DPIA dla zgody na pliki cookie: kiedy wydawcy muszą przeprowadzić ocenę skutków dla ochrony danych
Większość wydawców traktuje ocenę skutków dla ochrony danych jako zadanie zgodności dla kogoś innego — inspektora ochrony danych, zewnętrznego radcy prawnego, rzadkiego projektu inżynierskiego dotyczącego biometrii. W rzeczywistości RODO wymaga DPIA dla znacznie szerszego zakresu działań, niż większość operatorów ad-tech zdaje sobie sprawę, a wiele procesów związanych z zgodą na pliki cookie i reklamą behawioralną mieści się dokładnie w zakresie przesłanek. Pytanie, które regulatorzy zadają teraz wydawcom podczas audytów i dochodzeń skargowych, jest bezpośrednie: czy przeprowadziłeś DPIA przed wdrożeniem tego śledzenia i czy możesz nam to pokazać? Niniejszy przewodnik wyjaśnia, kiedy DPIA jest obowiązkowe, co musi zawierać i jak sporządzić dokument, który przetrwa kontrolę regulatorów.
Czym jest DPIA i dlaczego istnieje
Ocena skutków dla ochrony danych jest zdefiniowana w Article 35 RODO. Jest to udokumentowana analiza, którą administrator musi przeprowadzić przed rozpoczęciem jakiejkolwiek operacji przetwarzania, która może skutkować wysokim ryzykiem naruszenia praw i wolności osób fizycznych. DPIA zmusza administratora do opisania przetwarzania, oceny jego niezbędności i proporcjonalności, identyfikacji ryzyk oraz udokumentowania środków podjętych w celu ich ograniczenia. Jeśli ryzyka szczątkowe pozostają wysokie, administrator musi skonsultować się z organem nadzorczym przed rozpoczęciem działalności.
Dla wydawców DPIA nie jest jednorazowym artefaktem prawnym. Jest to centralny dokument, o który regulator poprosi przy badaniu skargi dotyczącej plików cookie lub śledzenia, i dokument, który decyduje o tym, czy wydawca może wykazać rozliczalność na podstawie Article 5(2). Bez niego ciężar dowodu zdecydowanie przesuwa się przeciwko tobie.
Kiedy DPIA jest obowiązkowe dla procesów związanych z plikami cookie i zgodami
Article 35(3) wymienia trzy wyraźne przesłanki DPIA. Wytyczne Article 29 Working Party (przyjęte obecnie przez EDPB) dodają listę dziewięciu kryteriów orientacyjnych. Zakłada się, że działanie przetwarzające spełniające co najmniej dwa z tych kryteriów wymaga DPIA. W przypadku procesów związanych z plikami cookie i ad-tech najbardziej istotne kryteria to:
- Systematyczna i rozległa ocena — w tym profilowanie na potrzeby reklamy i personalizacji treści.
- Przetwarzanie na dużą skalę — mierzone wolumenem danych, liczbą osób, których dane dotyczą, zasięgiem geograficznym i czasem trwania. Witryny wydawców z miesięcznymi użytkownikami liczonymi w siedmiu cyfrach prawie zawsze się kwalifikują.
- Innowacyjne wykorzystanie technologii — obejmuje fingerprinting, identyfikację między urządzeniami, federated learning, pomiar uwagi, wnioskowanie behawioralne oparte na AI.
- Śledzenie lokalizacji lub zachowania — bezpośrednio objęte reklamą behawioralną i retargetingiem.
- Łączenie lub dopasowywanie zbiorów danych — w tym wzbogacanie po stronie serwera, grafy tożsamości, data clean rooms, łączenie platform danych klientów.
Typowa witryna wydawcy średniej wielkości, która korzysta z reklamy behawioralnej i obsługuje więcej niż kilka pikseli stron trzecich, jednocześnie spełni co najmniej trzy z tych kryteriów. Założenie, że DPIA jest wymagane, jest w praktyce niemal pewnością. Kilka krajowych organów ochrony danych opublikowało własne obowiązkowe listy DPIA; włoski Garante, francuski CNIL i niemiecki DSK wskazały reklamy programatyczne i profilowanie między witrynami jako domyślne przesłanki DPIA.
Co musi zawierać dokument DPIA
Article 35(7) ustanawia cztery obowiązkowe elementy treści. DPIA, któremu brakuje któregokolwiek z nich, jest traktowane przez regulatorów tak, jakby w ogóle nie zostało przeprowadzone.
Systematyczny opis przetwarzania
Nie jest to jednostronicowe podsumowanie. Opis musi obejmować każdą kategorię przetwarzanych danych osobowych, każdy cel, każdego odbiorcę, każdy okres przechowywania i każde transgraniczne przekazanie. W przypadku procesu ad-tech oznacza to wymienienie każdego dostawcy w ciągu TCF, danych, które każdy z nich otrzymuje, i podstawy prawnej każdego z nich. Wydawcy, którzy kopiują listę dostawców TCF v2.2 bezpośrednio do załącznika DPIA, sporządzili użyteczne dokumenty; ci, którzy streszczają ją w dwóch zdaniach, tego nie zrobili.
