Czego dotyczy DSA i kogo obejmuje

DSA jest rozporządzeniem, a nie dyrektywą — ma bezpośrednie zastosowanie we wszystkich państwach członkowskich UE bez konieczności krajowej transpozycji. Wszedł w pełni w życie dla bardzo dużych platform internetowych i wyszukiwarek w sierpniu 2023 roku, a dla wszystkich pozostałych w lutym 2024 roku, co oznacza, że wydawcy mają już dwuletnie doświadczenie operacyjne z tym reżimem. Akt tworzy warstwowy zestaw obowiązków oparty na wielkości i rodzaju platformy: mikroprzedsiębiorstwa i małe firmy są w dużej mierze zwolnione, usługi pośrednictwa mają podstawowe obowiązki, dostawcy usług hostingowych mają obowiązki moderacji treści, platformy internetowe mają dodatkowe wymogi przejrzystości, a bardzo duże platformy internetowe (ponad czterdzieści pięć milionów miesięcznych aktywnych użytkowników UE) podlegają najbardziej rygorystycznym obowiązkom, w tym ocenom ryzyka systemowego i audytom zewnętrznym.

Gdzie znajduje się większość wydawców

Zdecydowana większość wydawców należy do kategorii platform internetowych — hostują treści generowane przez użytkowników (komentarze, posty na forach, wkłady czytelników), wyświetlają reklamy i rekomendują treści za pośrednictwem algorytmicznych kanałów lub modułów powiązanych artykułów. Poziom platformy internetowej to miejsce, w którym DSA staje się operacyjnie istotny: ograniczenia reklamy ukierunkowanej dla nieletnich, obowiązki przejrzystości dotyczące dostarczania reklam i parametrów targetowania, wyjaśnienia dotyczące systemów rekomendacji i opcje rezygnacji oraz reżim zgłaszania i działania w przypadku nielegalnych treści. Wydawcy przekraczający próg bardzo dużej platformy internetowej mają dodatkowe obowiązki: ocenę ryzyka systemowego, obowiązki związane z oficjalnym zewnętrznym audytorem oraz wymóg umożliwienia zweryfikowanym przez Komisję badaczom dostępu do danych platformy.

Test geograficzny

DSA stosuje się eksterytorialnie. Amerykański wydawca z europejskimi odwiedzającymi jest w zakresie zastosowania w momencie, gdy użytkownicy UE mogą korzystać z usługi — co dotyczy praktycznie każdej publicznie dostępnej strony internetowej. Test nie dotyczy miejsca siedziby wydawcy, lecz tego, czy usługa jest oferowana odbiorcom z UE. Podobnie jak GDPR, obejmuje to domyślnie większość globalnej branży wydawniczej.

Ograniczenia reklamy ukierunkowanej

Warstwa DSA o największym znaczeniu dla zgody na pliki cookie i operacji reklamowych to Article 26, który ogranicza reklamę ukierunkowaną na dwa konkretne sposoby, wokół których wydawcy muszą projektować swoje systemy.

Zakaz targetowania nieletnich

DSA zakazuje reklamy ukierunkowanej do nieletnich opartej na profilowaniu z wykorzystaniem danych osobowych. Zakaz obowiązuje, gdy wydawca wie lub powinien racjonalnie wiedzieć, że odbiorca jest nieletni — co w praktyce oznacza, że wchodzi w życie dla każdego sygnału, na którym wydawca mógłby racjonalnie działać (samodeklarowany wiek, sygnał kontroli rodzicielskiej, kategoria treści silnie sugerująca młodą publiczność, oznaczenie konta z własnego systemu użytkowników wydawcy). CMP musi zakodować to ograniczenie: nawet jeśli nieletni użytkownik zaakceptuje marketingowe pliki cookie, ścieżka reklamy ukierunkowanej musi być domyślnie wyłączona. Rozwiązaniem zastępczym jest reklama kontekstowa — wybór reklam oparty na treści strony, a nie profilach użytkowników — którą większość głównych SSP i serwerów reklamowych udostępnia teraz jako tryb dostarczania pierwszej klasy.

