Nowe obowiązki: DSA wchodzi w życie

17.02.2024    /   Aktualność Publikacja Firmy technologiczne i IT

To już dziś! Od 17 lutego 2024 r. w pełni obowiązują przepisy Rozporządzenia Parlamentu Europejskiego i Rady w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych, zwany również „DSA”). Akt ten jest Rozporządzeniem, toteż jego postanowienia obowiązują w państwach członkowskich UE bezpośrednio, bez konieczności ich implementacji w drodze lokalnych ustaw. Celem DSA jest zapewnienie internautom bezpiecznej przestrzeni cyfrowej.

Kogo dotyczy DSA?

Regulacja DSA obejmuje „dostawców usług pośrednich” – czyli dostarczających internautom na odległość, drogą elektroniczną i na ich żądanie szeregu usług.  Akt dzieli je na usługi:

  1. Zwykłego przekazu — polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej (chodzi np. o usługi związane z wirtualnymi sieciami prywatnymi, rejestry domen najwyższego poziomu, punkty wymiany ruchu internetowego, punkty dostępu bezprzewodowego i in.)
  2. „Cachingu” – polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmującą automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców;
  3. „Hostingu” – polegającą na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie. To grupa, która najbardziej zainteresuje naszych czytelników – obejmuje usługi przetwarzania danych w chmurze, web hostingu czy usługi przechowywania danych. W praktyce – mówimy tutaj o wszelkiego rodzaju platformach internetowych, sklepach czy mediach społecznościowych.

Co istotne, każdy przedsiębiorca zapewniający ww. usługi odbiorcom na terenie Unii Europejskiej, podlega regulacjom DSA – niezależnie od kraju, z którego pochodzi. Zarówno platforma internetowa z Brazylii, jak i sklep z Indii muszą dostosować się do zasad opisanych w DSA, jeżeli chcą swoje usługi świadczyć internautom w Unii Europejskiej.

Jakie obowiązki nakłada DSA?

Przedsiębiorcy dostarczający usługi pośrednie, muszą dostosować się do szeregu nowych zasad, m.in. dotyczących następujących obszarów:

  • Ustanowienie punktów kontaktowych

Dostawcy usług pośrednich mają obowiązek wskazania punktów kontaktowych, umożliwiający bezpośredni kontakt drogą elektroniczną z organami państw członkowskich oraz UE – powinni przy tym wskazać języki, z jakimi można się nimi kontaktować.

Oprócz punktu kontaktowego dla organów państw członkowskich oraz UE, dostawcy usług pośrednich wyznaczają również punkt kontaktowy dla odbiorców usług pośrednich – czyli internautów. Punkt ten musi zapewniać szybki i łatwy kontakt z przedsiębiorcą drogą elektroniczną. Co istotne, punkt ten nie może opierać się wyłącznie na zautomatyzowanych narzędziach (np. chat-boty) – w ścieżce kontaktu musi być możliwość nawiązania kontaktu z człowiekiem.

  • Ustanowienie przedstawicieli prawnych (dostawcy spoza UE)

Przedsiębiorcy spoza UE dostarczający internautom państw członkowskich usługi pośrednie mają obowiązek wyznaczenia w jednym z państw UE na piśmie osoby fizycznej lub prawnej, będącej ich przedstawicielem. Organy UE i państwa członkowskie mogą w sprawach dotyczących DSA kierować się do przedstawiciela, zamiast bezpośrednio do przedsiębiorcy. Co istotne, przedstawiciel nieprawidłowo realizujący swoje obowiązki może zostać pociągnięty do odpowiedzialności – bez uszczerbku dla potencjalnej odpowiedzialności samego dostawcy.

  • Informowanie o warunkach korzystania z usług

Dostawcy usług pośrednich mają obowiązek jasnego i czytelnego poinformowania internautów o ograniczeniach nakładanych na informacje, jakie mogą oni udostępniać. Informacje te muszą zawierać informacje na temat wszelkich polityk, procedur, środków i narzędzi wykorzystywanych na potrzeby moderowania treści, w tym na temat algorytmicznego podejmowania decyzji i przeglądu dokonywanego przez człowieka, a także na temat regulaminu wewnętrznego systemu rozpatrywania skarg. 

Wszelkie zmiany warunków korzystania z usług muszą być komunikowane odbiorcom.

W przypadku usług adresowanych do dzieci lub użytkowanych głównie przez dzieci – przedsiębiorcy muszą zadbać o to, aby warunki korzystania z usług i ich ograniczenia były zrozumiałe dla małoletnich.

  • Obowiązki sprawozdawcze (nie dotyczy mikro i małych przedsiębiorstw)

Co najmniej raz w roku dostawcy usług pośrednich publicznie podają do wiadomości sprawozdania dot. moderowania treści w danym okresie. Zakres tych sprawozdań określa art. 15 DSA.

  • Mechanizmy zgłaszania i działania

Dostawcy usług hostingu mają obowiązek wdrożenia jasnego i przejrzystego mechanizmu umożliwiającego dowolnym podmiotom i osobom zgłaszania drogą elektroniczną nielegalnych treści na ich platformach.

Mechanizmy muszą być odpowiednio zaprojektowane – powinny wymagać uzasadnienia zgłoszenia, umożliwić wskazanie konkretnej lokalizacji nielegalnej treści (np. adres URL). Zgłaszający powinien wskazać swoje imię, nazwisko, adres e-mail (podawanie tych danych nie dotyczy zgłoszenia dot. niektórych przestępstw) oraz oświadczyć, że działa w dobrej wierze i że zgłoszenie posiada prawdziwe i kompletne dane.

Celem jest umożliwienie dostawcy usług hostingu na podstawie takiego zgłoszenia samodzielne ustalenie, bez analizy prawnej, że zgłoszone informacje mają charakter nielegalny.

Dostawca powinien potwierdzić otrzymanie zgłoszenia i poinformować zgłaszającego o swojej decyzji, a także wskazać informacje dot. możliwości odwołania się od niej.

Należy także zwrócić uwagę na fakt obowiązku natychmiastowego zgłoszenia podejrzenia popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu organom ścigania, jeżeli dostawca usług hostingu otrzyma uzasadnioną informację o takim incydencie.

  • Wewnętrzny system rozpatrywania skarg

Dostawcy platform internetowych zapewniają internautom wewnętrzny system rozpatrywania skarg, który powinien spełnić następujące warunki:

– Musi zapewniać bezpłatne i elektroniczne wnoszenie skarg na decyzje dostawcy platformy internetowej dot. usuwania lub ograniczania dostępu do informacji, zawieszenia lub zakończenia świadczenia usług, zawieszenia lub zamknięcia/usunięcia konta użytkownika, zawieszenia, zakończenia lub ograniczenia w inny sposób możliwości monetyzacji informacji przekazanych przez odbiorców.

– System musi być łatwo dostępny, przyjazny użytkownikowi, umożliwiać i ułatwiać formułowanie precyzyjne i uzasadnione skargi.

– O rozpoznaniu skargi dostawca platformy powinien poinformować skarżącego bez zbędnej zwłoki, uzasadniając swoją decyzję i poinformować go o pozasądowych możliwościach rozstrzygania sporów i innych przewidzianych prawem formach odwołania jego decyzji. 

– Rozpoznanie skargi powinno nastąpić pod nadzorem odpowiednio wykwalifikowanego personelu, a nie tylko na podstawie zautomatyzowanych środków.

  • Zakaz zwodniczych interfejsów (dark patterns)

Dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje, lub w inny istotny sposób zakłóca, lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji.

Wielu internautów odetchnie z ulgą – DSA wprost zabrania zatem praktyk takich jak sugerowanie „właściwego” wyboru użytkownikowi (np. duży, zielony przycisk zachęcający do płatnej subskrypcji podczas gdy przycisk odrzucający ofertę jest mały, szary i trudny do zlokalizowania wizualnie), wielokrotnego żądania od odbiorcy usługi dokonania wyboru, gdy wyboru takiego już dokonał, w szczególności przez pokazywanie wyskakujących okienek przeglądarki, sprawiania, że procedura zrezygnowania z usługi jest trudniejsza niż procedura jej subskrypcji (np. obowiązkowe, wyczerpujące ankiety feedbackowe mające na celu zniechęcenie do anulowania usługi, a nie faktyczne zebranie opinii).

