DSA czyli o akcie o usługach cyfrowych słów kilka…

Z dniem 16 listopada 2022 r. wszedł w życie akt o usługach cyfrowych (DSA; Digital Services Act) nazywany przez niektórych „nowym RODO” lub „RODO dla Internetu”. W wielkim skrócie jest to przełomowy zbiór nowych przepisów unijnych mających za zadanie zapewnić bezpieczniejsze i bardziej rozliczalne środowisko internetowe. 

Kogo dotyczy? 

Akt o usługach cyfrowych dotyczy, w myśl art. 2 ust. 1, usług pośrednich świadczonych odbiorcom usługi mającym siedzibę lub zamieszkałym w Unii, niezależnie od siedziby dostawców tych usług. Przez usługi pośrednie należy rozumieć niektóre usługi społeczeństwa informacyjnego w rozumieniu dyrektywy 2015/15351, tj. usług normalnie świadczonych za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy.  

DSA pod pojęciem „usługa pośrednia” wskazuje jedną z następujących usług społeczeństwa informacyjnego:  

(i) usługę „zwykłego przekazu” (mere conduit) polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej; Chodzi tu więc o przedsiębiorstwa telekomunikacyjne i dostawców Internetu. 

(ii) usługę „cachingu” polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmującą automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców;  

(iii) usługę „hostingu” polegającą na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie; Zalicza się do nich serwisy społecznościowe, platformy handlowe, rezerwacyjne. 

Należy wskazać, iż w ramach dostawców hostingu DSA rozróżnia także kategorie „Platformy internetowej”, która na żądanie odbiorcy usługi przechowuje i rozpowszechnia publicznie informacje, chyba że takie działanie jest nieznaczną i wyłącznie poboczną funkcją innej usługi oraz „Bardzo dużej platformy internetowej”, która świadczy usługi na rzecz średniej liczby aktywnych odbiorców usługi w Unii miesięcznie wynoszącej co najmniej 45 mln osób. Za takie należy uznać podmioty należące do Big Tech (np. Facebook, Amazon, Google). 

Charakterystyczną cechą DSA jest kaskadowe i proporcjonalne określenie obowiązków dostawców usług pośrednich. Obowiązki poszczególnych podmiotów działających w internecie odpowiadają ich roli, wielkości oraz wpływowi, jaki mają w ekosystemie internetowym. 

Na tzn. hostingodawcach poza obowiązkami, które ciążą na dostawcach usług pośrednich, ciążą dodatkowe obowiązki. Następne ciążą na “Platformach”. Najwięcej obowiązków z kolei spoczywa na “Bardzo dużych platformach”. DSA wprowadza generalną zasadę, że to dostawca usług pośrednich odpowiada za treści, które przesyła, przechowuje lub rozpowszechnia, chyba że zachodzą wymienione w DSA przesłanki wyłączające ich odpowiedzialność, odmienne dla usługi zwykłego przekazu, cachingu i hostingu.  

Główne założenia DSA 

Akt o usługach cyfrowych zapewnia nowe możliwości ochrony użytkowników, a przedsiębiorstwom gwarantuje pewność prawa na całym jednolitym rynku. Przepisy DSA obejmują nowe obowiązki w zakresie: 

  • ograniczania rozpowszechniania nielegalnych treści i nielegalnych produktów w internecie, 
  • usprawnienie mechanizmów usuwania nielegalnych treści,  
  • zwiększenia ochrony małoletnich, 
  • zapewnienia użytkownikom większego wyboru i lepszych informacji, 
  • skuteczna ochrona praw podstawowych użytkowników w internecie, w tym wolności słowa, 
  • silniejszy nadzór publiczny nad platformami internetowymi, w szczególności w odniesieniu do platform, które docierają do ponad 10 % ludności UE. 

Sekcja I rozdziału III DSA określa “Obowiązki mające zastosowanie do wszystkich dostawców usług pośrednich”. Wśród nich znajdują się obowiązki takie jak:  

