top of page
laptop na biurku

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

Szukaj
  • Zdjęcie autoraMichał Nosowski
    • 8 sty

Dostawca usługi chmurowej, hosting i DSA, czyli jak spełnić wymogi wynikające z aktu o usługach cyfrowych

Zaktualizowano: 8 lut


układ elektroniczny

Akt o usługach cyfrowych został okrzyknięty w mediach „Konstytucją Internetu”. Nie bez przyczyny. DSA (Digital Services Act, czyli właśnie akt o usługach cyfrowych) jest bowiem unijną regulacją, która dotyczy bardzo wielu różnych usługodawców, działających w sieci. Nie tylko największych międzynarodowych koncernów (tzw. VLOPów – bardzo dużych platform internetowych).

 

Celem istnienia DSA jest takie uregulowanie działalności w sieci, tak aby środowisko internetowe było „bezpieczne, przewidywalne i budzące zaufanie”. Głównym adresatem obowiązków wynikających z DSA są tzw. „dostawcy usług pośrednich”. DSA stosuje się bezpośrednio, a więc nie jest konieczna dodatkowa jego implementacja w prawie polskim.

 

W związku z tym uregulowania obejmą również te podmioty, które świadczą usługi hostingowe oraz chmurowe.

 

Zgodnie z DSA usługą hostingową jest usługa, która „polega na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie”.

 

Jeżeli więc jest firma (przedsiębiorca), która:

  • świadczy swoje usługi na rzecz użytkowników (odbiorców usług, którymi mogą być zarówno konsumenci, przedsiębiorcy albo organizacje),

  • te usługi obejmują przechowywanie informacji na rzecz użytkownika, który z takiej usługi korzysta,

to taka firma podlega pod regulacje DSA dotyczące usług hostingowych.

 

W praktyce to obejmuje bardzo wiele różnych usług, takich jak:

  1. udostępnianie infrastruktury serwerowej, serwerów wirtualnych itp.,

  2. umożliwianie hostingu stron internetowych, poczty elektronicznej,

  3. świadczenie usług chmurowych, w ramach których użytkownik może zapisywać jakieś informacje w chmurze – to bardzo szeroka kategoria usług chmurowych.


W skład takich usług chmurowych mogą wchodzić różne rozwiązania - wszystkie będą traktowane z perspektywy DSA jako "hosting". Są to na przykład:

  • proste usługi przechowywania danych,

  • usługa, która umożliwia wgrywanie i edycję zdjęć, obrazów, filmów,

  • oprogramowanie w chmurze, które umożliwia tworzenie dokumentów księgowych albo podpisywanie umów,

  • przechowywanie kodu źródłowego oprogramowania i jego wersjonowanie

  • tworzenie kopii zapasowych online,

  • usługi, które umożliwiają przesyłanie informacji w chmurze (komunikatory) i późniejsze odczytywanie treści wiadomości, w sytuacji gdy treść korespondencji jest przechowywana w chmurze (w praktyce większość współczesnych komunikatorów online działa w ten sposób),

  • udostępnianie infrastruktury chmurowej, w ramach której użytkownik może samodzielnie instalować różne narzędzia, tworzyć swoje rozwiązania itp.

Charakter danych, które są zamieszczane w ramach usługi przez użytkownika, nie ma większego znaczenia – nie muszą być to dane osobowe albo informacje poufne. Ważne jest to, że przechowujemy je w ramach naszej infrastruktury serwerowej/chmurowej.

 

Nie ma też znaczenia to czy dostawca usługi rzeczywiście odczytuje te informacje – ważne jest po prostu to, że świadczy usługę polegającą na przechowywaniu tych informacji.

 

Co jeśli korzystam z usług zewnętrznego dostawcy usługi chmurowej i moje rozwiązanie chmurowe, które udostępniam klientom, jest tak naprawdę uruchomione w ramach infrastruktury jakiegoś wielkiego dostawcy typu AWS albo Azure?