  • Reklamy 

DSA wprowadza również dodatkowe regulacje w zakresie reklam na platformach internetowych. Przede wszystkim kluczowa jest przejrzystość – użytkownicy muszą być w stanie w sposób jasny, wyraźny, zwięzły i jednoznaczny oraz w czasie rzeczywistym:

  1. Ocenić, że dana treść jest reklamą (np. wyraźne oznaczenie treści jako „REKLAMA”).
  2. Stwierdzić, w imieniu kogo prezentowana jest reklama.
  3. Jeżeli za reklamę zapłacił kto inny niż podmiot, w którego imieniu reklamowana jest reklama – kto zapłacił za tę reklamę.
  4. Znaleźć istotne informacje, pozyskane bezpośrednio i łatwo z reklamy, na temat głównych parametrów wykorzystanych do określenia odbiorcy, któremu reklama jest prezentowana i, w stosownych przypadkach, sposobu zmiany tych parametrów.

Ponadto DSA zabrania wykorzystywania szczególnych kategorii danych osobowych (tj. ujawniających pochodzenie rasowe/etniczne, poglądy polityczne, przekonania religijne/światopoglądowe, dane genetyczne i biometryczne, dotyczące zdrowia i seksualności i orientacji seksualnej) do profilowania reklam. Nie zabrania to personalizacji reklam w oparciu o „zwykłe” dane osobowe.

DSA szczególną opieką otacza dzieci, zabraniając prezentacji reklam profilowanych w stosunku do nich. Co jednak istotne, DSA wprost wskazuje, że nie oznacza to, że dostawca platformy zobowiązany jest do weryfikacji, czy odbiorca każdej reklamy jest małoletni, czy nie (oznaczałoby to obowiązek weryfikacji wieku przy wejściu na każdą stronę internetową). Jedynie jeżeli wiedzę tę już posiada z innego źródła (np. z danych konta użytkownika) – wówczas nie może w stosunku do takiego małoletniego odbiorcy stosować profilowania reklam. 

  • Identyfikowalność przedsiębiorców (nie dotyczy mikro i małych przedsiębiorstw – chyba że są bardzo dużymi platformami)

W przypadku platform umożliwiających zawieranie przedsiębiorcom umów na odległość z konsumentami (np. Allegro) DSA nakłada na dostawców takich platform dodatkowe wymogi – przed umożliwieniem im świadczenia tego typu usług, przedsiębiorcy tacy muszą przekazać dostawcy platformy swoje dane identyfikacyjne i kontaktowe, kopię dokumentu tożsamości lub inną identyfikację elektroniczną, dane rachunku płatniczego, rejestr handlowy, w jakim przedsiębiorca jest zarejestrowany i numer, pod jakim został zarejestrowany i poświadczenie przedsiębiorcy, w którym zobowiąże się on do oferowania wyłącznie produktów lub usług zgodnych z mającymi zastosowanie przepisami prawa Unii. Co więcej, dostawca platformy powinien w miarę możliwości zweryfikować prawdziwość i poprawność ww. danych.

W odniesieniu do platform już istniejących DSA daje 12 miesięcy dostawcom na zebranie ww. danych od przedsiębiorców działających na ich witrynach.

  • Dodatkowe warunki dla bardzo dużych platform

DSA szczególne obowiązki nakłada na największe podmioty, tzw. „bardzo duże platformy internetowe”. Rozumie się przez nie platformy i wyszukiwarki, które mają średnią liczbę miesięcznie aktywnych odbiorców usługi w Unii wynoszącą co najmniej 45 mln. Status „bardzo dużej platformy internetowej” jest wówczas przyznawany przez Komisję Europejską. Podkreślenia wymaga, że „bardzo dużą platformą” mogą być nawet mikro czy małe przedsiębiorstwa.

Podmioty takie oprócz powyższych obowiązków, dodatkowo m.in.:

–  Mają obowiązek publikacji swoich warunków korzystania z usług w językach urzędowych wszystkich państw członkowskich, w których udostępniają swoje usługi.

– Jeżeli korzystają z systemów rekomendacji na swoich platformach – mają obowiązek w prostym i przystępnym języku określić parametry ich systemu rekomendacji, opcje zmieniania tych parametrów i wpływu odbiorców na nie. Chodzi tu m.in. o wyjaśnienie użytkownikowi, dlaczego dane treści są mu rekomendowane. Jeżeli platforma stosuje kilka różnych systemów rekomendacji – dostawca platformy musi również umożliwić łatwy wybór i zmianę systemu w dowolnej chwili.

