Co DSA upravuje a na koho se vztahuje

DSA je nařízení, nikoli směrnice — má přímý účinek ve všech členských státech EU bez nutnosti vnitrostátní transpozice. Plně vstoupilo v platnost pro velmi velké online platformy a vyhledávače v srpnu 2023 a pro všechny ostatní v únoru 2024, což znamená, že vydavatelé mají s tímto režimem nyní dvouletou provozní zkušenost. Zákon vytváří víceúrovňový soubor povinností podle velikosti a typu platformy: mikropodniky a malé podniky jsou z velké části osvobozeny, zprostředkovatelské služby mají základní povinnosti, hostingové poskytovatele se týkají povinnosti moderování obsahu, online platformy čelí dalším pravidlům transparentnosti a velmi velké online platformy (nad čtyřicet pět milionů aktivních uživatelů v EU měsíčně) čelí nejpřísnějším povinnostem včetně hodnocení systémových rizik a externích auditů.

Kde se nachází většina vydavatelů

Velká většina vydavatelů spadá do kategorie online platforem — hostují obsah generovaný uživateli (komentáře, příspěvky ve fórech, příspěvky čtenářů), zobrazují reklamu a doporučují obsah prostřednictvím algoritmických kanálů nebo modulů souvisejících článků. Úroveň online platformy je místem, kde se DSA stává provozně relevantním: omezení cílené reklamy pro nezletilé, povinnosti transparentnosti ohledně zobrazování reklam a parametrů cílení, vysvětlení systémů doporučování a možnosti odhlášení a režim oznamování a opatření pro nezákonný obsah. Vydavatelé překračující práh velmi velké online platformy přidávají hodnocení systémového rizika, povinnosti externího auditora a požadavek poskytnout ověřeným výzkumníkům Komise přístup k datům platformy.

Geografický test

DSA se uplatňuje extrateritoriálně. Americký vydavatel s evropskými návštěvníky je v jeho působnosti od okamžiku, kdy mohou uživatelé z EU se službou interagovat — což se v podstatě týká každého veřejně přístupného webu. Kritériem není sídlo vydavatele, ale zda je služba nabízena příjemcům v EU. Podobně jako GDPR to ve výchozím nastavení zachycuje většinu světového vydavatelského průmyslu.

Omezení cílené reklamy

Vrstva DSA, která má největší význam pro souhlas s cookies a reklamní provoz, je článek 26, který omezuje cílenou reklamu dvěma specifickými způsoby, kolem nichž musí vydavatelé technicky navrhnout svá řešení.

Zákaz cílení na nezletilé

DSA zakazuje cílenou reklamu nezletilým na základě profilování s využitím osobních údajů. Zákaz se uplatňuje vždy, když vydavatel ví nebo by měl přiměřeně vědět, že příjemce je nezletilý — což v praxi znamená, že nastupuje pro jakýkoli signál, na jehož základě by vydavatel přiměřeně mohl jednat (vlastnoručně deklarovaný věk, signál rodičovské kontroly, kategorie obsahu silně naznačující mladé publikum, příznak účtu z vlastního uživatelského systému vydavatele). CMP musí toto omezení zakódovat: i když nezletilý uživatel přijme marketingové cookies, cesta k cílené reklamě musí být ve výchozím stavu vypnutá. Alternativou je kontextová reklama — výběr reklam na základě obsahu stránky, nikoli uživatelských profilů — kterou většina hlavních SSP a reklamních serverů nyní nabízí jako přední způsob doručování.

Zákaz citlivých dat

DSA rovněž zakazuje cílenou reklamu na základě profilování využívajícího zvláštní kategorie osobních údajů ve smyslu článku 9 GDPR — rasový nebo etnický původ, náboženství, politické názory, členství v odborech, zdravotní stav, sexuální život, sexuální orientaci, biometrické a genetické údaje. Zákaz je absolutní: souhlas jej neodemkne. Vydavatelé provozující kategorie obsahu, které se dotýkají jakékoli z těchto oblastí — vydavatelé zdravotnického obsahu, náboženská média, weby s politickými zprávami, LGBTQ+ publikace — musí zajistit, aby jejich reklamní technologický stack nepředával inzerentům profilové signály odvozené z těchto dat, a to i tehdy, když uživatel udělil souhlas se všemi kategoriemi marketingu.

