EU Akt o digitalnim uslugama (DSA) i saglasnost za kolačiće: Vodič za usklađenost izdavača za 2026.
Akt o digitalnim uslugama (DSA) je prva sveobuhvatna regulativa EU za onlajn platforme od Direktive o e-trgovini i, nakon osamnaest meseci fazne primene, sada je operativna osnova za svakog izdavača sa značajnom evropskom publikom. Dok GDPR i ePrivacy regulišu sloj podataka — šta smete da prikupljate, čuvate i delite i sa kim — DSA reguliše sloj platforme: algoritme koji rangiraju sadržaj, oglašavanje koje ga finansira, sisteme moderacije koji ga nadgledaju i korisničke kontrole koje štite maloletnike i ranjivu publiku od manipulativnog dizajna. DSA ne zamenjuje GDPR. Funkcioniše uz njega, a dva režima međusobno deluju na načine koji imaju materijalne posledice za saglasnost za kolačiće, ciljanje oglasa i arhitekturu CMP-a. Do 2026. Evropska komisija je razrešila većinu ranih nejasnoća kroz odluke o sprovođenju i pojašnjavajuće komunikacije, a pravni timovi izdavača imaju utvrđeni okvir sa kojim rade. Ovaj vodič prolazi kroz ono što DSA zapravo zahteva, kako ograničenja ciljanog oglašavanja preoblikuju tokove saglasnosti, šta odjava iz sistema preporuka znači za otkrivanje sadržaja i praktične promene CMP-a i ad-steka koje izdavač usklađen sa EU standardima 2026. mora da ima na mestu.
Šta DSA pokriva i na koga se primenjuje
DSA je uredba, a ne direktiva — ima direktno dejstvo u svim državama članicama EU bez potrebe za nacionalnom transpozicijom. Stupila je na snagu u potpunosti za veoma velike onlajn platforme i pretraživače u avgustu 2023. i za sve ostale u februaru 2024., što znači da izdavači sada imaju dve godine operativnog iskustva sa ovim režimom. Akt stvara nivelisani skup obaveza na osnovu veličine i tipa platforme: mikro i mala preduzeća su uglavnom izuzeta, posredničke usluge imaju osnovne obaveze, pružaoci usluga hostinga suočavaju se sa obavezama moderacije sadržaja, onlajn platforme suočavaju se sa dodatnim pravilima transparentnosti, a veoma velike onlajn platforme (sa više od četrdeset i pet miliona mesečno aktivnih korisnika EU) suočavaju se sa najstrožim obavezama uključujući procene sistemskog rizika i spoljne revizije.
Gde se nalazi većina izdavača
Ogromna većina izdavača spada u kategoriju onlajn platformi — hostuju korisnički generisani sadržaj (komentare, forumske postove, doprinose čitalaca), serviraju oglašavanje i preporučuju sadržaj kroz algoritamske feedove ili module srodnih članaka. Nivo onlajn platforme je tamo gde DSA postaje operativno relevantan: ograničenja ciljanog oglašavanja za maloletnike, obaveze transparentnosti u pogledu parametara isporuke i ciljanja oglasa, objašnjenja sistema preporuka i odjave, te režim obaveštavanja i postupanja za nezakoniti sadržaj. Izdavači iznad praga veoma velike onlajn platforme dodaju procenu sistemskog rizika, obaveze spoljnog revizora evidencije i zahtev da istraživačima koje je Komisija overila daju pristup podacima platforme.
Geografski test
DSA se primenjuje ekstrateritorialno. Američki izdavač sa evropskim posetiocima je u domenu primene u trenutku kada korisnici EU mogu da stupe u interakciju sa uslugom — što je u suštini svaki javno dostupan veb sajt. Test nije gde je izdavač osnovan već da li se usluga nudi primaocima iz EU. Ogledajući GDPR, ovo podrazumeva većinu globalne izdavačke industrije po difoltu.
Ograničenja ciljanog oglašavanja
Sloj DSA koji je najvažniji za saglasnost za kolačiće i reklamne operacije je Article 26, koji ograničava ciljano oglašavanje na dva specifična načina oko kojih izdavači moraju da projektuju rešenja.
