การปฏิบัติตามกฎระเบียบ13 มิถุนายน 2569 | FlexyConsent

DPIA สำหรับความยินยอมคุกกี้: เมื่อใดที่ผู้เผยแพร่ต้องดำเนินการประเมินผลกระทบด้านการคุ้มครองข้อมูล

ผู้เผยแพร่ส่วนใหญ่มองว่าการประเมินผลกระทบด้านการคุ้มครองข้อมูลเป็นงานด้านการปฏิบัติตามกฎระเบียบสำหรับผู้อื่น ได้แก่ เจ้าหน้าที่คุ้มครองข้อมูล ที่ปรึกษาทางกฎหมายภายนอก หรือโครงการวิศวกรรมที่หายากซึ่งเกี่ยวข้องกับข้อมูลชีวมาตร ในความเป็นจริง GDPR กำหนดให้มี DPIA สำหรับกิจกรรมที่กว้างกว่าที่ผู้ดำเนินการ ad-tech ส่วนใหญ่ตระหนัก และขั้นตอนความยินยอมคุกกี้และการโฆษณาตามพฤติกรรมหลายรายการตกอยู่ภายในขอบเขตของการกระตุ้นโดยตรง คำถามที่หน่วยงานกำกับดูแลถามผู้เผยแพร่ในการตรวจสอบและการสอบสวนข้อร้องเรียนในขณะนี้คือ: คุณดำเนิน DPIA ก่อนที่จะติดตั้งการติดตามนี้หรือไม่ และคุณสามารถแสดงให้เราดูได้หรือไม่ คู่มือนี้อธิบายว่าเมื่อใด DPIA จำเป็น เอกสารต้องมีอะไรบ้าง และวิธีสร้างเอกสารที่ผ่านการตรวจสอบของหน่วยงานกำกับดูแล

DPIA คืออะไรและเหตุใดจึงมีอยู่

การประเมินผลกระทบด้านการคุ้มครองข้อมูลถูกกำหนดไว้ใน Article 35 ของ GDPR เป็นการวิเคราะห์ที่บันทึกไว้ซึ่งผู้ควบคุมต้องดำเนินการก่อนเริ่มการดำเนินการประมวลผลใด ๆ ที่มีแนวโน้มว่าจะส่งผลให้เกิดความเสี่ยงสูงต่อสิทธิและเสรีภาพของบุคคลธรรมดา DPIA บังคับให้ผู้ควบคุมอธิบายการประมวลผล ประเมินความจำเป็นและความสมดุล ระบุความเสี่ยง และบันทึกมาตรการที่ใช้ในการลดความเสี่ยง หากความเสี่ยงที่เหลืออยู่ยังคงสูง ผู้ควบคุมต้องปรึกษาหน่วยงานกำกับดูแลก่อนดำเนินการ

สำหรับผู้เผยแพร่ DPIA ไม่ใช่เอกสารทางกฎหมายครั้งเดียว แต่เป็นเอกสารหลักที่หน่วยงานกำกับดูแลจะขอเมื่อสอบสวนข้อร้องเรียนเกี่ยวกับคุกกี้หรือการติดตาม และเป็นเอกสารที่กำหนดว่าผู้เผยแพร่สามารถแสดงความรับผิดชอบภายใต้ Article 5(2) ได้หรือไม่ หากไม่มีเอกสารนี้ ภาระการพิสูจน์จะเปลี่ยนไปต่อต้านคุณอย่างเด็ดขาด

เมื่อใดที่ DPIA จำเป็นสำหรับขั้นตอนคุกกี้และความยินยอม

Article 35(3) ระบุตัวกระตุ้น DPIA สามประการที่ชัดเจน แนวทางของ Article 29 Working Party (ซึ่งปัจจุบัน EDPB รับเอาแล้ว) เพิ่มรายการเกณฑ์บ่งชี้เก้าประการ กิจกรรมการประมวลผลที่ตรงตามเกณฑ์ใด ๆ สองข้อจากเกณฑ์เหล่านั้นได้รับการสันนิษฐานว่าต้องใช้ DPIA สำหรับขั้นตอนคุกกี้และ ad-tech เกณฑ์ที่เกี่ยวข้องมากที่สุดคือ:

การประเมินอย่างเป็นระบบและครอบคลุม — รวมถึงการสร้างโปรไฟล์สำหรับการโฆษณาและการปรับแต่งเนื้อหา
การประมวลผลขนาดใหญ่ — วัดโดยปริมาณข้อมูล จำนวนหัวข้อข้อมูล ขอบเขตทางภูมิศาสตร์ และระยะเวลา เว็บไซต์ผู้เผยแพร่ที่มีผู้ใช้รายเดือนเป็นล้านแทบจะมีคุณสมบัติเสมอ
การใช้เทคโนโลยีอย่างสร้างสรรค์ — ครอบคลุมการพิมพ์ลายนิ้วมือ การระบุตัวตนข้ามอุปกรณ์ การเรียนรู้แบบสหพันธ์ การวัดความสนใจ การอนุมานพฤติกรรมบนพื้นฐาน AI
การติดตามตำแหน่งหรือพฤติกรรม — ถูกจับโดยตรงโดยการโฆษณาตามพฤติกรรมและการกำหนดเป้าหมายใหม่
การรวมหรือการจับคู่ชุดข้อมูล — รวมถึงการเสริมข้อมูลฝั่งเซิร์ฟเวอร์ กราฟข้อมูลประจำตัว ห้องทำความสะอาดข้อมูล การเย็บเชื่อมแพลตฟอร์มข้อมูลลูกค้า

เว็บไซต์ผู้เผยแพร่ระดับกลางทั่วไปที่ใช้การโฆษณาตามพฤติกรรมและเรียกใช้พิกเซลบุคคลที่สามมากกว่าสองสามรายการจะตรงตามเกณฑ์อย่างน้อยสามข้อเหล่านี้พร้อมกัน การสันนิษฐานว่าต้องใช้ DPIA ในทางปฏิบัติเป็นความแน่นอนเกือบทั้งหมด DPA ระดับชาติหลายแห่งได้เผยแพร่รายการ DPIA บังคับของตนเอง Italian Garante, French CNIL และ German DSK ต่างระบุการโฆษณาแบบโปรแกรมและการสร้างโปรไฟล์ข้ามไซต์เป็นตัวกระตุ้น DPIA เริ่มต้น

เอกสาร DPIA ต้องมีอะไรบ้าง

Article 35(7) กำหนดเนื้อหาบังคับสี่ประการ DPIA ที่ขาดเนื้อหาใด ๆ จะถูกหน่วยงานกำกับดูแลถือว่าไม่ได้ดำเนินการเลย

คำอธิบายอย่างเป็นระบบของการประมวลผล

นี่ไม่ใช่สรุปหนึ่งย่อหน้า คำอธิบายต้องครอบคลุมทุกประเภทของข้อมูลส่วนตัวที่ประมวลผล ทุกวัตถุประสงค์ ทุกผู้รับ ทุกช่วงเวลาการเก็บรักษา และทุกการถ่ายโอนข้ามพรมแดน สำหรับขั้นตอน ad-tech หมายถึงการระบุผู้ขายทุกรายในสตริง TCF ของคุณ ข้อมูลที่แต่ละรายได้รับ และฐานทางกฎหมายที่อ้างสิทธิ์สำหรับแต่ละราย ผู้เผยแพร่ที่คัดลอกรายการผู้ขาย TCF v2.2 ลงในภาคผนวก DPIA โดยตรงได้ผลิตเอกสารที่ใช้ได้ ผู้ที่สรุปเป็นสองประโยคยังไม่ได้ทำ

