Usługi cyfrowe świadczone na rzecz konsumentów transgranicznie przez długi czas nie mogły doczekać się zwartej i kompleksowej regulacji prawnej. Wkrótce wchodzi w życia rozporządzenie określane jako akt o usługach cyfrowych (ang. Digital Services Act), którego zadaniem ma być wypełnienie tej luki i zapewnienie zgodności prawnej na terenie całej Wspólnoty. Przyglądamy się zakresowi nowej regulacji. Kogo ona dotyczy i co tak naprawdę zmienia?
W jakim celu opracowano DSA?
Przyczyn wdrożenia rozporządzenia DSA jest wiele. Jak wskazuje unijny ustawodawca, ma ono na celu przede wszystkim:
- zunifikowanie zasad świadczenia usług cyfrowych;
- zapewnienie przejrzystość w zakresie treści reklamowych umieszczanych w sieci oraz wyeliminowanie wybranych rodzajów ogłoszeń;
- wzmocnienie pozycji osób domagających się ochrony w związku z nadużyciami w Internecie;
- uproszczenie dochodzenia swoich praw poprzez nowe mechanizmy reklamacyjne.
Kogo dotyczy rozporządzenie o usługach cyfrowych?
Nowe przepisy mają zastosowanie do dostawców usług pośrednich. Pod tym pojęciem rozumie się podmioty, które realizują przynajmniej jedną z następujących usług:
- zwykły przekaz, czyli transmisję w sieci telekomunikacyjnej informacji przekazanych przez dostawcę usługi lub na samym zapewnieniu dostępu do sieci telekomunikacyjnej;
- caching, czyli transmisję informacji przekazanych przez odbiorcę usługi obejmujących automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji w celu jej powtórnej retransmisji na żądanie odbiorcy;
- hosting, rozumiany jako przechowywanie informacji przekazanych przez odbiorcę oraz na jego żądanie.
Wszystkie powyższe usługi są świadczone na indywidualne żądanie odbiorcy, za wynagrodzeniem oraz na odległość z wykorzystaniem drogi elektronicznej i zbiorczo określa się je, jako usługi społeczeństwa informacyjnego. Obowiązkami wynikającymi z DSA są objęci także przedsiębiorcy udostępniający platformy internetowe.
Jednocześnie unijny ustawodawca wprowadził dodatkowe obowiązki nakładając je na podmioty działające na szczególnie dużą skalę, kwalifikowane jako VLOP (ang. Very Large Online Platform) oraz VLOSE (ang. Very Large Online Search Engines). Pod tymi pojęciami rozumie się platformy, których liczba użytkowników sięga lub przekracza 10% całkowitej liczby ludności Unii Europejskiej. Przykładem VLOP jest np. LinkedIn, Google Play czy Twitter. Z kolei jako VLOSE zaklasyfikowano wyszukiwarkę Google oraz Bing.
Co istotne, mając na względzie potencjalne trudności związane z wdrożeniem DSA, mikro- i małe przedsiębiorstwa zostaną zwolnione z części obowiązków. Taryfa ulgowa dotyczy firm, które zatrudniają maksymalnie 50 pracowników lub ich bilans roczny nie przekracza 10 milionów euro (granica dla małego przedsiębiorcy).
Definicja usługi pośredniej jest dosyć hermetyczna. Jak w takim razie wygląda zakres obowiązywania DSA w praktyce? Obejmuje ono m.in. internetowe platformy handlowe, serwisy streamingowe, internetowe biura podróży, platformy społecznościowe oraz sklepy z aplikacjami.
Dla objęcia zakresem obowiązywania DSA decydującego nie ma znaczenia siedziba dostawcy usług pośrednich. Wystarczy sam fakt, że treści są udostępniane w przynajmniej jednym państwie członkowskim, a więc trafiają na teren Unii Europejskiej pod warunkiem, że dostawca usługi ma ścisły związek z Unią. Ten ścisły związek może oznaczać siedzibę w państwie UE, ale także ukierunkowanie przekazu na jeden lub większą liczbę krajów członkowskich.
Jakie obowiązki dla przedsiębiorców wiążą się z wejściem w życie DSA?
