Mit fed le a DSA és kire vonatkozik

A DSA rendelet, nem irányelv: közvetlenül alkalmazandó az összes EU-tagállamban, nemzeti átültetés nélkül. 2023 augusztusában lépett teljes mértékben hatályba a nagyon nagy online platformokra és keresőmotorokra, majd 2024 februárjában mindenkire másra - ez azt jelenti, hogy a kiadóknak már kétéves működési tapasztalatuk van a rendszerrel. A törvény méret és platformtípus alapján rétegzett kötelezettségeket hoz létre: a mikro- és kisvállalkozások nagyrészt mentesülnek, a közvetítő szolgáltatásokra alapkötelezettségek vonatkoznak, a tárhelyszolgáltatóknak tartalommoderálási feladataik vannak, az online platformokra további átláthatósági szabályok vonatkoznak, a nagyon nagy online platformokra (negyvenötmillió feletti havi aktív EU-felhasználóval) pedig a legszigorúbb kötelezettségek, köztük szisztematikus kockázatértékelések és külső auditok.

Hová tartoznak a legtöbb kiadók

A kiadók túlnyomó többsége az online platform kategóriába esik: felhasználók által generált tartalmakat (hozzászólások, fórum-bejegyzések, olvasói hozzájárulások) tárolnak, hirdetéseket szolgáltatnak, és algoritmikus hírfolyamokon vagy kapcsolódó cikkmodulokban ajánlanak tartalmakat. Az online platform szint az, ahol a DSA operatív szempontból relevánssá válik: célzott reklámkorlátozások kiskorúakra, átláthatossági kötelezettségek a hirdetések kézbesítésére és célzási paramétereire, javasló rendszerek magyarázatai és leiratkozási lehetőségek, valamint jogellenes tartalmakra vonatkozó értesítési és intézkedési rendszer. A nagyon nagy online platform küszöbét meghaladó kiadókra szisztematikus kockázatértékelés, külső könyvvizsgálói kötelezettség és a Bizottság által jóváhagyott kutatóknak platformadatokhoz való hozzáférési követelmény vonatkozik.

A területi hatály kérdése

A DSA extrateritoriálisan alkalmazandó. Egy US-alapú kiadó európai látogatókkal azonnal hatálya alá kerül, amint EU-felhasználók interakcióba léphetnek a szolgáltatással - ami lényegében minden nyilvánosan elérhető webhelyet érint. A teszt nem az, hogy hol van a kiadó székhelye, hanem az, hogy a szolgáltatást EU-befogadók számára kínálják-e. A GDPR-hoz hasonlóan ez alapértelmezés szerint a globális kiadói ipar nagy részét érinti.

A célzott reklámra vonatkozó korlátozások

A cookie-hozzájárulás és a hirdetési műveletek szempontjából legfontosabb DSA-réteg az Article 26, amely két konkrét módon korlátozza a célzott reklámot, amelyek köré a kiadóknak meg kell tervezniük rendszereiket.

A kiskorúak célzásának tilalma

A DSA megtiltja a kiskorúak személyes adatok profilalkotáson alapuló célzott reklámját. A tilalom akkor alkalmazandó, ha a kiadó tudja, vagy ésszerűen tudnia kellene, hogy a befogadó kiskorú - ami a gyakorlatban minden olyan jelzésre vonatkozik, amelyen a kiadó valószínűsíthetően cselekedne (saját maga által megadott életkor, szülői felügyeleti jelzés, fiatal közönséget erősen sugalló tartalomkategória, a kiadó saját felhasználói rendszeréből származó fiókjelzés). A CMP-nek kódolnia kell ezt a korlátozást: még ha egy kiskorú felhasználó elfogadja is a marketing cookie-kat, a célzott reklám útvonalának alapértelmezetten kikapcsoltnak kell lennie. A visszaesési lehetőség a kontextuális reklám - oldaltartalom alapján, nem felhasználói profilok alapján történő hirdetésválasztás -, amelyet most a legtöbb vezető SSP és hirdetéskiszolgáló elsőrangú kézbesítési módként kínál.

Az érzékeny adatokra vonatkozó tilalom

A DSA megtiltja a célzott reklámot is, amely a GDPR Article 9 által meghatározott személyes adatok különleges kategóriáin alapuló profilalkotást alkalmaz: faj, vallás, politikai nézetek, szakszervezeti tagság, egészségi állapot, szexuális élet, szexuális irányultság, biometrikus adatok, genetikai adatok. A tilalom abszolút: a hozzájárulás sem oldja fel. Azoknak a kiadóknak, amelyek e területek bármelyikét érintő tartalomkategóriákat kezelnek - egészségügyi kiadók, vallási média, politikai hírportálok, LGBTQ+ kiadványok - biztosítaniuk kell, hogy hirdetéstechnológiai rendszerük ne továbbítson az ezekből az adatokból származó profiljelzéseket a hirdetőknek, még akkor sem, ha a felhasználó az összes marketingkategóriához hozzájárult.

