1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Reklama behawioralna w świetle DSA – nowe obowiązki dla platform internetowych
Wyszukiwanie...

Reklama behawioralna w świetle DSA – nowe obowiązki dla platform internetowych

Spis treści

Dlaczego to ważne?

Reklama oparta na profilowaniu użytkowników stała się fundamentem współczesnych usług cyfrowych – od mediów społecznościowych, przez wyszukiwarki, aż po platformy e-commerce. Jednak wraz ze wzrostem znaczenia reklamy behawioralnej rośnie także ryzyko jej nadużywania. Nowe przepisy unijne, zawarte w Aktorze o usługach cyfrowych (DSA), wprowadzają precyzyjne ograniczenia dotyczące wykorzystywania danych osobowych do celów reklamowych. Naruszenie tych przepisów może skutkować poważnymi konsekwencjami prawnymi, zwłaszcza dla właścicieli platform internetowych.

W tym artykule wyjaśniamy, jakie obowiązki wynikają z DSA, w jaki sposób różnią się one od dotychczasowych regulacji RODO i co w praktyce oznaczają dla przedsiębiorców prowadzących działalność online.

Czym są usługi pośrednie według DSA?

DSA (Rozporządzenie (UE) 2022/2065) dotyczy przede wszystkim tzw. usług pośrednich, czyli szerokiej kategorii usług społeczeństwa informacyjnego świadczonych drogą elektroniczną. Ich szczegółową definicję znajdziemy w art. 3 lit. g DSA. Wyróżniamy trzy główne typy usług pośrednich:

  1. Zwykły przekaz – transmisja danych przez sieć telekomunikacyjną (np. operatorzy internetu, dostawcy usług VPN).
  2. Caching – automatyczne, pośrednie i krótkotrwałe przechowywanie danych w celu usprawnienia dalszej transmisji (np. usługi CDN).
  3. Hosting – przechowywanie informacji przekazanych przez użytkownika na jego żądanie (np. serwery stron internetowych, platformy społecznościowe).

Przykłady usług pośrednich:

  • usługi chmurowe (cloud computing),
  • hosting stron i aplikacji,
  • rejestracja domen,
  • platformy e-commerce i marketplace’y,
  • media społecznościowe (np. FriendsLink),
  • serwisy wideo (np. ViewTube),
  • komunikatory internetowe,
  • wyszukiwarki,
  • serwisy z reklamami online.

Ważne: usługa pośrednia może być tylko częścią większej platformy – np. przechowywanie zdjęć użytkownika na koncie w serwisie społecznościowym to właśnie usługa hostingu.

Czym jest platforma internetowa według DSA?

Choć DSA dotyczy szeroko rozumianych usług pośrednich, szczególne obowiązki i zakazy reklamowe dotyczą wyłącznie platform internetowych. Jak je rozpoznać?

Zgodnie z art. 3 lit. i DSA, platforma internetowa to usługa hostingu, która na żądanie użytkownika przechowuje i publicznie rozpowszechnia informacje – np. posty, komentarze, zdjęcia lub filmy.

To oznacza, że platformą jest m.in.:

  • serwis społecznościowy (np. FriendsLink),
  • forum dyskusyjne,
  • platforma wideo (np. ViewTube),
  • marketplace (np. SalesPlace), jeśli umożliwia publiczne ogłoszenia lub komentarze.

Uwaga: jeżeli publiczne rozpowszechnianie danych jest jedynie dodatkiem lub marginalną funkcją, nie mamy do czynienia z platformą w rozumieniu DSA.

Zakaz reklamy profilowanej z wykorzystaniem danych wrażliwych

DSA – w odróżnieniu od RODO – wprowadza bezwzględny zakaz prezentowania reklam opartych na profilowaniu, jeśli wykorzystują one tzw. szczególne kategorie danych osobowych.

Co to oznacza w praktyce?

Zgodnie z art. 26 ust. 3 DSA, platformy internetowe nie mogą wyświetlać reklam opartych na profilowaniu, jeżeli:

  • wykorzystywane są szczególne kategorie danych osobowych w rozumieniu art. 9 ust. 1 RODO, takie jak:
    • dane o pochodzeniu rasowym lub etnicznym,
    • poglądy polityczne,
    • przekonania religijne lub światopoglądowe,
    • przynależność do związków zawodowych,
    • dane genetyczne, biometryczne, dotyczące zdrowia, życia seksualnego lub orientacji seksualnej.

Zakaz dotyczy zarówno sytuacji, gdy użytkownik sam podał takie dane, jak i gdy na ich podstawie utworzono profil, np. z analizy jego aktywności online.