  • wyznaczenie pojedynczego punktu kontaktowego umożliwiającego bezpośrednią komunikację – drogą elektroniczną – z organami państw członkowskich, Komisją i Radą Usług Cyfrowych, o której mowa w art. 61, na potrzeby stosowania DSA, 
  • wyznaczenie pojedynczego punktu kontaktowego umożliwiającego odbiorcom usługi bezpośrednią i szybką komunikację drogą elektroniczną i w sposób przyjazny dla użytkownika, w tym poprzez umożliwienie odbiorcom usługi wyboru środków komunikacji, które nie mogą opierać się wyłącznie na zautomatyzowanych narzędziach, 
  • w przypadku dostawców usług pośrednich, którzy nie mają siedziby w Unii, ale oferują usługi w Unii – wyznaczenie na piśmie osoby prawnej lub fizycznej do działania w charakterze ich przedstawiciela prawnego w jednym z państw członkowskich, w których dostawca oferuje swoje usługi, 
  • uwzględnienie w warunkach korzystania z usług dostawcy usług pośrednich informacji na temat wszelkich ograniczeń, które nakładają w związku z korzystaniem z ich usług, w odniesieniu do informacji przekazywanych przez odbiorców usługi w sposób prosty, zrozumiały, przyjazny dla użytkownika i jednoznaczny oraz podaje do wiadomości publicznej w łatwo dostępnym i nadającym się do odczytu maszynowego formacie, 
  • w przypadku usługi skierowanej do małoletnich lub gdy korzystają z niej w głównej mierze małoletni, wyjaśnienie warunków i ograniczeń korzystania z tej usługi w sposób zrozumiały dla małoletnich, 
  • co najmniej raz w roku podanie do wiadomości publicznej sprawozdania dotyczącego wszelkiego moderowania treści, dokonanego w danym okresie w formacie nadającym się do odczytu maszynowego oraz w łatwo dostępny sposób jasne, łatwo zrozumiałe. 

DSA a RODO 

  • Moderowanie treści i rozpatrywanie zgłoszeń nielegalnych treści 

Jednym z zasadniczych obowiązków dostawców usług pośrednich nałożonych przez DSA jest moderowanie treści oraz rozpatrywanie zgłoszeń nielegalnych treści. 

Przez „moderowanie treści” rozumie się działania, bez względu na to czy są one zautomatyzowane, podejmowane przez dostawców usług pośrednich, których celem jest, w szczególności, wykrywanie, identyfikowanie i zwalczanie nielegalnych treści lub informacji niezgodnych z warunkami korzystania z ich usług, przekazywanych przez odbiorców usługi, w tym wdrażane środki, które wpływają na dostępność, widoczność i osiągalność takich nielegalnych treści lub informacji, takie jak depozycjonowanie takich treści lub informacji, demonetyzacja, uniemożliwienie dostępu do nich lub ich usunięcie, lub które wpływają na możliwość przekazywania takich informacji przez odbiorców usługi, takie jak zamknięcie lub zawieszenie konta odbiorcy (art. 2 lit. t DSA). 

DSA przewiduje moderowanie treści oraz rozpatrywanie zgłoszeń nielegalnych treści za pomocą zautomatyzowanych środków. Na tę okoliczność jednak przewidziane zostały dodatkowe obowiązki informacyjne, m.in.: 

– obowiązek wskazania w uzasadnieniu wybranych decyzji (np. o ograniczeniu widoczności treści, usunięciu treści, zawieszeniu lub zakończeniu płatności pieniężnych na rzecz odbiorcy przekazującego treści, zawieszeniu lub zamknięciu konta odbiorcy) informacji na temat korzystania ze zautomatyzowanych środków podczas podejmowania decyzji (obowiązek ten dotyczy tylko dostawców usług hostingu; art. 17 ust. 1 i 3 DSA). 

Jaki ma to związek z RODO? Otóż, jeśli decyzje w przedmiocie ograniczenia widoczności treści dostępnych publicznie, ich usunięcia lub uniemożliwienia dostępu do nich czy też decyzje dotyczące zawieszenia/zakończenia płatności pieniężnych na rzecz odbiorcy przekazującego treści czy decyzje o zawieszeniu/zamknięciu konta są podejmowane w sposób całkowicie zautomatyzowany, to niezbędne jest zbadanie czy nie podlegają one ograniczeniom i obowiązkom określonym w art. 22 RODO. 

Z punktu widzenia ochrony danych osobowych, decyzje o zawieszeniu/zakończeniu płatności na rzecz odbiorcy bądź o zawieszeniu/zamknięciu konta można by uznać za decyzje wywołujące wobec odbiorcy skutki prawne lub w podobny sposób istotnie na niego wpływające. To z kolei implikuje obowiązek spełnienia wymogów z art. 22 RODO, w tym określenie podstawy prawnej podejmowania całkowicie zautomatyzowanych decyzji, przekazanie informacji określonych w art. 13 ust. 2 lit. f RODO lub art. 14 ust. 2 lit. g RODO, a także zapewnienie realizacji praw określonych w art. 22 ust. 3 RODO. 

Co więcej, w przypadku osób fizycznych zgłaszających nielegalne treści niezbędne będzie spełnienie wszystkich wymagań RODO w odniesieniu do przetwarzania danych osobowych. 

