Unijny akt o usługach cyfrowych. Rewolucja w cyfrowym świecie?

Wraz ze wzrostem znaczenia usług cyfrowych wzrosła potrzeba uregulowania zasad funkcjonowania zarówno użytkowników sieci, jak i dostawców usług cyfrowych. Komisja Europejska zaproponowała projekt regulacji prawnej, mającej na celu stworzenie ram świadczenia usług cyfrowych – tzw. Akt o usługach cyfrowych (Digital Services Act – „DSA”). DSA jest jednym z szeregu projektów aktów prawnych, opracowanych w ostatnim czasie przez Komisję (obok Aktu o rynkach cyfrowych, tzw. DMA, Aktu w sprawie danych oraz Aktu w sprawie zarządzania danymi), mających na celu regulację gospodarki cyfrowej.

Terminy

DSA został przyjęty, z poprawkami, przez Parlament Europejski w styczniu b.r., a w kwietniu Rada i Parlament Europejski osiągnęły wstępne porozumienie w sprawie ostatecznej treści aktu.

W lipcu 2022 r. Parlament Europejski przegłosował przyjęcie DSA, a w dniu 4 października 2022 r. tekst aktu został przyjęty również przez Radę UE. Oznacza to, że po podpisaniu tekstu przez przewodniczących PE i Rady UE i publikacji aktu w Dzienniku Urzędowym UE wejdzie on w życie i zacznie obowiązywać po 15 miesiącach.

Jakich usług dotyczy DSA?

DSA obejmuje świadczenie tzw. „usług pośrednich”, do których zalicza się:

usługę „zwykłego przekazu” (mere conduit), tj. transmisję informacji przekazanych przez odbiorcę usługi lub zapewnianie dostępu do sieci telekomunikacyjnej;
usługę „cachingu” tj. transmisję informacji przekazanych przez odbiorcę usługi, obejmującą automatyczne, pośrednie i krótkotrwałe przechowywanie informacji wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców;
usługę „hostingu” tj. przechowywanie informacji przekazanych przez odbiorcę usługi oraz na jego żądanie.

DSA wyróżnia kategorię bardzo dużych platform internetowych („VLOPs”), tj. takich, które świadczą usługi na rzecz co najmniej 45 mln średniej liczby aktywnych odbiorców usługi w Unii miesięcznie przez co najmniej 4 kolejne miesiące. Wobec tych podmiotów DSA przewiduje bardziej rygorystyczne wymagania.

Co istotne, przepisy DSA będą miały zasięg eksterytorialny, tj. znajdą zastosowanie do dostawcy usług pośrednich niezależnie od lokalizacji dostawcy, o ile świadczy on usługi odbiorcom mającym siedzibę lub zamieszkałym na terenie Unii Europejskiej.

Jakie obowiązki na dostawców usług pośrednich nakłada DSA?

DSA przewiduje szereg obowiązków dla dostawców usług cyfrowych, w tym:

Reklama ukierunkowana (targeted advertising):
- obowiązki informacyjne dotyczące m.in. monetyzacji danych odbiorców usługi;
- wymóg uzyskania zgody na stosowanie reklamy ukierunkowanej oraz zapewnienie możliwości nieudzielenia zgody w tak samo prosty sposób jak jej udzielenie;
- w przypadku braku zgody, konieczność zapewnienia dostępu do platformy np. w oparciu o reklamę nieukierunkowaną (tracking-free);
- zakaz wykorzystywania szczególnych kategorii danych osobowych oraz danych osobowych osób małoletnich do ukierunkowania reklamy (personalizacja reklam wciąż będzie możliwa w oparciu o tzw. “zwykłe” dane osobowe).

Dark patterns:
- zakaz wykorzystywania technik wprowadzających w błąd lub nakłaniających, w celu wpłynięcia na decyzje odbiorcy usługi;
- uprawnienie Komisji do wydawania aktów prawnych doprecyzowujących praktyki, uważane za dark patterns.

Wewnętrzny system rozpoznawania skarg:
- zapewnienie możliwości składania bezpłatnych skarg na decyzje platformy internetowej o:
  - usunięciu, zdegradowaniu informacji lub uniemożliwienie dostępu do nich lub nałożeniu jakichkolwiek innych ograniczeń ich widoczności lub dostępności;
  - zawieszeniu, zakończeniu lub ograniczeniu świadczenia usługi;
  - ograniczeniu możliwości zarabiania na treściach dostarczanych przez odbiorców;
  - zawieszeniu lub usunięciu konta odbiorcy usługi ze względu na nielegalność treści lub jej niezgodność z warunkami korzystania z usług.
- system rozpatrywania skarg powinien być łatwo dostępny i przyjazny dla odbiorców usługi;
- decyzje rozstrzygające skargę nie mogą być podejmowane wyłącznie w oparciu o zautomatyzowane środki, a odbiorca usługi powinien mieć możliwość kontaktu z człowiekiem na etapie składania skargi.

Wdrożenie mechanizmu zgłaszania nielegalnych treści:
- obowiązek umożliwienia zgłaszania przez dowolną osobę lub podmiot treści, które te osoby uważają za nielegalne;
- mechanizm powinien być łatwo dostępny i przyjazny dla użytkownika, a także musi umożliwiać dokonywanie zgłoszeń drogą elektroniczną;
- dostawca usług cyfrowych będzie miał obowiązek niezwłocznego powiadomienia osoby lub podmiotu trzeciego zgłaszającego treści, które te osoby uważają za nielegalne o swojej decyzji w odniesieniu do informacji, których dotyczy zgłoszenie, w tym również o możliwości odwołania się od podjętej przez dostawcę usług cyfrowych decyzji.

Pojedynczy punkt kontaktowy / wyznaczenie przedstawiciela prawnego:
- obowiązek ustanowienie pojedynczego punktu kontaktowego umożliwiającego bezpośrednią komunikację drogą elektroniczną z organami państw członkowskich oraz UE;
- w przypadku dostawców spoza UE, oferujących swoje usługi w UE: obowiązek wyznaczenia przedstawiciela prawnego w jednym z państw członkowskich UE.

Systemy rekomendacji (dot. VLOPs):
- obowiązek dostępnego i łatwo zrozumiałego określania głównych parametrów rekomendacji oraz wskazanie opcji ich modyfikacji, w tym przynajmniej jedną opcję, która nie jest oparta na profilowaniu.

Ocena ryzyka (VLOPs):
- obowiązek dokonywania regularnych ocen ryzyk systemowych świadczonych usług, w tym przed rozpoczęciem świadczenia usług, w szczególności ryzyka:
  - rozpowszechniania treści nielegalnych lub naruszających warunki świadczenia usług;
  - negatywnych skutków usług dla życia prywatnego i rodzinnego, godności, ochrony danych osobowych, wolności wypowiedzi i informacji, pluralizmu mediów, równości płci, zakazu dyskryminacji, praw dziecka oraz ochrony konsumentów;
  - negatywnych skutków dla dyskursu obywatelskiego i procesów wyborczych oraz dla bezpieczeństwa publicznego;
  - negatywnych skutków dla ochrony zdrowia publicznego, uzależnień behawioralnych lub innych poważnych negatywnych konsekwencji dla dobrostanu fizycznego, psychicznego, społecznego i finansowego.
- ocena ryzyka powinna w szczególności obejmować systemy moderowania treści, rekomendacji oraz wyboru i wyświetlania reklam i powinna być przeprowadzana z uwzględnieniem poszczególnych państw członkowskich oraz na poziomie całej Unii Europejskiej.

Wyznaczenie compliance officer’a (VLOPs):
- obowiązek wyznaczenia co najmniej jednego pracownika ds. zgodności, odpowiedzialnego za monitorowanie zgodności z DSA.

