DPIA sīkdatņu piekrišanai: kad izdevējiem jāveic datu aizsardzības ietekmes novērtējums
Lielākā daļa izdevēju uzskata datu aizsardzības ietekmes novērtējumu par kāda cita atbilstības uzdevumu — datu aizsardzības speciālista, ārējā juriskonsulta vai retā inženierprojekta, kas saistīts ar biometriskiem datiem. Patiesībā GDPR pieprasa DPIA daudz plašākam darbību lokam, nekā lielākā daļa reklāmtehnoloģiju operatoru apzinās, un daudzas sīkdatņu piekrišanas un uzvedības reklāmas darbplūsmas ietilpst tieši šajā aktivizētāju kategorijā. Jautājums, ko reglamentatori tagad uzdod izdevējiem revīzijās un sūdzību izmeklēšanā, ir tiešs: vai jūs veicāt DPIA pirms šīs izsekošanas ieviešanas un vai varat mums to uzrādīt? Šis ceļvedis izskaidro, kad DPIA ir obligāts, kas tajā jāiekļauj un kā sagatavot dokumentu, kas iztur regulatora pārbaudi.
Kas ir DPIA un kāpēc tas pastāv
Datu aizsardzības ietekmes novērtējums ir definēts GDPR 35. pantā. Tas ir dokumentēta analīze, kas pārzinim jāveic pirms jebkuras apstrādes darbības uzsākšanas, kura varētu radīt lielu risku fizisko personu tiesībām un brīvībām. DPIA liek pārzinim aprakstīt apstrādi, novērtēt tās nepieciešamību un proporcionalitāti, identificēt riskus un dokumentēt veiktos pasākumus to mazināšanai. Ja atlikušais risks joprojām ir augsts, pārzinim pirms darbības uzsākšanas jākonsultējas ar uzraudzības iestādi.
Izdevējiem DPIA nav vienreizējs juridisks artefakts. Tas ir centrālais dokuments, ko regulators pieprasīs, izmeklējot sīkdatņu vai izsekošanas sūdzību, un tas nosaka, vai izdevējs var demonstrēt atbildību saskaņā ar 5(2). pantu. Bez tā pierādīšanas nasta izšķiroši gulstas pret jums.
Kad DPIA ir obligāts sīkdatņu un piekrišanas darbplūsmām
35(3). pants uzskaitīta trīs DPIA aktivizētājus. Article 29 Working Party pamatnostādnes (ko tagad pieņēmusi EDPB) pievieno deviņu indikatīvo kritēriju sarakstu. Tiek pieņemts, ka apstrādes darbībai, kas atbilst jebkuriem diviem no šiem kritērijiem, ir nepieciešams DPIA. Sīkdatņu un reklāmtehnoloģiju darbplūsmām visatbilstošākie kritēriji ir:
- Sistemātiska un plaša novērtēšana — ieskaitot profilēšanu reklāmai un satura personalizēšanai.
- Liela mēroga apstrāde — izmērīta pēc datu apjoma, datu subjektu skaita, ģeogrāfiskā mēroga un ilguma. Izdevēju vietnes ar septiņciparu ikmēneša lietotāju skaitu gandrīz vienmēr ir piemērojamas.
- Inovatīva tehnoloģiju izmantošana — aptver pirkstu nospiedumu iegūšanu, starpierīču identifikāciju, federēto mācīšanos, uzmanības mērīšanu, uz mākslīgo intelektu balstītu uzvedības secinājumus.
- Atrašanās vietas vai uzvedības izsekošana — tieši aptver uzvedības reklāmu un atkārtotas mērķauditorijas atlasi.
- Datu kopu apvienošana vai saskaņošana — ieskaitot servera puses bagātināšanu, identitātes grafikus, datu tīrās telpas, klientu datu platformu saistīšanu.
Tipiska vidēja līmeņa izdevēja vietne, kas izmanto uzvedības reklāmu un kurā darbojas vairāk nekā daži trešo pušu pikseļi, vienlaikus atbildīs vismaz trim no šiem kritērijiem. Pieņēmums, ka DPIA ir nepieciešams, praksē ir gandrīz drošs. Vairākas nacionālās DPA ir publicējušas savus obligātos DPIA sarakstus; Itālijas Garante, Francijas CNIL un Vācijas DSK ir visas nosaukušas programmatisko reklāmu un starpvietņu profilēšanu kā noklusējuma DPIA aktivizētājus.
Kas jāiekļauj DPIA dokumentā
35(7). pants nosaka četrus obligātos saturus. DPIA, kam trūkst kāda no tiem, reglamentatori uzskata par neveiktu vispār.
Sistemātisks apstrādes apraksts
Tas nav vienas rindkopas kopsavilkums. Aprakstam jāaptver katra apstrādāto personas datu kategorija, katrs mērķis, katrs saņēmējs, katrs glabāšanas periods un katrs pārrobežu pārsūtīšana. Reklāmtehnoloģiju darbplūsmai tas nozīmē uzskaitīt katru pārdevēju jūsu TCF virknē, datus, ko katrs saņem, un katrā gadījumā pieprasīto likumīgo pamatu. Izdevēji, kuri tieši DPIA pielikumā kopē TCF v2.2 pārdevēju sarakstu, ir sagatavojuši izmantojamus dokumentus; tie, kas to apkopo divās teikumos, nav.