Zabrana ciljanja maloletnika
DSA zabranjuje ciljano oglašavanje prema maloletnicima na osnovu profilisanja korišćenjem ličnih podataka. Zabrana se primenjuje kad god izdavač zna, ili bi trebalo razumno da zna, da je primalac maloletnik — što u praksi znači da se aktivira za svaki signal na koji bi izdavač razumno mogao da reaguje (samoprijavljeni uzrast, signal roditeljske kontrole, kategorija sadržaja koja snažno implicira mladu publiku, oznaka naloga iz sopstvenog korisničkog sistema izdavača). CMP mora da kodira ovo ograničenje: čak i ako maloletni korisnik prihvati marketinške kolačiće, putanja ciljanog oglašavanja mora podrazumevano da bude isključena. Alternativa je kontekstualno oglašavanje — izbor oglasa na osnovu sadržaja stranice, a ne korisničkih profila — što većina velikih SSP-ova i ad servera sada nudi kao primarni način isporuke.
Zabrana osetljivih podataka
DSA takođe zabranjuje ciljano oglašavanje zasnovano na profilisanju koje koristi posebne kategorije ličnih podataka kako su definisane u Article 9 GDPR-a — rasu, veru, politička mišljenja, članstvo u sindikatu, zdravlje, seksualni život, seksualnu orijentaciju, biometrijske podatke, genetske podatke. Zabrana je apsolutna: saglasnost je ne otključava. Izdavači koji vode kategorije sadržaja koje se tiču bilo koje od ovih oblasti — zdravstveni izdavači, verski mediji, politički portali, LGBTQ+ publikacije — moraju da obezbede da njihov ad-tech stek ne prenosi signale profila izvedene iz ovih podataka oglašivačima, čak i kada je korisnik dao saglasnost za sve kategorije marketinga.
Operativne implikacije za CMP
CMP mora da kodira DSA ograničenja kao čvrste kapije, a ne kao prekidanje stanja saglasnosti. Potvrda o saglasnosti koja kaže da su „sve kategorije prihvaćene” ne ovlašćuje ciljano oglašavanje prema maloletniku ili na osnovu podataka iz Article 9. Najčistiji načini implementacije provode stanje saglasnosti, signal maloletnika i klasifikaciju osetljivog sadržaja stranice kroz jednu funkciju odlučivanja koja se nalazi između CMP-a i ad-tech prodavaca, a funkcija podrazumevano primenjuje kontekstualnu isporuku kad god se aktivira bilo koja DSA kapija.
Odjava iz sistema preporuka
Article 38 DSA-a zahteva od onlajn platformi koje koriste sisteme preporuka — algoritamsko rangiranje sadržaja na feedovima, moduli srodnih članaka, redovi za sledeći video — da objasne glavne parametre tih sistema i ponude korisnicima najmanje jednu opciju koja nije zasnovana na profilisanju. Izdavači koji koriste personalizovano otkrivanje sadržaja ne mogu da učine profilisanje jedinom dostupnom opcijom.
Kako izgleda režim bez profilisanja
Režim bez profilisanja je obično hronološki feed, feed rangiran po popularnosti ili uredničkim izborom koji ne personalizuje na osnovu ponašanja pojedinog korisnika. Korisnik mora biti u mogućnosti da pređe na njega kroz jasno vidljivu kontrolu — ne zakopanu u podešavanjima naloga — a izbor mora biti zapamćen za buduće sesije. Izdavači bi trebalo da tretiraju kontrolu sistema preporuka kao primarni deo UX-a saglasnosti, često prikazanu kroz isti CMP interfejs koji upravlja preferencijama kolačića.
Transparentnost parametara rangiranja
Platforma mora da objavi, na jasnom jeziku, glavne parametre koje njen sistem preporuka koristi — aktuelnost, popularnost, sličnost sa prošlim ponašanjem, uredničku težinu, relevantnost oglašavanja. Objavljivanje je obično odeljak u politici privatnosti ili namenjena stranica transparentnosti, i treba da bude dovoljno specifično da regulatorna tela koja ga čitaju mogu da provere opis naspram stvarnog ponašanja platforme. Nejasan jezik poput „koristimo mašinsko učenje da preporučimo sadržaj koji bi vam mogao biti od interesa” ne ispunjava standard.
Kako se DSA nadograđuje na GDPR i ePrivacy
DSA ne zamenjuje GDPR ili ePrivacy — dodaje pravila na nivou platforme na njih. Interakcije su uglavnom aditivne, ali na dva specifična mesta ograničavaju ono što sama saglasnost može da ovlasti.
Saglasnost ne može da poništi DSA zabrane
Zabrana ciljanja maloletnika i zabrana osetljivih podataka iz Article 9 su apsolutne. Korisnik ne može davanjem saglasnosti da dobije ciljano oglašavanje ni u jednom slučaju. Ovo je značajno projektno ograničenje za CMP-ove koji su istorijski tretirali saglasnost kao univerzalno otključavanje — pod DSA-om, stanje saglasnosti je neophodno ali nije dovoljno, a arhitektura CMP-a mora to da odražava.