Zakaz wrażliwych danych

DSA zakazuje również reklamy ukierunkowanej opartej na profilowaniu wykorzystującym szczególne kategorie danych osobowych zdefiniowane w GDPR Article 9 — rasę, religię, poglądy polityczne, przynależność do związków zawodowych, zdrowie, życie seksualne, orientację seksualną, dane biometryczne, dane genetyczne. Zakaz jest bezwzględny: zgoda go nie uchyla. Wydawcy prowadzący kategorie treści dotykające któregokolwiek z tych obszarów — wydawcy zdrowotni, media religijne, portale informacyjne polityczne, publikacje LGBTQ+ — muszą zapewnić, że ich stos technologiczny reklam nie przekazuje reklamodawcom sygnałów profilowych wywodzących się z tych danych, nawet gdy użytkownik wyraził zgodę na wszystkie kategorie marketingowe.

Konsekwencje operacyjne dla CMP

CMP musi zakodować ograniczenia DSA jako twarde bramki, a nie przełączniki stanu zgody. Potwierdzenie zgody brzmiące 'wszystkie kategorie zaakceptowane' nie upoważnia do reklamy ukierunkowanej wobec nieletniego ani opartej na danych Article 9. Najczystszą ścieżką implementacji jest przepuszczenie stanu zgody, sygnału o nieletnim i klasyfikacji wrażliwej treści strony przez jedną funkcję decyzyjną znajdującą się między CMP a dostawcami technologii reklamowej, przy czym funkcja domyślnie przechodzi do dostarczania kontekstowego przy uruchomieniu którejkolwiek z bramek DSA.

Rezygnacja z systemów rekomendacji

Article 38 DSA zobowiązuje platformy internetowe korzystające z systemów rekomendacji — algorytmicznego rankingowania treści w kanałach, modułów powiązanych artykułów, kolejek następnych filmów — do wyjaśnienia głównych parametrów tych systemów i zaoferowania użytkownikom co najmniej jednej opcji nieopartej na profilowaniu. Wydawcy prowadzący spersonalizowane odkrywanie treści nie mogą czynić profilowania jedynym dostępnym trybem.

Jak wygląda tryb bez profilowania

Tryb bez profilowania to zazwyczaj chronologiczny kanał, kanał uszeregowany według popularności lub redakcyjnie wyselekcjonowany kanał, który nie personalizuje na podstawie indywidualnego zachowania użytkownika. Użytkownik musi mieć możliwość przełączenia się na niego za pomocą wyraźnie widocznego elementu sterującego — nie ukrytego w ustawieniach konta — a wybór musi być zapamiętany na przyszłe sesje. Wydawcy powinni traktować element sterowania systemem rekomendacji jako element UX zgody pierwszej klasy, często prezentowany za pośrednictwem tego samego interfejsu CMP, który obsługuje preferencje dotyczące plików cookie.

Przejrzystość parametrów rankingowych

Platforma musi publikować, w prostym języku, główne parametry używane przez jej system rekomendacji — aktualność, popularność, podobieństwo do wcześniejszych zachowań, wagę redakcyjną, trafność reklam. Publikacja to zazwyczaj sekcja w polityce prywatności lub dedykowana strona przejrzystości, która powinna być wystarczająco konkretna, by organ regulacyjny mógł zweryfikować opis w stosunku do rzeczywistego zachowania platformy. Niejasny język w stylu 'używamy uczenia maszynowego, aby rekomendować treści, które mogą Ci się spodobać' nie spełnia wymogów.

Jak DSA nakłada się na GDPR i ePrivacy

DSA nie zastępuje GDPR ani ePrivacy — dodaje do nich zasady na poziomie platformy. Interakcje są w większości addytywne, ale w dwóch konkretnych miejscach ograniczają to, co sama zgoda może upoważnić.

Zgoda nie może uchylić zakazów DSA

Zakaz targetowania nieletnich i zakaz dotyczący danych wrażliwych z Article 9 mają charakter bezwzględny. Użytkownik nie może wyrazić zgody na otrzymywanie reklamy ukierunkowanej w żadnym z tych przypadków. Jest to istotne ograniczenie projektowe dla CMP, które historycznie traktowały zgodę jako uniwersalny klucz — w ramach DSA stan zgody jest konieczny, ale niewystarczający, a architektura CMP musi to odzwierciedlać.

Obowiązki przejrzystości są nadrzędne wobec obowiązków GDPR

Obowiązki przejrzystości reklamowej DSA — wyraźne identyfikowanie reklam, podawanie nazwy reklamodawcy, wyjaśnianie głównych parametrów targetowania użytych do konkretnego dostarczenia reklamy — są niezależne od wymogów przejrzystości GDPR i muszą być spełnione w samym materiale reklamowym. Większość wydawców realizuje to za pomocą szablonów serwera reklamowego, które automatycznie wstrzykują blok oznaczenia reklamy DSA do wyświetlanych kreacji.