Provozní dopady na CMP

CMP musí zakódovat omezení DSA jako tvrdé brány, nikoli jako přepínače stavu souhlasu. Potvrzení o souhlasu s textem „všechny kategorie přijaty” neopravňuje k cílené reklamě pro nezletilé ani na základě dat podle článku 9. Nejčistší implementační cesty vedou stav souhlasu, signál nezletilého a klasifikaci citlivého obsahu stránky jedinou rozhodovací funkcí, která se nachází mezi CMP a dodavateli reklamních technologií, přičemž funkce se při aktivaci jakékoli brány DSA automaticky přepne na kontextové doručování.

Odhlášení ze systému doporučování

Článek 38 DSA vyžaduje, aby online platformy využívající systémy doporučování — algoritmické řazení obsahu v kanálech, moduly souvisejících článků, fronty dalšího videa — vysvětlily hlavní parametry těchto systémů a nabídly uživatelům alespoň jednu možnost, která není založena na profilování. Vydavatelé provozující personalizované objevování obsahu nemohou učinit z profilování jediný dostupný režim.

Jak vypadá režim bez profilování

Režim bez profilování je typicky chronologický kanál, kanál seřazený podle popularity nebo redakčně vybraný kanál, který nepersonalizuje na základě individuálního chování uživatele. Uživatel musí mít možnost přepnout na něj pomocí jasně viditelného ovládacího prvku — nikoli zahrabaného v nastavení účtu — a volba musí být zapamatována pro budoucí relace. Vydavatelé by měli považovat ovládání systému doporučování za prvotřídní součást UX souhlasu, která je obvykle dostupná prostřednictvím stejného rozhraní CMP, jež spravuje předvolby cookies.

Transparentnost ohledně parametrů řazení

Platforma musí v srozumitelném jazyce zveřejnit hlavní parametry, které její systém doporučování používá — aktuálnost, popularitu, podobnost s minulým chováním, redakční váhu, relevanci reklamy. Zveřejnění je obvykle oddíl v zásadách ochrany osobních údajů nebo vyhrazená stránka transparentnosti, přičemž musí být dostatečně konkrétní, aby regulátor mohl ověřit popis vůči skutečnému chování platformy. Vágní formulace jako „k doporučování obsahu, který by se vám mohl líbit, využíváme NLP strojové učení” standardu nevyhovuje.

Jak se DSA vrství nad GDPR a ePrivacy

DSA nenahrazuje GDPR ani ePrivacy — přidává k nim pravidla na úrovni platformy. Vzájemné působení je převážně aditivní, ale na dvou konkrétních místech omezuje to, co může souhlas sám o sobě oprávnit.

Souhlas nemůže překonat zákazy DSA

Zákaz cílení na nezletilé a zákaz citlivých dat podle článku 9 jsou absolutní. Uživatel se v ani jednom případě nemůže souhlasem přihlásit k odběru cílené reklamy. Pro CMP, které historicky považovaly souhlas za univerzální klíč, jde o zásadní designové omezení — v rámci DSA je stav souhlasu nezbytnou, nikoli však postačující podmínkou a architektura CMP musí tuto skutečnost odrážet.

Povinnosti transparentnosti jsou naddány nad GDPR

Povinnosti reklamní transparentnosti DSA — jasná identifikace reklam, pojmenování inzerenta, vysvětlení hlavních parametrů cílení použitých při konkrétním doručení reklamy — jsou nezávislé na požadavcích GDPR na transparentnost a musí být splněny přímo v reklamním kreativu. Většina vydavatelů to řeší pomocí šablon reklamního serveru, které automaticky vkládají blok značky reklamy DSA do zobrazovaných kreativů.

