Michał Nosowski
Digital Services Act - projekt nowego rozporządzenia w sprawie usług internetowych
Zaktualizowano: 9 kwi 2022

W Unii Europejskiej trwają prace nad pakietem rozporządzeń, które mają uregulować świadczenie różnych usług w Internecie. Ktoś zauważył, że przedsiębiorstwa świadczące usługi chmurowe, hostingowe, wyszukiwania w Internecie albo tworzące platformy społecznościowe, są generalnie dość istotnymi elementami gospodarki. A przepisy, które ich dotyczą nie do końca przystają do współczesności.
Dlatego też UE obecnie przygotowuje tzw. Digital Services Act Package, w skład którego wchodzą dwa rozporządzenia:
Digital Services Act - i tym się dziś zajmiemy,
Digital Markets Act - to rozporządzenie ma dotyczyć największych platform, takich które mają istotny wpływ na funkcjonowanie rynku i społeczeństwa. Postaram się o nim napisać nieco więcej w przyszłości.
Czym jest Digital Services Act?
Digital Services Act (czyli DSA albo po polsku: akt o usługach cyfrowych) ma na celu:
uregulowanie tego w jaki sposób dostawcy usług online mają radzić sobie z nielegalnymi treściami, które są przesyłane lub zamieszczane przez użytkowników w ramach różnych platform,
sprecyzowanie w jakich sytuacjach dostawcy usług online mogą blokować lub usuwać treści i jakie warunki muszą przy tym spełnić,
zapewnienie większej transparentności w działaniu dużych platform online.
Twórcy dokumentu wyznają prostą zasadę - to co jest nielegalne offline, powinno być również nielegalne online. DSA ma na celu kompleksowe uregulowanie sposobu zgłaszania niezgodnych z prawem treści do administratorów. Tym samym, mają również zostać przyjęte zasady, które wskazują w jaki sposób moderować treści i jak informować użytkowników o kryteriach, które przyjmuje dana platforma po to aby decydować co jest dozwolone a co nie.
2. Gdzie będzie obowiązywał DSA i kogo będzie dotyczył?
Digital Services Act będzie obowiązywał na terenie całej UE - rozporządzenie unijne jest aktem, który stosuje się bezpośrednio. Oznacza to, że w każdym państwie członkowskim będą dokładnie te same przepisy. Rozporządzenie nie wymaga bowiem jakiejkolwiek implementacji, czyli przyjęcia zasad, które są w nim zawarte, w formie jakiejś krajowej ustawy. Podobna sytuacja ma miejsce np. z RODO.
DSA ma dotyczyć wszystkich dostawców usług online, którzy kierują swoją ofertę do klientów z UE - zarówno konsumentów, jak i przedsiębiorców. Przepisy te obowiązują nawet tych dostawców, którzy nie mają siedziby na terenie UE - pojęcie „kierowania usług” jest tu rozumiane szeroko. I tak, dostawca usług online spoza UE będzie zobowiązany do stosowania się do DSA również w sytuacji gdy:
komunikuje się z potencjalnymi klientami w języku jednego z państw członkowskich UE,
umożliwia dokonywanie płatności za usługi w walucie jednego z państw członkowskich UE,
posiada krajową domenę najwyższego poziomu, odpowiadającą jednemu z państw członkowskich UE.
W praktyce więc liczba podmiotów, które będą obowiązane do przestrzegania przepisów DSA będzie bardzo duża. Taka regulacja ma na celu uniemożliwienie obchodzenia nowych przepisów np. poprzez rejestrowanie spółek poza UE, które jednak świadczą usługi na rzecz klientów z UE.
3. Jaka działalność ma podlegać pod przepisy DSA?
Projekt DSA posługuje się kilkoma istotnymi pojęciami związanymi z świadczeniem usług online.
Pierwszym z nich są usługi pośredniczące/usługi pośrednie (intermediary services) - to tzw. usługi społeczeństwa informacyjnego (tzn. usługi, które są normalnie świadczone za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług), które polegają na co najmniej jednym z poniższych:
tzw. „zwykłym przekazie” - transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej,
„cachingu” - transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmującą automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców,
hostingu - przechowywaniu informacji przekazanych przez odbiorcę usługi na jego żądanie,
umożliwianiu korzystania z wyszukiwarki internetowej - czyli usług, które umożliwiają użytkownikom tworzenie zapytań, umożliwiających przeszukiwanie wszystkich stron internetowych (a przynajmniej publicznie dostępnych) - nie dotyczy to więc wyszukiwarek, które przeszukują zawartość jednej strony.
