutartinės apsaugos priemonės duomenų tvarkytojams — kiekviena priemonė turi būti susieta su konkrečia nustatyta rizika. Bendras teiginys, kad leidėjas naudoja CMP, nėra priemonė.

Duomenų apsaugos pareigūno vaidmuo

Article 35(2) reikalauja, kad valdytojas atliekant DPIA kreiptųsi į DPO dėl patarimo. Leidėjams, turintiems paskirtą DPO, tai paprasta. Mažesniems leidėjams, neturintiems DPO, DPIA vis tiek gali būti atlikta, tačiau ji turi būti vykdoma dokumentuojant išorinę konsultaciją — su išoriniu teisiniu patarėju, pramonės konsultantu arba CMP pardavėjo atitikties komanda. DPO vaidmuo yra ginčyti valdytojo būtinumo analizę, o ne ją patvirtinti.

Kada reikalinga išankstinė konsultacija

Article 36 reikalauja išankstinės konsultacijos su priežiūros institucija, kai DPIA parodo, kad tvarkymas sukeltų didelę riziką, kurios valdytojas negali sumažinti. Praktiškai tai retai nutinka slapukų ir sutikimo srautams — daugumą rizikų galima sumažinti per detalų sutikimą, pardavėjų mažinimą, saugojimo apribojimus ir sutartines apsaugos priemones. Tačiau tai nėra nulis. Du atvejai, sukėlę išankstinę konsultaciją 2024 ir 2025 m.: pirštų atspaudų pagrindu sukurtas identifikatorius, diegtas be TCF integracijos, ir tarpįrengininis tapatybės grafas, sujungęs pirmosios šalies duomenis su trečiųjų šalių duomenų tarpininkais. Leidėjai, tyrinėjantys bet kurį iš šių modelių, turėtų planuoti šešių-dvylikos savaičių konsultacijos grafiką.

Kaip reguliuotojai naudoja DPIA tyrimuose

DPIA yra vienintelis dokumentas, kurio reguliuotojas pirmiausia reikalauja, kai slapukų skundas pasiekia oficialaus tyrimo etapą. Italijos Garante, Prancūzijos CNIL, Belgijos APD ir Bavarijos BayLDA visi savo procedūrinius bylos failus atidaro su prašymu pateikti DPIA, apimančią nagrinėjamą veiklą. Iš nesenų sprendimų išryškėja trys šablonai:

Vėlai pateiktos DPIA yra labai nuvertinamos

DPIA, kurios data nurodo po reguliuotojo prašymo, nebus laikoma ikipaleistinio vertinimo įrodymu. Keletas 2025 m. sprendimų aiškiai pažymėjo, kad dokumentas buvo sukurtas po fakto ir atitinkamai jį įvertino. DPIA turi būti parengta prieš pradedant tvarkymą, o dokumentų metaduomenys ar versijų istorija tai turi aiškiai rodyti.

Bendrinės DPIA laikomos trūkstamomis

Šablono DPIA, nukopijuota iš CMP pardavėjo portalo be svetainei specifinės analizės, vis dažniau atmetama. 2025 m. Garante sprendimas prieš Italijos leidėjų grupę įvardijo šešias iš devynių aptariamų svetainių ir nustatė, kad viena bendra DPIA, apimanti visas jas, neatitiko Article 35.

Mažinimo priemonės turi atitikti realiai diegtas

Jei DPIA aprašo 60 dienų slapukų saugojimą, bet įdiegti slapukai naudoja 24 mėnesių gyvavimo laiką, reguliuotojas DPIA traktuos kaip netikslią. Ketvirtinis įdiegtos konfigūracijos auditas lyginant su DPIA aprašymu nebėra neprivalomas.

Viskas sudėjus

Daugumai leidėjų praktinis atsakymas yra tas pats: DPIA reikalinga, ji turėtų būti parengta prieš paleidžiant bet kokį naują stebėjimą ir turėtų būti peržiūrima kas ketvirtį pagal įdiegtą konfigūraciją. Dokumentas neprivalo būti ilgas, tačiau turi būti specifinis svetainei, parašytas prieš paleidimą, pasirašytas DPO arba dokumentuoto išorinio patarėjo ir suderintas su tuo, kas iš tikrųjų veikia gamyboje. Leidėjai, teisingai atliekantys šiuos keturis dalykus, DPIA paverčia iš atitikties naštos į stipriausią gynybą, kurią jie turi, kai reguliuotojas ateina klausti.