Z dniem 17 lutego 2024 roku weszły w życie postanowienia Rozporządzenia Parlamentu Europejskiego i Rady 2022/2065 w sprawie jednolitego rynku usług cyfrowych (Digital Services Act – DSA). Akt ten, zwany niekiedy, nieco na wyrost, „konstytucją internetu” – wprowadza liczne nowe obowiązki dla podmiotów, świadczących określone usługi cyfrowe. Poniżej prezentujemy krótkie podsumowanie – do kogo skierowanie jest DSA i co z niego wynika.

Kogo dotyczy rozporządzenie?

DSA odnosi się wyłącznie do wycinka usług świadczonych online – jakim są tzw. usługi pośrednie, obejmujące: „zwykły przekaz” (mere conduit), caching oraz hosting

Usługa zwykłego przekazu polega na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej.

Usługa cachingu polega na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmującej automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców.

Usługa hostingu polega na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie.

Dostawcami usług pośrednich w rozumieniu Rozporządzenia będą więc w szczególności:

• operatorzy sieci komórkowych (np. T-Mobile, Orange, Play),
• portale społecznościowe (Facebook, X),
• wyszukiwarki internetowe (Google, Bing, Yahoo).
• podmioty świadczące usługi „chmurowe”.
• podmioty świadczące usługi, w ramach których użytkownicy mogą publikować treści – jak np. komentarze, opinie, wpisy itd.

Co istotne, nie wszystkie nowe obowiązki dotyczą każdego z ww. podmiotów. Adresatem części z nich są bowiem tylko osoby świadczące określone usługi pośrednie, w tym zwłaszcza hosting – lub wręcz ich kategorie. Dotyczy to zwłaszcza tzw. „platform internetowych”, które rozumiane są na gruncie Rozporządzenia wąsko – jako usługi hostingu, w ramach których usługodawca na żądanie usługobiorcy przechowuje i rozpowszechnia publicznie informacje, chyba że takie działanie jest nieznaczną lub wyłącznie poboczną cechą innej usługi. Platformami internetowymi będą więc zwłaszcza wszelkie social media.

Nadto, zakres części obowiązków dostosowano do wielkości działalności dostawcy. Niektóre z nich nie dotyczą mikroprzedsiębiorstw i małych przedsiębiorstw. Jednocześnie, w przypadku tzw. „bardzo dużych platform internetowych” oraz „bardzo dużych wyszukiwarek internetowych” (które mają średnią liczbę miesięcznie aktywnych odbiorców usługi w Unii wynoszącą co najmniej 45 mln) – stosuje się wymogi kwalifikowane.

Czy DSA dotyczy stron typu „wizytówka” lub sklepów internetowych?

Objęcie stron typu „wizytówka” lub sklepu internetowego obowiązkami wynikającymi z DSA – jest uzależnione od zakresu funkcjonalności tych witryn, a konkretnie od tego, czy za ich pośrednictwem są świadczone usługi pośrednie. W tym zakresie konieczne będzie każdorazowo dokonanie indywidualnej weryfikacji.

W szczególności, powyższe witryny stosunkowo często umożliwiają użytkownikom publikowanie komentarzy lub opinii – co stanowi formę hostingu w rozumieniu DSA. Właściciele takich e-sklepów należy więc uznać za dostawców usług pośrednich. Jednocześnie, zważywszy na poboczny charakter wskazanej funkcjonalności, „wizytówka” lub e-sklep najczęściej nie będą „platformą internetową”. Jak wynika z dalszych punktów, obie te konstatacje mają daleko idące konsekwencje na gruncie DSA.

Obowiązki dostawców usług pośrednich

Obowiązki wynikające z DSA odnoszą się przede wszystkim do sposobu postępowania przez dostawców usług pośrednich z treściami przekazywani przez odbiorców. Należy przy tym podkreślić, że DSA nie nakłada na dostawców usług pośrednich ogólnego obowiązku monitorowania ww. informacji, ani aktywnego ustalania faktów lub okoliczności wskazujących na nielegalną działalność (zob. art. 8 DSA). W to miejsce, DSA obliguje do:

1. wyznaczenia punktu kontaktowego, umożliwiającego szybką komunikację drogą elektroniczną – która nie może opierać się wyłącznie na zautomatyzowanych narzędziach. Stworzenie „bota” kontaktowego nie będzie tutaj więc wystarczające.
2. informowania w warunkach korzystania z usług o wszelkich ograniczeniach, które dostawca nakłada w związku z korzystaniem z ich usług, w odniesieniu do informacji przekazywanych przez odbiorców usługi. Dotyczy to wszelkich polityk, procedur, środków i narzędzi wykorzystywanych na potrzeby moderowania treści, w tym na temat algorytmicznego podejmowania decyzji i przeglądu dokonywanego przez człowieka, a także na temat regulaminu wewnętrznego systemu rozpatrywania skarg
3. wdrożenia mechanizmów, umożliwiających dokonywanie zgłoszeń treści nielegalnych w danej usłudze – które powinny być łatwo dostępne i przyjazne dla użytkownika oraz muszą pozwalać na dokonywanie zgłoszeń wyłącznie drogą elektroniczną.
4. informowania wszystkich zainteresowanych, wraz z przedstawieniem uzasadnienia, o uznaniu treści za nielegalne lub niezgodne z warunkami korzystania z usług dostawcy – i nałożeniu ograniczeń, takich jak: a) usunięcie, ograniczenia w zakresie widoczności lub depozycjonowanie treści, b) zawieszenie, zakończenie lub inne ograniczenie płatności pieniężnych, c) zawieszenie lub zakończenie świadczenia usługi w całości lub w części lub d) zawieszenie lub zamknięcie konta odbiorcy usługi.
5. podjęcia działań przeciwko nielegalnym treściom lub udzielenia określonych informacji – na podstawie nakazu wydanego przez odpowiednie krajowe organy sądowe lub administracyjne Państwa Członkowskiego UE.
6. Informowania organów ścigania lub organów sądowych o podejrzeniu, że popełniono, popełnia się lub może dojść do popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu osoby lub osób.

