DPIA за сагласност за колачиће: Када издавачи морају да спроведу процену утицаја на заштиту података
Већина издавача сматра процену утицаја на заштиту података задатком усаглашености за некога другог — службеника за заштиту података, спољног правног саветника, ретки инжењерски пројекат који се бави биометријом. У стварности, GDPR захтева DPIA за много шири скуп активности него што већина оператера ad-tech схвата, а многи токови сагласности за колачиће и бихевиоралног оглашавања директно спадају у окидач. Питање које регулатори сада постављају издавачима у ревизијама и истрагама жалби је директно: да ли сте спровели DPIA пре него што сте применили ово праћење, и можете ли нам га показати. Овај водич објашњава када је DPIA обавезна, шта мора да садржи и како да произведете такву која издржи регулаторни преглед.
Шта је DPIA и зашто постоји
Процена утицаја на заштиту података дефинисана је у Члану 35 GDPR-а. То је документована анализа коју контролор мора да изврши пре покретања било које операције обраде која би вероватно резултирала великим ризиком по права и слободе физичких лица. DPIA присиљава контролора да опише обраду, процени њену нужност и пропорционалност, идентификује ризике и документује мере предузете за њихово ублажавање. Ако остатак ризика остане висок, контролор мора да консултује надзорни орган пре него што крене у рад.
За издаваче, DPIA није само правни артефакт. То је централни документ који ће регулатор захтевати када истражује жалбу на колачиће или праћење, и то је документ који одређује да ли издавач може да докаже одговорност у складу са Чланом 5(2). Без ње, терет доказивања се одлучно окреће против вас.
Када је DPIA обавезна за токове колачића и сагласности
Члан 35(3) наводи три изричита покретача DPIA. Смернице Article 29 Working Party (које је сада усвојио EDPB) додају листу девет индикативних критеријума. Претпоставља се да активност обраде која испуњава два од тих критеријума захтева DPIA. За токове колачића и ad-tech, најрелевантнији критеријуми су:
- Систематска и свеобухватна процена — укључујући профилисање за оглашавање и персонализацију садржаја.
- Обрада у великом обиму — мерена обимом података, бројем субјеката података, географским обухватом и трајањем. Сајтови издавача са милионима месечних корисника скоро увек испуњавају услове.
- Иновативна употреба технологије — обухвата отиске прстију, идентификацију на различитим уређајима, федерално учење, мерење пажње, AI бихевиоралне закључке.
- Праћење локације или понашања — директно обухваћено бихевиоралним оглашавањем и ретаргетирањем.
- Комбиновање или упаривање скупова података — укључујући обогаћивање на страни сервера, графиконе идентитета, собе за чишћење података, спајање платформи за податке о купцима.
Типичан сајт издавача средњег нивоа који користи бихевиорално оглашавање и покреће више од неколико пиксела трећих страна испуниће најмање три од ових критеријума истовремено. Претпоставка да је DPIA потребна је, у пракси, скоро извесност. Неколико националних DPA-а је објавило сопствене обавезне листе DPIA; Italian Garante, French CNIL и German DSK су именовали програматско оглашавање и профилисање на различитим сајтовима као подразумеване окидаче DPIA.
Шта документ DPIA мора да садржи
Члан 35(7) одређује четири обавезна садржаја. DPIA у којoj недостаје неки од њих третира се од стране регулатора као да није ни извршена.
Систематски опис обраде
Ово није сажетак од једног пасуса. Опис мора да обухвата сваку категорију личних података који се обрађују, сваку сврху, сваког примаоца, свако obdoblje чувања и сваки прекогранични пренос. За ad-tech ток, ово значи навести сваког продавца у вашем TCF стрингу, податке које сваки прима и правни основ тврђен за сваки. Издавачи који директно копирају листу продавца TCF v2.2 у апендикс DPIA произвели су употребљиве документе; они који то сумирају у две реченице нису.
Процена нужности и пропорционалности
Нужност пита да ли се иста сврха може постићи са мање података или са неличним подацима. За ток бихевиоралног оглашавања, ово значи искрено разматрање да ли би контекстуално оглашавање служило истој сврси. EDPB Opinion 28/2024 је јасно да DPIA не може да одбаци контекстуално оглашавање у једном реду — контролор мора да докаже да је алтернатива разматрана и да објасни зашто је одбачена.
