Bezpieczeństwo w Internecie. Nowa inicjatywa europejska – akt o usługach cyfrowych

Powyższe usługi zbiorczo nazywane są usługami pośrednimi, a więc usługami społeczeństwa informacyjnego – świadczonymi za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. 

Usługi pośrednie mogą być świadczone oddzielnie, jako część innego rodzaju usługi pośredniej, lub równocześnie z innymi usługami pośrednimi. To, czy dana usługa jest usługą „zwykłego przekazu”, „cachingu” czy „hostingu”, należy oceniać indywidualnie z uwagi na fakt, że odpowiednia kwalifikacja jest zależna od funkcji technicznych, które mogą ewoluować w czasie. Jednak nie wszystkie podmioty świadczące usługi pośrednie zobowiązane będą do wypełnienia obowiązków nałożonych przez DSA. DSA znajdzie zastosowanie do:

• platform sprzedażowych,
• platform społecznościowych (w tym platform networkingowych oraz służących wymianie informacji),
• sklepów z aplikacjami,
• platform rezerwacyjnych (w tym turystycznych i noclegowych).

Spod DSA zostały wyłączone:

• platformy internetowe, w przypadku gdy publiczne rozpowszechnianie jest zaledwie nieznaczną i wyłącznie poboczną cechą (np. sekcja gazety internetowej przeznaczona na komentarze z uwagi na poboczny charakter wobec głównej usługi; usługa przetwarzania w chmurze, jeśli publiczne rozpowszechnianie informacji stanowi nieznaczną i poboczną cechę lub nieznaczną funkcję takich usług);

• platformy internetowe wykorzystywane w celu łączności między ograniczoną liczbą osób określoną przez nadawcę komunikatu (np. poczta elektroniczna lub usługi przesyłania wiadomości prywatnych).

Przedsiębiorcy posiadający status mikro lub małego przedsiębiorcy, jak również w okresie 12 miesięcy od utraty przez nich tego statusu, zostaną wyłączeni spod znaczącej części obowiązków przewidzianych dla dostawców platform internetowych.

Czy DSA obejmie podmioty spoza Unii Europejskiej?

DSA znajdzie zastosowanie do usług pośrednich, które są oferowane odbiorcom z siedzibą na terenie Unii lub odbiorcom znajdującym się na terenie Unii, niezależnie od miejsca siedziby dostawców usług pośrednich. Jednak sama techniczna dostępność strony internetowej z Unii nie będzie wystarczająca. Aby uznać, że do dostawcy stosuje się przepisy DSA (a więc, że jest on „istotnie powiązany z Unią”), konieczne będzie przeprowadzenie analizy stopnia powiązania z UE. DSA podaje przykładowy katalog czynników, które należy uwzględnić dokonując takiej analizy – będą to między innymi:

• siedziba dostawcy – jeśli jest zlokalizowana w Unii;
• liczba odbiorców usługi – jeśli w co najmniej jednym państwie członkowskim jest znaczna w stosunku do liczby ludności danego państwa członkowskiego/państw członkowskich;
• ukierunkowanie działalności na co najmniej jedno państwo członkowskie – jeśli dostawca posługuje się językiem lub walutą, których powszechnie używa się w tym państwie członkowskim, lub jeśli oferuje możliwość składania zamówień na produkty lub usługi, a także gdy oferowana przez dostawcę aplikacja jest dostępna w danym krajowym sklepie z aplikacjami lub jego reklamy obecne są na rynku lokalnym danego państwa członkowskiego.

Jakie sankcje przewiduje DSA?

Zgodnie z DSA, jeśli prowadzona działalność jest objęta zakresem stosowania DSA, dostawca poniesie odpowiedzialność z tytułu przekazywanych lub przechowywanych informacji, jeśli są one nielegalne. Odpowiedzialność dostawcy nie ma jednak charakteru bezwzględnego – DSA przewiduje szereg okoliczności, w których odpowiedzialność dostawcy zostanie wyłączona. 

Ustanowienie przepisów dotyczących sankcji w przypadku naruszenia DSA pozostaje w gestii państw członkowskich. W DSA znalazły miejsce jedynie ogólne wytyczne, które wskazują na warunki brzegowe jak poniżej:

• maksymalna wysokość administracyjnych kar pieniężnych, które mogą być nałożone za niewypełnienie obowiązku ustanowionego w DSA, wynosić ma do 6 % rocznego światowego obrotu danego dostawcy usług pośrednich w poprzednim roku obrotowym,

• maksymalna wysokość administracyjnej kary pieniężnej, która może być nałożona za udzielenie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji, nieudzielenie odpowiedzi lub niepoprawienie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji oraz niepoddanie się kontroli wynosić ma do 1 % rocznego dochodu lub światowego obrotu danego dostawcy usług pośrednich lub danej osoby w poprzednim roku obrotowym,

• maksymalna dzienna wysokość okresowej kary pieniężnej wynosić ma do 5 % średniego dziennego światowego obrotu lub dochodu danego dostawcy usług pośrednich w poprzednim roku obrotowym, a kara ta była naliczana począwszy od daty wskazanej w decyzji.

