Європейська рада захисту даних (EDPB) прийняла вказівки 3/2025 11 вересня 2025 року, встановивши, як цифрові маркетологи повинні орієнтуватися на складне перехрестя між Законом про цифрові послуги та загальним регламентом захисту даних. За даними EDPB, ці вказівки стосуються критичних прогалин у відповідності, де платформи обробляють персональні дані під час виконання зобов'язань DSA.
38-сторінковий документ окреслює конкретні сценарії, коли маркетингова діяльність одночасно запускає як вимоги DSA та GDPR. Рекламні зобов'язання з прозорості відповідно до статті 26 DSA вимагають платформ для надання інформації в режимі реального часу про параметри реклами, тоді як GDPR передбачає попереднє розкриття інформації до початку збору даних. Відповідно до вказівок, “інформація, необхідна відповідно до статті 26 DSA, буде надана після того, як може відбутися обробка персональних даних”, створення тимчасових проблем координації для команд відповідності.
Підпишіться на наземний бюлетень КПП ✉ для подібних історій, як ця. Щодня отримуйте новини у своїй папці “Вхідні”. Без оголошень. 10 доларів на рік.
Підписатися
Фахівці з маркетингу стикаються з посиленими обмеженнями щодо профілювання діяльності в рамках комбінованих рамок. EDPB уточнює, що стаття 26 (3) DSA забороняє презентацію реклами “на основі профілювання за допомогою спеціальних категорій персональних даних” незалежно від дерогацій GDPR. Ця заборона застосовується навіть тоді, коли постачальники покладаються на відповідні юридичні основи відповідно до статті 6 (1) GDPR та дійсних дерогацій відповідно до статті 9 (2) GDPR. За словами Матеуша Купека з Інституту юридичних досліджень польської академії наук, який проаналізував керівні принципи щодо LinkedIn, заборона “доповнює обмеження GDPR, посилюючи шаруватого режиму захисту”.
Системи модерації вмісту потребують ретельної оцінки юридичної основи в обох рамках. EDPB встановлює, що добровільне виявлення незаконного змісту відповідно до статті 7 DSA потребує законного інтересу відповідно до статті 6 (1) (f) GDPR або юридичного зобов'язання відповідно до статті 6 (1) (с) GDPR. Відповідно до вказівок, контролери повинні продемонструвати необхідність обробки за допомогою балансування тестів, які враховують очікування суб'єктів даних та вимоги про пропорційність.
Діти отримують посилений захист за подвійним регуляторним підходом. Стаття 28 DSA передбачає високу конфіденційність, безпеку та рівень безпеки для неповнолітніх, тоді як GDPR встановлює конкретні згоди та обмеження обробки. Вказівки підкреслюють впевненість на основі ризику, яка уникає “однозначної онлайн-ідентифікації” за допомогою урядової документації. За даними EDPB, провайдери повинні “не оцінювати і не перевіряти та постійно зберігати віковий або віковий діапазон одержувача”, а скоріше записувати статус кваліфікації для доступу до послуг.
Купуйте оголошення на землі КПП. PPC Land має стандартні та рідні формати оголошень через основні DSP та рекламні платформи, такі як Google Ads. Через аукціон CPM ви можете охопити професіоналів галузі.
Дізнайтеся більше
Системи рекомендацій стикаються з алгоритмічними вимогами про прозорість, які можуть викликати автоматизовані положення про прийняття рішень. EDPB зазначає, що презентація вмісту за допомогою алгоритмічної курації може становити рішення 22 (1) GDPR при створенні значних наслідків для користувачів. Платформи, що надають декілька варіантів рекомендацій, повинні представляти вибір однаково, не підштовхуючи до систем на основі профілювання. Під час періодів експлуатації непрофілювах постачальники не можуть “продовжувати збирати та обробляти особисті дані для профілю користувача”.
Механізми сповіщення та дій у статті 16 та 17 DSA передбачають значну обробку персональних даних, що вимагають дотримання GDPR. Провайдери хостингу повинні реалізувати системи сповіщень, які дозволяють, але не вимагають ідентифікації сповіщень, якщо це не потрібно для незаконного визначення вмісту. Відповідно до вказівок, провайдери повинні збирати лише необхідну контактну інформацію та обмежити розкриття ідентифікації ідентичності для постраждалих одержувачів, коли “суворо необхідно”.
Дуже великі онлайн -платформи стикаються з розширеними зобов’язаннями щодо оцінки ризику відповідно до статей 34 та 35 DSA, які часто передбачають оцінки впливу на захист даних відповідно до статті 35 GDPR. EDPB вказує на системну ідентифікацію ризику, ймовірно, викликає обов'язкові вимоги DPIA при обробці впливає на основні права. Заходи щодо зменшення ризику повинні відповідати захисту даних за допомогою зобов’язань з проектування та за замовчуванням, вирішуючи масштабні проблеми з обробкою.
Оманливі моделі проектування отримують паралельну заборону в обох регуляторних рамках. Стаття 25 (1) DSA забороняє закономірності погіршення автономного прийняття рішень, тоді як принципи справедливості GDPR запобігають маніпулятивному збору даних. Вказівки визначають, що покриття GDPR залежить від того, чи впливають закономірності поведінки персональних даних, а не на загальні комерційні рішення.