Wejście w życie rozporządzenia DSA nakłada na dostawców usług pośrednich cały szereg nowych obowiązków. Warto wskazać, że zakres tych powinności jest uzależniony od rodzaju usług, jakie są świadczone, a przecież może być ich więcej, niż jedna. O jakich obowiązkach mowa? Jest to np.:
- wyznaczenie punktu kontaktowego umożliwiającego bezpośrednią komunikację z właściwymi organami państw członkowskich, Komisją i Radą;
- wyznaczenie przedstawiciela prawnego w jednym z państw UE, jeżeli dostawca nie ma siedziby w UE, ale dostarczają na jej terytorium usługi;
- sprecyzowanie w udostępnianym regulaminie ograniczeń związanych z korzystaniem ze świadczonych usług;
- coroczna publikacja raportów dotyczących moderacji treści;
- zaimplementowanie mechanizmu pozwalającego na zgłoszenie przez użytkownika treści uznanych za nielegalne;
- wprowadzenie wewnętrznego systemu rozpatrywania skarg;
- wprowadzenie mechanizmu pozwalającego na zawieszenie użytkowników regularnie publikujących nielegalne treści;
- zapewnienie transparentności publikowanych reklam.
Jakie dodatkowe obowiązki dla VLOP oraz VLOSE przewiduje rozporządzenie DSA?
Oznaczenie dostawy jako VLOP lub VLOSE wiąże się z koniecznością spełnienia dodatkowych obowiązków, które nie znajdują zastosowania w przypadku mniejszych podmiotów. Należy do nich zaliczyć m.in.:
- przeprowadzanie identyfikacji, analizy oraz oceny ryzyka funkcjonowania swoich usług i powiązanych z nią systemów;
- podejmowanie rozsądnych, proporcjonalnych i skutecznych działań ograniczających ryzyko;
- wprowadzenie mechanizmów reagowania kryzysowego;
- poddanie się raz w roku niezależnemu audytowi realizowanemu na własny koszt;
- prowadzenie repozytorium wyświetlanych reklam;
- zapewnienie dostępu do danych niezbędnych do monitorowania zgodności z rozporządzeniem na żądanie koordynatora ds. usług cyfrowych.
Oczywiście niezależnie od obowiązków „specjalnych”, platformy zakwalifikowane jako VLOP lub VLOSE muszą spełnić wymagania ogólne. Warto wspomnieć, że w przypadku tych największych dostawców czas na wdrożenie stosownych rozwiązań jest krótki i wynosi 4 miesiące od daty przyznania im określonego statusu.
Czy rozporządzenie DSA zwiększa odpowiedzialność dostawców usług pośrednich?
Dostawcy usług pośrednich mogą zostać pociągnięci do odpowiedzialności za umieszczanie przez użytkowników treści uznanych za nielegalne. Wprawdzie istnieje możliwość zwolnienia się od odpowiedzialności, ale niezbędne jest wykazanie do tego dwóch przesłanek.
Przede wszystkim dostawca musi udowodnić, że pomimo dołożenia należytej staranności nie wiedział o umieszczeniu w serwisie treści nielegalnych. Drugim warunkiem jest wdrożenie procedury określanej, jako notice and takedown, czyli usunięcie treści, a przynajmniej uniemożliwienie dostępu do niej innym osobom.
Jakie kary obowiązują w przypadku naruszenia DSA?
Sankcje wskazane w art. 42 rozporządzenia są na tyle surowe, że powinny skłonić większość przedsiębiorców do przeprowadzenia audytu pod kątem zgodności z nowymi przepisami.
- maksymalna wysokość kar za dane uchybienie może sięgnąć 6% rocznego przychodu lub obrotu dostawcy usług pośrednich;
- sankcja za udzielenie nieprawdziwych informacji, nieudzielenie wyjaśnień albo uchylanie się od kontroli wynosi 1% rocznego przychodu lub obrotu dostawcy usług pośrednich;
- kary okresowe nie mogą przekroczyć 5% średniego dziennego obrotu w poprzednim roku obrotowym w ujęciu rok do roku.
Jako ciekawostkę można wskazać, że w 2023 roku przychody spółki Meta Platforms (odpowiedzialnej m.in. za platformę Facebook) wyniosły 32 miliardy dolarów, co dobrze obrazuje skalę potencjalnych kar.
W jaki sposób stosuje się rozporządzenie DSA?
Warto pamiętać, że akt prawny DSA jest rozporządzeniem co oznacza, że stosuje się je bezpośrednio na terytorium całej Wspólnoty i wszystkich państw członkowskich. Nie ma potrzeby jej implementacji do krajowego porządku prawnego, a podmioty, które muszą stosować przepisy DSA, a także sądy, mogą robić to bezpośrednio.
Kiedy przepisy DSA weszły w życie?
Akt o usługach cyfrowych (DSA) zaczął w pełni obowiązywać 17 lutego 2024 roku. Kancelaria Linke Kulicki oferuje kompleksowe wsparcie w zakresie zapewnienia zgodności warunków prowadzonej działalności z aktualną regulacją. Nasz zespół przeprowadzi audyt przedsiębiorstwa, opracuje niezbędną dokumentację i zasugeruje zmiany, a w razie potrzeby przeprowadzi również szkolenia dla pracowników.