Akt o usługach cyfrowych zwany „Konstytucją Internetu” wchodzi w życie!

Digital Services Act ma zastosowanie do usług pośrednich oferowanych usługobiorcom mającym siedzibę lub znajdującym się w UE, niezależnie od miejsca siedziby usługodawcy. Przepisy Aktu o usługach cyfrowych dotyczą̨ przede wszystkim dostawców usług pośrednich i platform internetowych, w tym platformy sprzedażowe, portale społecznościowe, platformy wymiany treści, sklepy z aplikacjami czy też internetowe platformy turystyczne i noclegowe.

Zmiany, które należy wdrożyć odnoszą się do wielu aspektów działalności, w tym zmian w dokumentacji umownej, przyjęcia stosownych procesów wewnętrznych czy nawet samego sposobu projektowania interfejsów internetowych.

DSA nie wpływa w ten sam sposób na wszystkich dostawców – zakres zobowiązań zależy od rodzaju i skali prowadzonej działalności. Określenie jakie zobowiązania ciążą na pośredniku, wymaga w pierwszej kolejności określenia kategorii świadczonych usług.

DSA ma zastosowanie do wszystkich usług pośrednich, które według definicji w DSA oznaczają:

• usługę „zwykłego przekazu” polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej;
• usługę „cachingu” polegającą na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmującą automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców;
• usługę „hostingu” polegającą na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie; dla kwalifikacji danej usługi jako hostingu nie ma znaczenia, że jest ona świadczona nieodpłatnie i ma charakter usługi pobocznej.

Poza zakresem DSA znajdują się dostawcy usług internetowych, którzy działają w modelu dostawcy treści, a więc decydują o udostępnieniu określonych treści w Internecie, a nie tylko pośredniczą w dostępie do cudzych treści umieszczanych przez inne podmioty (przykład: portale informacyjne).

Szczególną kategorię dostawców usług hostingu stanowią platformy internetowe, które nie tylko przechowują cudze dane, lecz również rozpowszechniają publicznie te treści.

Zgodnie z definicją na gruncie projektu Aktu o usługach cyfrowych platformę internetową należy rozumieć jako „dostawcę usługi hostingu, który na żądanie odbiorcy usługi przechowuje i rozpowszechnia publicznie informacje, chyba że takie działanie jest nieznaczną i wyłącznie poboczną funkcją innej usługi, i ze względów obiektywnych i technicznych nie można go wykorzystać bez takiej innej usługi, a włączenie takiej funkcji w taką inną usługę nie jest sposobem na obejście stosowania niniejszego rozporządzenia”.

Usługa „platformy internetowej” musi mieć charakter usługi społeczeństwa informacyjnego, co przesądza o braku stosowania się przepisów AUC do tych usług pośrednictwa, które częściowo wymagają korzystania z Internetu, ale jednocześnie są nierozerwalnie związane z innymi usługami świadczonymi offline (przykład: usługa przewozowa).

Każda usługa platformy internetowej jest równocześnie usługą hostingu, a więc usługą polegającą na przechowywaniu, na żądanie usługobiorcy, cudzych treści. Dostawców usług hostingu nie należy uznawać za platformy internetowe, w przypadku, gdy publiczne rozpowszechnianie jest zaledwie nieznaczną i wyłącznie poboczną funkcją innej usługi, której to funkcji z obiektywnych względów technicznych nie można wykorzystywać bez tej innej głównej usługi, a włączenie takiej funkcji nie jest sposobem na obejście stosowania przepisów rozporządzenia DSA mających zastosowanie do platform internetowych. Jako przykład takiej sytuacji wskazano internetowe wydanie gazety, w ramach której wydzielona jest sekcja gazety internetowej przeznaczona na komentarze i w przypadku której jest oczywiste, że ma ona charakter poboczny w stosunku do głównej usługi, jaką jest publikowanie wiadomości, za które odpowiedzialność redakcyjną ponosi wydawca.

Zastosowanie poszczególnych obowiązków określonych w DSA zależne jest od wielkości danej platformy internetowej (zasada proporcjonalności). Mając na względzie to kryterium, platformy internetowe można podzielić na cztery podstawowe kategorie:

• dostawcy wszystkich rodzajów usług pośrednich (“zwykłego przekazu”);
• dostawcy usług hostingu;
• dostawcy platform internetowych;
• dostawcy bardzo dużych platform internetowych.

W świetle powyższych uwag spoczywające na dostawcach usług obowiązki określone przepisami projektu AUC przedstawić można jako pewnego rodzaju piramidę. Zasadą jest, iż każdy kolejny poziom (kategoria) dostawców usług pośrednich musi spełniać obowiązki określone dla poziomów “niższych”, jak również obowiązki określone dla swojej kategorii dostawców usług.

źródło: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-services-act_en

Dostawcy usług “zwykłego przekazu” pozostają więc adresatami najmniejszej grupy obowiązków określonych w DSA. Zakres ich zobowiązań dotyczy w szczególności następujących obszarów:

1. wyznaczenie punktu kontaktowego umożliwiającego komunikację z regulatorem lub użytkownikami usług,
2. wyznaczenie przedstawiciela,
3. odpowiednie określenie warunków świadczenia usług w ramach regulaminu,
4. obowiązki sprawozdawcze. 

Dostawcy usług hostingu posiadają obowiązki zbieżne dostawcami usług “zwykłego przekazu”, a także obowiązki dodatkowe wymienione poniżej:

1. opracowanie i stosowanie procedury moderowania treści online, określonej w DSA jako “mechanizm zgłaszania i działania”,
2. obowiązek zawiadomienia o popełnieniu przestępstwa.

Poza powyższymi, dostawcy usług platformy internetowej muszą, o ile nie są mikro lub małym przedsiębiorstwem, dodatkowo spełnić między innymi następujące obowiązki:

1. wprowadzić rozwiązania umożliwiające zgłaszanie nielegalnych treści,
   tzw. sygnalistom,
2. przestrzegać zakazu dark patterns,
3. stosować się do wymogów związanych z reklamą internetową,
4. stosować się do zasad dotyczących systemów rekomendacji.

DSA wprowadza dodatkowe, w stosunku do ustawy o świadczeniu usług drogą elektroniczną, kategorie informacji, które należy wskazać w regulaminie. Udostępnić należy w szczególności informacje w temacie wszelkich ograniczeń, które dostawca usług pośrednich nakłada w związku z korzystaniem z jego usług, a także informacje na temat wszelkich środków stosowanych przez dostawcę w celu moderacji treści, w tym ich usuwania.

Regulacja DSA wymaga odstąpienie od specjalistycznego słownictwa oraz formułowania warunków w sposób jednoznaczny i przyjazny dla użytkownika, a także podanie warunków do publicznej wiadomości (przykład: ujawnienie na ogólnodostępnej stronie internetowej).

Co istotne, w mocy pozostają przepisy ustawy określające zasady udostępniania oraz obowiązkową treść regulaminu świadczenia usług.

„Dark patterns” tłumaczy się jako „ciemne wzorce”, „zwodnicze interfejsy”. Jest to sposób projektowania interfejsów użytkownika platform internetowych, mający na celu zniekształcenie lub ograniczenie zdolności odbiorców usługi do dokonywania niezależnych i świadomych wyborów, lub decyzji. Wykorzystywane są w celu nakłonienia odbiorców usługi do niepożądanych zachowań lub decyzji, mających dla nich negatywne skutki. Może to polegać na podstępnym projektowaniu interfejsu strony w celu nakłonienia odbiorców usługi do działań, które przynoszą korzyści dostawcy, lecz które mogą nie leżeć w interesie odbiorców usługi, prezentowanie wyborów w sposób nieneutralny, w tym na przykład wyraźniej eksponując wizualnie lub dźwiękowo opcje niekorzystne dla odbiorcy.