A CMP operatív következményei

A CMP-nek a DSA-korlátozásokat kemény kapuként kell kódolnia, nem pedig hozzájárulási állapotváltóként. Az 'összes kategória elfogadva' feliratú hozzájárulási bizonylat nem jogosít fel kiskorúnak vagy Article 9-adatokon alapuló célzott reklámra. A legegyszerűbb megvalósítás a hozzájárulási állapotot, a kiskorúra vonatkozó jelzést és az oldal érzékeny tartalom besorolását egy olyan döntési funkción keresztül vezeti, amely a CMP és a hirdetéstechnológiai forgalmazók között helyezkedik el, és a funkció alapértelmezetten kontextuális kézbesítést biztosít, valahányszor bármelyik DSA-kapu aktiválódik.

A javasló rendszer leiratkozása

A DSA Article 38 előírja, hogy a javasló rendszereket alkalmazó online platformok - algoritmikus tartalomrangsorolás hírfolyamokon, kapcsolódó cikkmodulok, videós 'következő' sorok - magyarázzák el e rendszerek főbb paramétereit, és kínáljanak a felhasználóknak legalább egy olyan lehetőséget, amely nem profilalkotáson alapul. A személyre szabott tartalmak felfedezését kínáló kiadók nem tehetik a profilalkotást az egyedüli elérhető móddá.

Hogyan néz ki a profilalkotás nélküli mód

A profilalkotás nélküli mód általában kronológiai hírfolyam, népszerűség alapján rangsorolt hírfolyam vagy szerkesztőileg összeállított hírfolyam, amely nem személyre szabott az egyéni felhasználó viselkedése alapján. A felhasználónak egy jól látható vezérlőn keresztül kell tudnia átváltani rá - nem elásva a fiókbeállításokban -, és a választást meg kell jegyezni a jövőbeli munkamenetekre. A kiadóknak a javasló rendszer vezérlőjét a hozzájárulási UX elsőrangú részeként kell kezelniük, amelyet gyakran ugyanazon a CMP-felületen tesznek elérhetővé, amely a cookie-beállításokat kezeli.

Átláthatóság a rangsorolási paraméterekről

A platformnak egyszerű nyelven közzé kell tennie a javasló rendszer által használt főbb paramétereket: frissesség, népszerűség, hasonlóság a korábbi viselkedéshez, szerkesztői súly, hirdetési relevancia. A közzététel általában egy szakasz az adatvédelmi irányelvben vagy egy dedikált átláthatósági oldal, és kellően konkrétnak kell lennie ahhoz, hogy egy hatóság ellenőrizhesse a leírást a tényleges platformviselkedéssel szemben. Az olyan homályos megfogalmazás, mint 'gépi tanulást alkalmazunk olyan tartalmak ajánlásához, amelyek érdekelhetik Önt', nem felel meg a követelményeknek.

Hogyan rétegződik a DSA a GDPR és az ePrivacy fölé

A DSA nem váltja fel a GDPR-t vagy az ePrivacy-t - platformszintű szabályokat ad hozzájuk. A kölcsönhatások többnyire additívak, de két konkrét helyen korlátozzák azt, amit önmagában a hozzájárulás engedélyezhet.

A hozzájárulás nem bírálhatja felül a DSA-tilalmakat

A kiskorúak célzásának tilalma és az Article 9 érzékeny adatokra vonatkozó tilalom abszolút. A felhasználó nem adhatja beleegyezését a célzott reklám fogadásába egyik esetben sem. Ez fontos tervezési korlátot jelent azoknak a CMP-knek, amelyek hagyományosan a hozzájárulást univerzális feloldóként kezelték - a DSA értelmében a hozzájárulási állapot szükséges, de nem elégséges, és a CMP-architektúrának ezt tükröznie kell.

Az átláthatossági kötelezettségek a GDPR-éi fölé rétegződnek

A DSA hirdetési átláthatossági kötelezettségei - a hirdetések egyértelmű azonosítása, a hirdető megnevezése, az adott hirdetéskézbesítésnél használt főbb célzási paraméterek ismertetése - függetlenek a GDPR átláthatossági követelményeitől, és magában a hirdetési kreatívban kell teljesíteni őket. A legtöbb kiadó ezt olyan hirdetéskiszolgálói sablonokkal kezeli, amelyek automatikusan beilleszt a DSA hirdetésjelölő blokkot a kézbesített kreatívokba.

