Co i dla kogo zmienia akt o usługach cyfrowych?
Począwszy od 17 lutego 2024 r., na terenie Unii Europejskiej stosuje się Akt o usługach cyfrowych („AUC”) przyjęty 4 października 2022 r. To ważna regulacja, która koncentruje się na wzmocnieniu bezpieczeństwa w środowisku internetowym i ochronie praw podstawowych w tym środowisku. Poniżej piszę o tym, co z niej wynika i dla kogo. Zaczynając od odpowiedzi na pytanie: czy AUC musi przestrzegać każdy, kto korzysta z internetu?
Artykuł ukazał się w kwietniowym wydaniu magazynu CRN, nr 4/2024, autorem jest radca prawny Piotr Grzelczak. Zapraszamy do lektury!
Otóż AUC dotyka praktycznie każdej osoby czy podmiotu, które są aktywne w internecie. Z tym, że nie każdego w taki sam sposób. Generalnie można tutaj wskazać trzy kategorie podmiotów, z których pierwszymi są „szeregowi” użytkownicy (konsumenci treści lub klienci serwisów internetowych), którzy zyskali dzięki AUC nowe uprawnienia i narzędzia. Druga grupa to przedsiębiorcy wykorzystujący internet jako kanał sprzedaży swoich produktów (czy usług), którzy zostali pośrednio objęci dodatkowymi obowiązkami w zakresie transparentności. Kategorię trzecią stanowią podmioty oferujące usługi pośrednie osobom fizycznym lub prawnym (odbiorcom usług), i tejże właśnie kategorii AUC przede wszystkim dotyczy.
Aby zrozumieć, kto może być uznany za podmiot oferujący usługi pośrednie, należy sięgnąć do definicji tych usług. Obejmują one: zwykły przekaz, czyli zapewnienie dostępu do sieci telekomunikacyjnej lub transmisję informacji przekazanych przez odbiorcę usługi poprzez taką sieć, caching czyli transmisję informacji w sieci plus krótkotrwałe przechowywanie celem usprawnienia późniejszych transmisji; wreszcie hosting, czyli przechowywanie informacji przekazanych przez odbiorcę usługi i na jego żądanie.
Tylko powyższe usługi podlegają regulacji przez AUC. Przepisów nie stosuje się do innego rodzaju usług i to nawet wówczas, jeśli są one świadczone przy pomocy usług pośrednich. W praktyce chodzi więc o usługi, które stanowią „kręgosłup” funkcjonowania internetu. Przykładowo, jeśli prowadzimy sklep internetowy w klasycznej formie, to co do zasady nie będziemy uznani za dostawcę usług pośrednich w przeciwieństwie do podmiotu, który zapewnia hosting naszego sklepu.
Trzeba jednak zawsze przyjrzeć się dokładnie zakresowi funkcjonalności naszego serwisu, bo jeśli okaże się, że jest tam funkcja umożliwiająca przechowywanie informacji przekazanych przez odbiorcę usługi i na jego żądanie (np. sekcja „opinii o produkcie”, umożliwiająca swobodne dodawanie komentarzy), wówczas możemy wejść w zakres hostingu.
Obowiązki dostawców usług pośrednich
Kolejne kluczowe pytanie w kontekście AUC brzmi: czy wszyscy dostawcy usług pośrednich mają takie same obowiązki? Okazuje się, że to, jaki konkretnie zakres obowiązków będzie ciążył na konkretnym dostawcy usług pośrednich, będzie zależeć w pierwszym rzędzie od wielkości tego podmiotu. W skrócie można powiedzieć, że AUC dotknie przede wszystkim średnich i dużych przedsiębiorców (mikro i mali przedsiębiorcy będą zwolnieni z większości obowiązków), przy czym w przypadku największych graczy – bardzo dużych platform internetowych (VLOP-y) oraz bardzo dużych wyszukiwarek (VLOSE-y) wprowadzono dodatkowe, wzmocnione regulacje. Ponadto, istotny jest także dokładny zakres prowadzonej działalności. W przypadku usług hostingu (w tym platform internetowych) katalog obowiązków jest szerszy niż dla pozostałych usług pośrednich.
Przechodząc do meritum: wszyscy dostawcy usług pośrednich powinni ustanowić właściwe kanały komunikacji z organami publicznymi oraz odbiorcami usług, tzw. pojedyncze punkty kontaktowe. Co istotne, odbiorcom usług należy zapewnić możliwość korzystania ze środków komunikacji zakładających możliwość kontaktu z człowiekiem (tj. punkt kontaktowy nie może zostać zorganizowany wyłącznie z udziałem botów). Kolejny wymóg dotyczy zapewnienia, że warunki korzystania z usług (regulaminy) będą uwzględniać informacje o ograniczeniach nakładanych w związku z korzystaniem z takich usług (należy tutaj zawrzeć m.in. informacje dotyczące procedur i środków stosowanych w celu moderowania treści). Do obowiązków dostawców usług pośrednich należy ponadto „realizacja obowiązków sprawozdawczych” (nie rzadziej niż raz w roku).
Dostawcy hostingu: dodatkowe obowiązki
Niezależnie od ogólnych obowiązków wskazanych powyżej, przed dostawcami usług hostingu postawiono dodatkowo trzy następujące wymogi: powinni wdrożyć mechanizmy umożliwiające dowolnej osobie zgłoszenie im obecności w ich usłudze określonych informacji, które dana osoba uważa za treści nielegalne; powinni uzasadniać odbiorcom usług decyzje w zakresie nałożenia na nich ograniczeń w związku z zamieszczeniem w serwisie nielegalnych treści lub treści niezgodnych z warunkami usługi (takich jak ograniczenie widoczności informacji, zawieszenie, zakończenie lub inne ograniczenie płatności pieniężnych, zawieszenie lub zakończenie świadczenia usług, zawieszenie lub zamknięcie konta odbiorcy usługi). Wymóg trzeci nakłada na nich obowiązek informowania organów ściągania w przypadku powzięcia podejrzenia, że popełniono, popełnia się lub może dojść do popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu osoby.
