12 lipca 2022

Akt o rynkach (DMA) oraz akt o usługach cyfrowych (DSA), czyli jak zmieni się cyfrowa rzeczywistość

Udostępnij

Rewolucja w sieci – właśnie tak w kilku słowach można zbiorczo określić akt o rynkach (DMA) oraz akt o usługach cyfrowych (DSA). Mają one pełnić funkcję wyczerpującego kodeksu świadczenia usług w sieci, przedmiotowo dotyczącego przede wszystkim sieci społecznościowych, platform zakupowych i innych platform online, których działalność dotyczy obywateli Unii. Ostatni raz ze zmianami na taką skalę mieliśmy do czynienia sześć lat temu, w erze przygotowań do RODO, to jest ogólnego rozporządzenia o ochronie danych osobowych. Jak tym razem zmieni się rzeczywistość przedsiębiorców oraz jak możliwie najlepiej przygotować się do nadchodzącej reformy w sieci? Niniejszy artykuł odpowiada na to pytanie, omawiając najważniejsze praktyczne aspekty nadchodzącego wejścia w życie dwóch aktów, które w zamyśle mają w sposób pionierski uporządkować Internet.

Akt o rynkach cyfrowych (DMA)

21 marca 2022 r. Parlament i Komisja doszły do porozumienia w przedmiocie nowych zasad unijnych mających na celu ograniczenie siły rynkowej dużych platform online. Mowa o rozporządzeniu Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym, czyli wspomniany wcześniej akt o rynkach cyfrowych (ang. Digital Markets Act, DMA)[1]. Regulacja ta ma zapewniać bezpieczeństwo w sieci poruszających się po niej użytkowników znajdujących się na terenie UE, a także umożliwiać Komisji prowadzenie śledztw dotyczących praktyk na rynkach cyfrowych i karanie tych niedozwolonych[2]. Na celowniku są przede wszystkim duże firmy świadczące „podstawowe usługi platform”, w tym sieci społecznościowe oraz wyszukiwarki[3]. W ocenie Komisji, to właśnie te kategorie przedsiębiorców są najbardziej podatne na nieuczciwe praktyki biznesowe, podczas gdy ich obowiązkiem powinno być stanie na straży rynków cyfrowych. I to właśnie do pełnienia tej roli ma ich zobowiązywać DMA. Akt wejdzie w życie w ciągu dwudziestu dni od publikacji w Dzienniku Urzędowym Unii Europejskiej, a przepisy zaczną obowiązywać już sześć miesięcy później[4].

DMA – kogo dotyczy?

Należy w tym miejscu podkreślić, że akt o rynkach cyfrowych nie będzie obejmował wszystkich przedsiębiorców świadczących usługi w sieci. Przepisy przewidziane wspomnianą regulacją dotyczyć będą firm świadczących „podstawowe usługi platform” o kapitalizacji rynkowej na poziomie co najmniej 75 miliardów euro lub rocznych obrotach w wysokości 7,5 miliarda euro[5]. Jeśli zaś chodzi o kategorię „strażników dostępu” przewidzianą przez DMA, nie wystarczy być administratorem platformy społecznościowej czy wyszukiwarki, aby wpisać się w tę kategorię. Progiem wejścia jest tutaj liczba użytkowników – co najmniej 45 milionów użytkowników końcowych miesięcznie w Unii Europejskiej oraz 10 tysięcy użytkowników biznesowych w skali roku[6]. Powyższym kryteriom przyświeca cel zwiększenia kontroli nad działalnością kluczowych graczy na rynku tech oraz adtech, a więc tych, które wykazują się silną, stabilną pozycją ekonomiczną, znaczącym wpływem na rynek wewnętrzny i działalnością na terytorium co najmniej kilku krajów członkowskich[7]. Nie bez znaczenia będzie również pełnienie roli pośrednika, to jest łączenia dużej bazy danych użytkowników z podmiotami trzecimi świadczącymi inne usługi[8]. Powyższe wynika wprost z artykułu 3 ust. 1 projektu DMA, przy czym szczegółowe przesłanki spełnienia kryteriów kwalifikacji dostawcy podstawowych usług platformowych jako strażnika dostępu określa art. 3 ust. 2 DMA[9]. Należy podkreślić, że projekt rozporządzenia z pewnością ulegać będzie zmianom w przedmiocie dokładnych parametrów tychże kryteriów, co widać już na przykładzie rozbieżności pomiędzy brzmieniem projektu stanowiącego przedmiot wniosku a informacjami przekazywanymi w komunikatach prasowych Komisji.

