Apa Itu DPIA dan Mengapa Ia Wujud

Penilaian Impak Perlindungan Data ditakrifkan dalam Article 35 GDPR. Ia adalah analisis yang didokumenkan yang mesti dilakukan oleh pengawal sebelum melancarkan sebarang operasi pemprosesan yang berkemungkinan mengakibatkan risiko tinggi kepada hak dan kebebasan individu. DPIA memaksa pengawal untuk menerangkan pemprosesan, menilai keperluan dan keseimbangannya, mengenal pasti risiko, dan mendokumenkan langkah-langkah yang diambil untuk mengurangkannya. Jika risiko residual kekal tinggi, pengawal mesti berunding dengan pihak berkuasa penyeliaan sebelum beroperasi.

Bagi penerbit, DPIA bukanlah artifak undang-undang sekali sahaja. Ia adalah dokumen utama yang akan diminta oleh pengawal selia semasa menyiasat aduan kuki atau penjejakan, dan ia adalah dokumen yang menentukan sama ada penerbit dapat menunjukkan akauntabiliti di bawah Article 5(2). Tanpanya, beban pembuktian beralih secara menentukan menentang anda.

Bila DPIA Diwajibkan untuk Aliran Kuki dan Kebenaran

Article 35(3) menyenaraikan tiga pencetus DPIA yang eksplisit. Garis panduan Article 29 Working Party (kini diterima pakai oleh EDPB) menambah senarai sembilan kriteria petunjuk. Aktiviti pemprosesan yang memenuhi mana-mana dua daripada kriteria tersebut diandaikan memerlukan DPIA. Untuk aliran kuki dan ad-tech, kriteria yang paling relevan adalah:

• Penilaian sistematik dan meluas — termasuk pemprofilan untuk pengiklanan dan personalisasi kandungan.
• Pemprosesan berskala besar — diukur berdasarkan volum data, bilangan subjek data, jangkauan geografi, dan tempoh. Laman web penerbit dengan pengguna bulanan tujuh angka hampir selalu layak.
• Penggunaan teknologi inovatif — meliputi cap jari, pengenalan merentas peranti, pembelajaran berfederasi, pengukuran perhatian, inferens tingkah laku berasaskan AI.
• Penjejakan lokasi atau tingkah laku — ditangkap secara langsung oleh pengiklanan tingkah laku dan penyasaran semula.
• Menggabungkan atau memadankan set data — termasuk pengayaan sisi pelayan, graf identiti, bilik bersih data, penjahitan platform data pelanggan.

Laman web penerbit peringkat pertengahan biasa yang menggunakan pengiklanan tingkah laku dan menjalankan lebih daripada beberapa piksel pihak ketiga akan memenuhi sekurang-kurangnya tiga daripada kriteria ini secara serentak. Andaian bahawa DPIA diperlukan adalah, dalam praktiknya, hampir pasti. Beberapa DPA kebangsaan telah menerbitkan senarai DPIA mandatori mereka sendiri; Garante Itali, CNIL Perancis, dan DSK Jerman semuanya telah menamakan pengiklanan terancang dan pemprofilan merentas laman sebagai pencetus DPIA lalai.

Apa yang Mesti Ada dalam Dokumen DPIA

Article 35(7) menetapkan empat kandungan mandatori. DPIA yang tidak mempunyai mana-mana kandungan tersebut dianggap oleh pengawal selia sebagai tidak dilakukan sama sekali.

Penerangan sistematik tentang pemprosesan

Ini bukan ringkasan satu perenggan. Penerangan mesti merangkumi setiap kategori data peribadi yang diproses, setiap tujuan, setiap penerima, setiap tempoh penyimpanan, dan setiap pemindahan rentas sempadan. Untuk aliran ad-tech ini bermakna menyenaraikan setiap vendor dalam rentetan TCF anda, data yang diterima setiap satu, dan asas sah yang dituntut untuk setiap satu. Penerbit yang menyalin senarai vendor TCF v2.2 terus ke dalam lampiran DPIA telah menghasilkan dokumen yang boleh digunakan; mereka yang meringkaskannya dalam dua ayat tidak.

Penilaian keperluan dan keseimbangan

Keperluan bertanya sama ada tujuan yang sama boleh dicapai dengan data yang lebih sedikit atau dengan data bukan peribadi. Untuk aliran pengiklanan tingkah laku ini bermakna menangani secara jujur sama ada pengiklanan kontekstual akan berfungsi untuk tujuan yang sama. EDPB Opinion 28/2024 jelas bahawa DPIA tidak boleh menolak pengiklanan kontekstual dalam satu baris — pengawal mesti menunjukkan bahawa alternatif telah dipertimbangkan dan menjelaskan mengapa ia ditolak.

