குக்கீ ஒப்புதலுக்கான DPIA: வெளியீட்டாளர்கள் எப்போது தரவுப் பாதுகாப்பு தாக்க மதிப்பீட்டை இயக்க வேண்டும்
பெரும்பாலான வெளியீட்டாளர்கள் தரவுப் பாதுகாப்பு தாக்க மதிப்பீட்டை வேறு யாருக்கோ — தரவுப் பாதுகாப்பு அதிகாரி, வெளி ஆலோசகர், பயோமெட்ரிக்ஸைத் தொடும் அரிய பொறியியல் திட்டம் — ஒரு இணக்க பணியாக நினைக்கிறார்கள். உண்மையில் GDPR பெரும்பாலான ad-tech இயக்குநர்கள் உணர்வதை விட மிகவும் பரந்த தொகுப்பு செயல்பாடுகளுக்கு DPIA ஐ கோருகிறது, மேலும் பல குக்கீ-ஒப்புதல் மற்றும் நடத்தை-விளம்பர ஓட்டங்கள் நேரடியாக தூண்டுதலுக்குள் வருகின்றன. தணிக்கைகள் மற்றும் புகார் விசாரணைகளில் ஒழுங்குமுறையாளர்கள் இப்போது வெளியீட்டாளர்களிடம் கேட்கும் கேள்வி நேரடியானது: இந்த கண்காணிப்பைப் பயன்படுத்துவதற்கு முன் நீங்கள் ஒரு DPIA ஐ இயக்கினீர்களா, அதை எங்களுக்குக் காட்ட முடியுமா. இந்த வழிகாட்டி DPIA எப்போது கட்டாயம், அது என்ன கொண்டிருக்க வேண்டும், மற்றும் ஒழுங்குமுறையாளர் மதிப்பாய்வில் தாக்குப்பிடிக்கும் ஒன்றை எவ்வாறு உருவாக்குவது என்பதை விளக்குகிறது.
DPIA என்றால் என்ன, அது ஏன் இருக்கிறது
தரவுப் பாதுகாப்பு தாக்க மதிப்பீடு GDPR இன் கட்டுரை 35 இல் வரையறுக்கப்பட்டுள்ளது. இயற்கை நபர்களின் உரிமைகள் மற்றும் சுதந்திரங்களுக்கு அதிக ஆபத்தை விளைவிக்கக்கூடிய எந்த செயலாக்க செயல்பாட்டையும் தொடங்குவதற்கு முன் ஒரு கட்டுப்படுத்தி செய்ய வேண்டிய ஒரு ஆவணப்படுத்தப்பட்ட பகுப்பாய்வு இது. செயலாக்கத்தை விவரிக்க, அதன் தேவை மற்றும் விகிதாசாரத்தை மதிப்பிட, ஆபத்துகளை அடையாளம் காண, அவற்றைத் தணிக்க எடுக்கப்பட்ட நடவடிக்கைகளை ஆவணப்படுத்த DPIA கட்டுப்படுத்தியை கட்டாயப்படுத்துகிறது. எஞ்சிய ஆபத்து அதிகமாக இருந்தால், செயல்படுவதற்கு முன் கட்டுப்படுத்தி மேற்பார்வை அதிகாரத்துடன் ஆலோசிக்க வேண்டும்.
வெளியீட்டாளர்களுக்கு, DPIA என்பது ஒரு முறை சட்ட கலைப்பொருள் அல்ல. ஒரு குக்கீ அல்லது கண்காணிப்பு புகாரை விசாரிக்கும்போது ஒழுங்குமுறையாளர் கோரும் மைய ஆவணம் இது, மேலும் கட்டுரை 5(2) இன் கீழ் வெளியீட்டாளர் பொறுப்புணர்வை நிரூபிக்க முடியுமா என்பதை தீர்மானிக்கும் ஆவணம் இது. அது இல்லாமல், ஆதார சுமை உறுதியாக உங்களுக்கு எதிராக மாறுகிறது.
