Vad DSA täcker och vem den gäller

DSA är en förordning, inte ett direktiv — den har direkt verkan i alla EU:s medlemsstater utan att behöva nationell transponering. Den trädde fullt i kraft för mycket stora onlineplattformar och sökmotorer i augusti 2023 och för alla andra i februari 2024, vilket innebär att utgivare nu har haft två år av operativ erfarenhet av regelverket. Lagen skapar en nivåindelad uppsättning skyldigheter baserade på storlek och plattformstyp: mikro- och småföretag är till stor del undantagna, förmedlingstjänster har grundläggande skyldigheter, värdleverantörer möter skyldigheter för innehållsmoderering, onlineplattformar möter ytterligare transparensregler och mycket stora onlineplattformar (med fler än fyrtiofem miljoner månatliga aktiva EU-användare) möter de strängaste skyldigheterna inklusive bedömningar av systemrisk och externa revisioner.

Var de flesta utgivare befinner sig

Den stora majoriteten av utgivare faller inom kategorin onlineplattformar — de är värd för användargenererat innehåll (kommentarer, foruminlägg, läsarbidrag), de serverar reklam och de rekommenderar innehåll genom algoritmiska flöden eller moduler för relaterade artiklar. Nivån för onlineplattformar är där DSA blir operativt relevant: restriktioner för riktad reklam för minderåriga, transparensskyldigheter om annonslevering och målinriktningsparametrar, förklaringar och avanmälningar från rekommendationssystem samt ett anmälnings- och åtgärdsregelverk för olagligt innehåll. Utgivare över tröskeln för mycket stora onlineplattformar lägger till bedömning av systemrisk, skyldigheter för extern revisor, och kravet att ge kommissionens granskade forskare tillgång till plattformsdata.

Det geografiska testet

DSA tillämpas exterritoriellt. En amerikansk utgivare med europeiska besökare omfattas i det ögonblick EU-användare kan interagera med tjänsten — vilket i praktiken är varje offentligt tillgänglig webbplats. Testet är inte var utgivaren är baserad utan huruvida tjänsten erbjuds till EU-mottagare. I likhet med GDPR fångar detta i praktiken de flesta av den globala publiceringsindelningens aktörer som standard.

Restriktionerna för riktad reklam

Det DSA-skikt som har störst betydelse för cookie-samtycke och annonsoperationer är Article 26, som begränsar riktad reklam på två specifika sätt som utgivare måste hantera tekniskt.

Förbudet mot att rikta sig mot minderåriga

DSA förbjuder riktad reklam till minderåriga baserad på profilering med personuppgifter. Förbudet gäller när som helst utgivaren vet, eller rimligen borde veta, att mottagaren är minderårig — vilket i praktiken innebär att det aktiveras för alla signaler en utgivare rimligen kan agera på (en självdeklarerad ålder, en signal från föräldrakontroller, en innehållskategori som starkt antyder en ung publik, en kontoflagga från utgivarens eget användarsystem). CMP:n måste koda denna begränsning: även om en minderårig användare accepterar marknadsföringscookies måste sökvägen för riktad reklam vara standard inaktiverad. Alternativet är kontextuell reklam — annonsval baserat på sidinnehållet snarare än användarprofiler — vilket de flesta stora SSP:er och annonsservrar nu exponerar som ett leveranssätt av primär klass.

Förbudet mot känsliga uppgifter

DSA förbjuder också riktad reklam baserad på profilering som använder särskilda kategorier av personuppgifter enligt definitionen i Article 9 i GDPR — ras, religion, politiska åsikter, fackföreningsmedlemskap, hälsa, sexualliv, sexuell läggning, biometriska uppgifter, genetiska uppgifter. Förbudet är absolut: samtycke låser inte upp det. Utgivare som driver innehållskategorier som berör något av dessa områden — hälsoutgivare, religiösa medier, politiska nyhetssajter, LGBTQ+-publikationer — måste säkerställa att deras annonsteknikstack inte vidarebefordrar profilsignaler härledda från dessa uppgifter till annonsörer, även när användaren har samtyckt till alla kategorier av marknadsföring.

Operativa konsekvenser för CMP:n

CMP:n måste koda DSA-restriktionerna som hårda grindar, inte samtyckesomkopplingar. Ett samtyckesintyg som säger att alla kategorier accepterats ger inte tillstånd för riktad reklam till en minderårig eller baserat på Article 9-uppgifter. De renaste implementationsvägarna routar samtyckesläget, minderårigsignalen och sidans känsliga innehållsklassificering genom en enda beslutsfunktion som sitter mellan CMP:n och annonsteknikvendorer, och funktionen är som standard inställd på kontextuell leverans när någon av DSA-grindarna aktiveras.

Avanmälan från rekommendationssystemet

Article 38 i DSA kräver att onlineplattformar som använder rekommendationssystem — algoritmisk innehållsrangordning i flöden, moduler för relaterade artiklar, köer för nästa video — ska förklara de viktigaste parametrarna i dessa system och erbjuda användare minst ett alternativ som inte är baserat på profilering. Utgivare som driver personaliserad innehållsupptäckt kan inte göra profilering till det enda tillgängliga läget.

Hur läget utan profilering ser ut

Läget utan profilering är vanligtvis ett kronologiskt flöde, ett popularitetsrankat flöde eller ett redaktionellt kurerat flöde som inte personaliserar baserat på den enskilda användarens beteende. Användaren måste kunna byta till det via en tydligt synlig kontroll — inte gömd i kontoinställningar — och valet måste kommas ihåg för framtida sessioner. Utgivare bör behandla rekommendationssystemets kontroll som en primär del av samtyckets UX, ofta exponerad via samma CMP-gränssnitt som hanterar cookie-preferenser.