Penilaian risiko kepada subjek data

Analisis risiko mesti mempertimbangkan akses yang tidak sah, pendedahan yang tidak dibenarkan, perubahan, kehilangan, dan risiko sosial pemprofilan yang lebih luas — kesan penghalang, diskriminasi, penguncian. Untuk setiap risiko yang dikenal pasti, penilaian mesti menyatakan kemungkinan, keterukan, dan tahap residual selepas mitigasi.

Langkah-langkah yang diambil untuk menangani risiko

Di sinilah platform pengurusan kebenaran muncul dalam DPIA. Tangkapan kebenaran yang terperinci, pilihan keluar mengikut vendor, penarikan balik yang mudah, had penyimpanan, penyulitan semasa transit dan selebihnya, perlindungan kontraktual ke atas pemproses data — setiap langkah mesti dikaitkan dengan risiko tertentu yang dikenal pasti. Pernyataan umum bahawa penerbit menggunakan CMP bukanlah satu langkah.

Peranan Pegawai Perlindungan Data

Article 35(2) memerlukan pengawal untuk mendapatkan nasihat DPO ketika menjalankan DPIA. Bagi penerbit dengan DPO yang dilantik, ini adalah mudah. Bagi penerbit yang lebih kecil tanpa satu, DPIA masih boleh dilakukan tetapi mesti dilaksanakan dengan nasihat luaran yang didokumenkan — peguam luar, perunding industri, atau pasukan pematuhan vendor CMP. Peranan DPO adalah untuk mencabar analisis keperluan pengawal, bukan untuk meluluskannya.

Bila Perundingan Awal Diperlukan

Article 36 memerlukan perundingan awal dengan pihak berkuasa penyeliaan di mana DPIA menunjukkan bahawa pemprosesan akan mengakibatkan risiko tinggi yang tidak dapat dikurangkan oleh pengawal. Dalam praktiknya ini jarang berlaku untuk aliran kuki dan kebenaran — kebanyakan risiko boleh dikurangkan melalui kebenaran yang terperinci, pengurangan vendor, had penyimpanan, dan perlindungan kontraktual. Tetapi ia bukan sifar. Dua kes yang telah mencetuskan perundingan awal pada 2024 dan 2025: pengenal berasaskan cap jari yang digunakan tanpa integrasi TCF, dan graf identiti merentas peranti yang menggabungkan data pihak pertama dengan broker data pihak ketiga. Penerbit yang meneroka salah satu corak ini harus merancang untuk garis masa perundingan enam hingga dua belas minggu.

Bagaimana Pengawal Selia Menggunakan DPIA dalam Penyiasatan

DPIA adalah satu-satunya dokumen yang diminta terlebih dahulu oleh pengawal selia apabila aduan kuki mencapai peringkat penyiasatan formal. Garante Itali, CNIL Perancis, APD Belgium, dan BayLDA Bavaria semuanya membuka fail prosedur mereka dengan permintaan untuk DPIA yang merangkumi aktiviti yang dipersoalkan. Tiga corak muncul daripada keputusan terkini:

DPIA yang dihasilkan lewat didiskaun dengan banyak

DPIA bertarikh selepas permintaan pengawal selia tidak akan dianggap sebagai bukti penilaian pra-pelancaran. Beberapa keputusan 2025 telah secara eksplisit menyatakan bahawa dokumen itu dibuat pasca-hoc dan menimbangnya dengan sewajarnya. DPIA mesti mendahului pelancaran pemprosesan, dan metadata dokumen atau sejarah versi harus menjelaskan perkara itu.

DPIA generik dianggap hilang

DPIA templat yang disalin dari portal vendor CMP tanpa analisis khusus laman semakin ditolak. Keputusan Garante 2025 terhadap kumpulan penerbit Itali menamakan enam daripada sembilan laman dalam skop dan mendapati bahawa satu DPIA bersama yang merangkumi semuanya tidak memenuhi Article 35.

Langkah mitigasi mesti sepadan dengan apa yang sebenarnya digunakan

Jika DPIA menerangkan penyimpanan kuki 60 hari tetapi kuki yang digunakan menggunakan hayat 24 bulan, pengawal selia akan menganggap DPIA tidak tepat. Audit suku tahunan konfigurasi yang digunakan berbanding penerangan DPIA tidak lagi pilihan.

Menyatukan Semuanya

Bagi kebanyakan penerbit, jawapan praktikal adalah sama: DPIA diperlukan, ia harus digubal sebelum sebarang penjejakan baru dilancarkan, dan ia harus disemak setiap suku tahun berbanding konfigurasi yang digunakan. Dokumen itu tidak perlu panjang, tetapi ia mesti khusus untuk laman, ditulis sebelum pelancaran, diluluskan oleh DPO atau penasihat luaran yang didokumenkan, dan diselaraskan dengan apa yang sebenarnya berjalan dalam pengeluaran. Penerbit yang mendapat empat perkara itu dengan betul mengubah DPIA daripada beban pematuhan menjadi pertahanan terkuat yang mereka ada apabila pengawal selia datang bertanya.