Digital Services Act – przełom w regulacjach usług pośrednich
Akt o usługach cyfrowych, czyli Digital Services Act (DSA), to przełomowy dokument, który wprowadza wiele istotnych zmian prawnych w zakresie funkcjonowania środowiska internetowego. Ma na celu m.in. zwiększenie ochrony w przestrzeni wirtualnej i zwalczanie dezinformacji. Kogo dotyczą przepisy DSA i jakie zmiany wprowadza ten akt? Odpowiedzi na te oraz wiele innych pytań znajdziesz w niniejszym artykule.
Czym jest Digital Services Act?
Już 17 lutego 2024 r. wejdą w życie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE, czyli akt o usługach cyfrowych (Digital Services Act). Z uwagi na obszerność i przełomowość zmian potocznie nazywany jest Konstytucją Internetu. Wielu autorów wskazuje, że DSA to akt prawny o szczególnym znaczeniu dla obywateli UE, niezwykle potrzebny w dzisiejszych czasach, aby chronić ich interesy w wirtualnym świecie. Wiąże się jednak z licznymi, nowymi obowiązkami nakładanymi na niektórych przedsiębiorców.
Jaki jest cel DSA?
Zgodnie z art. 1 DSA celem rozporządzenia jest przyczynienie się do właściwego funkcjonowania rynku wewnętrznego usług pośrednich poprzez ustanowienie zharmonizowanych przepisów dotyczących bezpiecznego, przewidywalnego i budzącego zaufanie środowiska internetowego. Powinno ono ułatwiać innowacje i skutecznie chronić prawa podstawowe zapisane w Karcie, w tym zasady ochrony konsumentów.
Rozporządzenie skupia się na kilku głównych kwestiach:
- ochronie małoletnich w internecie;
- zwalczaniu dezinformacji oraz nielegalnych treści w internecie;
- wzmocnieniu pozycji użytkownika w internecie;
- ujednoliceniu przepisów dot. usług pośrednich w UE1.
Kogo dotyczy DSA?
DSA ma zastosowanie do usług pośrednich, oferowanych odbiorcom, którzy mają siedzibę lub znajdują się w Unii, niezależnie od miejsca siedziby dostawców usług.
„Usługa pośrednia” oznacza jedną z następujących usług społeczeństwa informacyjnego:
(i) usługę „zwykłego przekazu” polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej;
(ii) usługę „cachingu” polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmującą automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców;
(iii) usługę „hostingu” polegającą na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie2.
Co istotne, „[…] pojęcie usługi pośredniej niekoniecznie zakłada, że jest ona świadczona przez przedsiębiorcę. Natomiast część przepisów DSA dotyczy wyłącznie przedsiębiorców, np. art. 6 ust. 3 DSA”3.
W praktyce regulacje DSA obejmą:
A. usługi zwykłego przekazu:
- dostawców (providerów) usług internetowych
- operatorów sieci komórkowych;
B. usługi cachingu;
C. usługi hostingu:
- chmury np. Dropbox, Google Drive, iCloud;
- usługi wymiany treści online i udostępnianie plików np. WeTransfer;
- platformy społecznościowe, np. Facebook, Twitter;
- platformy turystyczne i oferujące zakwaterowanie np. Booking.com, Trivago, Airbnb.
„Największy zakres obowiązków Rozporządzenie nakłada na bardzo duże platformy internetowe i wyszukiwarki, tj. takie, które mają ponad 45 mln aktywnych użytkowników. Z kolei małe platformy są zwolnione z większości obowiązków. W ten sposób UE zapewniła nałożenie obowiązków proporcjonalnie do wielkości firm i ich wpływu na obywateli”4.
Duże platformy internetowe oraz wyszukiwarki, o których mowa powyżej to: Alibaba AliExpress, Amazon Store, Apple AppStore, Bing, Booking.com, Facebook, Google Play, Google Maps, Google Search, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando.
Jakie obowiązki nakłada DSA?
W tabeli poniżej wyróżniono część obowiązków nałożonych na dostawców usług pośrednich przez DSA:
| Podstawa prawna | Rodzaj obowiązku | Działanie |
|---|---|---|
| Art. 12 DSA | posiadanie punktów kontaktowych dla odbiorców usług | wyznaczenie pojedynczego punktu kontaktowego umożliwiającego szybką komunikację |
| Art. 13 DSA | posiadanie przedstawicieli prawnych | dostawcy usług, którzy nie mają siedziby w Unii, wyznaczają na piśmie osobę prawną lub fizyczną do działania w charakterze ich przedstawiciela |
Poniższa tabela przedstawia niektóre z obowiązków nałożonych na dostawców platform internetowych z wyłączeniem tych kwalifikujących się jako mikro- lub mali przedsiębiorcy.