 

Nadal jesteś dostawcą usługi chmurowej.w rozumieniu DSA – jeżeli pomiędzy Twoim klientem a Tobą jest relacja, w ramach której umożliwiasz klientowi zamieszczanie czegoś w chmurze, to jesteś usługodawcą zgodnie z przepisami aktu o usługach cyfrowych. To Ty bowiem świadczysz usługę na rzecz klienta, czyli jesteś tzw. dostawcą usługi pośredniej. To, że z technicznego punktu widzenia, informacje są zapisane w ramach infrastruktury należącej do kogoś innego, nie ma znaczenia.

 

Hostingodawcą nie są natomiast te platformy, które publikują swoje własne treści – np. platformy VOD albo portale informacyjne.



płytka z tranzystorami

 

Odpowiedzialność usługodawcy za treści zamieszczone przez użytkowników

 

Najpierw dobra wiadomość – Digital Services Act przewiduje, że dostawca usługi hostingowej/chmurowej (usługi pośredniej) generalnie nie odpowiada za to, co zamieszczają użytkownicy w jego infrastrukturze. Przynajmniej tak długo, jak nie ma świadomości, że jakaś treść narusza prawo.

 

Zwolnienie z odpowiedzialności występuje bowiem pod dwoma warunkami:

  • dostawca usługi nie ma wiedzy o nielegalnej działalności lub nielegalnych treściach, zamieszczonych przez użytkowników jego usługi,

  • w sytuacji gdy dostawca dowie się (np. z uwagi na zgłoszenia innych użytkowników) o takich nielegalnych treściach, musi podjąć bezzwłocznie kroki w celu usunięcia lub uniemożliwienia dostępu do nielegalnych treści.

 

Podsumowując, dostawcy usług hostingowych nie odpowiadają za nielegalne treści, zamieszczane przez użytkowników ich usług, o ile nie mają świadomości, że dana treść jest nielegalna. Jak ta świadomość się pojawi, to dostawca powinien usunąć treść albo uniemożliwić do niej dostęp (tzw. notice and take action).

 

Co to znaczy, że jakaś treść jest nielegalna?

 

DSA samo w sobie nie określa tego co jest legalne a co nie. Zamiast tego, każe badać to przez pryzmat prawa UE i prawa krajów członkowskich UE. Tym samym, w Polsce treściami nielegalnymi będą przykładowo treści:

  • których zamieszczenie jest przestępstwem – np. zawierające nawoływanie do ludobójstwa, propagowanie terroryzmu, prezentowanie treści pornograficznych bez zgody uwiecznionych osób, pomawiające lub znieważające jakąś osobę, propagujące ustrój totalitarny, nawołujący do nienawiści na tle rasowym, etnicznym, wyznaniowym albo narodowościowym itp.,

  • które naruszają dobra osobiste innych osób – np. dobre imię, cześć itp.,

  • które naruszają czyjeś prawa autorskie – np. stanowią utwór muzyczny, graficzny, wideo i są zamieszczane w Internecie przez osobę, która nie jest uprawniona przez autora do takiego działania,

  • które naruszają czyjeś prawa do wizerunku – np. stanowią rozpowszechnienie czyjegoś zdjęcia bez jego zgody.

 

Jest tego więc dość sporo. To czy treść jest legalna czy nie, nie musi być stwierdzone wyrokiem sądu.


 Na szczęście, dostawcy nie mają obowiązku aktywnego badania tego czy treści zamieszczane przez użytkowników naruszają prawo lub nie – powinni jedynie analizować naruszenia dokonane przez użytkowników i ew. inne osoby.

 

Oczywiście, dostawcy mogą to robić – tzn. dobrowolnie sprawdzać czy użytkownicy ich usług nie zamieszczają jakichś treści nielegalnych. Jeżeli dostawcy wykonują takie działania, nie zmienia to zakresu ich odpowiedzialności. Innymi słowy, nie jest ona rozszerzana z uwagi na dobrowolne działania dostawcy – jeśli dostawca aktywnie sprawdza czy treści nie są nielegalne, ale akurat określonej treści, która naruszała prawo, z jakichś powodów nie wykrył, to nie ponosi z tego tytułu dodatkowej odpowiedzialności.