Akt o usługach cyfrowych (DSA)

Z kolei dnia 23 kwietnia bieżącego roku Komisja Europejska doszła do politycznego porozumienia z krajami członkowskimi Unii Europejskiej w sprawie propozycji aktu o usługach cyfrowych (DSA) z grudnia 2020 r.[10] Jak podkreślono w oficjalnej informacji prasowej wystosowanej przez Komisję, „DSA ustanawia bezprecedensowy nowy standard odpowiedzialności platform internetowych za nielegalne i szkodliwe treści”[11]. Co więcej ma on zapewnić użytkownikom sieci wzmożoną ochronę ich oraz ich praw podstawowych, a także wspierać rozwój mniejszych platform poprzez ujednolicenie cyfrowych regulacji na rynku wewnętrznym. Przepisy aktu o usługach cyfrowych zaczną obowiązywać 1 stycznia 2024 r. lub po 15 miesiącach od momentu wejścia w życie, przy czym zastosowanie będzie miała późniejsza data.

DSA – kogo dotyczy?

Akt o usługach cyfrowych przedmiotowo skupia się na przedsiębiorcach świadczących usługi online o charakterze pośredniczącym. Chodzi tu przede wszystkim o:

1) usługi pośrednictwa oferujące infrastrukturę sieciową;

2) usługi hostingowe;

3) platformy internetowe skupiające sprzedawców i konsumentów;

4) bardzo duże platformy internetowe stwarzające szczególne ryzyko rozpowszechniania nielegalnych treści oraz wyrządzania szkód społecznych[12].

Przepisy szczególne mają obejmować platformy docierające do ponad 10% z 450 milionów konsumentów w Europie[13], a dla małych firm i mikro przedsiębiorców przewidziane zostaną obowiązki „wprost proporcjonalne do ich możliwości i skali, przy jednoczesnym zachowaniu odpowiedzialności”[14]. Z dużym prawdopodobieństwem każda firma, która podlegać będzie aktowi o rynkach cyfrowych, będzie również podmiotem obowiązków wynikających z DSA, przy czym odwrócona sytuacja nie stanowi reguły. Innymi słowy, omawiany tutaj akt o usługach cyfrowych skupiać się będzie zarówno na dużych, średnich, jak i małych biznesach, podczas gdy DMA dotyczy przede wszystkim największych technologicznych graczy.

Obowiązek interoperacyjności

Obowiązek interoperacyjności odnoszący się do przedsiębiorców podlegających aktowi o rynkach cyfrowych wyrażony jest już w preambule projektu[15] tejże regulacji. Jak zaznaczono w motywie 52, strażnicy dostępu – to jest dostawcy podstawowych usług platformowych spełniający kryteria z art. 3 DMA - mogą „pełnić podwójną rolę deweloperów systemów operacyjnych i producentów urządzeń, w tym wszelkich funkcji technicznych, w które takie urządzenie może być wyposażone”[16], przy czym wykorzystywanie tej podwójnej roli w złej wierze może „znacząco osłabić innowacyjność (…)[17], jak również ograniczyć wybór dla użytkowników końcowych”, co prowadzi do konieczności nałożenia obowiązku między innymi „gwarantowania interoperacyjności wspomnianych systemu operacyjnego, sprzętu lub funkcji oprogramowania”[18]. Wspomniany obowiązek wyrażony został wprost artykułem 6 właściwej treści projektu DMA, określającym obowiązki strażników dostępu podlegające dalszemu doprecyzowaniu. W myśl brzmienia wspomnianego art. 6 ust. 1 lit. f w związku z art. 3 ust. 7, „w odniesieniu do każdej świadczonej przez siebie podstawowej usługi platformowej (…) strażnik dostępu zapewnia użytkownikom biznesowym i dostawcom usług pomocniczych możliwość uzyskania dostępu do tego samego systemu operacyjnego, sprzętu lub funkcji oprogramowania, które są dostępne dla strażnika dostępu lub wykorzystywane przez niego do świadczenia dowolnych usług pomocniczych, oraz gwarantuje interoperacyjność wspomnianych systemu operacyjnego, sprzętu lub funkcji oprogramowania”[19].