குக்கீ மற்றும் ஒப்புதல் ஓட்டங்களுக்கு DPIA எப்போது கட்டாயம்
கட்டுரை 35(3) மூன்று வெளிப்படையான DPIA தூண்டுதல்களை பட்டியலிடுகிறது. கட்டுரை 29 பணிக்குழு வழிகாட்டுதல்கள் (இப்போது EDPB ஆல் ஏற்றுக்கொள்ளப்பட்டது) ஒன்பது குறிக்கும் அளவுகோல்களின் பட்டியலைச் சேர்க்கின்றன. அந்த அளவுகோல்களில் எந்த இரண்டையும் பூர்த்தி செய்யும் ஒரு செயலாக்க செயல்பாடு DPIA தேவை என்று கருதப்படுகிறது. குக்கீ மற்றும் ad-tech ஓட்டங்களுக்கு மிகவும் தொடர்புடைய அளவுகோல்கள்:
- முறையான மற்றும் விரிவான மதிப்பீடு — விளம்பரம் மற்றும் உள்ளடக்க தனிப்பயனாக்கத்திற்கான சுயவிவரம் உட்பட.
- பெரிய அளவிலான செயலாக்கம் — தரவு அளவு, தரவு பொருள்களின் எண்ணிக்கை, புவியியல் அளவு மற்றும் கால அளவால் அளவிடப்படுகிறது. ஏழு-இலக்க மாதாந்திர பயனர்களைக் கொண்ட வெளியீட்டாளர் தளங்கள் கிட்டத்தட்ட எப்போதும் தகுதி பெறுகின்றன.
- தொழில்நுட்பத்தின் புதுமையான பயன்பாடு — கைரேகை, குறுக்கு-சாதன அடையாளம், கூட்டாட்சி கற்றல், கவன அளவீடு, AI-அடிப்படையிலான நடத்தை அனுமானம் ஆகியவற்றை உள்ளடக்கியது.
- இருப்பிடம் அல்லது நடத்தையின் கண்காணிப்பு — நடத்தை விளம்பரம் மற்றும் ரீடார்கெட்டிங்கால் நேரடியாக கைப்பற்றப்படுகிறது.
- தரவுத்தொகுப்புகளை இணைத்தல் அல்லது பொருத்துதல் — சர்வர்-பக்க செழுமைப்படுத்தல், அடையாள வரைபடங்கள், டேட்டா க்ளீன் ரூம்கள், வாடிக்கையாளர் தரவு தள தையல் உட்பட.
நடத்தை விளம்பரத்தைப் பயன்படுத்தும் மற்றும் ஒரு சில மூன்றாம் தரப்பு பிக்சல்களை விட அதிகமாக இயக்கும் ஒரு பொதுவான நடுத்தர-அடுக்கு வெளியீட்டாளர் தளம் இந்த அளவுகோல்களில் குறைந்தது மூன்றை ஒரே நேரத்தில் தாக்கும். DPIA தேவை என்ற அனுமானம், நடைமுறையில், கிட்டத்தட்ட ஒரு உறுதி. பல தேசிய DPA கள் தங்கள் சொந்த கட்டாய DPIA பட்டியல்களை வெளியிட்டுள்ளன; இத்தாலிய Garante, பிரெஞ்சு CNIL, மற்றும் ஜெர்மன் DSK அனைத்தும் நிரல்முறை விளம்பரம் மற்றும் குறுக்கு-தள சுயவிவரத்தை இயல்புநிலை DPIA தூண்டுதல்களாக பெயரிட்டுள்ளன.
DPIA ஆவணம் என்ன கொண்டிருக்க வேண்டும்
கட்டுரை 35(7) நான்கு கட்டாய உள்ளடக்கங்களை அமைக்கிறது. அவற்றில் ஏதேனும் ஒன்று இல்லாத ஒரு DPIA ஐ ஒழுங்குமுறையாளர்கள் முற்றிலும் செய்யப்படாததாக கருதுகிறார்கள்.