 

Jak dostosować regulamin świadczenia usług do zgodności z DSA?

 

Przepisy DSA nakładają na dostawców usług cyfrowych konieczność wskazania w warunkach korzystania z usług informacji na temat ograniczeń, które są związane z korzystaniem z ich usług. Oznacza to, że dostawca usługi musi w regulaminie opisać to czego użytkownicy nie mogą robić. Może to obejmować np.:

  • zakaz zamieszczania w ramach usługi treści, które naruszają przepisy prawa,

  • zakaz zamieszczania treści, które naruszają prawa innych użytkowników, w tym ich dobre imię lub inne dobra osobiste,

  • zakaz zamieszczania treści naruszających prawa autorskie innych osób,

  • zakaz wykorzystania usług w celu rozsyłania treści stanowiących spam,

  • zakaz wykorzystania usług w celu tworzenia rozwiązań, które np. umożliwiają przełamywanie zabezpieczeń informatycznych lub popełnianie innych przestępstw (np. kradzieży tożsamości albo wyłudzenia środków finansowych).

 

Takie ograniczenia pojawiały się w regulaminach świadczenia usług już wcześniej. Teraz jednak, z uwagi na przepisy DSA, warto zadbać o to aby opis działań niedozwolonych był odpowiednio szczegółowy i precyzyjny.

 

Dodatkowo, dostawca powinien opisać to jakie działania prowadzi w celu moderowania treści (w tym aktywnego, czyli prowadzonego z własnej inicjatywy) – w tym wskazać jakie procedury w tym zakresie przyjął i jakie narzędzia wykorzystuje. Jeżeli takie działania prowadzone są w sposób zautomatyzowany, np. za pomocą algorytmów, które wykrywają czy jakieś treści naruszają czyjeś prawa autorskie, to o tym też trzeba poinformować użytkowników.

 

W warunkach korzystania z usług powinniśmy też opisać procedurę, wskazującą na to w jaki sposób rozpatrywane są skargi dotyczące świadczonych usług.

 

DSA wymaga bowiem aby opis ograniczeń był zrozumiały, prosty i jednoznaczny, tak aby wszystko było czytelne dla użytkownika. Takie informacje powinny więc znaleźć się w regulaminie świadczenia usług drogą elektroniczną albo innym dokumencie, regulującym prawa i obowiązki usługodawców oraz użytkowników. Dodatkowo, o jakiejkolwiek istotnej zmianie warunków korzystania z usługi, dostawca usługi online powinien poinformować użytkowników.


płytka elektroniczna

Zgłaszanie nielegalnych treści

 

Dostawcy usług hostingu muszą umożliwić osobom (nie tylko użytkownikom, ale wszystkim potencjalnie zainteresowanym) możliwość zgłaszania informacji o nielegalnych treściach, które są dostępne w ramach usługi. jeżeli więc użytkownik usługi zamieści treść, która jest nielegalna, to inna osoba musi mieć możliwość zgłoszenia tego do usługodawcy w formie elektronicznej. Mechanizm komunikacji powinien być przyjazny użytkownikom i łatwo dostępny.

 

Dodatkowo, taki mechanizm powinien być skonstruowany tak aby umożliwić dokonywanie odpowiednio precyzyjnych i uzasadnionych zgłoszeń. Oznacza to, że powinien on umożliwiać i ułatwiać osobie dokonującej zgłoszenia zawarcie w nim wszystkich poniższych elementów:

  • wyjaśnienie (uzasadnienie) powodów, dla których osoba dokonująca zgłoszenia uznaje, że dana treść ma charakter nielegalny,

  • wskazanie dokładnego miejsca, w którym dana treść jest zamieszczona, w tym przez dodanie adresu url,

  • imienia i nazwiska lub nazwy oraz adresu e-mail osoby dokonującej zgłoszenia,

  • oświadczenia zgłaszającego, potwierdzającego, że zarzuty przedstawione w treści zgłoszenia są prawdziwe.

W praktyce taka możliwość dokonywania zgłoszeń może być udostępniona przez dostawcę w ramach specjalnego formularza, zawierającego odpowiednie pola do wypełnienia.

