Już za ok. 3 miesiące, 17 lutego 2024 r. wchodzi w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) – zwane powszechnie jako DSA (od akronimu Digital Services Act).
Nowe przepisy dotyczą podmiotów które ogólnie Rozporządzenie DSA określa jako dostawców usług pośrednich: zwykłego przekazu, cachingu lub hostingu. Są to przykładowo: platformy pośredniczące w sprzedaży towarów i usług przez publikację ogłoszeń, operatorzy usług hostingowych, a więc podmioty świadczące usługi przechowywania danych ale również ich przechowywania i przetwarzania w chmurze np. w ramach tzw. software as a services – a więc dostawcy niektórych aplikacji mobilnych, serwisy społecznościowe, potencjalnie sklepy internetowe działające w oparciu o społeczność i jej system rekomendacji, banki contentu, dostawcy internetu.
Celem nowych przepisów jest zasadniczo walka z nielegalnymi treściami w internecie (niezgodnymi z prawem krajowym i unijnym), ochrona przed dezinformacją, a także zapewnienie transparentności w zakresie reklam i rekomendacji.
Rozporządzenie DSA w dosyć mocny sposób różnicuje zakres obowiązków dla poszczególnych podmiotów do których jest kierowane, dokonując gradacji od mniejszych przedsiębiorców (mikro i małych wg. unijnej nomenklatury) do tych większych, a w szczególności do platform internetowych i wyszukiwarek internetowych mających co najmniej 45 mln aktywnych użytkowników miesięcznie. Wychodząc z założenia, że duże podmioty i tak sobie poradzą z implementacją nowego prawa skupię się na obowiązkach podmiotów małych (tzw. mikro i małych przedsiębiorstwach – zatrudniających do 50 osób i z rocznym obrotem/sumą bilansową do 10 mln euro).
Obowiązki dostawców usług pośrednich można scharakteryzować jako następujące:
- ustanawianie i aktualizowanie łatwo dostępnych tzw. punktów kontaktowych, umożliwiających bezpośrednią komunikację – drogą elektroniczną – z organami krajowymi i unijnymi, które stosować będą rozporządzenie DSA,
- ustanowienie i aktualizowanie łatwo dostępnego pojedynczego punktu kontaktowego dla odbiorcy usługi w celu stosowanie rozporządzenia DSA, z zastrzeżeniem że odbiorca usługi ma prawo do innej formy kontaktu niż zautomatyzowane narzędzie (zakaz kontaktu wyłącznie przez tzw. „chat boty” i inne automatyczne narzędzia),
- obowiązek stosowania nakazów podjęcia działań przeciwko nielegalnym treściom oraz nakazów udzielenia informacji, na żądanie odpowiednich organów stosujących rozporządzenie DSA,
- obowiązek ustanowienia przedstawiciela dla podmiotów spoza Unii Europejskiej,
- ustanowienie w regulaminach korzystania z usług informacji na temat wszelkich ograniczeń, które są nakładane w związku z korzystaniem z usług, w odniesieniu do informacji przekazywanych przez odbiorców usługi; informacje te muszą zawierać informacje na temat wszelkich polityk, procedur, środków i narzędzi wykorzystywanych na potrzeby moderowania treści, w tym na temat algorytmicznego podejmowania decyzji (potencjalnie wymagana zmiana stosowanego regulaminu),
- podawanie co najmniej raz w roku, do wiadomości publicznej raportu obejmującego m.in. informacje o incydentach związanych z nielegalnymi treściami (zgłaszanymi przez użytkowników i odpowiednie organy krajowe lub unijne), informacje o dokonywanych we własnym zakresie moderacjach treści, wszelkie przypadki wykorzystania zautomatyzowanych środków do celów moderowania treści oraz informacje o skargach użytkowników,
Dodatkowe obowiązki mają dostawcy usług hostingowych (przechowywanie informacji na żądanie użytkownika, a więc również często usług SaaS – aplikacje w chmurze obliczeniowej) i platformy internetowe (serwisy społecznościowe ale też platformy pośredniczące w sprzedaży towarów i usług przez publikację ogłoszeń czy też szerzej wszelkie platformy które przechowują i rozpowszechniają informacje na żądanie użytkownika, z wyłączeniem czynności pochodnych i nieznacznych):
- wdrożenie mechanizmów umożliwiających dowolnej osobie zgłaszanie nielegalnych treści, przy czym taki mechanizm musi być: łatwo dostępny, elektroniczny, przyjazny użytkownikowi, powinien być również skonstruowany w taki sposób, aby ułatwić zgłaszanie precyzyjnych i uzasadnionych zgłoszeń (w mojej opinii kontakt mailowy nie wystarczy, konieczny będzie np. mechanizm zaszyty w aplikacji lub stronie internetowej który pozwala kategoryzować zgłoszenia, uzasadniać je i załączać pliki jako dowody), przy czym dostawca usługi hostingowej lub platforma internetowa są zobowiązane przesłać niezwłocznie potwierdzenia otrzymania zgłoszenia,
- zgłaszanie uzasadnionych podejrzeń popełnienia przestępstw zagrażających życiu lub bezpieczeństwu osób,
- należyte uzasadnianie i komunikowanie zainteresowanym stronom decyzji co do czynności podjętych wobec treści uznanych za nielegalne,
Kolejne obowiązki obciążają operatorów platform internetowych jak wyżej, przy czym większość z nich nie dotyczy mikro i małych przedsiębiorców (chyba, że chodzi o bardzo duże platformy handlowe – posiadające aktywnych co najmniej 45 mln użytkowników miesięcznie), tych dotyczy następujący, raczej mało obciążający, obowiązek:
- przekazywanie na żądanie uprawnionego organu informacji średniej liczby aktywnych miesięcznie odbiorców usługi w Unii Europejskiej, obliczonej jako średnia liczba w okresie poprzednich sześciu miesięcy
Co istotne Rozporządzenie DSA nie nakłada obowiązku stałego monitorowania treści, które są przechowywane lub przekazywane przez dostawców usług pośrednich.
Co do sklepów internetowych to zasadniczo Rozporządzenie DSA nie powinno ich obciążać obowiązkami, chyba że z jakichś powodów można sklep internetowy poczytywać, za dostawcę usług pośrednich np. sklepu internetowego którego model biznesowy oparty jest o budowanie wokół sklepu sieci społecznościowej np. z systemem rekomendacji lub sklep internetowy z jakichś powodów przechowuje dane użytkownika na jego żądanie.