Nadzór oraz egzekwowanie obowiązków wynikających z DSA zostanie powierzone organowi, który zostanie wyznaczony przez każde z państw członkowskich indywidualnie. Organem właściwym dla dostawcy będzie organ w państwie członkowskim, w którym znajduje się główne miejsce prowadzenia działalności dostawcy usług pośrednich (tj. w którym ma on swoją siedzibę główną lub statutową, w której wykonywane są główne funkcje finansowe i sprawowany jest nadzór operacyjny) lub w państwie, w którym dostawca wyznaczył swojego przedstawiciela prawnego (jeśli nie posiada siedziby w Unii). Państwa członkowskie zobowiązane są również do wyznaczenia koordynatorów ds. usług cyfrowych – nie później niż do dnia 17 lutego 2024 roku.

Kiedy spodziewać się zmian?

DSA weszło w życie 16 listopada 2022 roku. Przedsiębiorcy otrzymali czas na dostosowanie się do nowych wymogów do dnia 17 lutego 2024 roku, jednakże niektóre obowiązki zobowiązani są wypełnić już wcześniej.

Najpóźniej do 17 lutego 2023 roku, a następnie co najmniej raz na 6 miesięcy platformy internetowe i wyszukiwarki internetowe będą publikować w publicznie dostępnej sekcji swojego interfejsu informacje na temat średniej liczby aktywnych miesięcznie odbiorców takiej usługi w Unii. Liczba ta będzie obliczana jako średnia liczba w okresie poprzednich sześciu miesięcy, zgodnie z metodyką ustanowioną w aktach delegowanych. Dostawcy platform internetowych lub wyszukiwarek internetowych będą przekazywać lokalnemu koordynatorowi ds. usług cyfrowych (właściwemu dla miejsca siedziby dostawcy) oraz Komisji – na ich wniosek i bez zbędnej zwłoki – powyższe informacje zaktualizowane na moment złożenia takiego wniosku.

Powyższy obowiązek służyć do ustalenia, czy dany podmiot wpisuje się w kategorię dużej platformy, bowiem z chwilą uzyskania takiego statusu zostanie objęty dodatkowymi wymogami wynikającymi z DSA. 

Przeciwdziałanie nielegalnym treściom w Internecie

Na gruncie DSA, krajowe organy sądowe lub administracyjne uzyskają uprawnienie do wydawania nakazów podjęcia działań przeciwko określonym nielegalnym treściom wobec dostawców usług pośrednich, jak również do nakazów udzielenia określonych informacji na temat co najmniej jednego określonego indywidualnego odbiorcy usługi.  Dostawca, który otrzymał nakaz:

• informuje organ o wszelkich podjętych działaniach;
• informuje odbiorcę danej usługi o otrzymanym nakazie i o działaniach podjętych w odpowiedzi na ten nakaz wraz uzasadnieniem, informacją o istniejącej możliwości odwołania się oraz opisem terytorialnego zakresu stosowania nakazu.

Jednocześnie, przepisy DSA wyraźnie wskazują, że na dostawców nie nakłada się ogólnego obowiązku monitorowania informacji, które dostawcy przekazują lub przechowują, ani aktywnego ustalania faktów lub okoliczności wskazujących na nielegalną działalność. DSA różnicuje obowiązki w zależności od charakteru prowadzonej działalności, jak i z punktu widzenia rozmiaru podmiotu oferującego swoje usługi na rynku europejskim.

Szczególne obowiązki bardzo dużych dostawców usług pośrednich

Zarządzenie ryzykiem przez bardzo duże platformy internetowe i wyszukiwarki internetowe

Dostawcy bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych zobowiązani będą do wprowadzenia i stosowania mechanizmów zarządzania ryzykiem, w tym do regularnej analizy i oceny ryzyka systemowego w Unii, wynikającego z projektu lub funkcjonowania swojej usługi. Przy ocenie należy uwzględnić cztery kategorie ryzyka systemowego:

I. ryzyko związane z rozpowszechnianiem nielegalnych treści, a także dopuszczaniem się nielegalnych działań;

II. ryzyko faktycznego lub przewidywalnego wpływu usługi na wykonywanie chronionych Kartą praw podstawowych (w tym godności ludzkiej, wolności wypowiedzi i informacji, prawa do życia prywatnego, ochrony danych, niedyskryminacji, praw dziecka i ochrony konsumenta);

III. ryzyko faktycznego lub przewidywalnego wpływu na procesy demokratyczne, dyskurs obywatelski i procesy wyborcze, a także na bezpieczeństwo publiczne;

IV. ryzyko związane z projektowaniem i funkcjonowaniem platform lub korzystaniem z nich, w tym poprzez manipulację, co może mieć faktyczny lub przewidywalny negatywny wpływ na ochronę zdrowia publicznego, małoletnich oraz poważne negatywne konsekwencje dla fizycznego i psychicznego dobrostanu osoby, lub na przemoc ze względu na płeć.