W praktyce będzie to obejmowało wszystkie podmioty, które świadczą usługi dostępu do Internetu, VPN, jak również usługi hostingowe, serwerowe czy chmurowe lub usługi umożliwiające wyszukiwanie informacji w Internecie. Pojęcie „hosting” należy rozumieć szeroko - to również np. platformy społecznościowe które umożliwiają zamieszczenie swojego wpisu lub filmu.
Dodatkowo, mamy ważną definicję platform online (w polskiej wersji nazywanych platformami internetowymi), czyli podmiotów, które umożliwiają użytkownikom przechowywanie i rozpowszechnianie informacji - w praktyce dotyczy to więc wszystkich portali społecznościowych, takich jak Facebook, Instagram, LinkedIn, Youtube czy Tiktok. Nie dotyczy to jednak tych portali, gdzie możliwość zamieszczania informacji ma jedynie poboczny charakter - np. strona internetowa czasopisma albo bloga, na której można zamieszczać komentarze pod artykułami prasowymi.

W trakcie prac nad rozporządzeniem wprowadzono do niego jeszcze jedną ważną definicję - platform ecommerce/internetowych portali aukcyjnych (ang. „online marketplace”), czyli platform, które umożliwiają klientom zawieranie umów ze sprzedawcami różnych produktów lub usług. W praktyce chodzi więc o takie platformy jak Ebay czy Allegro.
Co ważne, pojęcie „sprzedawcy” również jest zdefiniowane (jest to osoba, która w ramach działalności gospodarczej lub zawodowej, zajmuje się handlem) - celem rozporządzenia jest bowiem zagwarantowanie ochrony nie tylko osobom, które kupują produkty w ramach platform internetowych, ale także takich, które opierają swój biznes o sprzedaż produktów za ich pomocą. Innymi słowy, chodzi to o ochronę osób, które sprzedają swoje produkty np. na Allegro. Z drugiej strony, platformy ecommerce będą miały dodatkowe obowiązki dot. identyfikacji takich osób.
4. Odpowiedzialność podmiotów, które odpowiadają za „zwykły przekaz”, „caching” lub hosting
DSA ma regulować kwestie związane z odpowiedzialnością przedsiębiorców, którzy świadczą usługi przesyłu lub hostingu informacji w Internecie. Chodzi tu o takie sytuacje gdy ktoś zamieszcza nielegalne treści w ramach jakiejś platformy, lub przesyła za pomocą wykorzystywanych przez niego narzędzi informatycznych, które są dostarczone przez jakiegoś dostawcę usług pośredniczących.
Rozporządzenie wskazuje, że ten dostawca usługi pośredniczącej co do zasady nie powinien odpowiadać za taką nielegalną treść, bo nie musi mieć wiedzy o tym co jest legalne a co nie. Tym samym, nie ma wprowadzonego generalnego obowiązku monitorowania treści zamieszczanych w ramach jakiegoś portalu pod kątem ich zgodności z prawem - choć taka możliwość oczywiście istnieje. Usługodawca nie powinien jednak mieć wpływu na samą treść, nie może jej modyfikować itp.
Zasada ta ma jednak kilka wyjątków:
Przede wszystkim, w przypadku usług cachingu oraz wyszukiwarek internetowych podmioty te powinny usuwać/blokować odnośniki do tych informacji, które zostały usunięte (np. usuwać z wyników wyszukiwania odnośniki do tych stron internetowych, które zawierały nielegalne treści, ale zostały zablokowane).
W przypadku szeroko rozumianych usług hostingowych, dostawcy będą mieli nieco więcej obowiązków. Przede wszystkim, rozporządzenie wskazuje, że dostawca nie będzie odpowiadał za zamieszczoną treść w sytuacji gdy nie ma świadomości jej bezprawnego charakteru.
Innymi słowy, jeżeli dany dostawca z jakiegoś źródła dowie się, że określone treści są nielegalne (np. na podstawie własnych działań monitorujących albo uzyskania informacji z zewnątrz), to może za nie ponosić odpowiedzialność, o ile oczywiście ich nie zablokuje. Oznacza to, że zablokowanie danej treści (po uzyskaniu informacji o jej nielegalności) zwalnia dostawcę z odpowiedzialności.
To co jest nielegalną treścią należy rozumieć szeroko - mogą być to np. materiały, których zamieszczenie skutkuje popełnieniem przestępstwa, naruszeniem dóbr osobistych albo praw własności intelektualnej.
Prowadzenie ewentualnego, dobrowolnego monitoringu treści pod kątem zgodności z prawem nie będzie powodowało , że powyższe zasady ulegają jakiejkolwiek modyfikacji - tzn. zwolnienia z odpowiedzialności nadal mogą dotyczyć takiego dostawcy.
Oczywiście powyższe zwolnienia nie obejmują sytuacji gdy dany podmiot otrzymuje sądowy lub urzędowy nakaz usunięcia jakiejś treści - w takim przypadku jest zobowiązany do zastosowania się do takiego nakazu. Obejmuje to również obowiązek udostępniania informacji np. o osobie, która zamieściła lub przesłała takie nielegalne treści.
5. Inne obowiązki, które dotyczą dostawców usług online
Rozporządzenie wskazuje na kilka dodatkowych obowiązków, które będą musiały być spełniane przez dostawców usług pośrednictwa - niektóre z nich dotyczą wszystkich usługodawców, inne tylko tych, które np. opierają się na hostingu.
Obowiązki, które dotyczą dostawców usług pośrednictwa:
Wskazanie elektronicznego punktu kontaktowego umożliwiającego bezpośrednią komunikację z dostawcą przez organy państw członkowskich, Komisję Europejską i tzw. Europejską Radą ds. Usług Cyfrowych (to nowy organ, który będzie powołany na podstawie rozporządzenia). Informacje te powinny być dostępne publicznie.
Wskazanie - w przypadku gdy dany dostawca nie ma siedziby na terenie UE, ale oferuje usługi na terenie UE - przedstawiciela prawnego danego podmiotu na terenie UE, z którym będą mogły się komunikować organy państw członkowskich, komisja Europejska albo wspomniana powyżej Rada,
Przyjęcie warunków świadczenia usług (terms and conditions - czyli regulaminu usługi), w których zostanie opisane to, jakim ograniczeniom podlega korzystanie z usług przez klienta. Obejmuje to w szczególności opis przyjętych procedur i narzędzi wykorzystywanych do moderowania treści. Jeżeli dany usługodawca korzysta z jakichś zautomatyzowanych algorytmów moderujacych (które same usuwają treści niezgodne z regulaminem), to zasady ich działania też powinny być opisane i dostępne publiczne.
Publikowanie raportów dotyczących moderacji treści, w tym informacji o tym ile zgłoszeń (dot. nielegalnych treści) było wysłanych do danego podmiotu, czas odpowiedzi na takie zgłoszenia, informacji dotyczących tego ile z takich zgłoszeń zostało rozpoznanych przy wykorzystaniu zautomatyzowanych systemów moderacyjnych oraz liczby ewentualnych skarg, zgłoszonych przy wykorzystaniu dostępnego w ramach platformy systemu zgłaszania skarg.
6. Dodatkowe obowiązki nałożone na hostingodawców
Ponadto, na podmioty świadczące usługi hostingowe, zostaną nałożone dodatkowe obowiązki. Co ważne, obowiązki te dotyczą również podmiotów, które prowadzą platformy online (czyli np. platform społecznościowych).
Obejmują one w szczególności:
konieczność wdrożenia mechanizmów umożliwiających osobom zgłaszanie nielegalnych treści. Mechanizmy te muszą być łatwo dostępne i przyjazne dla użytkownika oraz muszą pozwalać na składanie zgłoszeń drogą elektroniczną. Dostawca usługi powinien poinformować następnie taką osobę o rozstrzygnięciu jej skargi
Obowiązek uzasadniania decyzji dotyczących blokowania dostępu do treści, jak również całych kont/fanpage a także demonetyzacji albo ograniczenia treści. Uzasadnienie to powinno być dostępne publicznie, również dla osób, które miały dostęp do danej treści (np. powinniśmy być w stanie zobaczyć dlaczego dany post na portalu społecznościowym został zablokowany). Jeżeli decyzja dotyczy usunięcia nielegalnych treści, konieczne jest wskazanie również podstawy prawnej, tj. przepisów, z których wynika, że dana treść jest nielegalna. Jeżeli treści są niezgodne z regulaminem usługi, to powinno zostać wskazane o jaką konkretnie regułę chodzi. Usługodawca powinien również wskazać na możliwość odwołania się od takiej decyzji.
obowiązek informowania organów ścigania o wykryciu takich informacji, które mogą wskazywać na popełnienie jakiegoś poważnego przestępstwa (np. przeciwko życiu osoby),
7. Dodatkowe obowiązki dotyczące platform online
DSA przewiduje również wprowadzenie szeregu obowiązków, które będą dotyczyły tylko dostawców platform online/internetowych (czyli np. platform społecznościowych). Zalicza się do nich:
wdrożenie systemu umożliwiającego odwołanie się od decyzji dotyczącej usunięcia/ograniczenia zasięgów określonej treści, zablokowania monetyzacji jak również decyzji dot. zaprzestania świadczenia usług na rzecz określonej osoby - takie odwołanie powinno być możliwe do złożenia w terminie 6 miesięcy od dnia podjęcia decyzji przez daną platformę,
umożliwienie użytkownikom kierowania swych spraw, związanych np. z zablokowaniem kont albo treści, do instytucji zajmującej się pozasądowym rozstrzyganiem sporów,
priorytetowe rozpoznawanie skarg, złożonych przez tzw. zaufane podmioty sygnalizujące, czyli niezależne i profesjonalne podmioty, które zajmują się przeszukiwaniem platform internetowych pod kątem treści niezgodnych z prawem (np. organizacje pozarządowe, organizacje zbiorowego zarządzania prawami autorskimi),
nakaz czasowego zawieszania dostępu do platformy do usług tym użytkownikom, które regularnie zamieszczają materiały niezgodne z prawem. Innymi słowy, jeżeli ktoś kilka razy zamieści coś co nie powinno się na platformie znaleźć to całe jego konto będzie zablokowane. Platforma sama powinna ustalić ile i w jakim czasie tych materiałów powinno się pojawić aby zawiesić komuś konto.
Platformy będą miały prawo zawiesić możliwość składania skarg i zgłaszania nielegalnych treści w odniesieniu do tych podmiotów, które zgłaszają dużo niezasadnych skarg.
Platformy będą miały również obowiązki dot. publikowania statystyk i raportów, dotyczących ich działalności, takich jak:
statystyki, które dotyczą odwołań, złożonych do instytucji zajmującej się pozasądowym rozstrzyganiem sporów, wraz z informacjami o rozstrzygnięciach tych spraw i terminie ich rozstrzygnięcia,
raporty dotyczące wykorzystania automatycznych systemów moderujących, w tym statystyk dot. ich skuteczności, stosowanych zabezpieczeń czy też wskazanie celów ich wykorzystania.
Każda operująca na terenie UE platforma internetowa, ma być obowiązana do publikowania informacji o liczbie użytkowników danej platformy, pochodzących z UE, co najmniej raz na 6 miesięcy.
Powyższe obowiązki nie dotyczą takich platform, które są prowadzone przez mikro i małych przedsiębiorców.

8. Co z reklamami?
Niektóre regulacje, zawarte w DSA będą dotyczyły kwestii wyświetlania reklam w ramach platform online. Zgodnie z projektem, dostawcy będą musieli:
wprost oznaczać, które treści mają charakter reklamowy,
wskazywać, kto jest twórcą danej treści (np. spółka, która reklamuje swoje produkty),
wskazać jakie parametry doprowadziły do tego, że konkretnej osobie wyświetlono taką a nie inną reklamę (np. w związku z profilowaniem).
9. Dodatkowe regulacje dot. platform ecommerce
Dostawcy platform ecommerce również mają mieć dodatkowe obowiązki. Obejmują one w szczególności:
pozyskanie od każdego użytkownika-sprzedawcy jego danych identyfikacyjnych,
zidentyfikowanie takiego użytkownika poprzez otrzymanie kopii dokumentu tożsamości (co w praktyce oznacza, że platformy ecommerce będą zbierały skany dowodów osobistych sprzedawców),
pozyskanie danych rachunku płatniczego sprzedawcy
zebranie informacji o rejestracji danego sprzedawcy w rejestrze przedsiębiorców - dostawca platformy ecommerce powinien podjąć próbę zweryfikowania tych informacji z informacjami publicznie dostępnymi, np. w rejestrach państwowych.