Choć zakaz stosowania „dark patterns” formalnie będzie obowiązywać od 17 lutego 2024 r., nie oznacza to, że wcześniej podmioty stosujące tego typu praktyki były bezkarne. Tego rodzaju działania wobec konsumentów mogą stanowić nieuczciwe praktyki rynkowe, naruszające zbiorowe interesy konsumentów

- mówi Wojciech Janik, Radca prawny, Senior Managing Associate.

Dowodem na to są kary nakładane przez UOKiK w przeszłości, wskazując na następujące przykłady “zwodniczych interfejsów”, w tym:

• drip pricing, tj. dodawanie na późnym etapie zamówienia niezapowiedzianych obowiązkowych kosztów,
• dezinformowanie użytkownika,
• stosowanie podstępnych praktyk sprzedażowych, jak słabo widoczne przyciski odmowny skorzystania z oferty (po to, aby sprawić wrażenie, że użytkownik musi z niej skorzystać),
• ukrywanie lub utrudnianie możliwości anulowania subskrypcji lub usunięcia konta w serwisie,
• podawanie informacji w sposób, który wprowadza w błąd co do rzeczywistych kosztów lub konsekwencji związanych z podjęciem określonego działania,
• automatyczne dodanie do koszyka dodatkowego produktu (np. ubezpieczenia),
• domyślnie zaznaczone zgody (np. na przetwarzanie danych w celach marketingowych),
• wielokrotne zwracanie się do użytkownika o dokonanie wyboru, jeżeli takiego wyboru już dokonano.

Dostawcy usług hostingu czy platform internetowych zostali zobowiązani wdrożyć mechanizmy umożliwiające dowolnej osobie lub dowolnemu podmiotowi zgłoszenie obecności w świadczonej usłudze określonych informacji, które dana osoba lub dany podmiot uważają za nielegalne treści.

Możliwość zgłoszenia musi być równie łatwa co dostępność usługi, a ponadto musi być przyjazna dla użytkownika oraz musi pozwalać na dokonywanie zgłoszeń wyłącznie drogą elektroniczną.

Poprzez treści nielegalne rozumiemy zaś informacje, które same w sobie lub przez odniesienie do działania, w tym sprzedaży produktów lub świadczenia usług, nie są zgodne z prawem Unii lub z prawem jakiegokolwiek państwa członkowskiego, które jest zgodne z prawem Unii, niezależnie od konkretnego przedmiotu lub charakteru tego prawa (art 3 h DSA).

Dostawcy usług hostingu pozostają zobowiązani do rozpatrywania wszystkich zgłoszeń oraz podejmowania decyzji w odniesieniu do informacji, których dotyczą zgłoszenia, w sposób terminowy, niearbitralny, obiektywny oraz z zachowaniem należytej staranności. Dostawca winien jest powiadomić osobę zgłaszającą o swojej decyzji bez zbędnej zwłoki, przekazując informacje o możliwości odwołania. Dostawcy zobowiązani są także do jasnego i konkretnego uzasadnienia decyzji, przy czym obowiązek ten nie dotyczy sytuacji, gdy zgłoszenie bezprawnych treści nie zostało uwzględnione.

Dostawcy platform internetowych zapewniają ponadto odbiorcom usługi dostęp do skutecznego wewnętrznego systemu rozpatrywania skarg, który umożliwia im elektroniczne i bezpłatne wnoszenie skarg na decyzje podjętą przez dostawcę platformy po otrzymaniu zgłoszenia. Odbiorcy usług posiadają zaś prawo do wyboru dowolnego organu pozasądowego rozstrzygania sporów certyfikowanego zgodnie z przepisami DSA, co pozostaje bez uszczerbku dla uprawnienia odbiorców do wszczęcia na każdym etapie postępowania sądowego celem zaskarżenia decyzji dostawcy.

DSA ustanawia dodatkowe wymogi realizujące zasadę przejrzystości w odniesieniu do reklamy internetowej. Polegają one na zobowiązaniu platform internetowych do zapewnienia użytkownikom określonych zindywidualizowanych informacji niezbędnych do zrozumienia, kiedy i w czyim imieniu wyświetlana jest reklama. Ponadto odbiorcy usługi powinni dysponować informacjami na temat głównych parametrów wykorzystywanych do określenia, czy dane reklamy powinny być im wyświetlane, stanowiących zrozumiałe wyjaśnienie stojącej za tym logiki, również w przypadku, gdy reklamy są wyświetlane na podstawie profilowania.