Gyakorlati CMP- és hirdetéstechnológiai változtatások

A DSA-kompatibilis CMP és hirdetéstechnológia kis számú ismételhető elemet tartalmaz, amelyek 2026-ra megszilárdultak a főbb kereskedelmi platformok körében.

Kiskorú-jelzés integrálása

A CMP-nek el kell fogadnia a kiadó felhasználói fiókrendszeréből, az oldal tartalombesorolásából vagy a szülői felügyeleti rétegből érkező kiskorú-jelzést, és a jelzést be kell csatornáznia a hozzájárulási döntésbe. A legtöbb CMP most már 'minor' attribútumként teszi elérhetővé ezt a hozzájárulási bizonylaton, amelyet a hirdetéstechnológia a hozzájárulási állapottal együtt olvas. A jelzés downstream-ben áramlik a Google Consent Mode v2-n, az IAB TCF v2.3 karakterláncon és minden olyan forgalmazó-specifikus integráción keresztül, amely támogatja azt.

Érzékeny tartalmak besorolása

A kiadóknak minden oldalon tartalombesorolási vizsgálatot kell futtatniuk, amely az oldalt a DSA érzékeny adatkategóriáihoz rendeli. A besorolás elvégezhető manuálisan a strukturált taxonómiával rendelkező szerkesztői oldalak esetén, vagy automatizáltan az NLP-alapú tartalomcímkézéssel rendelkező nagy volumenű oldalak esetén. A besorolás táplálja a hirdetéstechnológia kontextuális visszaesési döntését: egy érzékeny kategóriával jelölt oldal csak kontextuális hirdetésekre irányít, a hozzájárulási állapottól függetlenül.

Javasló rendszer kapcsolója

A javasló rendszer leiratkozásának ugyanazon a helyen kell lennie, mint a hozzájárulási szalagcím preferencia-nézetének - a legtöbb CMP most már egy általános 'platform vezérlők' modult tesz elérhetővé erre a célra. A kapcsoló megváltoztatja a felhasználó munkamenet-szintű beállítását, és ha a felhasználó hitelesített, fiókszintű beállítását is. A downstream javasló szolgáltatás minden rangsorolási hívásnál olvassa a beállítást.

Gyakori DSA-hibák, amelyek megállapításokat váltanak ki

A 2024-es és 2025-ös DSA végrehajtási határozatok egyértelmű listát állítottak össze azokról a mintákról, amelyek Bizottsági vizsgálatokhoz vezet nek. A CMP a kiskorú-célzási jelzőt alapértelmezetten false értékre állítja minden felhasználó esetén anélkül, hogy valaha is ellenőrizné a kiadó saját korjelzéseit. A javasló rendszer leiratkozása három kattintásra van elásva a fiókbeállításokban, ahelyett, hogy a hozzájárulási szalagcím közelében lenne elérhetővé téve. A hirdetési kreatív hirdetésjelölő blokkja hozzáadódik a display hirdetésekhez, de kimarad a videós kreatívokból. Az érzékeny tartalmak besorolása lefedi a nyilvánvaló kategóriákat, mint az egészségügy és a vallás, de kihagyja azokat a politikai hírportálokat, amelyek ugyanakkor az Article 9 politikai nézetekre vonatkozó védelme alá esnek. A nagyon nagy online platform szint közzéteszi a szisztematikus kockázatértékelését, de egyszeri gyakorlatként kezeli, nem pedig a DSA által megkövetelt éves élő dokumentumként.

A lényeg

A DSA az első nagy EU-s szabályozás a GDPR óta, amely lényegesen újraformálja, hogy a kiadók mit tehetnek azzal a közönségfigyelemmel, amelyhez már begyűjtötték a hozzájárulást. A kiskorúak célzásának és az Article 9 tilalmai abszolút tervezési korlátok, nem hozzájárulási lehetőségek. A javasló rendszer leiratkozása egy elsőrangú felhasználói vezérlő, amely a cookie-szalagcím mellett helyezkedik el. A hirdetéskézbesítés átláthatossági kötelezettségei olyan hirdetéskiszolgálói sablonokat igényelnek, amelyek automatikusan beillesztik a megfelelő jelölőket minden kézbesített kreatívba. Semmi ebből nem opcionális, és semmi sem ültethető át sietséggel, amikor megérkezik a végrehajtási levél. Azok a kiadók, amelyek a DSA kapuit a 2023-2024-es bevezetési fázisban beépítették CMP-jükbe és hirdetéstechnológiájukba, ma már tisztán működnek; azok, amelyek a DSA-t dokumentációs gyakorlatként kezelték, 2026-ot a Bizottság végrehajtási sorában töltik. A munka mérsékelt, az architektúra megállapodott, és a kihagyás következményei már nem hipotetikusak.