Audyty (VLOPs):
- obowiązek poddawania się na własny koszt regularnym audytom zgodności z obowiązkami wynikającymi z DSA, przeprowadzanym przez niezależne, eksperckie podmioty.

Jakie są kary za nieprzestrzeganie DSA?

DSA wprowadza dwutorowy system egzekwowania przestrzegania DSA oparty na działalności organów państw członkowskich oraz Komisji (przy czym działania Komisji skupiają się w szczególności na kontroli VLOPs).

Zarówno państwo członkowskie jak i Komisja będą uprawnione do prowadzenia postępowań związanych z przestrzeganiem DSA oraz do nakładania kar finansowych:

Główne uprawnienia Komisji

Główne uprawnienia państw członkowskich

W razie naruszenia przepisów DSA, umyślnego lub wynikającego z niedbalstwa, Komisja może nałożyć na VLOPs grzywnę w wysokości do 6% łącznego światowego obrotu.

Komisja posiada uprawnienie do przeprowadzania kontroli w siedzibie VLOP.

Komisja jest także uprawniona do nałożenia grzywny w wysokości do 1% łącznego światowego obrotu m.in. za przekazanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji lub za odmowę kontroli.

Komisji przysługuje także uprawnienie do przyjęcia proporcjonalnych środków tymczasowych wobec VLOPs, jeśli postępowanie przeciwko VLOP będzie mogło doprowadzić do przyjęcia decyzji stwierdzającej niezgodność z przepisami DSA, a sprawa będzie pilna ze względu na ryzyko wyrządzenia poważnej szkody odbiorcom usługi.

Niezależnie od uprawnień Komisji, państwom członkowskim przysługuje kompetencja do nałożenia na dostawców usług pośrednich podlegających ich jurysdykcji kary finansowej do 6% rocznego światowego obrotu danego dostawcy.

Właściwym organom w państwach członkowskich (koordynatorom ds. usług cyfrowych) przysługuje uprawnienie do przeprowadzania kontroli.

Państwa członkowskie są też uprawnione do nałożenia na przedsiębiorcę kary do wysokości do 1% rocznego światowego obrotu danego dostawcy m.in. udzielenie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji lub niepoddanie się kontroli.

Właściwym organom w państwach członkowskich przysługuje także uprawnienie do przyjęcia proporcjonalnych środków tymczasowych, aby zapobiec ryzyku wyrządzenia poważnych szkód.

Co mogą zrobić przedsiębiorcy, aby przygotować się do nowych zasad?

Dostawcy usług pośrednich będą musieli podjąć szereg kroków w celu dostosowania funkcjonowania swojej organizacji do wymogów DSA. Najdalej idące wymogi dotyczą VLOPs - te podmioty powinny:

dokonać weryfikacji stosowanych systemów rekomendacji, także pod kątem opcji pozbawionej profilowania;
sporządzić metodykę przeprowadzania ocen ryzyka świadczonych usług;
ustanowić osobę odpowiedzialną w ramach organizacji za przestrzeganie przepisów DSA;
przygotować organizację do niezależnych audytów.

Niezależnie od powyższego, podmioty świadczące usługi pośrednie powinny, m.in.:

zweryfikować stosowane warunki świadczenia usług i przekazywane użytkownikom informacje pod kątem zgodności z DSA, w szczególności reklamy ukierunkowanej oraz dark patterns;
przygotować organizację do wdrożenia skutecznego zgłaszania podejrzeń nielegalnych treści oraz mechanizmu rozpatrywania skarg.

_{* Niniejszy tekst został przygotowany w oparciu o Rezolucję ustawodawczą Parlamentu Europejskiego z dnia 5 lipca 2022 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych) i zmieniającego dyrektywę 2000/31/WE (COM(2020)0825 – C9-0418/2020 – 2020/0361(COD)) przyjętą w dniu 4 października 2022 r. przez Radę UE.}