Vad en DPIA är och varför den finns

Konsekvensbedömningen avseende dataskydd definieras i Artikel 35 i GDPR. Det är en dokumenterad analys som en personuppgiftsansvarig måste utföra innan en behandlingsoperation påbörjas som sannolikt resulterar i hög risk för fysiska personers rättigheter och friheter. DPIA tvingar den personuppgiftsansvarige att beskriva behandlingen, bedöma dess nödvändighet och proportionalitet, identifiera risker och dokumentera de åtgärder som vidtagits för att minska dem. Om kvarstående risk förblir hög måste den personuppgiftsansvarige samråda med tillsynsmyndigheten innan lansering.

För utgivare är DPIA inte ett engångsdokument. Det är det centrala dokumentet som en tillsynsmyndighet begär när en cookie- eller spårningsklagomål når det formella utredningsstadiet, och det är dokumentet som avgör om utgivaren kan visa ansvarsskyldighet enligt Artikel 5(2). Utan ett sådant dokument skiftar bevisbördan avgörande mot dig.

När en DPIA är obligatorisk för cookie- och samtyckesflöden

Artikel 35(3) listar tre uttryckliga DPIA-utlösare. Riktlinjerna från Article 29 Working Party (nu antagna av EDPB) lägger till en lista med nio vägledande kriterier. En behandlingsaktivitet som uppfyller minst två av dessa kriterier presumeras kräva en DPIA. För cookie- och ad-tech-flöden är de mest relevanta kriterierna:

• Systematisk och omfattande utvärdering — inklusive profilering för annonsering och innehållspersonalisering.
• Storskalig behandling — mätt efter datavolym, antal registrerade, geografisk räckvidd och varaktighet. Utgivarwebbplatser med miljontals månadsanvändare kvalificerar sig nästan alltid.
• Innovativ användning av teknik — täcker fingeravtryckstagning, identifiering över enheter, federerad inlärning, uppmärksamhetsmätning, AI-baserade beteendemässiga slutledningar.
• Spårning av plats eller beteende — direkt fångat av beteendebaserad annonsering och omriktning.
• Kombinering eller matchning av datamängder — inklusive serversidig berikning, identitetsgrafer, datarenrum, kunddata-plattformssammanfogning.

En typisk utgivarwebbplats på mellannivå som använder beteendebaserad annonsering och kör fler än ett fåtal tredjepartspixlar uppfyller minst tre av dessa kriterier samtidigt. Presumtionen att en DPIA krävs är i praktiken nästan en säkerhet. Flera nationella DPA:er har publicerat sina egna obligatoriska DPIA-listor; Italian Garante, French CNIL och German DSK har alla namngivit programmatisk annonsering och spårning över webbplatser som standard-DPIA-utlösare.

Vad DPIA-dokumentet måste innehålla

Artikel 35(7) fastställer fyra obligatoriska innehåll. En DPIA som saknar något av dem behandlas av tillsynsmyndigheter som att den inte har utförts alls.

En systematisk beskrivning av behandlingen

Detta är inte en sammanfattning på ett stycke. Beskrivningen måste täcka varje kategori av personuppgifter som behandlas, varje ändamål, varje mottagare, varje lagringsperiod och varje gränsöverskridande överföring. För ett ad-tech-flöde innebär detta att lista varje leverantör i din TCF-sträng, de uppgifter var och en tar emot och den rättsliga grunden som görs gällande för var och en. Utgivare som kopierar TCF v2.2-leverantörslistan direkt till DPIA-bilagan har producerat användbara dokument; de som sammanfattar det i två meningar har inte gjort det.

En bedömning av nödvändighet och proportionalitet

Nödvändighet frågar om samma ändamål kan uppnås med färre uppgifter eller med icke-personuppgifter. För ett beteendebaserat reklamflöde innebär detta att ärligt ta itu med om kontextuell annonsering skulle tjäna samma ändamål. EDPB Opinion 28/2024 är tydlig på att en DPIA inte kan avfärda kontextuell annonsering på en enda rad — den personuppgiftsansvarige måste visa att alternativet övervägdes och förklara varför det avvisades.

En bedömning av risker för registrerade

Riskanalysen måste beakta olaglig åtkomst, otillåtet utlämnande, ändring, förlust och de bredare sociala riskerna med profilering — hämmande effekter, diskriminering, inlåsning. För varje identifierad risk måste bedömningen ange sannolikhet, allvarlighetsgrad och kvarstående nivå efter begränsningsåtgärder.