Przykład praktyczny 1:

Spółka „AdProNet” prowadzi platformę społecznościową z funkcją udostępniania treści. System reklamowy tej platformy automatycznie klasyfikuje użytkowników jako „liberałów” lub „konserwatystów” na podstawie polubionych postów i wyświetla reklamy partii politycznych. Takie działanie narusza art. 26 ust. 3 DSA, ponieważ reklama opiera się na szczególnych kategoriach danych (poglądy polityczne).

Przykład praktyczny 2:

Firma „FitLifeApp” umożliwia użytkownikom śledzenie aktywności fizycznej i zdrowotnej. W oparciu o dane o stanie zdrowia użytkowników, wyświetla im reklamy suplementów. Jeśli platforma rozpowszechnia te dane publicznie i umożliwia reklamy targetowane – również może dojść do naruszenia art. 26 DSA, nawet jeśli użytkownik wcześniej wyraził zgodę w rozumieniu RODO.

DSA a RODO – podobieństwa i różnice w podejściu do profilowania

Choć zarówno DSA, jak i RODO regulują kwestie przetwarzania danych osobowych, podejście tych aktów prawnych do profilowania i reklamy behawioralnej znacznie się różni.

Co mówi RODO o profilowaniu?

RODO (art. 4 pkt 4) definiuje profilowanie jako:

„dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej”.

Chodzi m.in. o:

  • analizowanie zachowań użytkownika (np. kliknięć, historii wyszukiwania),
  • przewidywanie jego preferencji lub zainteresowań,
  • ocenę jego sytuacji ekonomicznej, stanu zdrowia, wiarygodności lub lokalizacji.

RODO nie zabrania profilowania, nawet jeśli obejmuje dane szczególnej kategorii – o ile spełnione są warunki, np. wyraźna zgoda (art. 9 ust. 2 lit. a RODO).

Jakie ograniczenia wprowadza DSA?

DSA idzie znacznie dalej:

  • całkowicie zakazuje wyświetlania reklam opartych na profilowaniu z użyciem danych wrażliwych (art. 26 ust. 3 DSA),
  • zakaz ten nie może być uchylony zgodą użytkownika – nawet jeśli wyraził ją zgodnie z RODO.

👉 Wniosek: Platforma, która działa zgodnie z RODO, może nadal naruszać DSA, jeżeli wyświetla reklamę behawioralną wykorzystującą dane wrażliwe.

Profilowanie na gruncie Rodo i DSA
Relacja RODO do DSA

Jakie dane są objęte szczególną ochroną?

Zarówno RODO, jak i DSA odwołują się do art. 9 ust. 1 RODO, który zawiera zamknięty katalog tzw. szczególnych kategorii danych:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne, biometryczne (do identyfikacji osoby),
  • dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Zarówno dane wprost podane przez użytkownika, jak i wydedukowane w drodze profilowania (np. na podstawie historii przeglądania) są objęte zakazem reklamy profilowanej na ich podstawie.

Kogo dotyczy zakaz?

Zakaz z art. 26 DSA dotyczy wyłącznie dostawców platform internetowych – czyli podmiotów, które:

  • przechowują treści użytkowników (usługa hostingu),
  • oraz je publicznie rozpowszechniają.

Oznacza to, że dostawcy „czystych” usług hostingu lub cachingu (np. serwerowni, CDN) nie podlegają tym ograniczeniom – chyba że jednocześnie spełniają definicję platformy internetowej.

Jakie są konsekwencje naruszeń?

1. Sankcje na podstawie DSA

DSA przewiduje dotkliwe sankcje administracyjne – w tym grzywny finansowe za naruszenia przepisów, m.in. art. 26 i 28. Mogą one wynieść nawet do 6% rocznego obrotu globalnego firmy.

2. Sankcje na podstawie RODO

Choć zakaz z DSA nie ma bezpośredniego odpowiednika w RODO, naruszenie przepisów DSA może prowadzić do wtórnego naruszenia RODO – np. przetwarzania danych wrażliwych bez podstawy prawnej.

W takim przypadku może interweniować Prezes UODO, a kary za naruszenia RODO sięgają do 20 mln euro lub 4% globalnego obrotu.