| Podstawa prawna | Rodzaj obowiązku | Działanie |
|---|---|---|
| Art. 28 DSA | ochrona małoletnich w internecie |
|
| Art. 20 DSA | posiadanie wewnętrznego systemu rozpatrywania skarg | zapewnienie dostępu do wewnętrznego systemu rozpatrywania skarg, który umożliwia elektroniczne i bezpłatne wnoszenie skarg dotyczących decyzji dostawców platformy internetowej |
| Art. 21 DSA | informowanie o możliwości pozasądowego rozstrzygania sporów | zapewnienie informacji na temat możliwości korzystania przez odbiorców usługi z pozasądowego rozstrzygania sporów na interfejsie internetowym |
| Art. 22 DSA | posiadanie zaufanych podmiotów sygnalizujących | wprowadzenie niezbędnych środków technicznych i organizacyjnych celem zapewnienia priorytetowego traktowania zgłoszeń dokonywanych przez zaufane podmioty sygnalizujące; rozpatrywanie takich zgłoszeń i podejmowanie decyzji w ich sprawie bez zbędnej zwłoki |
| Art. 25 DSA | przejrzyste projektowanie i transparentna organizacja interfejsów internetowych | dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje, lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców do podejmowania wolnych i świadomych decyzji |
| Art. 26 DSA | precyzyjne reklamy na platformach internetowych | zapewnienie, aby w odniesieniu do każdej reklamy odbiorcy usługi byli w stanie stwierdzić:
|
| Art. 27 DSA | wykorzystywanie przejrzystego systemu rekomendacji | dostawcy, którzy korzystają z systemów rekomendacji, powinni prostym i przystępnym językiem określić w swoich warunkach korzystania z usług główne parametry stosowane w systemach rekomendacji oraz opcje zmieniania tych parametrów |
| Art. 34 DSA | przeprowadzanie ocen ryzyka | coroczne przeprowadzanie oceny ryzyka |
| Art. 37 DSA | przeprowadzanie niezależnych audytów | coroczne przeprowadzanie audytu zgodności z DSA |
Nowe zasady odpowiedzialności za treści
Kluczowym obszarem tej regulacji są nowe zasady odpowiedzialności dostawców usług internetowych za nielegalne treści. DSA za nielegalne treści uznaje te informacje, które same w sobie lub przez odniesienie do działania – w tym sprzedaży produktów lub świadczenia usług – nie są zgodne z prawem Unii lub z prawem jakiegokolwiek państwa członkowskiego, niezależnie od konkretnego przedmiotu lub charakteru tego prawa (art. 3 lit. h DSA).
Jakiego rodzaju treści to dotyczy? Np. nawołujących do przemocy oraz naruszających:
• prawa autorskie;
• prawo do wizerunku;
• regulacje chroniące dane osobowe lub czyjeś dobre imię.
Dostawcy usług „zwykłego przekazu” i „cachingu” co do zasady nie odpowiadają za transmisję nielegalnych treści. Inaczej ma się sytuacja w przypadku dostawców usług hostingu. Tutaj również teoretycznie odpowiedzialność nie dotyczy dostawcy takich usług, ale w tej kwestii są pewne ograniczenia. Wystarczy, że dostawca dowie się o hostowaniu nielegalnych treści i nie podejmie działań zmierzających do ich usunięcia. Wówczas będzie musiał ponieść odpowiedzialność z tytułu szkód, jakie takie treści mogą wyrządzić. DSA wprost jednak wskazuje, że dostawcy tego typu usług nie muszą wdrażać mechanizmów prewencyjnie monitorujących przesyłane i udostępniane za pomocą ich usług treści (art. 8 DSA), jednak muszą zapewnić ogólnodostępną możliwość łatwego zgłaszania nielegalnych treści (art. 16 ust. 1 DSA). Jeżeli takie zgłoszenie jest należycie umotywowane i wystarczająco udokumentowane, by stwierdzić nielegalność treści, może to być podstawą do pociągnięcia do odpowiedzialności dostawcy usługi, o ile treści nie zostaną usunięte. Istotne jest, że użytkownik musi otrzymać elektroniczne potwierdzenie przyjęcia zgłoszenia, a następnie informację o decyzji dostawcy usługi.
Inni potencjalni odbiorcy treści uznanych za nielegalne powinni zostać o tym fakcie powiadomieni np. za pośrednictwem odpowiedniego komunikatu o usunięciu takich treści czy np. o zablokowaniu konta użytkownika umieszczającego nielegalne materiały (art. 17 DSA). Dodatkowo dostawcy usług są zobligowani do stosowania się do nakazów sądowych lub właściwych organów administracyjnych w zakresie usunięcia nielegalnych treści (art. 9 DSA) lub przekazania stosownych informacji (art. 10 DSA).
