Какво обхваща DSA и кой попада в неговия обхват

DSA е регламент, не директива — той има пряко действие в държавите членки на ЕС, без да изисква национално транспониране. Влезе изцяло в сила за много големите онлайн платформи и търсачки през август 2023 г. и за всички останали — през февруари 2024 г., което означава, че издателите вече имат двегодишен оперативен опит с режима. Законът създава многостепенна система от задължения, основана на размера и вида на платформата: микро и малките предприятия са до голяма степен освободени, посредническите услуги имат основни задължения, хостинг доставчиците имат задължения за модериране на съдържанието, онлайн платформите са изправени пред допълнителни изисквания за прозрачност, а много големите онлайн платформи (над четиридесет и пет милиона активни потребители в ЕС на месец) са изправени пред най-строгите задължения, включително системни оценки на риска и външни одити.

Където попадат повечето издатели

Огромното мнозинство издатели попадат в категорията на онлайн платформите — те хостват потребителско съдържание (коментари, публикации във форуми, читателски приноси), обслужват реклами и препоръчват съдържание чрез алгоритмични потоци или модули за свързани статии. Нивото на онлайн платформите е там, където DSA става оперативно релевантен: ограничения за таргетирана реклама за непълнолетни, задължения за прозрачност относно рекламното доставяне и параметрите на таргетиране, обяснения на системите за препоръки и правата на отказ, и режим на уведомяване и действие за незаконно съдържание. Издателите, надхвърлящи прага за много голяма онлайн платформа, добавят системна оценка на риска, задължения за External одитор, и изискването да предоставят достъп до данните на платформата на проверените от Комисията изследователи.

Географският тест

DSA се прилага екстериториално. Американски издател с европейски посетители попада в обхвата от момента, в който потребителите от ЕС могат да взаимодействат с услугата — което на практика обхваща всеки публично достъпен уебсайт. Критерият не е къде е базиран издателят, а дали услугата е предлагана на получатели в ЕС. Отразявайки GDPR, това обхваща по подразбиране по-голямата част от световната издателска индустрия.

Ограниченията за таргетирана реклама

Слоят на DSA, имащ най-голямо значение за съгласието за бисквитки и рекламните операции, е Член 26, който ограничава таргетираната реклама по два специфични начина, около които издателите трябва да изградят технически решения.

Забраната за таргетиране на непълнолетни

DSA забранява таргетираната реклама към непълнолетни въз основа на профилиране с използване на лични данни. Забраната се прилага, когато издателят знае или основателно трябва да знае, че получателят е непълнолетен — което на практика означава, че влиза в сила за всеки сигнал, на основата на който издателят основателно би могъл да предприеме действия (самодекларирана възраст, сигнал за родителски контрол, категория съдържание, силно предполагаща млада аудитория, флаг от собствената потребителска система на издателя). CMP трябва да кодира това ограничение: дори и непълнолетен потребител да приеме маркетинговите бисквитки, пътят за таргетирана реклама трябва по подразбиране да е изключен. Алтернативата е контекстуалната реклама — избор на реклами въз основа на съдържанието на страницата, а не на потребителски профили — което повечето основни SSP и рекламни сървъри вече предлагат като основен режим на доставка.

Забраната за чувствителни данни

DSA забранява също таргетирана реклама въз основа на профилиране, използващо специални категории лични данни по смисъла на Член 9 от GDPR — раса, религия, политически възгледи, членство в профсъюз, здраве, сексуален живот, сексуална ориентация, биометрични данни, генетични данни. Забраната е абсолютна: съгласието не я отключва. Издателите, управляващи категории съдържание, засягащи някоя от тези области — здравни издатели, религиозни медии, сайтове за политически новини, LGBTQ+ издания — трябва да гарантират, че тяхната рекламна технологична верига не предава на рекламодателите профилни сигнали, получени от тези данни, дори когато потребителят е дал съгласие за всички категории маркетинг.

Оперативни последици за CMP

CMP трябва да кодира ограниченията на DSA като твърди порти, а не като превключватели на съгласието. Разписка за съгласие, гласяща „всички категории са приети”, не упълномощява таргетирана реклама към непълнолетен или въз основа на данни по Член 9. Най-чистите маршрути за изпълнение насочват статуса на съгласието, сигнала за непълнолетен и класификацията на чувствително съдържание на страницата чрез единична функция за решение, намираща се между CMP и доставчиците на рекламни технологии, и функцията по подразбиране преминава към контекстуална доставка при задействане на която и да е от портите на DSA.

Отказ от системата за препоръки

Член 38 от DSA изисква от онлайн платформи, използващи системи за препоръки — алгоритмично класиране на съдържанието в потоците, модули за свързани статии, опашки за следващо видео — да обясняват основните параметри на тези системи и да предлагат на потребителите поне една опция, която не е базирана на профилиране. Издатели, управляващи персонализирано открИване на съдържание, не могат да правят профилирането единствен наличен режим.

Как изглежда режимът без профилиране

Режимът без профилиране обикновено е хронологичен поток, поток, класиран по популярност, или редакционно подбран поток, който не персонализира въз основа на индивидуалното поведение на потребителя. Потребителят трябва да може да превключи към него чрез ясно видим контрол — не заровен в настройките на акаунта — и изборът трябва да се запомня за бъдещи сесии. Издателите трябва да третират контрола на системата за препоръки като неразделна част от потребителския опит при съгласие, която обикновено се показва чрез същия CMP интерфейс, обработващ предпочитанията за бисквитки.