Ocena niezbędności i proporcjonalności
Niezbędność pyta, czy ten sam cel można osiągnąć przy mniejszej ilości danych lub przy użyciu danych nieosobowych. W przypadku procesu reklamowego behawioralnego oznacza to uczciwe rozważenie, czy reklama kontekstowa służyłaby temu samemu celowi. EDPB Opinion 28/2024 wyraźnie stwierdza, że DPIA nie może odrzucić reklamy kontekstowej w jednym zdaniu — administrator musi wykazać, że alternatywa była rozważana i wyjaśnić, dlaczego została odrzucona.
Ocena ryzyka dla osób, których dane dotyczą
Analiza ryzyka musi uwzględniać nielegalny dostęp, nieautoryzowane ujawnienie, zmianę, utratę oraz szersze ryzyko społeczne profilowania — efekty zniechęcające, dyskryminację, uzależnienie od jednego dostawcy. Dla każdego zidentyfikowanego ryzyka ocena musi określić prawdopodobieństwo, powagę i poziom szczątkowy po zastosowaniu środków zaradczych.
Środki podjęte w celu ograniczenia ryzyk
Tu w DPIA pojawia się platforma zarządzania zgodami. Szczegółowe zbieranie zgód, rezygnacja dla każdego dostawcy z osobna, łatwe wycofanie, limity przechowywania, szyfrowanie podczas przesyłania i przechowywania, gwarancje umowne dla podmiotów przetwarzających dane — każdy środek musi być powiązany z konkretnym zidentyfikowanym ryzykiem. Ogólne stwierdzenie, że wydawca używa CMP, nie jest środkiem.
Rola inspektora ochrony danych
Article 35(2) wymaga, aby administrator zasięgnął porady DPO przy przeprowadzaniu DPIA. Dla wydawców z wyznaczonym DPO jest to proste. Dla mniejszych wydawców bez niego DPIA nadal może być przeprowadzone, ale musi być realizowane z udokumentowaną zewnętrzną poradą — zewnętrznym radcą prawnym, konsultantem branżowym lub zespołem ds. zgodności dostawcy CMP. Rolą DPO jest kwestionowanie analizy niezbędności administratora, a nie jej zatwierdzanie.
Kiedy wymagane są wcześniejsze konsultacje
Article 36 wymaga wcześniejszych konsultacji z organem nadzorczym, gdy DPIA wykazuje, że przetwarzanie skutkowałoby wysokim ryzykiem, którego administrator nie może ograniczyć. W praktyce jest to rzadkością w przypadku procesów związanych z plikami cookie i zgodami — większość ryzyk można ograniczyć poprzez szczegółową zgodę, redukcję liczby dostawców, limity przechowywania i gwarancje umowne. Ale nie jest to zerowe. Dwa przypadki, które wywołały wcześniejsze konsultacje w 2024 i 2025 roku: identyfikator oparty na fingerprintingu wdrożony bez integracji TCF oraz graf tożsamości między urządzeniami, który łączył dane pierwszej strony z zewnętrznymi brokerami danych. Wydawcy badający którykolwiek z tych schematów powinni planować oś czasu konsultacji wynoszącą od sześciu do dwunastu tygodni.
Jak regulatorzy używają DPIA w dochodzeniach
DPIA jest jedynym dokumentem, o który regulator prosi jako pierwszy, gdy skarga dotycząca plików cookie dociera do etapu formalnego dochodzenia. Włoski Garante, francuski CNIL, belgijski APD i bawarski BayLDA otwierają swoje akta proceduralne wnioskiem o DPIA obejmujące daną działalność. Z niedawnych decyzji wyłaniają się trzy wzorce:
Późno sporządzone DPIA są mocno dyskontowane
DPIA datowane po wniosku regulatora nie będzie traktowane jako dowód oceny przed uruchomieniem. Kilka decyzji z 2025 roku wyraźnie odnotowało, że dokument został sporządzony post-hoc i odpowiednio go oceniło. DPIA musi poprzedzać uruchomienie przetwarzania, a metadane dokumentu lub historia wersji powinna to wyraźnie wskazywać.
Ogólne DPIA są traktowane jak brakujące
Szablonowe DPIA skopiowane z portalu dostawcy CMP bez analizy specyficznej dla witryny jest coraz częściej odrzucane. Decyzja Garante z 2025 roku przeciwko włoskiej grupie wydawców wymieniła sześć z dziewięciu witryn objętych zakresem i stwierdziła, że jedno wspólne DPIA obejmujące je wszystkie nie spełniało wymagań Article 35.
Środki zaradcze muszą odpowiadać temu, co jest faktycznie wdrożone
Jeśli DPIA opisuje 60-dniowe przechowywanie plików cookie, ale wdrożone pliki cookie mają okres życia 24 miesięcy, regulator uzna DPIA za niedokładne. Kwartalna kontrola wdrożonej konfiguracji w odniesieniu do opisu DPIA nie jest już opcjonalna.
Podsumowanie
Dla większości wydawców praktyczna odpowiedź jest taka sama: DPIA jest wymagane, powinno być sporządzone przed uruchomieniem jakiegokolwiek nowego śledzenia i powinno być kwartalnie przeglądane w odniesieniu do wdrożonej konfiguracji. Dokument nie musi być długi, ale musi być specyficzny dla witryny, napisany przed uruchomieniem, zatwierdzony przez DPO lub udokumentowanego zewnętrznego doradcę i zgodny z tym, co faktycznie działa w środowisku produkcyjnym. Wydawcy, którzy właściwie realizują te cztery punkty, zamieniają DPIA z obciążenia zgodności w najsilniejszą obronę, jaką mają, gdy pojawi się regulator z pytaniami.