 

Co zrobić ze zgłoszeniem?

 

Jeżeli dostawca usługi cyfrowej otrzyma zgłoszenie dotyczące nielegalnej treści, powinien zweryfikować czy jest ono zasadne. Innymi słowy, musi sprawdzić czy zgłoszenie ma sens. DSA wskazuje, że dostawca, analizując takie zgłoszenie:

  • powinien działać z należyta starannością,

  • nie jest zobowiązany do dokonywania szczegółowej analizy prawnej.

 

Jeżeli taka weryfikacja okoliczności potwierdzi, że jakaś treść narusza prawo, dostawca musi coś z nią zrobić. DSA przewiduje możliwość podjęcia różnych działań przez dostawcę usługi, w tym:

  • usuwania treści,

  • uniemożliwiania dostępu do treści,

  • depozycjonowania treści.

Dodatkowo, DSA wskazuje na to, że dostawca może podjąć też działania bezpośrednio w stosunku do osoby dokonującej naruszenia, takie jak:

  • zawieszenie, zakończenie lub inne ograniczenie płatności pieniężnych;

  • zawieszenie lub zakończenie świadczenia usługi w całości lub w części;

  • zawieszenie lub zamknięcie konta odbiorcy usługi.

Co ważne, takie same działania dostawca może podjąć w sytuacji, gdy jakieś zgłoszenie nie jest niezgodne z prawem, ale narusza regulamin świadczenia usługi.

 

Jeżeli dostawca usługi otrzyma zawiadomienie i:

  • nie podejmie jakichkolwiek działań w tym zakresie, albo

  • błędnie uzna, że dana treść nie narusza prawa, pomimo iż przy zachowaniu należytej staranności powinien uznać, że jest ona nielegalna,

dostawca będzie ponosić odpowiedzialność za udostępnianie takiej treści w ramach swojej usługi. W takim przypadku nie chroni go bowiem już wyłączenie odpowiedzialności, o którym pisałem wcześniej.


Niezależnie od tego jaką decyzję podejmie dostawca usługi, powinien o niej poinformować osobę, która dokonała zgłoszenia. Dodatkowo, niezależnie od decyzji, powinna ona być poinformowana również o samym przyjęciu zgłoszenia, niezwłocznie po tym jak dostawca otrzyma zgłoszenie.

 

DSA nie przewiduje żadnego szczegółowego terminu na rozpatrywanie zgłoszeń użytkowników. Wskazuje jedynie, że powinno być do dokonywane terminowo i bez zbędnej zwłoki.

 

Jeżeli dostawca usługi podejmuje decyzję o uznaniu jakiejś treści za niezgodną z prawem, powinien ją odpowiednio uzasadnić. Takie uzasadnienie musi zawierać:

  • wskazanie, czy decyzja obejmuje usunięcie informacji, uniemożliwienie dostępu do nich lub depozycjonowanie albo czy zastosowano jakiś inny środek dotyczący nielegalnej informacji albo użytkownika, który ją zamieścił,

  • przytoczenie faktów i okoliczności, na podstawie których podjęto decyzję,

  • wskazanie podstawy prawnej, na której opiera się decyzja dotycząca uznania jakiejś treści za nielegalne, oraz wyjaśnienia, dlaczego uznaje się dane treści za nielegalne,

  • jeżeli decyzja opiera się na niezgodności informacji z warunkami korzystania z usług dostawcy usługi, wskazanie podstawy umownej, na której opiera się decyzja, oraz wyjaśnienia dotyczące powodów, dla których uznaje się dane informacje za niezgodne z tą podstawą,

  • jasne i przyjazne dla użytkownika informacje na temat przysługujących odbiorcy usługi możliwości odwołania się od decyzji.

 

Dodatkowo, jeśli decyzja została podjęta przez AI/automatyczne algorytmy weryfikujące czy doszło do naruszenia prawa lub regulaminu, należy o tym również napisać w uzasadnieniu.