  • Profilowanie w celach reklamowych 

Nadto, jak wynika z art. 26 ust. 3 DSA dostawcy platform internetowych (np. serwisów społecznościowych) nie mogą prezentować użytkownikom reklam opartych na profilowaniu w rozumieniu art. 4 pkt 4 RODO z wykorzystaniem szczególnych kategorii danych, o których mowa w art. 9 ust. 1 RODO.  Rozwiązanie to z pewnością przyczyni się do skuteczniejszej ochrony prywatności użytkowników platform internetowych. 

Co również istotne, dostawcy platform internetowych, którzy prezentują reklamy w swoich interfejsach internetowych, mają obowiązek oznaczyć reklamę za pomocą widocznych oznaczeń oraz przekazać odbiorcom informacje dotyczących: 

– w imieniu jakiej osoby fizycznej lub prawnej jest prezentowana reklama;  

– jaka osoba fizyczna lub prawna zapłaciła za reklamę;  

– na temat głównych parametrów wykorzystanych do określenia odbiorcy, któremu reklama jest prezentowana i, w stosownych przypadkach, sposobu zmiany tych parametrów. 

Parametry wykorzystywane do określenia odbiorcy mogą mieć związek z przetwarzaniem danych osobowych odbiorcy, np. zainteresowania odbiorcy określone na podstawie wyszukiwanych przez niego treści. W takim przypadku niezbędne będzie spełnienie obowiązków zarówno z DSA, jak i z RODO (w tym obowiązku informacyjnego), a przedstawiane odbiorcom usług informacje powinny być zharmonizowane. 

  • Przejrzystość systemów rekomendacji 

DSA zawiera także obowiązki dotyczące systemów rekomendacji tj. zgodnie z definicją w art. 2 lit. s DSA, w pełni lub częściowo zautomatyzowanych systemów wykorzystywanych przez platformy internetowe w celu sugerowania odbiorcom usługi w ich interfejsach internetowych konkretnych informacji i nadawania im priorytetu, w tym na skutek wyszukiwania wykonanego przez odbiorcę usługi lub w inny sposób determinującego względną kolejność lub eksponowanie pokazywanych informacji. Upraszczając, są systemy decydujące o kolejności wyświetlanych informacji oraz o ewentualnym ich wyróżnianiu.  

Dostawcy bardzo dużych platform internetowych, którzy korzystają z systemów rekomendacji, będą musieli określić w swoich warunkach korzystania z usług główne parametry stosowane w systemach rekomendacji, a także wszelkie opcje modyfikacji tych parametrów przez odbiorców usługi lub wpływu na nie. W głównych parametrach, o których mowa w ust. 1, wyjaśnia się, dlaczego niektóre informacje są sugerowane odbiorcy usługi. Obejmują one co najmniej kryteria, które są najistotniejsze przy określaniu informacji sugerowanych odbiorcy usługi oraz powody względnego znaczenia tych parametrów (art. 27 ust. 1 i 2 DSA). Jeśli wśród ww. kryteriów znajdą się dane osobowe, np. informacje o zainteresowaniach odbiorcy, wówczas niezbędne będzie spełnienie obowiązków wynikających z RODO w tym zakresie (m.in. obowiązku informacyjnego), a także zachowanie spójności między informacjami przedstawianymi odbiorcom na podstawie DSA a RODO. 

Warto dodać, że dostawcy bardzo dużych platform internetowych korzystający z systemów rekomendacji i bardzo dużych wyszukiwarek internetowych, którzy korzystają z systemów rekomendacji, zapewniają co najmniej jedną opcję dla każdego ze swoich systemów rekomendacji, która nie jest oparta na profilowaniu zgodnie z definicją w art. 4 pkt 4 RODO (art. 38 DSA). 

  • Zakaz profilowania małoletnich w celach reklamowych 

Dostawcy platform internetowych nie mogą prezentować na swoim interfejsie reklam opartych na profilowaniu zgodnie z definicją w art. 4 pkt 4 rozporządzenia (UE) 2016/679 z wykorzystaniem danych osobowych odbiorcy usługi, jeżeli wiedzą z wystarczającą pewnością, że odbiorca usługi jest małoletni (art. 28 ust. 2 DSA). 

Co istotne, dostawcy platform internetowych nie będą musieli zbierać dodatkowych danych osobowych w celu oceny, czy odbiorca usługi jest małoletni (art. 28 ust. 3 DSA). 

Powyższy zakaz stanowi wyraz obowiązku dostawców platform internetowych zapewnienia wysokiego poziomu prywatności, bezpieczeństwa i ochrony małoletnich w ramach świadczonych przez tych dostawców usług (art. 28 ust. 1 DSA). 


1 Dyrektywa (UE) 2015/1535 Parlamentu Europejskiego i Rady z dnia 9 września 2015 r. ustanawiająca procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz.U. L 241 z 17.09.2015, s. 1).