کوکی کنسنٹ کے لیے DPIA: ناشرین کو ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ کب چلانی چاہیے
زیادہ تر ناشرین ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ کو کسی اور کا تعمیلی کام سمجھتے ہیں — ڈیٹا پروٹیکشن آفیسر، بیرونی قانونی مشیر، یا وہ نادر انجینئرنگ پروجیکٹ جو بائیومیٹرکس سے متعلق ہو۔ حقیقت میں GDPR بہت وسیع تر سرگرمیوں کے لیے DPIA کا تقاضا کرتا ہے جتنا کہ زیادہ تر ad-tech آپریٹرز سمجھتے ہیں، اور بہت سے کوکی کنسنٹ اور رویہ جاتی اشتہاری فلوز براہ راست اس ٹریگر کے دائرے میں آتے ہیں۔ ریگولیٹرز اب آڈٹ اور شکایت تحقیقات میں ناشرین سے جو سوال پوچھتے ہیں وہ سیدھا ہے: کیا آپ نے اس ٹریکنگ کو تعینات کرنے سے پہلے DPIA چلائی، اور کیا آپ ہمیں دکھا سکتے ہیں؟ یہ رہنما بتاتا ہے کہ DPIA کب لازمی ہے، اسے کیا ہونا چاہیے، اور ریگولیٹر کے جائزے سے گزرنے والی DPIA کیسے تیار کی جائے۔
DPIA کیا ہے اور کیوں موجود ہے
ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ GDPR کے Article 35 میں بیان کی گئی ہے۔ یہ ایک دستاویزی تجزیہ ہے جو کنٹرولر کو کسی بھی پروسیسنگ آپریشن شروع کرنے سے پہلے کرنا ضروری ہے جس کے نتیجے میں قدرتی اشخاص کے حقوق اور آزادیوں کے لیے زیادہ خطرہ پیدا ہونے کا امکان ہو۔ DPIA کنٹرولر کو پروسیسنگ بیان کرنے، اس کی ضرورت اور تناسب کا جائزہ لینے، خطرات کی نشاندہی کرنے، اور انہیں کم کرنے کے لیے اٹھائے گئے اقدامات کو دستاویز کرنے پر مجبور کرتا ہے۔ اگر بقیہ خطرہ زیادہ رہے تو کنٹرولر کو لائیو جانے سے پہلے نگران اتھارٹی سے مشورہ کرنا ضروری ہے۔
ناشرین کے لیے DPIA ایک بار کی قانونی دستاویز نہیں ہے۔ یہ وہ مرکزی دستاویز ہے جو ریگولیٹر کوکی یا ٹریکنگ شکایت کی تحقیقات کے دوران مانگے گا، اور یہی وہ دستاویز ہے جو طے کرتی ہے کہ ناشر Article 5(2) کے تحت احتساب ثابت کر سکتا ہے یا نہیں۔ اس کے بغیر ثبوت کا بوجھ فیصلہ کن طور پر آپ کے خلاف ہو جاتا ہے۔
کوکی اور کنسنٹ فلوز کے لیے DPIA کب لازمی ہے
Article 35(3) میں تین واضح DPIA ٹریگرز درج ہیں۔ Article 29 Working Party کی ہدایات (جنہیں اب EDPB نے اپنایا ہے) نو اشارتی معیارات کی فہرست شامل کرتی ہیں۔ ایک پروسیسنگ سرگرمی جو ان میں سے کسی بھی دو معیارات پر پوری اترتی ہو، اسے DPIA کی ضرورت سمجھا جاتا ہے۔ کوکی اور ad-tech فلوز کے لیے سب سے متعلقہ معیارات یہ ہیں:
- منظم اور وسیع تشخیص — اشتہاری اور مواد کی ذاتی نوعیت کے لیے پروفائلنگ سمیت۔
- بڑے پیمانے پر پروسیسنگ — ڈیٹا کی مقدار، ڈیٹا سبجیکٹس کی تعداد، جغرافیائی وسعت، اور مدت کے اعتبار سے ماپی جاتی ہے۔ ماہانہ لاکھوں صارفین والی ناشر سائٹیں تقریباً ہمیشہ اہل ہوتی ہیں۔
- ٹیکنالوجی کا اختراعی استعمال — فنگر پرنٹنگ، کراس ڈیوائس شناخت، فیڈریٹڈ لرننگ، توجہ کی پیمائش، AI پر مبنی رویاتی اخذ شامل ہیں۔
- مقام یا رویے کی ٹریکنگ — رویہ جاتی اشتہار اور ری ٹارگیٹنگ سے براہ راست حاصل کی جاتی ہے۔
- ڈیٹاسیٹس کو یکجا کرنا یا ملانا — سرور سائڈ اینریچمنٹ، آئیڈینٹیٹی گراف، ڈیٹا کلین رومز، کسٹمر ڈیٹا پلیٹ فارم سٹچنگ شامل ہیں۔