Nepieciešamības un proporcionalitātes novērtējums
Nepieciešamība prasa, vai to pašu mērķi var sasniegt ar mazāk datu vai ar nepersoniskiem datiem. Uzvedības reklāmas darbplūsmai tas nozīmē godīgi risināt to, vai kontekstuālā reklāma kalpotu tam pašam mērķim. EDPB Opinion 28/2024 skaidri norāda, ka DPIA nevar vienā rindiņā noraidīt kontekstuālo reklāmu — pārzinim jāpierāda, ka alternatīva tika apsvērta, un jāizskaidro, kāpēc tā tika noraidīta.
Risku datu subjektiem novērtējums
Riska analīzē jāapsver nelikumīga piekļuve, nesankcionēta izpaušana, mainīšana, zudums un plašākie sociālie profilēšanas riski — atturošā ietekme, diskriminācija, saistīšana. Katram identificētajam riskam novērtējumā jānorāda varbūtība, smagums un atlikušais līmenis pēc mazināšanas pasākumiem.
Riska novēršanai veiktie pasākumi
Šeit DPIA parādās piekrišanas pārvaldības platforma. Detalizēta piekrišanas fiksēšana, izvēle atteikties no katra pārdevēja, ērta atsaukšana, glabāšanas ierobežojumi, šifrēšana tranzītā un atpūtā, līgumiskie aizsardzības pasākumi attiecībā uz datu apstrādātājiem — katrs pasākums jāsaista ar konkrētu identificētu risku. Vispārīgs paziņojums, ka izdevējs izmanto CMP, nav pasākums.
Datu aizsardzības speciālista loma
35(2). pants prasa, lai pārzinis, veicot DPIA, lūgtu DPO padomu. Izdevējiem ar norīkotu DPO tas ir vienkārši. Mazākiem izdevējiem bez tā DPIA joprojām var veikt, taču tas jāveic ar dokumentētu ārējo padomu — ārējo juridisko padomnieku, nozares konsultantu vai CMP pārdevēja atbilstības komandu. DPO loma ir apstrīdēt pārziņa nepieciešamības analīzi, nevis to apstiprināt.
Kad nepieciešama iepriekšēja apspriešanās
36. pants prasa iepriekšēju apspriešanos ar uzraudzības iestādi gadījumos, kad DPIA parāda, ka apstrāde radītu lielu risku, ko pārzinis nevar mazināt. Praksē tas ir reti sīkdatņu un piekrišanas darbplūsmām — lielāko daļu risku var mazināt ar granulētu piekrišanu, pārdevēju samazināšanu, glabāšanas ierobežojumiem un līgumiskiem aizsardzības pasākumiem. Bet tas nav nulle. Divi gadījumi, kas 2024. un 2025. gadā izraisīja iepriekšēju apspriešanos: pirkstu nospiedumu bāzēts identifikators, kas izvietots bez TCF integrācijas, un starpierīču identitātes grafiks, kurā apvienoti pirmās puses dati ar trešās puses datu brokeru datiem. Izdevējiem, kas pēta kādu no šiem modeļiem, jāplāno sešu līdz divpadsmit nedēļu apspriešanās laika grafiks.
Kā reglamentatori izmanto DPIA izmeklēšanā
DPIA ir vienīgais dokuments, ko regulators vispirms pieprasa, kad sīkdatņu sūdzība sasniedz formālās izmeklēšanas stadiju. Itālijas Garante, Francijas CNIL, Beļģijas APD un Bavārijas BayLDA visi atver savus procedurālos failus ar pieprasījumu pēc DPIA, kas aptver attiecīgo darbību. No nesenajiem lēmumiem izriet trīs modeļi:
Vēlu sagatavoti DPIA tiek ievērojami diskontēti
DPIA ar datumu pēc regulatora pieprasījuma netiks uzskatīts par pierādījumu iepriekšējai novērtēšanai pirms palaišanas. Vairāki 2025. gada lēmumi ir skaidri norādījuši, ka dokuments tika izveidots post-hoc, un attiecīgi svēruši to. DPIA ir jābūt pirms apstrādes uzsākšanas, un dokumenta metadatiem vai versiju vēsturei tas jāapliecina.
Vispārīgi DPIA tiek uzskatīti par trūkstošiem
Veidne DPIA, kas nokopēta no CMP pārdevēja portāla bez vietnei specifikas analīzes, tiek arvien biežāk noraidīta. Garante 2025. gada lēmums pret Itālijas izdevēju grupu nosaukta sešas no deviņām ietvertajām vietnēm un konstatēja, ka viens kopīgs DPIA, kas attiecas uz visām, neatbilst 35. panta prasībām.
Mazināšanas pasākumiem jāatbilst tam, kas faktiski ir izvietots
Ja DPIA apraksta 60 dienu sīkdatņu glabāšanu, bet izvietotās sīkdatnes izmanto 24 mēnešu dzīves laiku, regulators uzskatīs DPIA par neprecīzu. Ceturkšņa revīzija par izvietoto konfigurāciju salīdzinājumā ar DPIA aprakstu vairs nav izvēles.
Saliekot kopā
Lielākajai daļai izdevēju praktiskā atbilde ir vienāda: DPIA ir nepieciešams, tas jāsagatavo pirms jebkuras jaunas izsekošanas palaišanas, un tas ceturkšņa laikā jāpārskata attiecībā pret izvietoto konfigurāciju. Dokumentam nav jābūt garam, taču tam jābūt specifiskam vietnei, rakstītam pirms palaišanas, ko apstiprinājis DPO vai dokumentēts ārējais konsultants, un saskaņotam ar to, kas faktiski darbojas ražošanā. Izdevēji, kas pareizi ievēro šos četrus punktus, pārvērš DPIA no atbilstības sloga par spēcīgāko aizsardzību, kāda tiem ir, kad regulators nāk ar jautājumiem.