Координація примусового виконання між координаторами цифрових послуг та органами захисту даних вимагає щирої співпраці згідно з договором ЄС. EDPB наголошує на взаємних консультаційних вимогах, коли влада вивчає поведінку постачальників послуг посередницьких послуг у рамках паралельних рамок. Відповідно до вказівок, така співпраця покращує юридичну визначеність, уникаючи регуляторних невідповідностей та НЕ БІС у порушеннях IDEM.
Зацікавлені сторони рекламної індустрії висловили занепокоєння щодо перекриття регуляторних рамок, стверджуючи, що всебічні правила вже існують через DSA, GDPR та несправедливі директиви про комерційну практику. Раніше IAB Europe опублікував підходи щодо впровадження прозорості для задоволення вимог щодо розкриття реклами DSA за допомогою стандартизованих форматів даних та координації галузі.
Настанови з'являються на тлі постійних проблем з впровадженням у країнах -членах. Німецькі підприємства систематично експлуатували механізми сповіщень DSA для усунення критичних оглядів, тоді як Європейська Комісія нещодавно захищала рамки проти звинувачень цензури, посилаючись на 35% успішності для апеляційних звернень вмісту.
Вимоги щодо технічного впровадження підкреслюють підходи до збереження конфіденційності до подвійної відповідності. EDPB рекомендує докази з нульовими знаннями та локальні рішення для обробки, що мінімізують додаткові ризики відстеження або профілювання. Заходи безпеки приділяють особливу увагу, враховуючи чутливий характер перевірки віку та рекламні потоки прозорості.
Кодекс розвитку поведінки відповідно до статті 45 DSA повинен координувати з положеннями GDPR статті 40 для забезпечення регуляторної узгодженості. EDPB вітає заохочення Комісії для добровільних рамок, підкреслюючи залучення органів захисту даних у розробці коду, пов'язаного з рекламою. Основні показники ефективності повинні доповнювати як зменшення ризику DSA, так і вимоги до відповідальності GDPR.
Транскордонне правозастосування представляє координаційні виклики між національними компетентними органами та органами нагляду за захистом даних. Незважаючи на те, що держави -члени можуть призначити різні органи нагляду за DSA, принцип щирої співпраці вимагає консультацій при вивченні проведення постачальників послуг посередників у рамках паралельних рамок. Європейська комісія підтримує ексклюзивні дуже великі повноваження щодо нагляду за онлайн -платформи відповідно до зобов'язань DSA розділу 5.
Час впровадження змінюється на різних платформах та зобов’язаннях. Поточне правозастосування включає офіційне провадження проти великих американських технологічних компаній, і X, як повідомляється, зіткнуться понад 1 мільярд євро в потенційних покараннях. Вказівки забезпечують негайну застосовність для постійних оцінок відповідності, підтримуючи довгострокові цілі регуляторної когерентності.
Постачальники маркетингових технологій повинні встановити рамки управління, що стосуються як прозорості DSA, так і вимог підзвітності GDPR. Зобов'язання з документацією включають цілі обробки, юридичні основи, технічні гарантії та заходи щодо зменшення ризику в умовах помірності вмісту, доставки реклами та систем захисту користувачів.
Підпишіться на наземний бюлетень КПП ✉ для подібних історій, як ця. Щодня отримуйте новини у своїй папці “Вхідні”. Без оголошень. 10 доларів на рік.
Підписатися
Хронологія
Основні розробки в регуляторній конвергенції DSA-GDPR:
Підпишіться на наземний бюлетень КПП ✉ для подібних історій, як ця. Щодня отримуйте новини у своїй папці “Вхідні”. Без оголошень. 10 доларів на рік.
Підписатися
Резюме
ВООЗ: Європейська рада захисту даних опублікувала вказівки, що стосуються цифрових маркетологів, онлайн -платформ, дуже великих онлайн -платформ, постачальників рекламних технологій та органів захисту даних у 27 країнах -членах ЄС.
Що: Керівні принципи 3/2025 Встановити вимоги щодо дотримання до обробки персональних даних під час виконання зобов’язань щодо цифрових послуг, покриття прозорості реклами, модерації вмісту, перевірки віку, систем рекомендацій та координації виконання.
Коли: EDPB прийняв керівні принципи 11 вересня 2025 року з негайним застосуванням для постійних оцінок дотримання DSA та довгострокових цілей регуляторної когерентності.
Де: Рамка застосовується у всіх державах -членах Європейського Союзу для посередників послуг, що обробляють персональні дані, як за юрисдикцією DSA, так і за GDPR, з екстериторіальними ефектами для глобальних платформ.
Чому: Вказівки стосуються критичних розривів дотримання, де положення DSA посилаються на концепції GDPR без чітких вказівок щодо впровадження, забезпечення узгодженої інтерпретації та запобігання регуляторних невідповідностей, які можуть підірвати як захист користувачів, так і юридичну визначеність.