Transparens om rangordningsparametrar

Plattformen måste publicera, på klarspråk, de viktigaste parametrar som dess rekommendationssystem använder — aktualitet, popularitet, likhet med tidigare beteende, redaktionell vikt, reklamrelevans. Publikationen är vanligtvis ett avsnitt i integritetspolicyn eller en dedikerad transparenssida, och den ska vara tillräckligt specifik för att en regulator som läser den kan verifiera beskrivningen mot det faktiska plattformsbeteendet. Vagt språk som vi använder maskininlärning för att rekommendera innehåll du kanske gillar uppfyller inte standarden.

Hur DSA läggs ovanpå GDPR och ePrivacy

DSA ersätter inte GDPR eller ePrivacy — den lägger till regler på plattformsnivå ovanpå dem. Interaktionerna är mestadels additiva men på två specifika platser begränsar de vad enbart samtycke kan tillåta.

Samtycke kan inte åsidosätta DSA-förbud

Förbudet mot att rikta sig mot minderåriga och förbudet mot känsliga uppgifter i Article 9 är absoluta. En användare kan inte samtycka sig till att ta emot riktad reklam i något av fallen. Detta är en meningsfull designbegränsning för CMP:er som historiskt behandlat samtycke som den universella upplåsaren — under DSA är samtyckesläget nödvändigt men inte tillräckligt, och CMP-arkitekturen måste återspegla detta.

Transparensskyldigheter sitter ovanpå GDPR:s

DSA:s annonstransparensskyldigheter — tydlig identifiering av annonser, namngivning av annonsören, förklaring av de viktigaste målinriktningsparametrarna som används för den specifika annonslevereringen — är oberoende av GDPR:s transparenskrav och måste uppfyllas i själva annonskreativet. De flesta utgivare hanterar detta via annonsservermallar som automatiskt injicerar DSA-annonsmarkeringsblocket i serverade kreativ.

Praktiska CMP- och annonsstack-ändringar

Den DSA-medvetna CMP:n och annonsstacken har ett litet antal repeterbara element som har stabiliserats på de stora kommersiella plattformarna fram till 2026.

Rörledning för minderårigsignal

CMP:n måste acceptera en minderårigsignal från utgivarens användarkontosystem, sidans innehållsklassificering eller föräldrakontrollagret och sprida signalen till samtyckesbeslutet. De flesta CMP:er exponerar nu detta som ett minor-attribut på samtyckesintyget som annonsstacken läser tillsammans med samtyckesläget. Signalen flödar nedströms via Google Consent Mode v2, IAB TCF v2.3-strängen och all leverantörsspecifik integration som stöder det.

Klassificering av känsligt innehåll

Utgivare bör köra en innehållsklassificeringspassage på varje sida som mappar den till DSA:s kategorier för känsliga uppgifter. Klassificeringen kan vara manuell för redaktionella sajter med strukturerade taxonomier eller automatiserad för sajter med hög volym med NLP-baserad innehållstaggning. Klassificeringen matar annonsstackens beslut om kontextuell reservlösning: en sida taggad med en känslig kategori dirigeras till kontextuella annonser enbart, oavsett samtyckesläge.

Rekommendationssystemets växel

Avanmälan från rekommendationssystemet bör finnas på samma ställe som samtyckesbanners preferensvy — de flesta CMP:er exponerar nu en generisk modul för plattformskontroller för detta ändamål. Växeln ändrar användarens sessionsnivåpreferens och, om användaren är autentiserad, deras kontonivåpreferens. Nedströmstjänsten för rekommendationer läser preferensen vid varje rangordningsanrop.

Vanliga DSA-misstag som utlöser granskningar

DSA:s verkställighetsbeslut under 2024 och 2025 har producerat en tydlig lista över mönster som leder till kommissionsutredningar. CMP:n sätter som standard flaggan för minderårigmålriktning till falskt för alla användare utan att någonsin kontrollera utgivarens egna ålderssignaler. Avanmälan från rekommendationssystemet är gömd tre klick djupt i kontoinställningarna snarare än exponerad nära samtyckesbanern. Annonsmärkeringsblocket för annonser läggs till för displayannonser men missas för videokreativ. Klassificeringen av känsligt innehåll täcker uppenbara kategorier som hälsa och religion men missar politiska nyhetssajter som ändå kvalificerar sig under Article 9:s skydd för politiska åsikter. Nivån för mycket stora onlineplattformar publicerar sin bedömning av systemrisk men behandlar det som en engångsövning snarare än det årliga levande dokument som DSA kräver.

Slutsatsen

DSA är den första stora EU-förordningen sedan GDPR som materiellt omformar vad utgivare kan göra med den publikuppmärksamhet de redan samlat in samtycke för. Förbudet mot minderårigmålriktning och Article 9-förbudet är absoluta designbegränsningar, inte samtyckesalternativ. Avanmälan från rekommendationssystemet är en primär användarkontroll som sitter bredvid cookie-banern. Transparensskyldigheterna för annonslevering kräver annonsservermallar som automatiskt injicerar rätt markörer i varje serverat kreativ. Inget av detta är valfritt, och inget kan snabbt åtgärdas när ett verkställighetsbrev anländer. Utgivare som byggde in DSA-grindarna i sin CMP och annonsstack under inledningsfasen 2023–2024 opererar nu rent; utgivare som behandlade DSA som en dokumentationsövning spenderar 2026 i kommissionens verkställighetskö. Arbetet är måttligt, arkitekturen är stabil och konsekvenserna av att hoppa över det är inte längre hypotetiska.