Процена ризика по субјекте података
Анализа ризика мора узети у обзир незаконити приступ, неовлашћено откривање, измену, губитак и шире друштвене ризике профилисања — ефекте застрашивања, дискриминацију, закључавање. За сваки идентификовани ризик, процена мора навести вероватноћу, озбиљност и преостали ниво после ублажавања.
Мере предузете за решавање ризика
Овде се платформа за управљање сагласношћу pojavljuje у DPIA. Детаљно прикупљање сагласности, одјава по продавцу, лако повлачење, ограничења задржавања, шифровање у транзиту и у мировању, уговорне гаранције за обрађиваче података — свака мера мора бити повезана са специфичним идентификованим ризиком. Генеричка изјава да издавач користи CMP није мера.
Улога службеника за заштиту података
Члан 35(2) захтева да контролор тражи савет DPO-а при спровођењу DPIA. За издаваче са именованим DPO-ом ово је једноставно. За мање издаваче без DPO-а, DPIA се и даље може спровести, али мора бити изведена уз документован спољни савет — спољни правни саветник, индустријски консултант или тим за усаглашеност добављача CMP-а. Улога DPO-а је да оспори анализу нужности контролора, а не да је само одобри.
Када је потребна претходна консултација
Члан 36 захтева претходну консултацију са надзорним органом када DPIA показује да би обрада резултирала великим ризиком који контролор не може да ублажи. У пракси, ово је ретко за токове колачића и сагласности — већину ризика могуће је ублажити детаљном сагласношћу, смањењем продаваца, ограничењима задржавања и уговорним гаранцијама. Али није нула. Два случаја која су покренула претходну консултацију 2024. и 2025. године: идентификатор заснован на отиску прстију примењен без TCF интеграције, и граф идентитета на различитим уређајима који је комбиновао податке прве стране са посредницима података трећих страна. Издавачи који истражују неки од ових образаца треба да планирају консултациони временски оквир од шест до дванаест недеља.
Како регулатори користе DPIA у истрагама
DPIA је јединствени документ који регулатор прво тражи када жалба на колачиће достигне фазу формалне истраге. Italian Garante, French CNIL, Belgian APD и Bavarian BayLDA сви отварају своје процедуралне досијее захтевом за DPIA-у која покрива активност о којој је реч. Три обрасца произилазе из недавних одлука:
Накнадно произведене DPIA-е се веома умањују
DPIA датирана после захтева регулатора неће бити третирана као доказ процене пре покретања. Неколико одлука из 2025. године је изричито забележило да је документ накнадно креиран и то одмерило у складу са тим. DPIA мора претходити покретању обраде, и метаподаци документа или историја верзија треба да то јасно покажу.
Генеричке DPIA-е се третирају као недостајуће
Шаблонска DPIA копирана са портала добављача CMP-а без анализе специфичне за сајт се све више одбија. Одлука Garante-а из 2025. против групе италијанских издавача именовала је шест од девет сајтова у оквиру обима и утврдила да јединствена заједничка DPIA која покрива све њих не задовољава Члан 35.
Мере ублажавања морају одговарати ономе што је стварно примењено
Ако DPIA описује задржавање колачића 60 дана, али примењени колачићи имају животни век 24 месеца, регулатор ће третирати DPIA kao нетачну. Квартална ревизија примењене конфигурације у поређењу са описом DPIA више није опциона.
Спајање свега заједно
За већину издавача, практичан одговор је исти: потребна је DPIA, треба је израдити пре покретања новог праћења и треба је прегледати квартално у поређењу са примењеном конфигурацијом. Документ не мора бити дугачак, али мора бити специфичан за сајт, написан пре покретања, потписан од стране DPO-а или документованог спољног саветника и усклађен са оним što стварно ради у производном окружењу. Издавачи који правилно схвате ових четири тачке претварају DPIA из терета усаглашености у најснажнију одбрану коју имају када регулатор дође с питањима.