Čo je DPIA a prečo existuje

Posúdenie vplyvu na ochranu údajov je definované v Article 35 GDPR. Je to zdokumentovaná analýza, ktorú musí prevádzkovateľ vykonať pred spustením akejkoľvek operácie spracúvania, ktorá pravdepodobne spôsobí vysoké riziko pre práva a slobody fyzických osôb. DPIA núti prevádzkovateľa opísať spracúvanie, posúdiť jeho nevyhnutnosť a primeranosť, identifikovať riziká a zdokumentovať opatrenia prijaté na ich zmierenie. Ak zostatkové riziko zostáva vysoké, prevádzkovateľ musí pred spustením konzultovať dozorný orgán.

Pre vydavateľov nie je DPIA jednorazovým právnym artefaktom. Je to centrálny dokument, ktorý si regulátor vyžiada pri vyšetrovaní sťažnosti týkajúcej sa cookies alebo sledovania, a je to dokument, ktorý určuje, či vydavateľ môže preukázať zodpovednosť podľa Article 5(2). Bez neho sa dôkazné bremeno rozhodne obracia proti vám.

Kedy je DPIA povinné pre procesy cookies a súhlasov

Article 35(3) vymenúva tri explicitné spúšťače DPIA. Usmernenia Article 29 Working Party (teraz prijaté EDPB) pridávajú zoznam deviatich indikatívnych kritérií. Predpokladá sa, že spracovateľská činnosť, ktorá spĺňa akékoľvek dve z týchto kritérií, vyžaduje DPIA. Pre procesy cookies a ad-tech sú najrelevantnejšie kritériá:

• Systematické a rozsiahle hodnotenie — vrátane profilovania na účely reklamy a personalizácie obsahu.
• Spracúvanie vo veľkom rozsahu — merané objemom údajov, počtom dotknutých osôb, geografickým rozsahom a dobou trvania. Webové stránky vydavateľov s mesačnými používateľmi v sedemciferných číslach sa takmer vždy kvalifikujú.
• Inovatívne využívanie technológií — pokrýva snímanie odtlačkov prstov, identifikáciu naprieč zariadeniami, federated learning, meranie pozornosti, behaviorálnu inferenciu na základe AI.
• Sledovanie polohy alebo správania — priamo zachytené behaviorálnou reklamou a retargetingom.
• Kombinovanie alebo porovnávanie súborov údajov — vrátane obohacovania na strane servera, grafov identity, data clean rooms, prepájania platforiem zákazníckych údajov.

Typická webová stránka vydavateľa strednej veľkosti, ktorá využíva behaviorálnu reklamu a prevádzkuje viac ako niekoľko pixelov tretích strán, bude súčasne spĺňať aspoň tri z týchto kritérií. Predpoklad, že DPIA je povinné, je v praxi takmer istotou. Niekoľko národných dozorných orgánov zverejnilo vlastné povinné zoznamy DPIA; taliansky Garante, francúzsky CNIL a nemecký DSK všetci označili programatickú reklamu a profilovanie naprieč stránkami za predvolené spúšťače DPIA.

Čo musí dokument DPIA obsahovať

Article 35(7) stanovuje štyri povinné obsahové prvky. DPIA, ktorému chýba ktorýkoľvek z nich, regulátory považujú za nevykonané vôbec.

Systematický opis spracúvania

Toto nie je jednoodsekovýzhrnutie. Opis musí pokrývať každú kategóriu spracúvaných osobných údajov, každý účel, každého príjemcu, každú dobu uchovávania a každý cezhraničný prenos. Pre proces ad-tech to znamená uviesť každého predajcu vo vašom reťazci TCF, údaje, ktoré každý prijíma, a právny základ nárokovaný pre každý. Vydavatelia, ktorí kopírujú zoznam predajcov TCF v2.2 priamo do prílohy DPIA, vyprodukovali použiteľné dokumenty; tí, ktorí ho zhrnú v dvoch vetách, nie.

Posúdenie nevyhnutnosti a primeranosti

Nevyhnutnosť sa pýta, či možno dosiahnuť rovnaký účel s menším množstvom údajov alebo s neosobnými údajmi. Pre proces behaviorálnej reklamy to znamená čestne riešiť otázku, či by kontextová reklama slúžila rovnakému účelu. EDPB Opinion 28/2024 je explicitný v tom, že DPIA nemôže odmietnuť kontextovú reklamu v jednom riadku — prevádzkovateľ musí preukázať, že alternatíva bola zvážená, a vysvetliť, prečo bola zamietnutá.

Posúdenie rizík pre dotknuté osoby

Analýza rizík musí zvážiť nezákonný prístup, neoprávnené zverejnenie, zmenu, stratu a širšie sociálne riziká profilovania — odstrašujúce účinky, diskrimináciu, uzamknutie. Pre každé identifikované riziko musí posúdenie uviesť pravdepodobnosť, závažnosť a zostatkový stupeň po zmierňujúcich opatreniach.