W przypadku dostawców usług pośrednich, którzy nie są mikro- lub małymi przedsiębiorstwami, a także dostawców usług pośrednich, będących bardzo dużymi platformami internetowymi (niezależnie od tego, czy są mikro- lub małymi przedsiębiorstwami) – DSA wprowadza dodatkowo obowiązki:

1. udostępnienia skutecznego wewnętrznego systemu rozpatrywania skarg, który umożliwia odbiorcom usług elektroniczne i bezpłatne wnoszenie skarg na decyzję podjętą przez dostawcę platformy internetowej, przez okres co najmniej sześciu miesięcy od podjęcia owej decyzji – w szczególności w kwestiach: a) usunięcia, ograniczenia w zakresie widoczności lub depozycjonowania treści, b) zawieszenia, zakończenia lub innego ograniczenia płatności pieniężnych, c) zawieszenia lub zakończenia świadczenia usługi w całości lub w części lub d) zawieszenia lub zamknięcia konta odbiorcy usługi. Skargi powinny być rozpatrywane w sposób terminowy, niedyskryminujący, obiektywny i niearbitralny. DSA zobowiązuje przy tym, aby decyzje były podejmowane pod nadzorem odpowiednio wykwalifikowanego personelu, a nie tylko na podstawie zautomatyzowanych środków. Skarżących należy bez zbędnej zwłoki powiadomić o treści decyzji z uzasadnieniem.
2. informowania odbiorców usług o możliwości korzystania z pozasądowego rozstrzygania sporów w celu rozstrzygnięcia sporów dotyczących decyzji podejmowanych przez dostawcę lub które nie zostały rozstrzygnięte w ramach wewnętrznego systemu rozpatrywania skarg
3. publikowania raz w roku sprawozdania dotyczącego wszelkiego moderowania treści w danym okresie. Zakres sprawozdań różni się zależnie od rodzaju świadczonej usługi (jest szerszy w przypadku platform internetowych) – i powinien obejmować zasadniczo działania podejmowanie w wykonaniu obowiązków z DSA, w tym m.in.: a) liczbę nakazów otrzymanych od organów państw członkowskich, b) liczbę zgłoszeń treści nielegalnych, c) informację o moderowaniu treści dokonanym z własnej inicjatywy dostawców, d) liczbę skarg otrzymanych za pośrednictwem wewnętrznych systemów rozpatrywania skarg oraz e) wszelkie przypadki wykorzystania zautomatyzowanych środków do celów moderowania treści.

Dodatkowe obowiązki platform internetowych

Na dostawcach usług platform internetowych spoczywają wszelkie obowiązki, odnoszące się do dostawców usług pośrednich (opisane w poprzednim punkcie), a dodatkowo też obowiązki:

1. zapewnienia priorytetowego traktowania zgłoszeń treści bezprawnych, dokonywanych przez zaufane podmioty sygnalizujące, działające w wyznaczonych dziedzinach, w których dysponują wiedzą ekspercką. Status „zaufanego podmiotu sygnalizującego” ma być przyznawany przez właściwy organ danego Państwa Członkowskiego (koordynatora ds. usług cyfrowych).
2. zawieszania na rozsądny okres i po wydaniu uprzedniego ostrzeżenia świadczenia usług na rzecz odbiorców usługi często przekazujących oczywiście nielegalne treści. Dotyczy to także rozpatrywania zgłoszeń dokonanych za pośrednictwem właściwych mechanizmów oraz skarg wnoszonych za pośrednictwem wewnętrznych systemów rozpatrywania skarg.
3. publikacji sprawozdań rocznych o rozszerzonej treści – obejmującej m.in. liczbę sporów przekazanych do organów pozasądowego rozstrzygania sporów, a także liczbę przypadków zawieszenia świadczenia usług na rzecz określonych odbiorców.
4. zakaz projektowania interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje (tzw. dark patterns).
5. przedstawiania stosownej informacji dot. prezentowanych reklam – obejmującej zwłaszcza: a) wskazanie, że treść jest reklamą, b) określenie w czyim imieniu reklama jest prezentowana i kto za nią zapłacił, c) odesłanie do informacji na temat głównych parametrów wykorzystanych do określenia odbiorcy, któremu reklama jest prezentowana (tzw. zakaz reklamy ukrytej).
6. prezentowania w prostym i przystępnym języku głównych parametrów, stosowanych w systemach rekomendacji – obejmujących a) kryteria, które są najistotniejsze przy określaniu informacji sugerowanych odbiorcy usługi oraz b) powody względnego znaczenia tych parametrów.
7. wprowadzania odpowiednich i proporcjonalnych środków, aby zapewnić wysoki poziom prywatności, bezpieczeństwa i ochrony małoletnich w ramach świadczonych przez siebie usług