Jakie sankcje są przewidziane w przypadku nieprzestrzegania przepisów DSA?
Za naruszenie przepisów rozporządzenia, niezastosowanie się do decyzji zarządzającej środki tymczasowe lub niewykonanie zobowiązań nałożonych w drodze decyzji, Komisja może nałożyć na dostawcę usługi grzywnę w wysokości do 6% łącznego światowego rocznego obrotu uzyskanego w poprzednim roku obrotowym, a dodatkowo również grzywnę, która nie może przekraczać 1% łącznego rocznego dochodu lub światowego obrotu np. w przypadku odmowy kontroli. Rozporządzenie przewiduje również okresowe kary pieniężne, których dzienna wysokość nie może przekraczać 5% dziennego dochodu lub światowego rocznego obrotu uzyskanego w poprzednim roku obrotowym. Mogą być one stosowane w celu zmuszenia podmiotu np. do dostarczenia prawidłowych i kompletnych informacji w odpowiedzi na decyzję, w której ich zażądano. Pozostałe podmioty podlegają sankcjom przewidzianym w przepisach prawa krajowego.
W jaki sposób należy wdrożyć regulacje DSA?
Jeśli jesteś dostawcą usług pośrednich, podstawowe działania w zakresie wdrażania zmian DSA to:
- weryfikacja systemu rekomendacji oraz zasad umieszczania reklam na Twojej platformie;
- sprawdzenie, czy wykorzystywany przez Ciebie interfejs nie wprowadza w błąd odbiorców usługi lub nimi nie manipuluje, lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców do podejmowania wolnych i świadomych decyzji;
- przygotowanie procedury wewnętrznego systemu rozpatrywania skarg;
- przygotowanie mechanizmów zgłaszania i rozpatrywania zgłoszeń nielegalnych treści;
- uaktualnienie warunków korzystania z usług w zakresie przejrzystości systemu rekomendacji;
- wprowadzenie niezbędnych środków zapewniających ochronę małoletnim.
1 https://www.consilium.europa.eu/pl/policies/digital-services-act/
2 Art. 3 g) Rozporządzenia 2022/2065 w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz. U. UE. L. z 2022 r. Nr 277, str. 1 z późn. zm.).
3 M. Gumularz, Odpowiedzialność dostawców usług pośrednich w trybie aktu o usługach cyfrowych, LEX/el. 2023.
4 https://www.consilium.europa.eu/pl/policies/digital-services-act/
Polecamy
- Ochrona danych osobowych w firmie – obowiązki przedsiębiorcyczas czytania4minutyartykuł zawiera załącznik27.03.2023Zastanawiasz się, jak chronić dane osobowe przetwarzane w Twojej firmie? Opowiadamy, jak to wygląda w Polsce i jakie kroki należy podjąć, by zapewnić bezpieczeństwo. Sprawdź!4min
- Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczejczas czytania6minutyartykuł zawiera załącznik30.11.2022RODO w jednoosobowej działalności gospodarczej – czy należy go przestrzegać? Tak! Dowiedz się więcej.6min
- Kto i jak może korzystać z tego, co wytworzy sztuczna inteligencja – poradnik prawnyczas czytania7minuty24.11.2023Twórcy - w tym również przedsiębiorcy - coraz częściej sięgają po wsparcie sztucznej inteligencji. Co o takiej "współpracy" mówią przepisy prawa autorskiego? Wyjaśnia adwokat Wojciech Krawiec.
- Zgoda na przetwarzanie danych osobowych w celach marketingu bezpośredniego – czy zawsze jest konieczna?czas czytania7minuty08.11.2023Czy taka zgoda zawsze jest niezbędna? I jakie wymagania musi spełnić administrator, żeby przetwarzać dane osobowe zgodnie z prawem? Na te i inne pytania odpowiedzi znajdziesz w tekście.
- Ochrona danych osobowych – o tych kwestiach nie zapomnij w 2023 rokuczas czytania3minutyartykuł zawiera załącznik03.01.2023Z danymi osobowymi masz kontakt w wielu sytuacjach. Sprawdź, na co przede wszystkim zwrócić uwagę w nowym roku!3min
- RODO na stronie internetowej – co należy wiedzieć o obowiązku informacyjnym?czas czytania5minutyartykuł zawiera załącznik05.07.2023Masz własną stronę internetową? Odkryj swoje obowiązki prawne jako administratora danych.5min