Praktické změny CMP a reklamního stacku

CMP a reklamní stack zohledňující DSA mají malý počet opakovatelných prvků, které se do roku 2026 ustálily v rámci hlavních komerčních platforem.

Zavedení signálu nezletilého

CMP musí přijmout signál nezletilého ze systému uživatelských účtů vydavatele, klasifikace obsahu stránky nebo vrstvy rodičovské kontroly a propagovat tento signál do rozhodnutí o souhlasu. Většina CMP nyní nabízí tuto funkci jako atribut „minor” na potvrzení o souhlasu, které reklamní stack čte vedle stavu souhlasu. Signál proudí po proudu přes Google Consent Mode v2, řetězec IAB TCF v2.3 a jakoukoli integraci specifickou pro dodavatele, která jej podporuje.

Klasifikace citlivého obsahu

Vydavatelé by měli provést klasifikaci obsahu na každé stránce a namapovat ji na kategorie citlivých dat DSA. Klasifikace může být manuální pro redakční weby se strukturovanými taxonomiemi nebo automatizovaná pro weby s vysokým objemem s NLP tagováním obsahu. Klasifikace napájí rozhodnutí o kontextovém záložním plánu reklamního stacku: stránka označená citlivou kategorií je směrována pouze na kontextové reklamy bez ohledu na stav souhlasu.

Přepínač systému doporučování

Odhlášení ze systému doporučování by se mělo nacházet na stejném místě jako zobrazení předvoleb v banneru se souhlasem — většina CMP nyní pro tento účel nabízí generický modul „ovládací prvky platformy”. Přepínač mění preferenci uživatele na úrovni relace a, pokud je uživatel ověřen, preferenci na úrovni účtu. Downstream doporučovací služba čte preferenci při každém volání řazení.

Běžné chyby DSA vedoucí k nálezům

Rozhodnutí o vymáhání DSA v průběhu roku 2024 a 2025 přinesla jasný seznam vzorců, které vedou k šetřením Komise. CMP standardně nastavuje příznak cílení na nezletilé na hodnotu false pro každého uživatele, aniž by kdy kontrolovalo vlastní věkové signály vydavatele. Odhlášení ze systému doporučování je zahrabáno tři kliknutí hluboko v nastavení účtu, místo aby bylo zobrazeno v blízkosti banneru se souhlasem. Blok reklamní značky DSA je přidán k display reklamám, ale u video kreativů chybí. Klasifikace citlivého obsahu zahrnuje zjevné kategorie jako zdraví a náboženství, ale přehlíží zpravodajské weby s politickým obsahem, které přesto splňují podmínky pro ochranu politických názorů podle článku 9. Úroveň velmi velké online platformy zveřejňuje své hodnocení systémového rizika, ale zachází s ním jako s jednorázovým cvičením, nikoli jako s každoročním živým dokumentem, jak DSA vyžaduje.

Závěr

DSA je prvním zásadním nařízením EU od dob GDPR, které podstatně přetváří to, co mohou vydavatelé dělat s pozorností publika, pro níž již získali souhlas. Zákazy cílení na nezletilé a podle článku 9 jsou absolutní designová omezení, nikoli možnosti souhlasu. Odhlášení ze systému doporučování je prvotřídní uživatelský ovládací prvek nacházející se vedle banneru s cookies. Povinnosti transparentnosti ohledně doručování reklam vyžadují šablony reklamního serveru, které automaticky vkládají správné značky do každého zobrazeného kreativu. Nic z toho není volitelné a nic z toho nelze narychlo doplnit, když přijde dopis o vymáhání. Vydavatelé, kteří zabudovali brány DSA do svého CMP a reklamního stacku v průběhu fáze zavádění 2023–2024, nyní fungují v souladu s předpisy; vydavatelé, kteří přistupovali k DSA jako k dokumentačnímu cvičení, tráví rok 2026 ve frontě na vymáhání ze strany Komise. Práce je přiměřená, architektura je ustálená a důsledky jejího opomíjení již nejsou hypotetické.