ایک عام درمیانی درجے کی ناشر سائٹ جو رویہ جاتی اشتہار استعمال کرتی ہے اور کچھ سے زیادہ تھرڈ پارٹی پکسلز چلاتی ہے، بیک وقت ان معیارات میں سے کم از کم تین پر پوری اترے گی۔ عملی طور پر یہ قریب قریب یقینی ہے کہ DPIA ضروری ہے۔ کئی قومی DPA نے اپنی لازمی DPIA فہرستیں شائع کی ہیں؛ Italian Garante، French CNIL، اور German DSK نے پروگراماتک اشتہاری اور کراس سائٹ پروفائلنگ کو DPIA کے ڈیفالٹ ٹریگرز کے طور پر نامزد کیا ہے۔
DPIA دستاویز میں کیا ہونا ضروری ہے
Article 35(7) چار لازمی مندرجات مقرر کرتا ہے۔ ان میں سے کوئی ایک بھی غائب ہونے والی DPIA کو ریگولیٹرز کی جانب سے بالکل نہ کی گئی تصور کیا جاتا ہے۔
پروسیسنگ کی منظم تفصیل
یہ ایک پیراگراف کا خلاصہ نہیں ہے۔ تفصیل میں پروسیس کی جانے والی ذاتی ڈیٹا کی ہر قسم، ہر مقصد، ہر وصول کنندہ، ہر رکھنے کی مدت، اور ہر سرحد پار منتقلی شامل ہونی چاہیے۔ ایک ad-tech فلو کے لیے اس کا مطلب آپ کے TCF اسٹرنگ میں ہر وینڈر، ہر ایک کو ملنے والے ڈیٹا، اور ہر ایک کے لیے دعویٰ کی گئی قانونی بنیاد کی فہرست بنانا ہے۔ جن ناشرین نے TCF v2.2 وینڈر لسٹ براہ راست DPIA ضمیمے میں نقل کی ہے انہوں نے قابل عمل دستاویزات تیار کی ہیں؛ جنہوں نے اسے دو جملوں میں خلاصہ کیا ہے انہوں نے نہیں کیا۔
ضرورت اور تناسب کا جائزہ
ضرورت یہ سوال پوچھتی ہے کہ کیا اسی مقصد کو کم ڈیٹا یا غیر ذاتی ڈیٹا سے حاصل کیا جا سکتا ہے۔ رویہ جاتی اشتہاری فلو کے لیے اس کا مطلب یہ ہے کہ آیا سیاق و سباق کی بنیاد پر اشتہاری اسی مقصد کو پورا کرے گی، اس پر ایمانداری سے غور کریں۔ EDPB Opinion 28/2024 واضح ہے کہ DPIA ایک ہی لائن میں سیاق و سباق کی اشتہاری کو مسترد نہیں کر سکتی — کنٹرولر کو یہ ثابت کرنا ہوگا کہ متبادل پر غور کیا گیا اور یہ بتانا ہوگا کہ اسے کیوں رد کیا گیا۔
ڈیٹا سبجیکٹس کے لیے خطرات کا جائزہ
خطرے کے تجزیے میں غیر قانونی رسائی، غیر مجاز افشا، تبدیلی، نقصان، اور پروفائلنگ کے وسیع تر سماجی خطرات کو مدنظر رکھنا چاہیے — روک دینے والے اثرات، امتیاز، لاک ان۔ شناخت شدہ ہر خطرے کے لیے تشخیص میں امکان، شدت، اور تخفیف کے بعد بقیہ سطح بیان ہونی چاہیے۔
خطرات سے نمٹنے کے لیے اٹھائے گئے اقدامات
یہیں پر کنسنٹ مینجمنٹ پلیٹ فارم DPIA میں نمودار ہوتا ہے۔ دانہ دار کنسنٹ کیپچر، وینڈر بہ وینڈر آپٹ آؤٹ، آسان واپسی، برقراری کی حدود، نقل و حمل میں اور آرام پر انکریپشن، ڈیٹا پروسیسرز پر سکرتی معاہدہ — ہر اقدام کو ایک مخصوص شناخت شدہ خطرے سے جوڑا جانا چاہیے۔ یہ عمومی بیان کہ ناشر CMP استعمال کرتا ہے کوئی اقدام نہیں ہے۔
ڈیٹا پروٹیکشن آفیسر کا کردار
Article 35(2) کنٹرولر کو DPIA کرتے وقت DPO کا مشورہ لینے کا پابند بناتا ہے۔ نامزد DPO والے ناشرین کے لیے یہ سیدھا ہے۔ بغیر DPO کے چھوٹے ناشرین کے لیے DPIA پھر بھی کی جا سکتی ہے لیکن دستاویزی بیرونی مشورے کے ساتھ کی جانی چاہیے — بیرونی قانونی مشیر، صنعتی مشیر، یا CMP وینڈر کی تعمیل ٹیم۔ DPO کا کردار کنٹرولر کے ضرورت کے تجزیے کو چیلنج کرنا ہے، نہ کہ اس پر مہر لگانا۔