செயலாக்கத்தின் ஒரு முறையான விளக்கம்
இது ஒரு-பத்தி சுருக்கம் அல்ல. செயலாக்கப்படும் ஒவ்வொரு வகை தனிப்பட்ட தரவையும், ஒவ்வொரு நோக்கத்தையும், ஒவ்வொரு பெறுநரையும், ஒவ்வொரு தக்கவைப்பு காலத்தையும், ஒவ்வொரு எல்லை தாண்டிய மாற்றத்தையும் விளக்கம் உள்ளடக்க வேண்டும். ஒரு ad-tech ஓட்டத்திற்கு இது உங்கள் TCF சரத்தில் உள்ள ஒவ்வொரு விற்பனையாளரையும், ஒவ்வொருவரும் பெறும் தரவையும், ஒவ்வொன்றுக்கும் கோரப்பட்ட சட்டப்பூர்வ அடிப்படையையும் பட்டியலிடுவதைக் குறிக்கிறது. TCF v2.2 விற்பனையாளர் பட்டியலை நேரடியாக DPIA இணைப்பில் நகலெடுக்கும் வெளியீட்டாளர்கள் வேலை செய்யக்கூடிய ஆவணங்களை உருவாக்கியுள்ளனர்; அதை இரண்டு வாக்கியங்களில் சுருக்குபவர்கள் இல்லை.
தேவை மற்றும் விகிதாசாரத்தின் மதிப்பீடு
அதே நோக்கத்தை குறைவான தரவுடன் அல்லது தனிப்பட்ட-அல்லாத தரவுடன் அடைய முடியுமா என்று தேவை கேட்கிறது. ஒரு நடத்தை-விளம்பர ஓட்டத்திற்கு இது சூழல் விளம்பரம் அதே நோக்கத்திற்கு சேவை செய்யுமா என்பதை நேர்மையாக நிவர்த்தி செய்வதைக் குறிக்கிறது. EDPB கருத்து 28/2024 ஒரு DPIA சூழல் விளம்பரத்தை ஒரு வரியில் நிராகரிக்க முடியாது என்று வெளிப்படையாக கூறுகிறது — மாற்று கருதப்பட்டது என்பதை கட்டுப்படுத்தி நிரூபித்து அது ஏன் நிராகரிக்கப்பட்டது என்பதை விளக்க வேண்டும்.
தரவு பொருள்களுக்கான ஆபத்துகளின் மதிப்பீடு
ஆபத்து பகுப்பாய்வு சட்டவிரோத அணுகல், அங்கீகரிக்கப்படாத வெளிப்படுத்தல், மாற்றம், இழப்பு மற்றும் சுயவிவரத்தின் பரந்த சமூக ஆபத்துகள் — குளிர்விப்பு விளைவுகள், பாகுபாடு, பூட்டுதல் — ஆகியவற்றைக் கருத்தில் கொள்ள வேண்டும். அடையாளம் காணப்பட்ட ஒவ்வொரு ஆபத்துக்கும் மதிப்பீடு வாய்ப்பு, தீவிரம் மற்றும் தணிப்புகளுக்குப் பிறகான எஞ்சிய நிலையைக் குறிப்பிட வேண்டும்.
ஆபத்துகளை நிவர்த்தி செய்ய எடுக்கப்பட்ட நடவடிக்கைகள்
இங்குதான் ஒப்புதல் மேலாண்மை தளம் DPIA இல் தோன்றுகிறது. நுணுக்கமான ஒப்புதல் பிடிப்பு, விற்பனையாளர்-வாரியாக விலகல், எளிதான திரும்பப்பெறுதல், தக்கவைப்பு வரம்புகள், போக்குவரத்தில் மற்றும் ஓய்வில் குறியாக்கம், தரவு செயலிகள் மீதான ஒப்பந்த பாதுகாப்புகள் — ஒவ்வொரு நடவடிக்கையும் ஒரு குறிப்பிட்ட அடையாளம் காணப்பட்ட ஆபத்துடன் இணைக்கப்பட வேண்டும். வெளியீட்டாளர் ஒரு CMP ஐப் பயன்படுத்துகிறார் என்ற பொதுவான அறிக்கை ஒரு நடவடிக்கை அல்ல.
