Kaj je DPIA in zakaj obstaja

Ocena učinkov na varstvo podatkov je opredeljena v členu 35 GDPR. Gre za dokumentirano analizo, ki jo mora upravljavec izvesti pred začetkom kakršnega koli postopka obdelave, ki bi verjetno povzročil visoko tveganje za pravice in svoboščine fizičnih oseb. DPIA prisili upravljavca, da opiše obdelavo, oceni njeno nujnost in sorazmernost, identificira tveganja in dokumentira ukrepe za njihovo zmanjšanje. Če preostalo tveganje ostane visoko, mora upravljavec pred zagonom posvetovati z nadzornim organom.

Za založnike DPIA ni enkraten pravni artefakt. Je osrednji dokument, ki ga bo regulator zahteval pri preiskavi pritožbe v zvezi s piškotki ali sledenjem, in je dokument, ki določa, ali lahko založnik izkaže odgovornost v skladu s členom 5(2). Brez njega se dokazno breme odločno obrne proti vam.

Kdaj je DPIA obvezna za postopke piškotkov in soglasij

Člen 35(3) navaja tri izrecne sprožilce DPIA. Smernice Article 29 Working Party (zdaj sprejete s strani EDPB) dodajajo seznam devetih indikativnih meril. Predpostavlja se, da dejavnost obdelave, ki izpolnjuje kateri koli dve od teh meril, zahteva DPIA. Za postopke piškotkov in ad-tech so najpomembnejša merila:

• Sistematično in obsežno vrednotenje — vključno s profiliranjem za oglaševanje in personalizacijo vsebine.
• Obdelava v velikem obsegu — merjena po obsegu podatkov, številu posameznikov, na katere se nanašajo podatki, geografskem obsegu in trajanju. Spletna mesta založnikov z mesečnimi uporabniki v sedemmestnih številkah se skoraj vedno kvalificirajo.
• Inovativna uporaba tehnologije — zajema zbiranje prstnih odtisov, identifikacijo med napravami, federated learning, merjenje pozornosti, vedenjsko sklepanje na osnovi AI.
• Sledenje lokaciji ali vedenju — neposredno zajeto z vedenjskim oglaševanjem in ponovnim ciljanjem.
• Kombiniranje ali ujemanje zbirk podatkov — vključno z obogatitvijo na strani strežnika, grafi identitete, data clean rooms, povezovanjem platform za podatke o strankah.

Tipično spletno mesto srednje velikega založnika, ki uporablja vedenjsko oglaševanje in poganja več pikslov tretjih oseb, bo hkrati izpolnjevalo vsaj tri od teh meril. Predpostavka, da je DPIA potrebna, je v praksi skoraj gotovost. Več nacionalnih nadzornih organov je objavilo svoje lastne obvezne sezname DPIA; italijanski Garante, francoski CNIL in nemški DSK so vsi imenovali programatično oglaševanje in profiliranje med spletnimi mesti kot privzete sprožilce DPIA.

Kaj mora vsebovati dokument DPIA

Člen 35(7) določa štiri obvezne vsebine. DPIA, ki ji manjka katera koli od njih, regulatorji obravnavajo, kot da sploh ni bila izvedena.

Sistematičen opis obdelave

To ni povzetek enega odstavka. Opis mora zajemati vsako kategorijo obdelanih osebnih podatkov, vsak namen, vsakega prejemnika, vsako obdobje hrambe in vsak čezmejni prenos. Za postopek ad-tech to pomeni navedbo vsakega prodajalca v vašem nizu TCF, podatkov, ki jih vsak prejme, in zahtevane pravne podlage za vsakega. Založniki, ki kopirajo seznam prodajalcev TCF v2.2 neposredno v prilogo DPIA, so sestavili uporabne dokumente; tisti, ki ga povzamejo v dveh stavkih, tega niso storili.

Ocena nujnosti in sorazmernosti

Nujnost se sprašuje, ali je mogoče doseči isti namen z manj podatki ali z neosebnimi podatki. Za postopek vedenjskega oglaševanja to pomeni pošteno obravnavo vprašanja, ali bi kontekstualno oglaševanje služilo istemu namenu. EDPB Opinion 28/2024 izrecno navaja, da DPIA ne sme zavrniti kontekstualnega oglaševanja v eni vrstici — upravljavec mora dokazati, da je bila alternativa upoštevana, in pojasniti, zakaj je bila zavrnjena.