การประเมินความจำเป็นและความสมดุล

ความจำเป็นถามว่าวัตถุประสงค์เดียวกันสามารถบรรลุได้ด้วยข้อมูลน้อยลงหรือด้วยข้อมูลที่ไม่ใช่ส่วนตัวหรือไม่ สำหรับขั้นตอนการโฆษณาตามพฤติกรรม หมายถึงการพิจารณาอย่างซื่อสัตย์ว่าการโฆษณาตามบริบทจะรับใช้วัตถุประสงค์เดียวกันหรือไม่ EDPB Opinion 28/2024 ระบุอย่างชัดเจนว่า DPIA ไม่สามารถยกเลิกการโฆษณาตามบริบทในบรรทัดเดียว ผู้ควบคุมต้องแสดงให้เห็นว่าได้พิจารณาทางเลือกแล้วและอธิบายว่าทำไมจึงถูกปฏิเสธ

การประเมินความเสี่ยงต่อหัวข้อข้อมูล

การวิเคราะห์ความเสี่ยงต้องพิจารณาการเข้าถึงที่ผิดกฎหมาย การเปิดเผยที่ไม่ได้รับอนุญาต การเปลี่ยนแปลง การสูญหาย และความเสี่ยงทางสังคมที่กว้างขึ้นของการสร้างโปรไฟล์ ได้แก่ ผลกระทบที่ทำให้หยุดชะงัก การเลือกปฏิบัติ การติดล็อก สำหรับความเสี่ยงที่ระบุไว้แต่ละรายการ การประเมินต้องระบุความน่าจะเป็น ความรุนแรง และระดับที่เหลืออยู่หลังจากการบรรเทา

มาตรการที่ใช้เพื่อแก้ไขความเสี่ยง

นี่คือที่ที่แพลตฟอร์มการจัดการความยินยอมปรากฏใน DPIA การจับความยินยอมแบบละเอียด การยกเลิกการสมัครแบบผู้ขายต่อผู้ขาย การถอนอย่างง่ายดาย ขีดจำกัดการเก็บรักษา การเข้ารหัสระหว่างการส่งและที่หยุดนิ่ง การป้องกันตามสัญญาสำหรับผู้ประมวลผลข้อมูล แต่ละมาตรการต้องเชื่อมโยงกับความเสี่ยงที่ระบุไว้อย่างเฉพาะเจาะจง คำแถลงทั่วไปว่าผู้เผยแพร่ใช้ CMP ไม่ใช่มาตรการ

บทบาทของเจ้าหน้าที่คุ้มครองข้อมูล

Article 35(2) กำหนดให้ผู้ควบคุมขอคำแนะนำจาก DPO เมื่อดำเนิน DPIA สำหรับผู้เผยแพร่ที่มี DPO ที่ได้รับมอบหมายนั้นตรงไปตรงมา สำหรับผู้เผยแพร่รายเล็กที่ไม่มี DPIA ยังสามารถดำเนินการได้ แต่ต้องดำเนินการพร้อมกับคำแนะนำภายนอกที่บันทึกไว้ ได้แก่ ที่ปรึกษาทางกฎหมายภายนอก ที่ปรึกษาอุตสาหกรรม หรือทีมปฏิบัติตามกฎระเบียบของผู้ขาย CMP บทบาทของ DPO คือการท้าทายการวิเคราะห์ความจำเป็นของผู้ควบคุม ไม่ใช่การอนุมัติเพียงอย่างเดียว

เมื่อจำเป็นต้องมีการปรึกษาหารือล่วงหน้า

Article 36 กำหนดให้มีการปรึกษาหารือล่วงหน้ากับหน่วยงานกำกับดูแลซึ่ง DPIA แสดงให้เห็นว่าการประมวลผลจะส่งผลให้เกิดความเสี่ยงสูงที่ผู้ควบคุมไม่สามารถบรรเทาได้ ในทางปฏิบัติสิ่งนี้หายากสำหรับขั้นตอนคุกกี้และความยินยอม ความเสี่ยงส่วนใหญ่สามารถบรรเทาได้ผ่านความยินยอมแบบละเอียด การลดจำนวนผู้ขาย ขีดจำกัดการเก็บรักษา และการป้องกันตามสัญญา แต่ไม่ใช่ศูนย์ สองกรณีที่กระตุ้นการปรึกษาหารือล่วงหน้าในปี 2024 และ 2025: ตัวระบุที่ใช้การพิมพ์ลายนิ้วมือที่ติดตั้งโดยไม่มีการรวม TCF และกราฟข้อมูลประจำตัวข้ามอุปกรณ์ที่รวมข้อมูลฝั่งแรกกับนายหน้าข้อมูลบุคคลที่สาม ผู้เผยแพร่ที่สำรวจรูปแบบใด ๆ ควรวางแผนสำหรับระยะเวลาการปรึกษาหารือหกถึงสิบสองสัปดาห์