W przypadku dostawców platform internetowych, którzy nie są mikro- lub małymi przedsiębiorstwami, a także bardzo dużych platform internetowych (niezależnie od tego, czy są mikro- lub małymi przedsiębiorstwami), gdy platforma umożliwia konsumentom zawieranie z przedsiębiorcami umów na odległość – dostawca platformy ma też obowiązek:

1. weryfikacji tożsamości przedsiębiorcy poprzez zabranie określonych danych (wskazanych w art. 30 ust. 1 DSA), a także dokonanie sprawdzenia, czy są wiarygodne i pełne, w szczególności za pomocą oficjalnych internetowych baz danych lub interfejsów internetowych udostępnianych przez państwo członkowskie lub Unię.
2. zaprojektowanie i organizację swojego interfejsu internetowego w taki sposób, aby umożliwić przedsiębiorcom wypełnianie obowiązków dotyczących informacji przed zawarciem umowy, zgodności i informacji na temat bezpieczeństwa produktów, wynikających z mającego zastosowanie prawa Unii.
3. Informowania konsumentów o nielegalnym produkcie lub nielegalnej usłudze oferowanych przez przedsiębiorcę konsumentom znajdującym się w Unii za pośrednictwem jego usług. Informacja powinna obejmować wskazanie nielegalnego produktu lub usługi, tożsamość przedsiębiorcy oraz wskazanie środków odwoławczych.

Dodatkowe obowiązki bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych

DSA przewiduje szereg obowiązków, które odnoszą się wyłącznie do bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych – które mają średnią liczbę miesięcznie aktywnych odbiorców usługi w Unii wynoszącą co najmniej 45 mln i które zostały wskazane jako bardzo duże platformy internetowe zgodnie z DSA. Ilość tych podmiotów jest w praktyce mocno ograniczona, w związku z czym pominiemy tutaj szczegółowe omówienie odnośnych regulacji.

Dość wskazać, że ww. obowiązki odnoszą się w szczególności do: 1) sporządzania dodatkowych ocen ryzyka systemowego, związanego ze świadczoną usługą, 2) wprowadzania środków zmniejszających zidentyfikowane ryzyko, 3) wykonywania decyzji Komisji, zobowiązujących do podjęcia działań reagowania kryzysowego, 4) poddawania się raz do roku audytom na własny koszt, 5) publicznego udostępniania repozytorium, zawierającego informację o reklamach prezentowanych w ramach usługi (m.in. w zakresie treści reklam, wskazania osoby reklamodawcy a także osoby, której dotyczy reklama), 6) ustanowienia komórki nadzoru przestrzegania DSA, która jest niezależna od komórek operacyjnych dostawcy.

Jak przebiega implementacja DSA w polskim systemie prawnym?

DSA, jako rozporządzenie unijne, ma moc wiążącą w Polsce i stosuje się w sposób bezpośredni. Niezależnie od tego, z uwagi na zakres zmian, wejście w życie DSA skutkuje koniecznością nowelizacji szeregu krajowych aktów prawnych – w tym ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344 t.j.; dalej: uśude) oraz licznych przepisów sektorowych. Dotyczy to w szczególności art. 12-15 uśude (dot. zasad odpowiedzialności usługodawców za usługi świadczone drogą elektroniczną), a także przepisów publicznoprawnych, związanych zwłaszcza z podziałem kompetencji pomiędzy poszczególnymi organami.

Jak wynika z informacji publikowanych na witrynie Ministerstwa Cyfryzacji – zakończeniu uległy już konsultacje przepisów wprowadzających DSA (ze stosownym podsumowaniem można zapoznać się TUTAJ). Natomiast do tej pory nie opublikowano stosownego projektu ustawy. Szczegóły wdrożenia DSA pozostają więc na dziś nieznane.

Co należy zrobić?

Jeżeli jesteś przedsiębiorcą, który w ramach działalności świadczy prowadzi działalność przez internet, sugerujemy Ci przede wszystkim:

• dokonanie weryfikacji świadczonych usług cyfrowych – pod kątem możliwości uznania ich za usługi pośrednie lub też usługi platform internetowych. Ocena ta jest kluczowa i będzie determinować dalsze działania.
• przegląd regulaminów, polityk itd. – pod kątem konieczności ich aktualizacji, w szczególności w zakresie wdrożenia stosownych procedur.

W przypadku potrzeby udzielenia wsparcia w dokonaniu ww. czynności, zapraszamy do kontaktu.