Dodatkowo, twórcy platform ecommerce mają projektować je tak aby nie wprowadzały one w błąd użytkowników, w tym nie miały negatywnego wpływu na proces podejmowania przez nich decyzji. Dodatkowo, platformy powinny być tak stworzone aby sprzedawcy również mogli spełniać obowiązki wynikające z przepisów prawa, np. informować o swoich danych identyfikacyjnych i kontaktowych.
Zgodnie z projektem, właściciel platformy ecommerce, który dowie się o tym, że za jej pośrednictwem doszło do sprzedaży jakiegoś towaru, który narusza prawo (np. nielegalnego oprogramowania, produktu niedopuszczonego do obrotu w sytuacji gdy wymagane są dodatkowe zezwolenia), powinien poinformować o tym bezpośrednio nabywców takiego produktu.
10. Bardzo duże platformy online i bardzo duże wyszukiwarki internetowe
Jakby tych regulacji było mało, projekt rozporządzenia wprowadza pojęcia:
bardzo duża platforma internetowa (very large online platform),
bardzo duża wyszukiwarka internetowa (very large online search engine).
Chodzi tu o takie usługi, które mają co najmniej 45 milionów użytkowników z UE (liczone jako średnia w miesiącu) - około 10% obywateli UE. Uznanie usługi za „bardzo dużą” następowało będzie na podstawie decyzji Komisji Europejskiej.
Takie podmioty mają być zobowiązane do tego aby co najmniej raz w roku dokonać oceny ryzyka związanego z:
możliwością rozpowszechniania nielegalnych treści za ich pośrednictwem,
negatywnych aspektach ich działalności dla wolności obywatelskich, prawa do swobody wypowiedzi albo np. łamania praw dzieci,
możliwością celowego wykorzystania platformy w celach, które mają negatywne konsekwencje społeczne, zdrowotne lub związane z bezpieczeństwem publicznym.
Platformy będą również zobowiązane do przyjęcia środków, które pozwolą na zminimalizowanie wykrytych ryzyk, np. w zakresie modyfikacji regulaminów, sposobów moderacji itp.
Tego rodzaju platformy powinny również poddawać się niezależnym audytom lub publikować dodatkowe informacje dotyczące reklam, zamieszczanych w ramach takich platform (i umożliwiać pobieranie ich przez API).
Bardzo duże platformy będą również zmuszone do wdrożenia dodatkowych mechanizmów w zakresie compliance.
11. Digital Services Coordinator
Rozporządzenie wprowadza także instytucję tzw. Digital Services Coordinatorów, czyli podmiotów, które odpowiadają za weryfikację przestrzegania przepisów tego aktu prawnego w każdym z państw członkowskich. Są one wyznaczane bezpośrednio przez takie państwa.
Digital Services Coordinator będzie miał dostęp m.in. do informacji o tym w jaki sposób rozpoznawane są skargi składane do platform internetowych. Co więcej, będzie mógł poznać treść decyzji dotyczących blokowania określonych treści. Może też żądać wyjaśnień i danych np. od bardzo dużych platform online albo ułatwiać działania niezależnym badaczom, którzy weryfikują sposób funkcjonowania platform online.
Podsumowanie
Pisząc ten artykuł bazowałem na aktualnym projekcie rozporządzenia, który może jeszcze ulec zmianie. Niezależnie od tego, widać że zmian jest mnóstwo, a ja opisałem tylko najważniejsze z nich. Nie ma co ukrywać tego, że działalność online będzie działalnością regulowaną - możemy tylko mieć nadzieję, że taka regulacja okaże się wystarczająca, a na przestrzeni kilku lat po jej wejściu, platformy dostosują się do tych wymogów. Mam też nadzieję, że prace nad przepisami nie potrwają zbyt długo - nie byłoby dobrze gdyby regulacja nie odpowiadała realiom biznesowym już w momencie jej przyjęcia.
Interesuje Cię tematyka Digital Services Act? Masz jakieś dodatkowe pytania? Jeśli tak, możesz się ze mną skontaktować przez formularz kontaktowy na www.bytelaw.pl albo napisać na kontakt@bytelaw.pl.
#dsa #digitalservicesact #aktouslugachcyfrowych #platformyonline #hosting