Akt EU o digitalnim uslugama (DSA) i suglasnost za kolačiće: vodič za usklađenost izdavača za 2026.
Akt o digitalnim uslugama (DSA) prva je sveobuhvatna regulativa EU o mrežnim platformama od Direktive o e-trgovini, i nakon osamnaest mjeseci postupne primjene sada je svakodnevna operativna osnova za svakog izdavača sa značajnom europskom publikom. Dok GDPR i ePrivacy reguliraju podatkovni sloj -- što smijete prikupljati, pohranjivati i s kim dijeliti -- DSA regulira platformski sloj: algoritme koji rangiraju sadržaj, oglašavanje koje ga financira, sustave moderiranja koji ga nadziru, i korisničke kontrole koje štite maloljetnike i ranjive publike od manipulativnog dizajna. DSA ne zamjenjuje GDPR. Djeluje usporedno s njim, i oba su režima u interakciji na načine koji imaju materijalne posljedice za suglasnost za kolačiće, ciljanje oglasa i arhitekturu CMP-a. Do 2026. Europska komisija razriješila je većinu ranih nejasnoća putem provedbenih odluka i pojašnjavajućih komunikacija, a pravni timovi izdavača imaju ustaljen okvir za rad. Ovaj vodič prolazi kroz ono što DSA zapravo zahtijeva, kako ograničenja ciljanog oglašavanja preoblikuju tokove suglasnosti, što odjava iz sustava preporuka znači za otkrivanje sadržaja, te praktične promjene CMP-a i oglasnog stoga koje usklađen europski izdavač treba imati postavljene 2026.
Što DSA pokriva i na koga se primjenjuje
DSA je uredba, a ne direktiva -- ima izravni učinak u svim državama članicama EU bez potrebe za nacionalnom transponicijom. Stupila je na potpunu snagu za vrlo velike mrežne platforme i tražilice u kolovozu 2023. i za sve ostale u veljači 2024., što znači da izdavači sada imaju dvogodišnje operativno iskustvo s ovim režimom. Akt stvara slojevit skup obveza na temelju veličine i vrste platforme: mikro i mala poduzeća uglavnom su izuzeta, posredničke usluge imaju osnovne obveze, pružatelji usluga hostinga imaju dužnosti moderiranja sadržaja, mrežne platforme suočavaju se s dodatnim pravilima transparentnosti, a vrlo velike mrežne platforme (više od četrdeset i pet milijuna aktivnih korisnika EU-a mjesečno) imaju najstrože obveze, uključujući procjene sistemskog rizika i vanjske revizije.
Gdje se nalazi većina izdavača
Golema većina izdavača spada u kategoriju mrežnih platformi -- hostaju sadržaj koji generiraju korisnici (komentare, forumske objave, doprinose čitatelja), poslužuju oglašavanje i preporučuju sadržaj putem algoritamskih feedova ili modula vezanih članaka. Razina mrežnih platformi je ona gdje DSA postaje operativno relevantan: ograničenja ciljanog oglašavanja za maloljetnike, obveze transparentnosti o isporuci i parametrima ciljanja oglasa, objašnjenja i odjave sustava preporuka, te režim obavještavanja i djelovanja za nezakoniti sadržaj. Izdavači iznad praga vrlo velikih mrežnih platformi dodaju procjenu sistemskog rizika, obveze vanjskog revizora u evidenciji, i zahtjev da istraživačima koje je odobrila Komisija daju pristup podacima platforme.
Geografski test
DSA se primjenjuje ekstrateritorijalano. Američki izdavač s europskim posjetiteljima u opsegu je čim korisnici EU-a mogu komunicirati s uslugom -- što je u biti svaka javno dostupna web stranica. Test nije gdje je izdavač osnovan, već je li usluga ponuđena primateljima EU-a. Kao i GDPR, to po zadanom obuhvaća većinu globalne industrije izdavaštva.
Ograničenja ciljanog oglašavanja
DSA sloj koji je najvažniji za suglasnost za kolačiće i oglasne operacije jest članak 26, koji ograničava ciljano oglašavanje na dva specifična načina oko kojih izdavači moraju inženjering prilagoditi.