Internetowe środki zapobiegawcze

Artykuł 11 projektu aktu o rynkach cyfrowych skupia się na środkach przeciwdziałających obchodzeniu przepisów oraz wyraża wyraźny zakaz stosowania tzw. ciemnych (ślepych) wzorów, to jest technik ograniczających zdolność odbiorców usług do podjęcia świadomej i niezależnej decyzji lub wyboru. W szczególności, dostawca podstawowych usług platformowych działający jako strażnik dostępu „nie może pogorszyć warunków ani obniżyć jakości żadnej z podstawowych usług (...) świadczonych na rzecz użytkowników biznesowych lub użytkowników końcowych, którzy zdecydowali się skorzystać z praw lub możliwości przewidzianych w art. 5 i 6, ani sprawić, że korzystanie z tych praw lub możliwości będzie nadmiernie utrudnione”[20]. Odesłanie z art. 3 ust. 3 DMA do praw i możliwości dotyczy między innymi łączenia danych osobowych czy rejestrowania użytkowników końcowych jako użytkowników innych usług, które od tej pory nie będzie mogło odbywać się bez dokonania wyboru i wyrażenia zgody spełniającej wymogi RODO przez takiego użytkownika[21]. Co więcej, przepisy te kładą również kres obligowania użytkownika końcowego do korzystania z preinstalowanych aplikacji, pod groźbą utracenia dostępu do pełnego zakresu pierwotnie oferowanej usługi platformowej czy też konieczności poniesienia dodatkowych kosztów[22]. Można pokusić się w tym miejscu o stwierdzenie, że omawiana regulacja będzie w przyszłości stosowana w dużej mierze w powiązaniu z ogólnym rozporządzeniem o ochronie danych osobowych, a także wzmacniać jej egzekwowanie. Choć same przepisy RODO dotyczące formuły, sposobu i konieczności odbierania zgody doczekały się rozbieżnych interpretacji, DMA nie pozostawia w tym zakresie żadnych wątpliwości. We wskazanych przypadkach, w ramach świadczenia podstawowych usług platformowych, administrator ma zapewnić zarówno użytkownikowi końcowemu jak i biznesowemu podjęcie poinformowanej decyzji dotyczącej tego, w jakim zakresie i przez kogo przetwarzane będą jego dane osobowe. Mowa tutaj oczywiście o świadomej, dobrowolnej, konkretnej i jednoznacznej zgodzie w odniesieniu do większości przypadków, oraz wyraźnej w odniesieniu do zbierania i przetwarzania danych szczególnej kategorii. Ponadto odbieranie zgody w żadnym wypadku nie może być związane z ograniczeniem zakresu usług świadczonych danemu użytkownikowi w przypadku udzielenia odpowiedzi negatywnej.

Szczególne kategorie danych pod lupą

W ostatnim czasie nie brakuje kontrowersji wokół algorytmów technologicznych gigantów takich jak Facebook, które historycznie niejednokrotnie pokusiły się o wykorzystanie danych wrażliwych celem przedstawiania rekomendacji treści bądź targetowania reklam. Choć RODO częściowo naświetliło tę tendencję, jego przepisy nakładały na administratora treści co najwyżej uzyskanie wyraźnej zgody na przetwarzanie szczególnych kategorii danych (danych wrażliwych). Jednocześnie akt o usługach cyfrowych podchodzi do wspomnianego problemu granicznego wykorzystywania danych bardzo rygorystycznie. Przegłosowana przez Parlament Europejski poprawka DSA całkowicie zakazuje wykorzystywania danych wrażliwych, w tym w szczególności dotyczących orientacji seksualnej czy poglądów politycznych, w celach reklamowych, a także zabrania targetowania dzieci przez platformy internetowe oraz „bardzo duże platformy”[23].

Mechanizm zgłaszania i działania

Szczególnie istotnym obowiązkiem mającym zastosowanie w odniesieniu do dostawców usług hostingu jest konieczność wdrożenia mechanizmu zgłaszania i działania (ang. notice and action), wynikająca z aktu o usługach cyfrowych. W myśl brzmienia art. 14 ust. 1 projektu DSA, dostawca usług hostingu ma wdrożyć mechanizmy umożliwiające dowolnemu podmiotowi zgłoszenie obecności w ich systemie treści uznanych za nielegalne. Co więcej, taki mechanizm musi być łatwo dostępny, przyjazny dla użytkownika oraz umożliwiać składanie zgłoszeń wyłącznie drogą elektroniczną. Poziom wymaganych przez taki mechanizm dokładności oraz uzasadnienia zgłoszenia powinien pozwalać na zidentyfikowanie wspomnianych nielegalnych treści. W praktyce oznacza to konieczność stworzenia oraz udostępnienia odpowiednich formularzy online przez usługodawców hostingowych, które będą spełniać wymogi art. 14 projektu DSA, w tym w szczególności zawierać będą pola wyszczególnione w art. 14 ust. 2 lit. a-d. Usługodawca ma obowiązek powzięcia działania w odniesieniu do każdego z nadesłanych zgłoszeń, w tym także do przekazania swojej decyzji osobie bądź podmiotowi zgłaszającemu, wraz z informacjami o możliwości odwołania się od tejże decyzji. Wynika to wprost z art. 14 ust. 5 projektu DSA.