தரவுப் பாதுகாப்பு அதிகாரியின் பாத்திரம்
கட்டுரை 35(2) ஒரு DPIA ஐ மேற்கொள்ளும்போது DPO இன் ஆலோசனையைப் பெற கட்டுப்படுத்தியைக் கோருகிறது. நியமிக்கப்பட்ட DPO உள்ள வெளியீட்டாளர்களுக்கு இது நேரடியானது. அது இல்லாத சிறிய வெளியீட்டாளர்களுக்கு, DPIA இன்னும் செய்யப்படலாம் ஆனால் ஆவணப்படுத்தப்பட்ட வெளி ஆலோசனையுடன் — வெளி ஆலோசகர், ஒரு தொழில்துறை ஆலோசகர் அல்லது ஒரு CMP விற்பனையாளரின் இணக்கக் குழு — மேற்கொள்ளப்பட வேண்டும். DPO இன் பாத்திரம் கட்டுப்படுத்தியின் தேவை பகுப்பாய்வை சவால் செய்வது, அதை ரப்பர்-ஸ்டாம்ப் செய்வது அல்ல.
முன் ஆலோசனை எப்போது தேவை
கட்டுப்படுத்தி தணிக்க முடியாத அதிக ஆபத்தை செயலாக்கம் விளைவிக்கும் என்று DPIA காட்டும்போது மேற்பார்வை அதிகாரத்துடன் முன் ஆலோசனையை கட்டுரை 36 கோருகிறது. நடைமுறையில் இது குக்கீ மற்றும் ஒப்புதல் ஓட்டங்களுக்கு அரிது — பெரும்பாலான ஆபத்துகள் நுணுக்கமான ஒப்புதல், விற்பனையாளர் குறைப்பு, தக்கவைப்பு வரம்புகள் மற்றும் ஒப்பந்த பாதுகாப்புகள் மூலம் தணிக்கப்படலாம். ஆனால் அது பூஜ்ஜியம் அல்ல. 2024 மற்றும் 2025 இல் முன் ஆலோசனையைத் தூண்டிய இரண்டு வழக்குகள்: TCF ஒருங்கிணைப்பு இல்லாமல் பயன்படுத்தப்பட்ட ஒரு கைரேகை-அடிப்படையிலான அடையாளங்காட்டி, மற்றும் first-party தரவை மூன்றாம் தரப்பு தரவு தரகர்களுடன் இணைத்த ஒரு குறுக்கு-சாதன அடையாள வரைபடம். இந்த வடிவங்களில் ஏதேனும் ஒன்றை ஆராயும் வெளியீட்டாளர்கள் ஆறு முதல் பன்னிரண்டு வாரங்கள் ஆலோசனை காலக்கெடுவை திட்டமிட வேண்டும்.
விசாரணைகளில் ஒழுங்குமுறையாளர்கள் DPIA ஐ எவ்வாறு பயன்படுத்துகிறார்கள்
ஒரு குக்கீ புகார் முறையான விசாரணை கட்டத்தை அடையும்போது ஒழுங்குமுறையாளர் முதலில் கேட்கும் ஒரே ஆவணம் DPIA. இத்தாலிய Garante, பிரெஞ்சு CNIL, பெல்ஜிய APD மற்றும் பவேரிய BayLDA அனைத்தும் கேள்விக்குரிய செயல்பாட்டை உள்ளடக்கிய DPIA க்கான கோரிக்கையுடன் தங்கள் நடைமுறை கோப்புகளைத் திறக்கின்றன. சமீபத்திய முடிவுகளிலிருந்து மூன்று வடிவங்கள் வெளிப்படுகின்றன:
தாமதமாக உருவாக்கப்பட்ட DPIA கள் கடுமையாக தள்ளுபடி செய்யப்படுகின்றன
ஒழுங்குமுறையாளரின் கோரிக்கைக்குப் பிறகு தேதியிட்ட DPIA, முன்-தொடக்க மதிப்பீட்டின் சான்றாக கருதப்படாது. ஆவணம் பிற்போக்காக உருவாக்கப்பட்டது என்று பல 2025 முடிவுகள் வெளிப்படையாகக் குறிப்பிட்டு அதற்கேற்ப எடைபோட்டன. DPIA செயலாக்கத்தின் தொடக்கத்திற்கு முன்னதாக இருக்க வேண்டும், மேலும் ஆவணத்தின் மெட்டாடேட்டா அல்லது பதிப்பு வரலாறு அதை தெளிவாக்க வேண்டும்.