– Mają przeprowadzać regularne oceny i analizy ryzyka świadczonych usług, w tym w szczególności uwzględniając ryzyka rozpowszechniania za pomocą ich platformy nielegalnych treści, wystąpienia negatywnych skutków usług dla życia prywatnego i rodzinnego, godności, ochrony danych osobowych, wolności wypowiedzi i informacji, pluralizmu mediów, równości płci, zakazu dyskryminacji, praw dziecka oraz ochrony konsumentów, dyskursu obywatelskiego, procesów wyborczych oraz bezpieczeństwa publicznego, a ponadto negatywnych skutków dla ochrony zdrowia publicznego, uzależnień behawioralnych lub innych poważnych negatywnych konsekwencji dla dobrostanu fizycznego, psychicznego, społecznego i finansowego. Bardzo duże platformy zobowiązane są także do wprowadzania środków zmniejszających ryzyko wystąpienia ww. negatywnych skutków.

– Wyznaczają co najmniej jednego pracownika ds. zgodności (compliance oficera) odpowiedzialnego za monitorowanie zgodności działania platformy z DSA.

– Na własny koszt, co najmniej raz w roku, mają obowiązek poddać się niezależnym audytom oceniającym spełnianie wymogów DSA.

Jakie sankcje za naruszenie DSA?

DSA wprowadza dwa stopnie egzekwowania przestrzegania DSA – na poziomie całej Unii sprawuje ją Komisja (choć głównie w zakresie dużych platform internetowych). Na szczeblu krajowym będą to uprawnione organy – na moment pisania tego artykułu nie mamy jeszcze w Polsce regulacji decydujących o tym, czy będzie to jakiś nowy urząd, czy być może za kontrolę przestrzegania DSA odpowiedzialny będzie któryś z już istniejących. Zarówno komisja jak i organy krajowe będą jednak uprawnione do nakładania kar finansowych: nawet do 6% łącznego światowego obrotu przedsiębiorcy naruszającego DSA, a także nakładania stosownych środków tymczasowych. Ponadto kara do 1% światowego obrotu może być nałożona za przekazywanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji, lub za odmowę poddania się kontroli. Najsurowsze kary grożą oczywiście dużym platformom internetowym, ale i mniejsi przedsiębiorcy powinni mieć się na baczności i przestrzegać regulacji DSA.

Jestem przedsiębiorcą i prowadzę platformę internetową – jak mam zareagować na wejście w życie DSA?

Nie ma co wpadać w panikę – dla wielu dostawców platform internetowych wejście w życie DSA to nie rewolucja, a jedynie uregulowanie dobrych praktyk, którym być może i tak już od dawna byli podporządkowani. Warto jednak zweryfikować wszystkie swoje regulaminy pod kątem zgodności z nowymi przepisami. Działania nie powinny jednak ograniczać się do sfery prawnej – warto przyjrzeć się działaniu platformy od strony technicznej. Czy jej design nie zawiera zwodniczych interfejsów? Czy informacje przekazywane są użytkownikom w sposób czytelny i zrozumiały? Jak działa profilowanie reklam na mojej witrynie? Czy moi pracownicy są świadomi wejścia w życie nowych regulacji? Sprawny i dokładny audyt oraz ewentualne działania naprawcze pozwolą nie tylko na uniknięcie ewentualnych problemów prawnych, co również może uprzyjemnić korzystanie z platformy internetowej jej użytkownikom.

Autor:

Łukasz Rodak

Zapisz się do newslettera!

Mogą Cię zainteresować:

12.08.2024 / Aktualność Przedsiębiorcy

Czy pracodawca zawsze ma prawo do korzystania z efektów pracy pracownika?

Przeczytaj Czy pracodawca zawsze ma prawo do korzystania z efektów pracy pracownika?

01.07.2024 / Aktualność

Znaki towarowe piłkarzy Mistrzostw Europy w Piłce Nożnej w 2024 r.

Przeczytaj Znaki towarowe piłkarzy Mistrzostw Europy w Piłce Nożnej w 2024 r.
Baza wiedzy