De åtgärder som vidtagits för att hantera riskerna

Det är här samtyckeshanteringsplattformen framträder i DPIA. Granulär samtyckesinhämtning, leverantörsvis avanmälan, enkel återkallelse, lagringslagringsgränser, kryptering under överföring och i vila, avtalsmässiga skyddsåtgärder för personuppgiftsbiträden — varje åtgärd måste kopplas till en specifik identifierad risk. Ett generiskt uttalande om att utgivaren använder en CMP är inte en åtgärd.

Dataskyddsombudets roll

Artikel 35(2) kräver att den personuppgiftsansvarige inhämtar råd från DPO när en DPIA genomförs. För utgivare med ett utsett DPO är detta enkelt. För mindre utgivare utan ett sådant kan DPIA fortfarande utföras men måste genomföras med dokumenterad extern rådgivning — extern juridisk rådgivare, branschkonsult eller CMP-leverantörens efterlevnadsteam. DPO:s roll är att utmana den personuppgiftsansvariges nödvändighetsanalys, inte att stämpla den.

När förhandssamråd krävs

Artikel 36 kräver förhandssamråd med tillsynsmyndigheten när DPIA visar att behandlingen skulle resultera i en hög risk som den personuppgiftsansvarige inte kan minska. I praktiken är detta sällsynt för cookie- och samtyckesflöden — de flesta risker kan minskas genom granulär samtycke, leverantörsminskning, lagringslagringslagringsgränser och avtalsmässiga skyddsåtgärder. Men det är inte noll. Två fall som utlöst förhandssamråd 2024 och 2025: ett fingeravtrycksbaserat identifierare distribuerat utan TCF-integration, och en identitetsgraf för enheter som kombinerade förstapartsdata med tredjepartsdatamäklare. Utgivare som utforskar något av dessa mönster bör planera för en konsultationstidslinje på sex till tolv veckor.

Hur tillsynsmyndigheter använder DPIA i utredningar

DPIA är det enda dokument som en tillsynsmyndighet begär först när ett cookie-klagomål når det formella utredningsstadiet. Italian Garante, French CNIL, Belgian APD och Bavarian BayLDA öppnar alla sina procedurella ärenden med en begäran om DPIA:n som täcker den aktuella aktiviteten. Tre mönster framträder från nyliga beslut:

Sent producerade DPIA:er diskonteras kraftigt

En DPIA daterad efter tillsynsmyndighetens begäran behandlas inte som bevis på bedömning före lansering. Flera 2025-beslut har uttryckligen noterat att dokumentet skapades i efterhand och vägt det i enlighet med detta. DPIA måste föregå lanseringen av behandlingen, och dokumentets metadata eller versionshistorik bör göra det tydligt.

Generiska DPIA:er behandlas som saknade

En mall-DPIA kopierad från en CMP-leverantörs portal utan webbplatsspecifik analys avvisas alltmer. Garantes 2025-beslut mot en italiensk utgivargrupp namngav sex av de nio webbplatserna i omfånget och konstaterade att en enda gemensam DPIA som täckte dem alla inte uppfyllde Artikel 35.

Begränsningsåtgärderna måste matcha det som faktiskt är distribuerat

Om DPIA beskriver 60 dagars cookie-lagring men de distribuerade kakorna använder en 24-månaders livstid, kommer tillsynsmyndigheten att behandla DPIA:n som felaktig. Kvartalsvisa revisioner av den distribuerade konfigurationen mot DPIA-beskrivningen är inte längre valfri.

Att sätta ihop det

För de flesta utgivare är det praktiska svaret detsamma: en DPIA krävs, den bör upprättas innan ny spårning lanseras och bör ses över kvartalsvis mot den distribuerade konfigurationen. Dokumentet behöver inte vara långt, men det måste vara specifikt för webbplatsen, skrivet före lansering, undertecknat av DPO eller dokumenterad extern rådgivare och anpassat till vad som faktiskt körs i produktion. Utgivare som får dessa fyra punkter rätt förvandlar DPIA från en efterlevnadsbörda till det starkaste försvaret de har när en tillsynsmyndighet kommer med frågor.