DPIA Nedir ve Neden Vardır

Veri Koruma Etki Değerlendirmesi, GDPR'ın Article 35'inde tanımlanmaktadır. Bir veri sorumlusunun, gerçek kişilerin hakları ve özgürlükleri için yüksek risk doğurması muhtemel herhangi bir işleme operasyonu başlatılmadan önce gerçekleştirmesi gereken belgelenmiş bir analizdir. DPIA, veri sorumlusunu işlemeyi açıklamaya, gerekliliğini ve orantılılığını değerlendirmeye, riskleri tanımlamaya ve bunları azaltmak için alınan önlemleri belgelemeye zorlar. Artık kalan risk yüksek kalıyorsa, veri sorumlusu canlıya geçmeden önce denetim otoritesiyle danışmalıdır.

Yayıncılar için DPIA, tek seferlik bir hukuki belge değildir. Bir çerez veya izleme şikayeti resmi soruşturma aşamasına ulaştığında düzenleyicinin talep edeceği merkezi belgedir ve yayıncının Article 5(2) kapsamında hesap verebilirliğini kanıtlayıp kanıtlayamayacağını belirleyen belgedir. Bu belge olmadan ispat yükü kesin olarak aleyhinize döner.

Çerez ve Onay Akışları için DPIA Ne Zaman Zorunludur

Article 35(3), üç açık DPIA tetikleyicisini listelemektedir. Article 29 Working Party yönergeleri (şimdi EDPB tarafından benimsenen) dokuz gösterge ölçütlü bir liste eklemektedir. Bu ölçütlerin herhangi ikisini karşılayan bir işleme faaliyetinin DPIA gerektirdiği varsayılmaktadır. Çerez ve reklam teknolojisi akışları için en ilgili ölçütler şunlardır:

• Sistematik ve kapsamlı değerlendirme — reklam ve içerik kişiselleştirme için profil oluşturma dahil.
• Büyük ölçekli işleme — veri hacmi, veri özne sayısı, coğrafi kapsam ve süre ile ölçülür. Aylık milyonlarca kullanıcıya sahip yayıncı siteleri neredeyse her zaman bu kapsamdadır.
• Teknolojinin yenilikçi kullanımı — parmak izi alma, cihazlar arası tanımlama, federe öğrenme, dikkat ölçümü, yapay zeka tabanlı davranışsal çıkarımı kapsar.
• Konum veya davranış takibi — davranışsal reklamcılık ve yeniden hedefleme tarafından doğrudan yakalanır.
• Veri kümelerini birleştirme veya eşleştirme — sunucu tarafı zenginleştirme, kimlik grafikleri, veri temizleme odaları, müşteri veri platformu birleştirmesi dahil.

Davranışsal reklamcılık kullanan ve birkaçından fazla üçüncü taraf pikseli çalıştıran tipik bir orta ölçekli yayıncı sitesi, bu ölçütlerin en az üçünü aynı anda karşılayacaktır. DPIA'nın gerekli olduğu varsayımı pratikte neredeyse kesindir. Birçok ulusal DPA kendi zorunlu DPIA listelerini yayımlamıştır; Italian Garante, French CNIL ve German DSK programatik reklamcılığı ve siteler arası profil oluşturmayı varsayılan DPIA tetikleyicileri olarak adlandırmıştır.

DPIA Belgesi Ne İçermelidir

Article 35(7) dört zorunlu içerik belirler. Bunlardan herhangi birini eksik olan bir DPIA, düzenleyiciler tarafından hiç yapılmamış gibi değerlendirilir.

İşlemenin sistematik açıklaması

Bu tek paragraflık bir özet değildir. Açıklama, işlenen her kişisel veri kategorisini, her amacı, her alıcıyı, her saklama süresini ve her sınır ötesi transferi kapsamalıdır. Bir reklam teknolojisi akışı için bu, TCF dizenizdeki her satıcıyı, her birinin aldığı verileri ve her biri için iddia edilen yasal dayanağı listelemeyi gerektirir. TCF v2.2 satıcı listesini doğrudan DPIA ekine kopyalayan yayıncılar kullanışlı belgeler üretmiştir; bunu iki cümleyle özetleyenler üretmemiştir.

Gereklilik ve orantılılığın değerlendirmesi

Gereklilik, aynı amacın daha az veriyle veya kişisel olmayan verilerle elde edilip edilemeyeceğini sorgular. Davranışsal reklamcılık akışı için bu, bağlamsal reklamcılığın aynı amaca hizmet edip etmeyeceğini dürüstçe ele almak anlamına gelir. EDPB Opinion 28/2024, bir DPIA'nın bağlamsal reklamcılığı tek satırda reddedememesi gerektiğini açıkça belirtir; veri sorumlusu alternatifin değerlendirildiğini kanıtlamalı ve neden reddedildiğini açıklamalıdır.