Jak ograniczyć ryzyko? Praktyczne wskazówki dla platform

  1. Przeprowadź audyt systemów reklamowych. Sprawdź, czy jakiekolwiek komponenty targetujące wykorzystują dane wrażliwe – bezpośrednio lub pośrednio.
  2. Wyłącz profilowanie na podstawie szczególnych kategorii danych. Należy usunąć lub ograniczyć mechanizmy, które mogłyby klasyfikować użytkowników według zdrowia, religii, poglądów itp.
  3. Zaktualizuj politykę prywatności i regulaminy. Upewnij się, że informujesz użytkowników zgodnie z art. 26 ust. 1 DSA – m.in. o tym, czy reklama jest spersonalizowana.
  4. Szkol pracowników odpowiedzialnych za marketing i analitykę. Upewnij się, że rozumieją różnice między zgodnością z RODO a dodatkowymi wymogami DSA.
  5. Wdroż mechanizmy domyślnej ochrony prywatności – w szczególności dla danych, które mogą ujawniać cechy osobowe użytkowników.

Dodatkowe obowiązki informacyjne wynikające z DSA

Oprócz zakazu reklam profilowanych opartych na danych wrażliwych, DSA nakłada na platformy internetowe obowiązek zapewnienia przejrzystości reklam. Został on ujęty w art. 26 ust. 1 DSA i dotyczy wszystkich reklam, nie tylko tych opartych na profilowaniu.

Co dokładnie trzeba ujawnić?

Każdy użytkownik powinien w czasie rzeczywistym otrzymać jasne informacje:

  • że dana treść jest reklamą,
  • kto jest jej zleceniodawcą (np. reklamodawca lub agencja reklamowa),
  • na jakiej podstawie reklama została skierowana do konkretnego odbiorcy (czy była spersonalizowana, jeśli tak – w jaki sposób).

W praktyce oznacza to konieczność:

  • oznaczania postów sponsorowanych w widoczny sposób („Reklama”, „Sponsorowane”),
  • udostępnienia przy reklamie przycisku „Dlaczego to widzę?” z krótkim opisem,
  • stworzenia publicznie dostępnego repozytorium reklam, jeśli platforma kwalifikuje się jako bardzo duża platforma internetowa (VLOP).

Reklama behawioralna a dzieci – wprowadzenie do art. 28 DSA

Choć temat ten rozwiniemy w osobnym artykule, warto zaznaczyć, że DSA przewiduje osobny, jeszcze dalej idący zakaz – tym razem dotyczący profilowania użytkowników, którzy są małoletni.

Zgodnie z art. 28 ust. 2 DSA, platformy internetowe nie mogą prezentować reklam opartych na profilowaniu, jeżeli mają wystarczającą pewność, że odbiorcą jest osoba niepełnoletnia – niezależnie od rodzaju danych wykorzystywanych do profilowania.

👉 Zakaz dotyczy więc także profilowania opartego wyłącznie na danych „zwykłych” (np. preferencjach, historii przeglądania), jeśli użytkownik to dziecko.

To oznacza konieczność wdrożenia mechanizmów chroniących dzieci przed targetowaniem reklamowym – nawet jeżeli nie zbieramy od nich danych wrażliwych.

Podsumowanie i praktyczna checklista

✅ Co musisz wiedzieć jako właściciel platformy internetowej:

ObszarObowiązek / Zakaz
Profilowanie na danych wrażliwychZakazane (art. 26 ust. 3 DSA), niezależnie od zgody użytkownika
Reklama wobec dzieciZakazana, jeśli platforma ma wiedzę lub wysokie prawdopodobieństwo, że użytkownik to osoba niepełnoletnia (art. 28 DSA)
Transparentność reklamObowiązkowa informacja: że treść to reklama, kto ją zlecił, dlaczego została pokazana odbiorcy (art. 26 ust. 1 DSA)
Zgodność z RODONiewystarczająca – DSA wprowadza własne, bardziej rygorystyczne reguły
Zakres zastosowaniaDotyczy wyłącznie platform internetowych, nie każdej usługi pośredniej

Co możesz zrobić już dziś?

  • Sprawdź, czy Twoja platforma spełnia definicję platformy internetowej z art. 3 lit. i DSA.
  • Zidentyfikuj, czy stosujesz profilowanie w reklamach – i czy może ono dotyczyć danych wrażliwych.
  • Usuń lub zmodyfikuj funkcje targetowania reklam, które mogłyby naruszać art. 26 lub 28 DSA.
  • Wprowadź mechanizmy transparentności – np. etykiety reklamowe, repozytorium sponsorowanych treści.
  • Dokumentuj procesy decyzyjne i prowadź rejestr działań zgodnych z DSA (compliance).

Podstawa prawna

  • art. 3 lit. g, art. 3 lit. i, art. 26 ust. 1 i 3, art. 28 ust. 2 – [Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych (DSA)]
  • art. 4 pkt 4, art. 9 ust. 1, art. 9 ust. 2 lit. a – [Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO)]
Ostatnia aktualizacja: 27.03.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: