Duże zmiany dla strażników dostępu

Z roku na rok rośnie znaczenie usług świadczonych cyfrowo. Jednocześnie rynek ten pozostaje w znacznym stopniu nieuregulowany. W najbliższym czasie sytuacja ta ulegnie jednak zmianie. W lipcu 2022 roku Parlament Europejski oficjalnie przegłosował przyjęcie DMA, następnie w dniu 18 lipca 2022 roku tekst aktu został również przyjęty przez Radę UE. Publikacja aktu w Dzienniku Urzędowym UE miała miejsce 12 października 2022 r.

Dlaczego rynek cyfrowy jest tak ważny?

Rynek cyfrowy jest jedną z najszybciej rozwijających się i jednocześnie jedną z najmniej uregulowanych gałęzi gospodarki. Usługi cyfrowe zwiększają wydajność i konkurencyjność przemysłu, a dla konsumentów wiążą się z ułatwieniami oraz nowymi możliwościami udziału w życiu społecznym. Rynek cyfrowy posiada specyficzną strukturę – pomimo tego, że w Unii Europejskiej istnieje ok. 10 000 platform internetowych, z których większość to mali i średni przedsiębiorcy, to za największą część wygenerowanej ogólnej wartości rynku odpowiada niewielka liczba dużych platform internetowych. Jak wskazuje Komisja Europejska w uzasadnieniu projektu DMA rodzi to ryzyko wykorzystywania przez największe podmioty silnej pozycji w celach narzucania niekorzystnych warunków świadczenia usług oraz stosowania praktyk ograniczających uczciwą konkurencję.

Dostrzegając brak regulacji oraz wyzwania wynikające z dynamicznego rozwoju rynku cyfrowego, Komisja Europejska przygotowała projekt rozporządzenia, tzw. Aktu o rynkach cyfrowych (Digital Markets Act - “DMA”) mającego na celu wprowadzenie ram prawnych funkcjonowania największych podmiotów działających na rynku usług cyfrowych.

Terminy

W marcu 2022 r. Rada i Parlament Europejski osiągnęły wstępne porozumienie w sprawie DMA, następnie w lipcu 2022 roku Parlament Europejski przegłosował przyjęcie aktu o rynkach cyfrowych, a finalna treść aktu została przyjęta również przez Rada UE. DMA wejdzie w życie 20 dni po jego publikacji w Dzienniku Urzędowym UE w dniu 12 października br., a zacznie obowiązywać po sześciu miesiącach od publikacji.

Jakich podmiotów będzie dotyczył DMA?

DMA stosuje się do największych graczy na rynku cyfrowym, tzw. strażników dostępu (gatekeepers), tj. przedsiębiorców świadczących podstawowe usługi platformowe:

wywierających znaczący wpływ na rynek wewnętrzny (roczny obrót na terytorium EOG wynoszący co najmniej 7,5 mld EUR w każdym z ostatnich 3 lat finansowych lub jeżeli wartość przedsiębiorstwa, w skład którego wchodzi dostawca, wynosi co najmniej 75 mld EUR w ostatnim roku finansowym i świadczy tę samą usługę platformy bazowej w co najmniej 3 państwach członkowskich) - wpływ na rynek;

świadczących podstawową usługę platformową pełniącą funkcję ważnego punktu dostępu, za pośrednictwem którego użytkownicy biznesowi mogą dotrzeć do użytkowników końcowych (przeciętnie co najmniej 45 mln aktywnych użytkowników końcowych miesięcznie w poprzednim roku obrotowym i co najmniej 10 000 aktywnych rocznie użytkowników biznesowych z siedzibą w UE) - istotny dostęp do rynku; oraz

osiągających ugruntowaną i trwałą pozycję w zakresie prowadzonej działalności lub takich, które z dużym prawdopodobieństwem osiągną taką pozycję w niedalekiej przyszłości (przesłanka ta jest spełniona jeżeli powyższe liczby użytkowników zostały osiągnięte w każdym z ostatnich trzech lat obrotowych) - ugruntowana i stała pozycja.

Wymogi liczbowe związane ze statusem strażnika dostępu zmieniały się podczas prac legislacyjnych - ostateczny projekt stawia wyższe wymagania liczbowe niż pierwotna propozycja, ale niższe niż zaproponowane przez Parlament Europejski. Prowadzi to do zawężenia grona adresatów DMA, jednak nie tak istotnego, jakiego spodziewał się Parlament Europejski.

W wyjątkowych przypadkach przedsiębiorca świadczący podstawowe usługi platformowe i spełniający wyżej wymienione progi może argumentować, że ze względu na szczególne okoliczności, w jakich działa dana podstawowa usługa platformowa, nie ma ona wpływu wymaganego do zakwalifikowania przedsiębiorcy jako strażnika dostępu.

Komisja może także uznać przedsiębiorcę za strażnika dostępu pomimo niespełnienia powyższych progów, jeżeli pozycja i zakres działalności danego przedsiębiorcy wskazuje na jego znaczącą pozycję rynkową.

Do podstawowych usług platformowych zalicza się:

usługi pośrednictwa internetowego;
wyszukiwarki internetowe;
serwisy społecznościowe;
platformy udostępniania wideo;
usługi łączności interpersonalnej niewykorzystujące numerów;
systemy operacyjne;
przeglądarki internetowe;
wirtualnych asystentów;
usługi w chmurze;
usługi reklamowe, w tym również sieci reklamowe, giełdy reklamowe i inne usługi pośrednictwa w zakresie reklam, świadczone przez przedsiębiorcę, który świadczy dowolne podstawowe usługi platformowe wymienione powyżej.

Co istotne, dla stosowania DMA nie ma znaczenia lokalizacja siedziby dostawcy - regulacja ma zastosowanie eksterytorialne, tj. każdy podmiot spełniający powyższe kryteria, świadczący usługi użytkownikom biznesowym lub użytkownikom końcowym mającym siedzibę lub miejsce pobytu w Unii Europejskiej, zostanie objęty nową regulacją.

Ponadto DMA nakłada na przedsiębiorców obowiązek samodzielnej weryfikacji, czy spełniają kryteria uznania ich za strażników dostępu. W przypadku spełnienia przesłanek do uznania za strażnika dostępu, przedsiębiorca powinien o tym fakcie powiadomić Komisję Europejską. Jednocześnie Komisja Europejska jest uprawniona z własnej inicjatywy przeprowadzić badanie rynku mające na celu identyfikację strażników dostępu.

Obowiązki strażników dostępu

DMA nakłada na strażników dostępu szereg nowych obowiązków, wśród których można wymienić:

OBOWIĄZKI

Zapewnienie użytkownikom biznesowym sprawiedliwych i niedyskryminujących warunków dostępu do sklepu z aplikacjami	Zapewnienie użytkownikom biznesowym i dostawcom usług pomocniczych dostępu do wykorzystywanego przez strażnika dostępu systemu operacyjnego, sprzętu lub funkcji oprogramowania	Zapewnienie użytkownikom końcowym możliwości odinstalowania wstępnie zainstalowanych aplikacji w ramach oferowanej przez strażnika dostępu podstawowej usługi platformowej
Obowiązek informowania Komisji Europejskiej o planowanej koncentracji z udziałem dowolnego innego dostawcy podstawowych usług platformowych lub jakichkolwiek innych usług świadczonych w sektorze cyfrowym niezależnie od tego czy obowiązek notyfikacyjny wynika z przepisów prawa ochrony konkurencji	Zapewnienie reklamodawcom i wydawcom informacji dot. kosztów świadczonych przez strażnika dostępu usług reklamowych oraz dostępu do stosowanych narzędzi pomiaru wyników reklamy	Obowiązek przedkładania Komisji Europejskiej poddanego niezależnemu audytowi opisu technik profilowania konsumentów i jego regularnie aktualizowanie (co najmniej raz do roku)
Zapewnienie skutecznej realizacji prawa do przenoszenia danych	W pewnych okolicznościach: zapewnienie interoperacyjności z usługami podmiotów trzecich	Zapewnienie dostępu podmiotom trzecim (wyszukiwarkom internetowym) do określonych danych na uczciwych, rozsądnych i niedyskryminacyjnych warunkach (FRAND), z zastrzeżeniem anonimizacji danych osobowych
Umożliwienie użytkownikom końcowym korzystania, za pośrednictwem podstawowych usług platformowych, z treści, subskrypcji, funkcji lub innych elementów, przy użyciu aplikacji użytkownika biznesowego, nawet jeżeli zostały one nabyte bez skorzystania z podstawowych usług platformowych	Przedłożenie Komisji, w ciągu 6 miesięcy od daty wyznaczenia, sprawozdania opisującego w sposób szczegółowy i przejrzysty środki, które zostały wdrożone w celu zapewnienia zgodności z DMA	Umożliwienie użytkownikom końcowym łatwej zmiany domyślnych ustawień systemu operacyjnego, wirtualnego asystenta lub przeglądarki internetowej, które kierują użytkownika do usług lub produktów strażnika dostępu
Ustanowienie jednostki ds. zgodności z prawem (compliance), niezależnej od funkcji operacyjnych strażnika dostępu

ZAKAZY

Zakaz łączenia danych z różnych podstawowych usług platformowych lub oferowanych przez podmioty trzecie bez zgody użytkownika Zakaz powtarzania prośby o zgodę więcej niż raz w roku	Zakaz uniemożliwiania lub ograniczania użytkownikom biznesowym możliwości zgłaszania organom publicznym uwag dotyczących praktyk strażników dostępu	Zakaz plasowania własnych usług i produktów kosztem innych użytkowników biznesowych (self-preferencing)
Zakaz technicznego ograniczania użytkownikom końcowym możliwości korzystania aplikacji i usług, do których można uzyskać dostęp przy użyciu systemu operacyjnego strażnika dostępu	Zakaz wykorzystywania danych użytkowników biznesowych do konkurencji z tymi użytkownikami biznesowymi	Zakaz nakładania na użytkowników biznesowych obowiązku korzystania z usługi identyfikacyjnej świadczonej przez strażnika dostępu
Zakaz uniemożliwiania użytkownikom biznesowym oferowania użytkownikom końcowym - za pośrednictwem innych platform lub własnych kanałów sprzedaży - tych samych produktów lub usług po cenach lub na warunkach innych, niż oferowane za pośrednictwem usług strażnika dostępu	Zakaz wymogu dla użytkowników biznesowych i końcowych korzystania z innych podstawowych usług platformowych	Zakaz wykorzystywania danych osobowych z podstawowej usługi platformowej w innych usługach świadczonych odrębnie przez strażnika dostępu bez zgody użytkownika końcowego Zakaz powtarzania prośby o zgodę więcej niż raz w roku
Zakaz dzielenia usług w celu uniknięcia przekroczenia progów wymaganych do uzyskania statusu strażnika dostępu

Katalog obowiązków wskazanych w DMA nie jest wyczerpujący. W obecnym kształcie projekt przewiduje uprawnienie Komisji Europejskiej do wydawania aktów prawnych aktualizujących obowiązki nakładane na strażników dostępu. Z przebiegu prac legislacyjnych widać jednak tendencję do uszczegóławiania poszczególnych wymogów - miało to miejsce w szczególności w kontekście wymogów dotyczących przetwarzania danych osobowych oraz interoperacyjności. W finalnym projekcie pojawiły się także obowiązki, które nie były przewidywane w projekcie opublikowanym pierwotnie przez Komisję (np. przedłożenie raportu o środkach podjętych dla realizacji wymogów DMA).

Jak będzie kontrolowane przestrzeganie DMA?