Veri öznelerine yönelik risklerin değerlendirmesi

Risk analizi, yasadışı erişimi, yetkisiz ifşayı, değişikliği, kaybı ve profil oluşturmanın daha geniş sosyal risklerini göz önünde bulundurmalıdır; caydırıcı etkiler, ayrımcılık, bağımlılık oluşturma gibi. Tespit edilen her risk için değerlendirme, olasılığı, ciddiyeti ve azaltma sonrası kalan düzeyi belirtmelidir.

Riskleri gidermek için alınan önlemler

DPIA'da onay yönetim platformu burada yer alır. Ayrıntılı onay toplama, satıcı satıcı bazında devre dışı bırakma, kolay geri çekme, saklama sınırları, aktarım ve beklemede şifreleme, veri işleyicilere yönelik sözleşmesel güvenceler; her önlem belirli bir tespit edilmiş riskle ilişkilendirilmelidir. Yayıncının CMP kullandığına dair genel bir açıklama bir önlem değildir.

Veri Koruma Görevlisinin Rolü

Article 35(2), veri sorumlusunun DPIA yürütürken DPO'nun tavsiyesini almasını gerektirmektedir. Atanmış DPO'su olan yayıncılar için bu basittir. DPO'su olmayan küçük yayıncılar için DPIA yine de yürütülebilir, ancak belgelenmiş dış tavsiyeyle gerçekleştirilmesi gerekir; dış hukuk müşaviri, sektör danışmanı veya CMP satıcısının uyumluluk ekibi gibi. DPO'nun rolü, veri sorumlusunun gereklilik analizine meydan okumaktır, onu onaylamak değil.

Ön Danışmanın Gerekli Olduğu Durumlar

Article 36, DPIA'nın işlemenin veri sorumlusunun azaltamayacağı yüksek bir riskle sonuçlanacağını gösterdiği durumlarda denetim otoritesiyle ön danışma yapılmasını gerektirmektedir. Pratikte bu, çerez ve onay akışları için nadirdir; çoğu risk ayrıntılı onay, satıcı azaltma, saklama sınırları ve sözleşmesel güvenceler yoluyla azaltılabilir. Ancak sıfır değildir. 2024 ve 2025'te ön danışmayı tetikleyen iki durum: TCF entegrasyonu olmadan dağıtılan parmak izi tabanlı bir tanımlayıcı ve birinci taraf verileri ile üçüncü taraf veri komisyoncularını birleştiren bir cihazlar arası kimlik grafiği. Bu kalıpları araştıran yayıncılar altı ila on iki haftalık bir danışma zaman çizelgesi planlamalıdır.

Düzenleyiciler DPIA'yı Soruşturmalarda Nasıl Kullanır

DPIA, bir çerez şikayeti resmi soruşturma aşamasına ulaştığında düzenleyicinin ilk talep ettiği tek belgedir. Italian Garante, French CNIL, Belgian APD ve Bavarian BayLDA, prosedür dosyalarını söz konusu faaliyeti kapsayan DPIA talebiyle açmaktadır. Son kararlardan üç kalıp ortaya çıkmaktadır:

Geç üretilen DPIA'lar büyük ölçüde değersizleşir

Düzenleyicinin talebinden sonra tarihlendirilmiş bir DPIA, başlatma öncesi değerlendirmenin kanıtı olarak kabul edilmeyecektir. 2025 kararlarının birkaçı belgenin geriye dönük olarak oluşturulduğunu ve buna göre değerlendirildiğini açıkça belirtmiştir. DPIA, işlemin başlatılmasından önce gelmelidir ve belgenin meta verileri veya sürüm geçmişi bunu açıkça göstermelidir.

Genel DPIA'lar eksik kabul edilir

Siteye özgü analiz olmadan bir CMP satıcısının portalından kopyalanan şablon DPIA giderek artan biçimde reddedilmektedir. Bir İtalyan yayıncı grubuna karşı 2025 Garante kararı, kapsamdaki dokuz sitenin altısını adlandırdı ve hepsini kapsayan tek bir paylaşılan DPIA'nın Article 35'i karşılamadığını tespit etti.

Azaltma önlemleri gerçekte dağıtılanla örtüşmelidir

DPIA 60 günlük çerez saklama süresini açıklıyorsa ancak dağıtılan çerezler 24 aylık ömür kullanıyorsa, düzenleyici DPIA'yı hatalı olarak değerlendirecektir. Dağıtılan yapılandırmanın DPIA açıklamasına göre üç aylık denetimi artık isteğe bağlı değildir.

Bir Araya Getirmek

Çoğu yayıncı için pratik yanıt aynıdır: DPIA gereklidir, herhangi bir yeni izleme başlatılmadan önce hazırlanmalı ve dağıtılan yapılandırmaya göre üç ayda bir gözden geçirilmelidir. Belgenin uzun olması gerekmez, ancak siteye özgü olmalı, başlatmadan önce yazılmış olmalı, DPO veya belgelenmiş dış danışman tarafından onaylanmış ve üretimde gerçekte çalışanlarla uyumlu olmalıdır. Bu dört noktayı doğru yapan yayıncılar, DPIA'yı bir uyumluluk yükünden, düzenleyici soru sormaya geldiğinde sahip oldukları en güçlü savunmaya dönüştürür.