Z kolei dostawcy platform internetowych, tj. serwisów hostingowych, gdzie usługa klasycznego hostingu jest połączona z możliwością publicznego rozpowszechniania informacji na żądanie odbiorcy usługi, powinni dodatkowo – niezależnie od obowiązków obejmujących wszystkich hostingodawców – spełnić szereg kolejnych wymogów, począwszy od „zapewnienia odbiorcom usługi dostępu do wewnętrznego systemu rozpoznawania skarg na decyzje dotyczące usunięcia lub uniemożliwienia dostępu do informacji lub ograniczenia ich widoczności, zawieszenia lub zakończenia świadczenia usługi, zawieszenia lub zamknięcia konta oraz zwieszenia, zakończenia lub ograniczenia w inny sposób możliwości monetyzacji informacji; rozpoznawanie skarg nie może następować w sposób całkowicie zautomatyzowany – proces powinien być poddany nadzorowi odpowiednio wykwalifikowanego personelu dostawcy platformy internetowej”.
Dostawcy platform internetowych dodatkowo powinni udostępnić w swoich serwisach informacje o możliwości skorzystania przez odbiorców usługi z pozasądowego rozstrzygania sporów, jak też przestrzegać zakazu stosowania tzw. dark patterns, czyli projektowania, organizowania lub obsługiwania interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców usługi do podejmowania wolnych i świadomych decyzji.
Warto podkreślić, że jeśli na platformach internetowych prezentowane są reklamy, należy po pierwsze zapewnić odbiorcom możliwość ustalenia – w stosunku do każdej konkretnej, prezentowanej indywidualnie reklamy i w czasie rzeczywistym – że mają do czynienia z reklamą, w czyim imieniu jest prezentowana i kto za nią płaci, jak również jakie główne parametry zostały wykorzystane do określenia, że ta konkretna reklama została zaprezentowana temu odbiorcy. Po drugie, należy przestrzegać zakazu prezentowania reklam opartych na profilowaniu z wykorzystaniem danych osobowych odbiorcy usługi, przy czym w przypadku małoletnich jest to zakaz całkowity, a w przypadku osób dorosłych jest to zakaz częściowy, gdzie zabronione jest wykorzystanie danych szczególnych kategorii w rozumieniu RODO (w tym danych dotyczących zdrowia, przekonań religijnych czy światopoglądowych).
I wreszcie, jeśli platformy umożliwiają konsumentom zawieranie z przedsiębiorcami umów na odległość, dostawcy platform powinni uzależnić dostęp przedsiębiorców do tych platform od przedstawienia przez nich szeregu informacji, w tym danych idetyfikacyjnych i rejestrowych, rachunku bankowego oraz oświadczenie przedsiębiorcy co do zgodności oferowanych przez niego produktów lub usług z przepisami. Niektóre z tych informacji dostawcy platform powinni ponadto aktywnie zweryfikować korzystając z oficjalnie dostępnych baz danych lub interfejsów
internetowych lub zwracając się do przedsiębiorcy z prośbą o przedstawienie dokumentów.
Czym są VLOP-y i VLOSE-y?
VLOP oznacza bardzo dużą platformę internetową (very large online platform), zaś VLOSE – bardzo dużą wyszukiwarkę (very large online search engine). Podmioty te, z uwagi na ryzyko systemowe, jakie generują, obwarowano najdalej idącymi regulacjami. Niemniej, kategoria ta jest dość wąska, bo kryteria, jakie muszą być spełnione, aby uzyskać status VLOP lub VLOSE są ustawione wysoko (konieczne jest posiadanie co najmniej 45 milionów aktywnych użytkowników miesięcznie i formalne przyznanie statusu VLOP/VLOSE przez Komisję Europejską). W zasadzie chodzi tutaj więc jedynie o największych graczy, takich jak TikTok, YouTube, X (Twitter) czy LinkedIn.
VLOP’y i VLOSE’y mają następujące dodatkowe obowiązki: dokonywanie regularnej analizy ryzyka i wdrażanie środków mitygujących to ryzyko; współpraca z Komisją Europejską i koordynatorami usług cyfrowych, w tym współpraca w sytuacjach kryzysowych i wykonywanie wydanych w tym zakresie decyzji; regularne poddawanie się niezależnym audytom; specjalne wymogi dotyczące stosowanych systemów rekomendacji; specjalne wymogi dotyczące transparentności w zakresie reklam internetowych; ustanowienie wewnątrz swojej organizacji komórki nadzoru ws. monitorowania zgodności działalności z AUC; dodatkowe wymogi w zakresie publikacji sprawozdań; a także, last but not least – wnoszenie rocznych opłat nadzorczych.
Artykuł dostępny także na stronie wydawcy magazynu CRN – TUTAJ. Całe wydanie magazynu dostępne pod linkiem TUTAJ.
Materiał prasowy: radca prawny Piotr Grzelczak.
fot. Piotr Grzelczak, Kancelaria Prawna GFP_Legal Wrocław
#DSA #AUC #AktoUsługachCyfrowych #DostawcaHostingu #Hostingodawcy #IT #Hositng #Caching #PolishLawOffice #PolishLawyer #ITLawyerPoland #LawFirmPoland #PrawnikITWrocław #RODOPrawnikWrocław #CRN #GFPLegal #KancelariaPrawnaWrocław #KancelariaPrawnaGFPLegal #RadcaPrawnyWrocław