Projekt DMA przyznaje Komisji Europejskiej szereg uprawnień w zakresie zapewnienia skuteczności regulacji. Komisja może żądać udzielenia jej wszelkich informacji niezbędnych do weryfikacji zgodności z wymogami DMA – obejmuje to także uprawnienie do dokonywania kontroli oraz przesłuchiwania osób fizycznych i prawnych. W przypadkach niecierpiących zwłoki Komisja będzie mogła nakazać strażnikowi dostępu podjęcie środków tymczasowych mających zapobiec wyrządzeniu szkody użytkownikom korzystającym z platformy internetowej.

W przypadku stwierdzenia naruszenia przepisów DMA lub niezastosowania się do decyzji oraz środków wydanych przez Komisję, strażnik dostępu może zostać ukarany grzywną w wysokości do 10% jego łącznego światowego obrotu w poprzednim roku obrotowym (lub do 20% jeżeli to samo lub podobne naruszenie dotyczące tej samej usługi zostało stwierdzone w ciągu ostatnich 8 lat). Zaniechanie spełnienia obowiązków informacyjnych wobec Komisji może zaś skutkować nałożeniem kary pieniężnej w wymiarze do 1% łącznego światowego obrotu uzyskanego w poprzednim roku obrotowym.

Oprócz nakładania kar jednorazowych Komisja będzie uprawniona do nakładania kar okresowych w przypadku niezastosowania się przez strażnika dostępu do poleceń wydawanych przez Komisję. Kary okresowe nie mogą przekraczać równowartości 5% średniego dziennego obrotu w poprzednim roku obrotowym za każdy dzień.

DMA umożliwia również wszelkim podmiotom (w tym użytkownikom i konkurentom strażnika dostępu) zawiadamianie właściwych organów państw członkowskich o jakichkolwiek nieprawidłowościach w działalności strażnika dostępu w zakresie zgodności z DMA.

Co mogą zrobić przedsiębiorcy, aby przygotować się do nowych zasad?

Już na tym etapie staje się jasne, że podmioty działające na rynku cyfrowym będą musiały podjąć szereg kroków mających na celu (i) weryfikację, czy ich działalność podlega przepisom DMA, a jeśli tak, (ii) dostosowanie ich organizacji do zmian wprowadzanych przez DMA. Przedsiębiorcy powinni w szczególności podjąć następujące czynności:

weryfikacja statusu strażnika dostępu: wpływ na rynek wewnętrzny (wymogi finansowe), istotny dostęp (liczba aktywnych użytkowników), oraz ugruntowana i trwała pozycja na rynku (liczba aktywnych użytkowników na przestrzeni lat);
weryfikacja sposobów przetwarzania danych osobowych użytkowników i źródeł danych;
weryfikacja stosowanych zasad profilowania użytkowników pod kątem zgodności z prawem ochrony danych osobowych i wymogami DMA;
przygotowanie do przeprowadzania niezależnych audytów technik profilowania konsumentów;
weryfikacja zgodności regulaminów sklepów z aplikacjami z DMA;
weryfikacja możliwości realizacji prawa do przenoszenia danych;
weryfikacja domyślnych ustawień usług i możliwości ich zmiany;
ustanowienie jednostki do spraw zgodności (compliance) lub weryfikacja, czy istniejąca jednostka spełnia wymogi DMA;
przygotowanie organizacji do notyfikacji koncentracji w sektorze cyfrowym bez względu na wysokość obrotów.

DMA stanowi znaczący krok w zakresie uregulowania rynku cyfrowego, będąc jednym z wielu unijnych aktów lub projektów aktów prawnych, zmierzających do kompleksowej regulacji rynku cyfrowego. Zatwierdzone w dniu 5 lipca 2022 roku przez Parlament Europejski, a następnie w dniu 18 lipca 2022 roku przez Radę (UE) przepisy o uczciwym i konkurencyjnym sektorze cyfrowym zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej w dniu 12 października 2022 r.

^{*Niniejszy tekst został przygotowany w oparciu o projekt Rozporządzenia Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym oraz zmiany dyrektyw (UE) 2019/1937 i (UE) 2020/1828 (akt o rynkach cyfrowych) z dnia 11 lipca 2022 r.}