 

Oczywiście dostawcy muszą prowadzić działania przeciwko nielegalnym treściom, jeśli zażąda od nich tego uprawniony organ państwowy, taki jak sąd albo prokurator. Na analogicznych zasadach dostawca musi udostępnić informacje na temat użytkownika, jeśli organ państwowy tego zażąda. Tu dostawca weryfikuje tylko spełnienie wymogów formalnych dot. żądania – innymi słowy, jeśli spełnia ono wymogi wynikające z DSA, to dostawca po prostu robi to co sąd mu każe.

 

Jest jeszcze jeden obowiązek nałożony na dostawców – jeżeli otrzymują informację o tym, że w związku z ich usługami doszło albo może dojść do popełnienia przestępstwa, które skutkuje zagrożeniem dla życia lub zdrowia osób, musi o tym poinformować organy ścigania.

 

Obowiązki sprawozdawcze

 

Na dostawców usług cyfrowych nałożono też obowiązki sprawozdawcze. Powinni oni co najmniej raz w roku opublikować informacje i statystyki dotyczące moderowania treści – np. ile otrzymali zgłoszeń dotyczących nielegalności jakichś treści, czas rozpatrywania zgłoszeń, jakie działania podjęto w odpowiedzi na zgłoszenia itp.


Na tych samych zasadach, dostawcy powinni informować ile otrzymali żądań dotyczących usunięcia jakichś treści od organów państwowych albo poinformowania tych organów o danych użytkownika, który jakąś treść zamieścił.


Obowiązek ten nie dotyczy mikroprzedsiębiorców i małych przedsiębiorców.

 

Punkty kontaktowe

 

Dostawca usługi cyfrowej musi wyznaczyć dwa punkty kontaktowe, które umożliwią kontakt z nim w sprawach związanych ze świadczonymi usługami.


Te punkty to:

  • punkt kontaktowy umożliwiający kontakt drogą elektroniczną przez organy państw członkowskich UE (np. prokuraturę lub policję), Komisję Europejską albo Radę Usług Cyfrowych (specjalny organ, utworzony na podstawie DSA),

  • punkt kontaktowy umożliwiający kontakt z dostawcą przez użytkowników usługi. Ten punkt powinien umożliwiać kontakt drogą elektroniczną, w szybki i przyjazny dla użytkownika sposób. Co więcej, działanie takiego punktu nie może opierać się wyłącznie na zautomatyzowanych systemach. Tym samym, użytkownik powinien mieć możliwość dokonania zgłoszenia w taki sposób, aby z jego treścią zapoznał się człowiek.

 

W praktyce taki punkt kontaktowy może być:

  • adresem e-mail,

  • czatem umożliwiającym przesyłanie informacji,

  • formularzem kontaktowym.

 

Informacje o punkcie kontaktowym powinny być łatwo dostępne dla użytkowników – możemy je zamieścić np. na stronie internetowej usługodawcy.

 

Do kiedy to wszystko trzeba wdrożyć?

 

Hostingodawcy i dostawcy usług chmurowych powinni dostosować się do wymogów wynikających z aktu o usługach cyfrowych do 17 lutego 2024 r. To wtedy bowiem większość przepisów DSA zacznie być stosowane.


Powiedzmy sobie szczerze – usługodawcy mają do wykonania kilka zadań, ale jeśli dotąd mieli rzetelnie napisane regulaminy i działające kanały komunikacji z klientami, nie muszą obawiać się rewolucji – kilka działań dostosowujących powinno wystarczyć do zapewnienia zgodności. Oczywiście potem czeka nas praca bieżąca, czyli rozpatrywanie i odpowiadanie na ewentualne zgłoszenia.


Jeśli chcesz dowiedzieć się więcej na temat rozporządzenia DSA, kliknij w ten link: Digital services act czyli akt o usługach cyfrowych.

 

Zastanawiasz się w jaki sposób dostosować swoją organizację do wymogów aktu o usługach cyfrowych? Jeżeli masz jakieś wątpliwości, pytania lub potrzebujesz innej pomocy, skontaktuj się z nami. Możesz to zrobić, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego na www.bytelaw.pl.



michał nosowski

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page