Zabrana ciljanja maloljetnika
DSA zabranjuje ciljano oglašavanje maloljetnicima temeljeno na profiliranju korištenjem osobnih podataka. Zabrana se primjenjuje kad god izdavač zna, ili bi razumno trebao znati, da je primatelj maloljetnik -- što u praksi znači da se aktivira za svaki signal na koji bi izdavač razumno mogao djelovati (samodeklarirana dob, signal roditeljske kontrole, kategorija sadržaja koja snažno implicira mladu publiku, oznaka računa iz vlastitog korisničkog sustava izdavača). CMP mora kodirati ovo ograničenje: čak i ako maloljetni korisnik prihvati marketinške kolačiće, put ciljanog oglašavanja mora biti zadano isključen. Povratak je kontekstualno oglašavanje -- odabir oglasa temeljen na sadržaju stranice, a ne korisničkim profilima -- što većina glavnih SSP-a i oglasnih poslužitelja sada izlaže kao isporuku prve klase.
Zabrana osjetljivih podataka
DSA također zabranjuje ciljano oglašavanje temeljeno na profiliranju koje koristi posebne kategorije osobnih podataka definirane u GDPR-ovom članku 9 -- rasa, vjera, politička mišljenja, sindikalno članstvo, zdravlje, seksualni život, seksualna orijentacija, biometrijski podaci, genetski podaci. Zabrana je apsolutna: suglasnost je ne otključava. Izdavači koji upravljaju kategorijama sadržaja koje diraju bilo koje od ovih područja -- zdravstveni izdavači, vjerski mediji, politički news portali, LGBTQ+ publikacije -- moraju osigurati da njihov oglasno-tehnološki stog ne prosljeđuje oglašivačima profilne signale izvedene iz ovih podataka, čak i kada je korisnik dao suglasnost za sve kategorije marketinga.
Operativne implikacije za CMP
CMP mora kodirati DSA ograničenja kao tvrda prolaza, a ne kao prebacivanje stanja suglasnosti. Potvrda suglasnosti koja kaže 'sve kategorije prihvaćene' ne ovlašćuje ciljano oglašavanje maloljetniku ili na temelju podataka iz članka 9. Najčišća implementacija usmjerava stanje suglasnosti, signal maloljetnika i klasifikaciju osjetljivog sadržaja stranice kroz jednu funkciju odlučivanja koja sjedi između CMP-a i oglasno-tehnoloških dobavljača, a funkcija zadano isporučuje kontekstualno kada se ikoji od DSA prolaza aktivira.
Odjava iz sustava preporuka
Članak 38 DSA-a zahtijeva od mrežnih platformi koje koriste sustave preporuka -- algoritamsko rangiranje sadržaja na feedovima, moduli vezanih članaka, redovi za sljedeći video -- da objasne glavne parametre tih sustava i ponude korisnicima najmanje jednu opciju koja nije temeljena na profiliranju. Izdavači koji vode personalizirano otkrivanje sadržaja ne mogu profiliranje učiniti jedinom dostupnom modusom.
Kako izgleda mod bez profiliranja
Mod bez profiliranja obično je kronološki feed, feed rangiran po popularnosti ili uredničko kurirani feed koji ne personalizira na temelju individualnog ponašanja korisnika. Korisnik mora imati mogućnost prebaciti se na njega putem jasno vidljive kontrole -- ne zakopane u postavkama računa -- a odabir mora biti zapamćen za buduće sesije. Izdavači trebaju tretirati kontrolu sustava preporuka kao prvoklasnig dio korisničkog iskustva suglasnosti, često prikazanu kroz isto CMP sučelje koje upravlja preferencijama kolačića.
Transparentnost o parametrima rangiranja
Platforma mora objaviti, na jednostavnom jeziku, glavne parametre koje njezin sustav preporuka koristi -- svježina, popularnost, sličnost s prošlim ponašanjem, urednička težina, relevantnost oglašavanja. Objava je obično odjeljak u politici privatnosti ili posebna stranica transparentnosti, i trebala bi biti dovoljno specifična da regulatoru koji ju čita može provjeriti opis naspram stvarnog ponašanja platforme. Nejasan jezik poput 'koristimo strojno učenje za preporuku sadržaja koji biste mogli voljeti' ne zadovoljava standard.
Kako se DSA nadograđuje na GDPR i ePrivacy
DSA ne zamjenjuje GDPR niti ePrivacy -- dodaje pravila na razini platforme na vrh njih. Interakcije su uglavnom aditivne, ali na dva specifična mjesta ograničavaju što suglasnost sama može ovlastiti.
Suglasnost ne može poništiti zabrane DSA-a
Zabrana ciljanja maloljetnika i zabrana osjetljivih podataka iz članka 9 apsolutne su. Korisnik ne može suglasnom primiti ciljano oglašavanje ni u jednom slučaju. Ovo je značajno ograničenje dizajna za CMP-ove koji su povijesno tretirali suglasnost kao univerzalno otključavanje -- pod DSA-om, stanje suglasnosti je nužno, ali nije dovoljno, i arhitektura CMP-a mora to odražavati.