Прозрачност относно параметрите за класиране

Платформата трябва да публикува на разбираем език основните параметри, използвани от нейната система за препоръки — актуалност, популярност, сходство с минало поведение, редакционна тежест, рекламна релевантност. Публикацията обикновено е раздел от политиката за поверителност или специална страница за прозрачност, и трябва да е достатъчно конкретна, за да може регулаторен орган, прочитайки я, да провери описанието спрямо действителното поведение на платформата. Неясни формулировки като „ние използваме машинно обучение с NLP, за да препоръчаме съдържание, което може да ви хареса” не отговарят на изисквания стандарт.

Как DSA се наслагва върху GDPR и ePrivacy

DSA не замества GDPR или ePrivacy — той добавя правила на ниво платформа върху тях. Взаимодействията са предимно адитивни, но в два конкретни момента ограничават онова, което само съгласието може да упълномощи.

Съгласието не може да отмени забраните на DSA

Забраната за таргетиране на непълнолетни и забраната за чувствителни данни по Член 9 са абсолютни. Потребителят не може да даде съгласие за получаване на таргетирана реклама в нито един от случаите. Това е съществено ограничение при проектирането за CMPs, исторически третирали съгласието като универсален ключ — в рамките на DSA статусът на съгласието е необходим, но не достатъчен, и архитектурата на CMP трябва да отразява това.

Задълженията за прозрачност са наслоени върху тези на GDPR

Задълженията за рекламна прозрачност на DSA — ясно идентифициране на рекламите, посочване на рекламодателя, обяснение на основните параметри за таргетиране, използвани при конкретна рекламна доставка — са независими от изискванията за прозрачност на GDPR и трябва да бъдат изпълнени в самото рекламно творческо. Повечето издатели се справят с това чрез шаблони за рекламен сървър, автоматично добавящи маркерния блок за реклами по DSA в обслужваните творчески произведения.

Практически промени в CMP и рекламния пакет

Обхватният на DSA CMP и рекламен пакет разполага с малък брой повтарящи се елементи, стабилизирали се в основните търговски платформи до 2026 г.

Свързване на сигнала за непълнолетни

CMP трябва да приеме сигнал за непълнолетен от системата за потребителски акаунти на издателя, класификацията на съдържанието на страницата или слоя за родителски контрол, и да разпространи сигнала в решението за съгласие. Повечето CMPs вече предлагат това като атрибут „minor” в разписката за съгласие, която рекламният пакет чете заедно със статуса на съгласието. Сигналът тече надолу по веригата чрез Google Consent Mode v2, стринга на IAB TCF v2.3 и всяка специфична за доставчика интеграция, поддържаща го.

Класификация на чувствително съдържание

Издателите трябва да извършват преминаване за класификация на съдържанието на всяка страница, картографирайки я към чувствителните категории данни на DSA. Класификацията може да е ръчна за редакционни сайтове с структурирани таксономии или автоматизирана за сайтове с голям обем с NLP-базирано тагване на съдържанието. Класификацията захранва решението за контекстуален резерв на рекламния пакет: страница, маркирана с чувствителна категория, се насочва само към контекстуални реклами, независимо от статуса на съгласието.

Превключвател за система за препоръки

Правото на отказ от системата за препоръки трябва да се намира на същото място като изгледа с предпочитания за съгласие в банера — повечето CMPs вече предлагат общ модул „контроли на платформата” за тази цел. Превключвателят променя предпочитанието на потребителя на ниво сесия и, ако потребителят е автентикиран, предпочитанието на ниво акаунт. Услугата за препоръки надолу по веригата чете предпочитанието при всяко извикване за класиране.

Чести грешки по DSA, водещи до констатации

Решенията за прилагане на DSA от 2024 и 2025 г. са довели до ясен списък от модели, водещи до запитвания от Комисията. CMP задава флага за таргетиране на непълнолетни на false по подразбиране за всеки потребител, без изобщо да проверява собствените сигнали за възраст на издателя. Правото на отказ от системата за препоръки е заровено три клика навътре в настройките на акаунта, вместо да е показано близо до банера за съгласие. Маркерният блок за реклами по DSA се добавя към дисплейните реклами, но се пропуска за видео творчески произведения. Класификацията на чувствително съдържание обхваща очевидни категории като здраве и религия, но пропуска политическите новинарски сайтове, въпреки че те все пак отговарят на критериите по защитата на политическите възгледи в Член 9. Нивото на много голямата онлайн платформа публикува своята системна оценка на риска, но го третира като еднократно упражнение, а не като годишен жив документ, изискван от DSA.

Заключение

DSA е първата голяма регулация на ЕС от времето на GDPR, която съществено преформира онова, което издателите могат да правят с вниманието на аудиторията, за чието събиране вече са получили съгласие. Забраните за таргетиране на непълнолетни и по Член 9 са абсолютни ограничения при проектирането, не опции за съгласие. Правото на отказ от системата за препоръки е водещ потребителски контрол, намиращ се до банера за бисквитки. Задълженията за прозрачност при рекламното доставяне изискват шаблони за рекламен сървър, автоматично инжектиращи правилните маркери в всяко обслужвано творческо произведение. Нищо от това не е незадължително и нищо не може да бъде бързо доработено, когато пристигне писмо за прилагане. Издателите, изградили портите на DSA в своя CMP и рекламен пакет по време на фазата на въвеждане 2023-2024 г., сега работят в съответствие; издателите, третирали DSA като документационно упражнение, прекарват 2026 г. в опашката за прилагане на Комисията. Работата е умерена, архитектурата е установена, и последиците от пропускането й вече не са хипотетични.