جب پیشگی مشاورت ضروری ہو
Article 36 نگران اتھارٹی کے ساتھ پیشگی مشاورت کا تقاضا کرتا ہے جہاں DPIA ظاہر کرے کہ پروسیسنگ کے نتیجے میں ایسا زیادہ خطرہ پیدا ہوگا جسے کنٹرولر کم نہیں کر سکتا۔ عملی طور پر کوکی اور کنسنٹ فلوز کے لیے یہ نادر ہے — زیادہ تر خطرات دانہ دار کنسنٹ، وینڈر کمی، برقراری کی حدود، اور معاہداتی ضمانتوں کے ذریعے کم کیے جا سکتے ہیں۔ لیکن یہ صفر نہیں ہے۔ دو معاملے جنہوں نے 2024 اور 2025 میں پیشگی مشاورت کو متحرک کیا: ایک TCF انٹیگریشن کے بغیر تعینات فنگر پرنٹنگ پر مبنی شناخت کار، اور ایک کراس ڈیوائس آئیڈینٹیٹی گراف جس نے فرسٹ پارٹی ڈیٹا کو تھرڈ پارٹی ڈیٹا بروکرز کے ساتھ یکجا کیا۔ ناشرین جو ان نمونوں میں سے کسی کو دریافت کر رہے ہیں انہیں چھ سے بارہ ہفتوں کے مشاورتی ٹائم لائن کی منصوبہ بندی کرنی چاہیے۔
ریگولیٹرز تحقیقات میں DPIA کیسے استعمال کرتے ہیں
DPIA وہ واحد دستاویز ہے جسے ریگولیٹر پہلے مانگتا ہے جب کوکی شکایت رسمی تحقیقاتی مرحلے تک پہنچتی ہے۔ Italian Garante، French CNIL، Belgian APD، اور Bavarian BayLDA سبھی اپنی طریقہ کار کی فائلیں زیربحث سرگرمی کا احاطہ کرنے والی DPIA کی درخواست سے کھولتے ہیں۔ حالیہ فیصلوں سے تین نمونے ابھرتے ہیں:
دیر سے تیار کی گئی DPIAs کو بہت کم اہمیت دی جاتی ہے
ریگولیٹر کی درخواست کے بعد تاریخ والی DPIA کو پری لانچ تشخیص کے ثبوت کے طور پر نہیں سمجھا جائے گا۔ 2025 کے کئی فیصلوں نے صراحتاً نوٹ کیا ہے کہ دستاویز بعد ازاں بنائی گئی تھی اور اسی کے مطابق تولا گیا۔ DPIA پروسیسنگ کے آغاز سے پہلے ہونی چاہیے، اور دستاویز کا میٹاڈیٹا یا ورژن ہسٹری یہ واضح کرنی چاہیے۔
عام DPIAs کو غائب تصور کیا جاتا ہے
سائٹ مخصوص تجزیے کے بغیر CMP وینڈر کے پورٹل سے نقل کی گئی ٹیمپلیٹ DPIA کو بڑھتے ہوئے مسترد کیا جا رہا ہے۔ ایک اطالوی ناشر گروپ کے خلاف 2025 Garante کے فیصلے نے دائرے میں نو سائٹوں میں سے چھ کو نام لیا اور پایا کہ ان سب کا احاطہ کرنے والی ایک مشترکہ DPIA Article 35 کو پورا نہیں کرتی۔
تخفیف کے اقدامات کو اصل میں تعینات چیز سے میل کھانا چاہیے
اگر DPIA 60 دن کی کوکی برقراری بیان کرتی ہے لیکن تعینات کوکیز 24 ماہ کی عمر استعمال کرتی ہیں، تو ریگولیٹر DPIA کو غلط سمجھے گا۔ DPIA تفصیل کے مقابلے میں تعینات کنفیگریشن کا سہ ماہی آڈٹ اب اختیاری نہیں ہے۔
سب کو ایک ساتھ رکھنا
زیادہ تر ناشرین کے لیے عملی جواب ایک ہی ہے: DPIA ضروری ہے، اسے کسی بھی نئی ٹریکنگ کے آغاز سے پہلے تیار کرنا چاہیے، اور تعینات کنفیگریشن کے خلاف سہ ماہی جائزہ لینا چاہیے۔ دستاویز کا لمبا ہونا ضروری نہیں، لیکن یہ سائٹ کے لیے مخصوص ہونی چاہیے، لانچ سے پہلے لکھی گئی، DPO یا دستاویزی بیرونی مشیر کی منظوری سے، اور جو پروڈکشن میں اصل میں چل رہا ہو اس کے ساتھ ہم آہنگ ہو۔ جو ناشرین ان چار نکات کو درست طریقے سے سمجھتے ہیں وہ DPIA کو تعمیلی بوجھ سے مضبوط ترین دفاع میں تبدیل کرتے ہیں جو انہیں اس وقت حاصل ہوتا ہے جب ریگولیٹر سوال پوچھنے آتا ہے۔