Opatrenia prijaté na riešenie rizík

Tu sa v DPIA objavuje platforma na správu súhlasov. Granulárne zachytávanie súhlasov, odmietnutie pre každého predajcu zvlášť, jednoduché odvolanie, limity uchovávania, šifrovanie pri prenose a v pokoji, zmluvné záruky pre sprostredkovateľov údajov — každé opatrenie musí byť viazané na konkrétne identifikované riziko. Všeobecné vyhlásenie, že vydavateľ používa CMP, nie je opatrením.

Úloha zodpovednej osoby

Article 35(2) vyžaduje, aby prevádzkovateľ pri vykonávaní DPIA požiadal DPO o radu. Pre vydavateľov s menovanou DPO je to jednoduché. Pre menších vydavateľov bez nej možno DPIA stále vykonať, ale musí sa realizovať s dokumentovaným externým poradenstvom — externým právnikom, odvetvovým konzultantom alebo tímom súladu dodávateľa CMP. Úlohou DPO je spochybňovať analýzu nevyhnutnosti prevádzkovateľa, nie ju formálne schváliť.

Kedy je potrebná predchádzajúca konzultácia

Article 36 vyžaduje predchádzajúcu konzultáciu s dozorným orgánom, ak DPIA ukazuje, že spracúvanie by spôsobilo vysoké riziko, ktoré prevádzkovateľ nemôže zmierniť. V praxi je to pre procesy cookies a súhlasov zriedkavé — väčšinu rizík možno zmierniť prostredníctvom granulárneho súhlasu, zníženia počtu predajcov, limitov uchovávania a zmluvných záruk. Ale nie je to nula. Dva prípady, ktoré v roku 2024 a 2025 spustili predchádzajúcu konzultáciu: identifikátor založený na snímaní odtlačkov prstov nasadený bez integrácie TCF a graf identity naprieč zariadeniami, ktorý kombinoval údaje prvej strany s externými dátovými sprostredkovateľmi. Vydavatelia skúmajúci ktorýkoľvek zo vzorov by mali plánovať časový rámec konzultácie šesť až dvanásť týždňov.

Ako regulátory využívajú DPIA pri vyšetrovaniach

DPIA je jediný dokument, ktorý regulátor žiada ako prvý, keď sťažnosť týkajúca sa cookies dosiahne štádium formálneho vyšetrovania. Taliansky Garante, francúzsky CNIL, belgický APD a bavorský BayLDA otvárajú svoje procesné spisy žiadosťou o DPIA pokrývajúce príslušnú činnosť. Z nedávnych rozhodnutí vyplývajú tri vzory:

Neskoro vytvorené DPIA sa výrazne znižujú

DPIA datované po žiadosti regulátora nebude považované za dôkaz posúdenia pred spustením. Niekoľko rozhodnutí z roku 2025 explicitne poznamenalo, že dokument bol vytvorený post-hoc a zodpovedajúcim spôsobom ho zvážilo. DPIA musí predchádzať spusteniu spracúvania a metaúdaje dokumentu alebo história verzií by to mali objasniť.

Generické DPIA sa považujú za chýbajúce

Šablónové DPIA skopírované z portálu dodávateľa CMP bez analýzy špecifickej pre stránku je čoraz viac odmietané. Rozhodnutie Garante z roku 2025 proti talianskej vydavateľskej skupine uviedlo šesť z deviatich stránok v rozsahu a zistilo, že jedno spoločné DPIA pokrývajúce všetky z nich nespĺňa požiadavky Article 35.

Zmierňujúce opatrenia musia zodpovedať tomu, čo je skutočne nasadené

Ak DPIA popisuje 60-dňové uchovávanie cookies, ale nasadené cookies používajú životnosť 24 mesiacov, regulátor bude považovať DPIA za nepresné. Štvrťročný audit nasadenej konfigurácie voči popisu DPIA už nie je voliteľný.

Dávame to všetko dohromady

Pre väčšinu vydavateľov je praktická odpoveď rovnaká: DPIA je povinné, malo by byť vypracované pred spustením akéhokoľvek nového sledovania a malo by byť štvrťročne preskúmané voči nasadenej konfigurácii. Dokument nemusí byť dlhý, ale musí byť špecifický pre stránku, napísaný pred spustením, odsúhlasený DPO alebo dokumentovaným externým poradcom a zosúladený s tým, čo skutočne beží v produkcii. Vydavatelia, ktorí správne zvládnu tieto štyri body, premenia DPIA z bremena súladu na najsilnejšiu obranu, ktorú majú, keď sa regulátor príde pýtať.