Obveze transparentnosti nalaze se iznad onih GDPR-a
Obveze transparentnosti oglasa DSA-a -- jasna identifikacija oglasa, imenovanje oglašivača, objašnjenje glavnih parametara ciljanja korištenih za isporuku specifičnog oglasa -- neovisne su od zahtjeva transparentnosti GDPR-a i moraju biti zadovoljene u samom oglasom kreativnom materijalu. Većina izdavača to rješava putem predložaka oglasnog poslužitelja koji automatski ubacuju DSA blok s oznakom oglasa u poslužene kreativne materijale.
Praktične promjene CMP-a i oglasnog stoga
DSA-svjesni CMP i oglasni stog imaju mali broj ponavljajućih elemenata koji su se stabilizirali na glavnim komercijalnim platformama do 2026.
Vodovod signala maloljetnika
CMP mora prihvatiti signal maloljetnika iz sustava korisničkih računa izdavača, klasifikacije sadržaja stranice ili sloja roditeljske kontrole, te propagirati signal u odluku o suglasnosti. Većina CMP-ova sada to izlaže kao atribut 'maloljetnik' na potvrdi suglasnosti koji oglasni stog čita zajedno sa stanjem suglasnosti. Signal teče nizvodno kroz Google Consent Mode v2, niz IAB TCF v2.3 i svaku integraciju specifičnu za dobavljača koja ga podržava.
Klasifikacija osjetljivog sadržaja
Izdavači trebaju provesti prolaz klasifikacije sadržaja na svakoj stranici koji je mapira na DSA kategorije osjetljivih podataka. Klasifikacija može biti ručna za uredničke stranice s strukturiranim taksonomijama ili automatizirana za stranice s velikim obujmom s NLP-baziranim označavanjem sadržaja. Klasifikacija hrani kontekstualni rezervni odlučivač oglasnog stoga: stranica označena kategorijom osjetljivog sadržaja usmjerava se isključivo na kontekstualne oglase, bez obzira na stanje suglasnosti.
Prekidač sustava preporuka
Odjava iz sustava preporuka trebala bi živjeti na istom mjestu kao i prikaz preferencija bannera suglasnosti -- većina CMP-ova sada izlaže generički modul 'kontrola platforme' za tu svrhu. Prekidač mijenja preferenciju korisnika na razini sesije i, ako je korisnik autentificiran, njihovu preferenciju na razini računa. Nizvodni servis preporuka čita preferenciju pri svakom pozivu rangiranja.
Uobičajene pogreške DSA-a koje pokreću nalaze
Provedbene odluke DSA-a kroz 2024. i 2025. proizvele su jasan popis obrazaca koji vode do istraga Komisije. CMP zadano postavlja zastavicu ciljanja maloljetnika na false za svakog korisnika bez ikada provjere vlastitih signala dobi izdavača. Odjava iz sustava preporuka zakopana je tri klika duboko u postavkama računa umjesto da je prikazana blizu bannera suglasnosti. Blok s oznakom DSA oglasa dodan je za display oglase, ali propušten za video kreativne materijale. Klasifikacija osjetljivog sadržaja pokriva očite kategorije poput zdravlja i vjere, ali propušta politička news mjesta koja ipak ispunjavaju uvjete prema zaštiti političkih mišljenja iz članka 9. Razina vrlo velikih mrežnih platformi objavljuje svoju procjenu sistemskog rizika, ali tretira je kao jednokratnu vježbu, a ne kao godišnji živi dokument koji DSA zahtijeva.
Zaključak
DSA je prva velika regulativa EU od GDPR-a koja materijalno preoblikuje što izdavači mogu učiniti s pozornošću publike za koju su već prikupili suglasnost. Zabrane ciljanja maloljetnika i zabrane iz članka 9 apsolutna su dizajnerska ograničenja, a ne opcije suglasnosti. Odjava iz sustava preporuka je prvoklasnig kontrola korisnika koja sjedi pored bannera kolačića. Obveze transparentnosti o isporuci oglasa zahtijevaju predloške oglasnog poslužitelja koji automatski ubacuju ispravne oznake u svaki posluženi kreativni materijal. Ništa od ovoga nije opcionalno i ništa se ne može naknadnom žurbom implementirati kada stigne provedbeno pismo. Izdavači koji su ugradili DSA prolaze u njihov CMP i oglasni stog za vrijeme uvođenja 2023.-2024. sada posluju čisto; izdavači koji su DSA tretirali kao dokumentacijsku vježbu provode 2026. u provedbenom redu Komisije. Rad je umjeren, arhitektura je ustaljenena, a posljedice izbjegavanja više nisu hipotetske.