Jeżeli algorytmiczne akcentowanie informacji przyczynia się do ryzyka systemowego, dostawcy powinni to uwzględnić w prowadzonych ocenach ryzyka, a takie oceny ryzyka przechowywać wraz z dokumentami źródłowymi.

Niezależny audyt i opłata audytorska

DSA wprowadza obowiązek poddania się co najmniej raz w roku niezależnemu audytowi przez dostawców bardzo dużych platform internetowych oraz bardzo dużych wyszukiwarek internetowych. Audyt będzie mogła przeprowadzić organizacja, która spełni szereg wymogów wskazanych w przepisach. 

Podmioty podlegające obowiązkowi przeprowadzenia audytów będą również zobowiązane do uiszczania rocznej opłaty nadzorczej na rzecz Komisji Europejskiej. Opłata będzie płatna za każdą usługę, w odniesieniu do której zostali wskazani jako bardzo duży dostawca.

Komisja przyjmie szczegółową metodykę dotyczącą m.in. określenia indywidualnych rocznych opłat nadzorczych, przy czym całkowita kwota rocznej opłaty nadzorczej pobieranej od danego dostawcy bardzo dużej platformy internetowej lub bardzo dużej wyszukiwarki internetowej nie może przekroczyć 0,05% jego światowego rocznego dochodu netto w poprzednim roku obrotowym.

Skutki dla przedsiębiorców operujących na platformach internetowych

Co DSA oznacza dla przedsiębiorców operujących na platformach internetowych?

• Uprawnienie do odwołania się od decyzji dostawcy. W przypadku otrzymania zgłoszenia o nielegalnej treści lub w przypadku, gdy informacje przekazane przez użytkowników biznesowych są niezgodne z warunkami korzystania z usług dostawcy, dostawca platformy będzie uprawniony do podjęcia działań o skutkach takich tak:
  • Ograniczenie w zakresie widoczności określonych informacji (w tym usuwanie treści, uniemożliwienie dostępu do treści lub depozycjonowanie treści)
  • Zawieszenie, zakończenie lub inne ograniczenie płatności pieniężnych (w tym monetyzacji informacji przekazanych przez odbiorcę);
  • Zawieszenie lub zakończenie świadczenia usług w całości lub w części;
  • Zawieszenie lub zamknięcie konta odbiorcy usługi.

W przypadku podjęcia działań, dostawca będzie zobowiązany do niezwłocznego poinformowania danego użytkownika biznesowego oraz zapewnienia mu możliwości odwołania się od decyzji platformy (w tym w ramach wewnętrznego systemu rozpatrywania skarg – elektronicznie i bezpłatnie), jeśli decyzje mają dla niego negatywny skutek. Możliwość odwołania od decyzji musi zostać utrzymana przez co najmniej 6 miesięcy od momentu poinformowania użytkownika usługi przez dostawcę o swojej decyzji.

• Wybór organu pozasądowego rozstrzygania sporów. Użytkownicy mają prawo do wyboru dowolnego organu pozasądowego rozstrzygania sporów. Dostawcy platform internetowych zapewnią, aby informacje o możliwości korzystania z pozasądowego rozstrzygania sporów były łatwo dostępne na ich interfejsie internetowym.
• Obowiązek przejścia procedury weryfikacyjnej. Przedsiębiorcy chcący rozpocząć działalność na platformie internetowej podlegać będą obowiązkowi weryfikacyjnemu, który może objąć m.in. obowiązek dostarczenia wiarygodnych dokumentów potwierdzających, takich jak kopia dowodu tożsamości, uwierzytelnione wyciągi z rachunków płatniczych, zaświadczenia o prowadzeniu działalności gospodarczej i zaświadczenia z rejestrów handlowych. Ponadto, przedsiębiorca poświadczy, że zobowiązuje się do oferowania wyłącznie produktów lub usług zgodnych z mającymi zastosowanie przepisami prawa Unii.
• Potencjalne zmniejszenie skuteczności kampanii reklamowych prowadzonych na platformie internetowej. 
  • W przypadku korzystania z systemów rekomendacji, dostawcy określą w swoich warunkach korzystania z usług główne parametry stosowane w ich systemach rekomendacji, a także wszelkie opcje zmieniania tych parametrów przez odbiorców usługi lub wpływania na nie. W świetle przepisów DSA, odbiorcę usługi należy informować o wszelkich dostępnych mu środkach służących zmianie kryteriów profilowania dla celów reklamowych. 
  • W przypadku bardzo dużych platform internetowych oraz bardzo dużych wyszukiwarek internetowych – będą one musiały zapewnić co najmniej jedną opcję dla każdego ze swoich systemów rekomendacji, która nie jest oparta na profilowaniu. 
  • DSA wprowadza również zakaz prezentowania reklam opartych na profilowaniu z wykorzystaniem danych osobowych odbiorcy usługi, jeżeli dostawca wie z wystarczającą pewnością, że odbiorca usługi jest małoletni. 

Powyższe obowiązki mogą wpłynąć na skuteczność kampanii reklamowych prowadzonych na platformach internetowych.