பொதுவான DPIA கள் இல்லாததாக கருதப்படுகின்றன
தள-குறிப்பிட்ட பகுப்பாய்வு இல்லாமல் ஒரு CMP விற்பனையாளரின் போர்ட்டலிலிருந்து நகலெடுக்கப்பட்ட ஒரு வார்ப்புரு DPIA பெருகிய முறையில் நிராகரிக்கப்படுகிறது. ஒரு இத்தாலிய வெளியீட்டுக் குழுவிற்கு எதிரான 2025 Garante முடிவு ஒன்பது தளங்களில் ஆறை எல்லைக்குள் பெயரிட்டது, மேலும் அவை அனைத்தையும் உள்ளடக்கிய ஒற்றை பகிரப்பட்ட DPIA கட்டுரை 35 ஐ பூர்த்தி செய்யவில்லை என்று கண்டறிந்தது.
தணிப்பு நடவடிக்கைகள் உண்மையில் பயன்படுத்தப்பட்டதுடன் பொருந்த வேண்டும்
DPIA ஒரு 60-நாள் குக்கீ தக்கவைப்பை விவரித்தால் ஆனால் பயன்படுத்தப்பட்ட குக்கீகள் 24-மாத ஆயுட்காலத்தைப் பயன்படுத்தினால், ஒழுங்குமுறையாளர் DPIA ஐ துல்லியமற்றதாக கருதுவார். DPIA விளக்கத்திற்கு எதிராக பயன்படுத்தப்பட்ட கட்டமைப்பின் காலாண்டு தணிக்கை இனி விருப்பமானதல்ல.
ஒன்றாக இணைத்தல்
பெரும்பாலான வெளியீட்டாளர்களுக்கு நடைமுறை பதில் ஒன்றே: DPIA தேவை, எந்த புதிய கண்காணிப்பும் தொடங்குவதற்கு முன் அது வரையப்பட வேண்டும், மேலும் அது பயன்படுத்தப்பட்ட கட்டமைப்பிற்கு எதிராக காலாண்டுக்கு ஒருமுறை மதிப்பாய்வு செய்யப்பட வேண்டும். ஆவணம் நீளமாக இருக்க வேண்டியதில்லை, ஆனால் அது தளத்திற்கு குறிப்பிட்டதாக இருக்க வேண்டும், தொடக்கத்திற்கு முன் எழுதப்பட்டிருக்க வேண்டும், DPO அல்லது ஆவணப்படுத்தப்பட்ட வெளி ஆலோசகரால் கையொப்பமிடப்பட்டிருக்க வேண்டும், மேலும் உற்பத்தியில் உண்மையில் இயங்குவதுடன் சீரமைக்கப்பட்டிருக்க வேண்டும். அந்த நான்கு புள்ளிகளையும் சரியாகப் பெறும் வெளியீட்டாளர்கள் DPIA ஐ ஒரு இணக்க சுமையிலிருந்து ஒரு ஒழுங்குமுறையாளர் கேட்க வரும்போது அவர்களிடம் உள்ள வலுவான பாதுகாப்பாக மாற்றுகிறார்கள்.