Obaveze transparentnosti nadovezuju se na GDPR-ove
Obaveze transparentnosti oglasa prema DSA-u — jasna identifikacija oglasa, imenovanje oglašivača, objašnjenje glavnih parametara ciljanja korišćenih za konkretnu isporuku oglasa — nezavisne su od zahteva transparentnosti GDPR-a i moraju biti ispunjene u samom kreativu oglasa. Većina izdavača to rešava kroz šablone ad servera koji automatski ubrizgavaju DSA blok oznake oglasa u servirana kreativna dela.
Praktične promene CMP-a i ad-steka
CMP i ad-stek koji su svesni DSA-a imaju mali broj ponovljivih elemenata koji su se stabilizovali na glavnim komercijalnim platformama do 2026.
Vodovodne instalacije signala maloletnika
CMP mora da prihvati signal maloletnika iz sistema korisničkih naloga izdavača, klasifikacije sadržaja stranice ili sloja roditeljske kontrole i da propagira signal u odluku o saglasnosti. Većina CMP-ova sada izlaže ovo kao atribut „minor” na potvrdi o saglasnosti koji ad stek čita zajedno sa stanjem saglasnosti. Signal teče nizvodno kroz Google Consent Mode v2, IAB TCF v2.3 string i bilo koju integraciju specifičnu za prodavca koja ga podržava.
Klasifikacija osetljivog sadržaja
Izdavači bi trebalo da sprovode prolaz klasifikacije sadržaja na svakoj stranici koji je mapira na DSA kategorije osetljivih podataka. Klasifikacija može biti ručna za uredničke sajtove sa strukturisanim taksonomijama ili automatizovana za sajtove visokog obima sa NLP-zasnovanih označavanjem sadržaja. Klasifikacija napaja odluku kontekstualnog rezervnog plana ad-steka: stranica označena osetljivom kategorijom upućuje samo na kontekstualne oglase, bez obzira na stanje saglasnosti.
Prekidač sistema preporuka
Odjava iz sistema preporuka treba da se nalazi na istom mestu kao i prikaz preferencija baner za saglasnost — većina CMP-ova sada izlaže generički modul „platformske kontrole” u tu svrhu. Prekidač menja korisničku preferencu na nivou sesije i, ako je korisnik autentifikovan, preferencu na nivou naloga. Nizvodni servis za preporučivanje čita preferencu pri svakom pozivu rangiranja.
Uobičajene DSA greške koje pokreću nalaze
DSA odluke o sprovođenju tokom 2024. i 2025. proizvele su jasan spisak obrazaca koji vode do istraga Komisije. CMP podrazumevano postavlja oznaku ciljanja maloletnika na false za svakog korisnika bez ikada proveravanja sopstvenih starosnih signala izdavača. Odjava iz sistema preporuka zakopana je tri klika duboko u podešavanjima naloga umesto da bude prikazana blizu banera za saglasnost. DSA blok oznake oglasa dodaje se display oglasima, ali se preskače za video kreativne sadržaje. Klasifikacija osetljivog sadržaja pokriva očigledne kategorije poput zdravlja i vere, ali propušta političke portale koji ipak ispunjavaju uslove prema zaštiti političkih mišljenja iz Article 9. Nivo veoma velike onlajn platforme objavljuje svoju procenu sistemskog rizika ali je tretira kao jednokratnu vežbu umesto godišnjeg živog dokumenta koji DSA zahteva.
Zaključak
DSA je prva velika EU regulativa od GDPR-a koja materijalno preoblikuje šta izdavači mogu da rade sa pažnjom publike za koju su već prikupili saglasnost. Zabrana ciljanja maloletnika i zabrana iz Article 9 su apsolutna projektna ograničenja, a ne opcije saglasnosti. Odjava iz sistema preporuka je primarna kontrola korisnika koja se nalazi pored banera kolačića. Obaveze transparentnosti u pogledu isporuke oglasa zahtevaju šablone ad servera koji automatski ubrizgavaju prave oznake u svako serviran kreativno delo. Ništa od ovoga nije opcionalno i ništa se ne može naknadnom hitnom intervencijom popraviti kada stigne pismo o sprovođenju. Izdavači koji su ugradili DSA kapije u svoj CMP i ad-stek tokom faznog uvođenja 2023–2024. sada rade čisto; izdavači koji su DSA tretirali kao dokumentacionu vežbu provode 2026. u redu za sprovođenje Komisije. Posao je umeren, arhitektura je utvrđena, a posledice preskakanja više nisu hipotetičke.