วิธีที่หน่วยงานกำกับดูแลใช้ DPIA ในการสอบสวน

DPIA เป็นเอกสารเดียวที่หน่วยงานกำกับดูแลขอก่อนเมื่อข้อร้องเรียนเกี่ยวกับคุกกี้ถึงขั้นตอนการสอบสวนอย่างเป็นทางการ Italian Garante, French CNIL, Belgian APD และ Bavarian BayLDA ทั้งหมดเปิดไฟล์ขั้นตอนด้วยการร้องขอ DPIA ที่ครอบคลุมกิจกรรมที่เกี่ยวข้อง รูปแบบสามประการปรากฏจากการตัดสินใจล่าสุด:

DPIA ที่ผลิตช้าถูกลดราคาอย่างมาก

DPIA ที่ลงวันที่หลังจากคำร้องของหน่วยงานกำกับดูแลจะไม่ถูกถือว่าเป็นหลักฐานของการประเมินก่อนเปิดตัว การตัดสินใจหลายครั้งในปี 2025 ได้ระบุอย่างชัดเจนว่าเอกสารถูกสร้างขึ้นภายหลังและถูกชั่งน้ำหนักตามนั้น DPIA ต้องนำหน้าการเปิดตัวการประมวลผล และข้อมูลเมตาของเอกสารหรือประวัติเวอร์ชันควรทำให้ชัดเจน

DPIA ทั่วไปถูกถือว่าขาดหาย

DPIA แบบเทมเพลตที่คัดลอกจากพอร์ทัลของผู้ขาย CMP โดยไม่มีการวิเคราะห์เฉพาะเว็บไซต์ถูกปฏิเสธมากขึ้นเรื่อย ๆ การตัดสินใจของ Garante ในปี 2025 ต่อกลุ่มผู้เผยแพร่ชาวอิตาลีระบุหกในเก้าเว็บไซต์ในขอบเขตและพบว่า DPIA ร่วมเดียวที่ครอบคลุมทั้งหมดไม่ตรงตาม Article 35

มาตรการบรรเทาต้องตรงกับสิ่งที่ติดตั้งจริง

หาก DPIA อธิบายการเก็บรักษาคุกกี้ 60 วัน แต่คุกกี้ที่ติดตั้งใช้อายุ 24 เดือน หน่วยงานกำกับดูแลจะถือว่า DPIA ไม่ถูกต้อง การตรวจสอบรายไตรมาสของการกำหนดค่าที่ติดตั้งกับคำอธิบาย DPIA ไม่ใช่ตัวเลือกอีกต่อไป

การรวบรวมทั้งหมด

สำหรับผู้เผยแพร่ส่วนใหญ่คำตอบในทางปฏิบัติเหมือนกัน: ต้องใช้ DPIA ควรจัดทำก่อนเปิดตัวการติดตามใหม่ และควรทบทวนทุกไตรมาสกับการกำหนดค่าที่ติดตั้ง เอกสารไม่จำเป็นต้องยาว แต่ต้องเจาะจงสำหรับเว็บไซต์ เขียนก่อนเปิดตัว ลงนามโดย DPO หรือที่ปรึกษาภายนอกที่บันทึกไว้ และสอดคล้องกับสิ่งที่ทำงานอยู่จริงในการผลิต ผู้เผยแพร่ที่ทำสี่ประเด็นเหล่านั้นถูกต้องจะเปลี่ยน DPIA จากภาระการปฏิบัติตามกฎระเบียบเป็นการป้องกันที่แข็งแกร่งที่สุดที่พวกเขามีเมื่อหน่วยงานกำกับดูแลมาถาม