Platformy internetowe będą musiały przekazywać w czasie rzeczywistym, w odniesieniu do poszczególnych reklam i użytkowników, informacje identyfikujące reklamy jako takie, wskazujące, w czyim imieniu zostały one wyświetlone, a także „istotne informacje” na temat głównych parametrów stosowanych do kierowania reklam do użytkownika.

Dostawcy usług pośrednich będą zobowiązane do publikowania sprawozdań ze swoich działań związanych z usuwaniem i uniemożliwianiem dostępu do informacji uznawanych za nielegalne treści lub treści sprzeczne z warunkami korzystania z ich usług, a także wiążących się z zawieszaniem świadczenia usług w związku z niewłaściwym korzystaniem z platformy lub niewłaściwym korzystaniem z systemu „zgłaszania i działania”.

Dodatkowo platformy internetowe co najmniej raz na sześć miesięcy mają publikować informacje na temat średniej liczby aktywnych odbiorców usługi miesięcznie w każdym państwie Unii Europejskiej. Dane te mają w szczególności umożliwić koordynatorowi ds. usług cyfrowych wydanie lub weryfikację decyzji o uznaniu danej platformy internetowej za bardzo dużą platformę internetową w rozumieniu przepisów DSA.

Chociaż nie wyznaczono jeszcze w Polsce organu odpowiedzialnego za egzekwowanie przepisów, przedsiębiorcy podlegający pod nowe przepisy powinni już teraz dostosować swoje działalności. Rozporządzenie ma bowiem bezpośrednią moc i w zakresie, w jakim określone w nim obowiązki mogą naruszać interesy konsumentów lub dotyczyć przetwarzania danych osobowych, właściwe organy w tych obszarach począwszy od dnia jego wejścia w życie będę uprawnione do działania w ramach swoich kompetencji.

Akt o Usługach Cyfrowych proponujemy wdrażać etapowo, począwszy od:

1. Identyfikacji usług podlegających DSA;
2. Analizy luk, w tym audytu usługi oraz przeglądów interfejsów internetowych pod kątem darkpatterns;
3. Działania dostosowawcze, a w szczególności:
   1. aktualizacja regulaminu świadczenia usług drogą elektroniczną,
      – opracowanie wewnętrznej procedury przyjmowania i rozpatrywania zgłoszeń w ramach mechanizmu notice&action,
   2. wdrożenie zmian programistycznych w interfejsach stron internetowych i aplikacji mobilnych wykorzystywanych do świadczenia usług pośrednich;
   3. opracowanie wzorów powiadomień i decyzji w zakresie moderowania treści;
4. Audyt i raport powdrożeniowy
5. Szkolenia wewnętrzne osób odpowiedzialnych za procesy zaimplementowane w związku z DSA.

Za niewypełnianie zobowiązań wynikających z DSA przedsiębiorcom mogą grozić wysokie kary. Sankcje za naruszenia aktu zostaną ustanowione przez państwa członkowskie. Jednocześnie DSA wskazuje maksymalny wymiar kar pieniężnych za naruszenia w wysokości do 6 proc. rocznego światowego obrotu danego dostawcy usług pośrednich w poprzednim roku obrotowym.

W przypadku, gdyby naruszenie nowych obowiązków skutkowałoby zagrożeniem dla interesów konsumentów, takie działanie może równocześnie stanowić praktykę naruszającą zbiorowe interesy konsumentów, zagrożoną karą do 10% obrotu przedsiębiorcy

- mówi Wojciech Janik, Radca prawny, Senior Managing Associate.

Ponadto brak dochowania wymogów może stanowić podstawę odrębnych roszczeń cywilnoprawnych.

Autorka artykułu: Katarzyna Ożga, Legal Counsel, In-House Lawyer, Deloitte