Ocena tveganj za posameznike, na katere se nanašajo podatki

Analiza tveganj mora upoštevati nezakonit dostop, nepooblaščeno razkritje, spremembo, izgubo in širša socialna tveganja profiliranja — odvračilni učinki, diskriminacija, zaklenjenost. Za vsako identificirano tveganje mora ocena navesti verjetnost, resnost in preostalo raven po blažilnih ukrepih.

Ukrepi, sprejeti za obravnavo tveganj

Tu se v DPIA pojavi platforma za upravljanje soglasij. Podrobno zajemanje soglasij, zavrnitev za vsakega prodajalca posebej, enostavna umik, omejitve hrambe, šifriranje med prenosom in v mirovanju, pogodbena jamstva za obdelovalce podatkov — vsak ukrep mora biti vezan na specifično identificirano tveganje. Splošna izjava, da založnik uporablja CMP, ni ukrep.

Vloga pooblaščene osebe za varstvo podatkov

Člen 35(2) zahteva, da upravljavec pri izvajanju DPIA zaprosi za nasvet DPO. Za založnike z imenovanim DPO je to preprosto. Za manjše založnike brez njega je DPIA še vedno mogoče izvesti, vendar mora biti izvedena z dokumentiranim zunanjim nasvetom — zunanjo pravno svetovalnico, industrijskim svetovalcem ali ekipo za skladnost ponudnika CMP. Vloga DPO je izpodbijati analizo nujnosti upravljavca, ne pa jo formalno potrditi.

Kdaj je potrebno predhodno posvetovanje

Člen 36 zahteva predhodno posvetovanje z nadzornim organom, kadar DPIA pokaže, da bi obdelava povzročila visoko tveganje, ki ga upravljavec ne more zmanjšati. V praksi je to za postopke piškotkov in soglasij redko — večino tveganj je mogoče zmanjšati z granularnim soglasjem, zmanjšanjem prodajalcev, omejitvami hrambe in pogodbenimi jamstvi. A ni nič. Dva primera, ki sta sprožila predhodno posvetovanje v 2024 in 2025: identifikator na osnovi prstnih odtisov, uveden brez integracije TCF, in graf identitete med napravami, ki je kombiniral podatke prve strani s posredniki podatkov tretjih oseb. Založniki, ki preučujejo kateri koli vzorec, naj načrtujejo časovnico posvetovanja od šest do dvanajst tednov.

Kako regulatorji uporabljajo DPIA pri preiskavah

DPIA je edini dokument, ki ga regulator najprej zahteva, ko pritožba glede piškotkov doseže stopnjo formalne preiskave. Italijanski Garante, francoski CNIL, belgijski APD in bavarski BayLDA vsi odpirajo svoje postopkovne spise z zahtevo po DPIA, ki pokriva zadevno dejavnost. Iz nedavnih odločitev izhajajo trije vzorci:

Pozno sestavljene DPIA so močno razvrednotene

DPIA, datirana po zahtevi regulatorja, ne bo obravnavana kot dokaz ocene pred zagonom. Več odločitev iz leta 2025 je izrecno opazilo, da je bil dokument ustvarjen post-hoc in ga ustrezno ovrednotilo. DPIA mora biti pred zagonom obdelave, metapodatki dokumenta ali zgodovina različic pa bi morali to jasno pokazati.

Generične DPIA so obravnavane kot manjkajoče

Predloga DPIA, kopirana s portala ponudnika CMP brez analize, specifične za spletno mesto, je vedno pogosteje zavrnjena. Odločba Garante iz leta 2025 proti italijanski skupini založnikov je imenovala šest od devetih spletnih mest v obsegu in ugotovila, da en sam skupen DPIA, ki je pokril vse, ne zadosti zahtevam člena 35.

Blažilni ukrepi morajo ustrezati temu, kar je dejansko uvedeno

Če DPIA opisuje 60-dnevno hrambo piškotkov, a uvedeni piškotki uporabljajo življenjsko dobo 24 mesecev, bo regulator obravnaval DPIA kot netočno. Četrtletna revizija uvedene konfiguracije v primerjavi z opisom DPIA ni več izbirna.

Vse skupaj

Za večino založnikov je praktičen odgovor enak: DPIA je obvezna, sestaviti jo je treba pred uvedbo vsakega novega sledenja in četrtletno preveriti glede na uvedeno konfiguracijo. Dokumentu ni treba biti dolg, mora pa biti specifičen za spletno mesto, napisan pred zagonom, odobren s strani DPO ali dokumentiranega zunanjega svetovalca ter usklajen s tistim, kar dejansko deluje v produkciji. Založniki, ki te štiri točke pravilno uredijo, spremenijo DPIA iz bremena skladnosti v najmočnejšo obrambo, ki jo imajo, ko pride regulator z vprašanji.