Praktyczne zmiany CMP i stosu reklamowego

Świadomy DSA CMP i stos reklamowy mają niewielką liczbę powtarzalnych elementów, które do 2026 roku ustabilizowały się na głównych platformach komercyjnych.

Infrastruktura sygnału o nieletnim

CMP musi przyjmować sygnał o nieletnim z systemu kont użytkowników wydawcy, klasyfikacji treści strony lub warstwy kontroli rodzicielskiej i propagować sygnał do decyzji o zgodzie. Większość CMP udostępnia to teraz jako atrybut 'minor' na potwierdzeniu zgody, który stos reklamowy odczytuje wraz ze stanem zgody. Sygnał przepływa w dół przez Google Consent Mode v2, ciąg IAB TCF v2.3 oraz wszelkie integracje specyficzne dla dostawców, które go obsługują.

Klasyfikacja wrażliwych treści

Wydawcy powinni przeprowadzić na każdej stronie przebieg klasyfikacji treści mapujący ją do kategorii wrażliwych danych DSA. Klasyfikacja może być ręczna dla serwisów redakcyjnych o ustrukturyzowanych taksonomach lub zautomatyzowana dla serwisów o dużym wolumenie z tagowaniem treści opartym na NLP. Klasyfikacja zasila kontekstową decyzję rezerwową stosu reklamowego: strona oznaczona kategorią wrażliwą jest kierowana wyłącznie do reklam kontekstowych, niezależnie od stanu zgody.

Przełącznik systemu rekomendacji

Opcja rezygnacji z systemu rekomendacji powinna znajdować się w tym samym miejscu co widok preferencji bannera zgody — większość CMP udostępnia teraz ogólny moduł 'kontrolek platformy' do tego celu. Przełącznik zmienia preferencję użytkownika na poziomie sesji, a jeśli użytkownik jest uwierzytelniony, również preferencję na poziomie konta. Downstream serwis rekomendacji odczytuje preferencję przy każdym wywołaniu rankingowania.

Typowe błędy DSA skutkujące ustaleniami

Decyzje wykonawcze DSA z 2024 i 2025 roku wygenerowały wyraźną listę wzorców prowadzących do dochodzeń Komisji. CMP domyślnie ustawia flagę targetowania nieletnich na fałsz dla każdego użytkownika, nie sprawdzając nigdy własnych sygnałów wiekowych wydawcy. Opcja rezygnacji z systemu rekomendacji jest zakopana trzy kliknięcia głęboko w ustawieniach konta, zamiast być prezentowana blisko bannera zgody. Blok oznaczenia reklamy w materiale reklamowym jest dodawany do reklam displayowych, ale pomijany w kreacjach wideo. Klasyfikacja wrażliwych treści obejmuje oczywiste kategorie, takie jak zdrowie i religia, ale pomija polityczne portale informacyjne, które mimo to kwalifikują się do ochrony poglądów politycznych na podstawie Article 9. Poziom bardzo dużej platformy internetowej publikuje ocenę ryzyka systemowego, ale traktuje ją jako jednorazowe ćwiczenie, a nie coroczny dokument żyjący, którego wymaga DSA.

Podsumowanie

DSA to pierwsze duże rozporządzenie UE od czasu GDPR, które w istotny sposób przekształca to, co wydawcy mogą robić z uwagą odbiorców, na której pozyskali już zgodę. Zakazy targetowania nieletnich i Article 9 to bezwzględne ograniczenia projektowe, a nie opcje zgody. Rezygnacja z systemu rekomendacji to mechanizm kontrolny użytkownika pierwszej klasy, umieszczony obok bannera plików cookie. Obowiązki przejrzystości dotyczące dostarczania reklam wymagają szablonów serwerów reklamowych automatycznie wstrzykujących właściwe oznaczenia do każdej wyświetlanej kreacji. Nic z tego nie jest opcjonalne i nic nie da się łatwo wdrożyć w pośpiechu, gdy nadejdzie pismo wykonawcze. Wydawcy, którzy wbudowali bramki DSA w swój CMP i stos reklamowy podczas fazy wdrożenia 2023–2024, działają teraz prawidłowo; wydawcy, którzy traktowali DSA jako ćwiczenie dokumentacyjne, spędzają rok 2026 w kolejce wykonawczej Komisji. Praca jest umiarkowana, architektura jest ugruntowana, a konsekwencje jej pominięcia nie są już hipotetyczne.