Sankcje za naruszenie nowych przepisów

Każdy z omawianych w niniejszym artykule aktów przewiduje sankcje w postaci kar pieniężnych nakładanych na przedsiębiorców. Najbardziej dotkliwe grzywny przewidziane na mocy aktu o rynkach cyfrowych dotyczą strażników dostępu. Są one nakładane przez Komisję w drodze decyzji oraz nie mogą przekroczyć 10% łącznego obrotu danego strażnika dostępu w poprzednim roku obrotowym, co wynika z art. 26 ust. 1 projektu DMA. Grzywny te dotyczą przede wszystkim niewywiązania się z któregokolwiek z obowiązków przewidzianych przez omawiany akt, a których strażnik nie przestrzega umyślnie bądź w wyniku zaniedbania. Ponadto artykuł 27 ust. 1 projektu wyszczególnia, iż Komisja może w drodze decyzji nałożyć na przedsiębiorców bądź strażników dostępu „okresowe kary pieniężne, których wysokość nie przekracza 5% średniego dziennego obrotu w poprzednim roku obrotowym za każdy dzień i które są naliczane od daty ustalonej w decyzji”[24].

W przypadku modelu sankcjonowania przewidzianego w artykule 42 projektu DSA, maksymalna wartość kar nałożonych za uchybienie obowiązkom w nim przewidzianym nie może przekraczać 6% rocznego przychodu lub obrotu danego dostawcy usług pośrednich[25]. Udzielenie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji, nieudzielenie odpowiedzi, czy też niepoddanie się kontroli może zostać ukarane grzywną w wysokości do 1% rocznego przychodu lub obrotu danego dostawcy[26]. Projekt aktu o usługach cyfrowych przewiduje również okresowe kary pieniężne, przy czym ich maksymalna wartość nie może przekraczać 5% średniego dziennego obrotu danego dostawcy usług pośrednich w poprzednim roku obrotowym w ujęciu rok do roku, liczonego począwszy od daty wskazanej w decyzji Komisji[27].

Model okresowego naliczania kar ma na celu nakłonienie ukaranego przedsiębiorstwa przede wszystkim do jak najszybszego zastosowania się do wydanej decyzji, dostarczenia wymaganych informacji, zapewnienia dostępu do baz danych i algorytmów, czy też poddania się kontroli. Należy stwierdzić, że w dłuższej perspektywie system ten może okazać się dużo bardziej dotkliwy niż jednorazowe kary przewidziane między innymi na gruncie ogólnego rozporządzenia o ochronie danych, co – miejmy nadzieję – skutkować będzie realnym i długoterminowym zwalczaniem negatywnych praktyk stosowanych przez technologicznych gigantów.

Przygotowania do cyfrowej rewolucji

Zarówno omówiony w niniejszym artykule akt o rynkach, jak i usługach cyfrowych wymagać będzie od przedsiębiorców świadczących usługi za pośrednictwem sieci przeprowadzenia audytów swoich praktyk w świetle nadchodzących regulacji. Warto przeprowadzić taką analizę prawną i biznesową zawierającą ocenę potencjalnego ryzyka już teraz, wykorzystując do tego dostępne projekty rozporządzeń. W przypadku aktu o rynkach cyfrowych, co do zasady wystarczy przeprowadzić analizę kwalifikowalności jako strażnika dostępu według kryteriów przedstawionych w artykule 3 DMA, przy czym z wysokim prawdopodobieństwem większość polskich przedsiębiorców nie będzie podlegać tymże regulacjom z uwagi na wysokie progi obrotowe oraz ilości użytkowników w nim wyznaczone. Jak wspomniano wcześniej, akt ten ma na celu przede wszystkim uregulowanie działalności gigantów technologicznych na rynkach unijnych.

Jeśli zaś chodzi o DSA, na chwilę obecną warto zacząć od gruntownego przeglądu praktyk związanych ze zbieraniem i przetwarzaniem danych osobowych, w tym w szczególności formy odbierania zgód. Rekomenduje się wdrożenie modelu dobrowolnego – nie dorozumianego – udzielania zgody na przetwarzanie danych osobowych, w szczególności w celach reklamowych. Warto zwrócić również uwagę na to, czy zakres funkcjonalności i treści dostępnych na udostępnianej przeciętnemu użytkownikowi platformie jest identyczny dla tych podmiotów, które udzielają pełnej zgody na przetwarzanie danych, co dla „odmawiających”. Kolejnym newralgicznym punktem są również dane wrażliwe – słusznym podejściem będzie zrewidowanie zarówno praktyk wewnętrznych, jak i podmiotów trzecich świadczących na naszą rzecz usługi targetowania bądź retargetowania. Według najlepszych praktyk, wykorzystywane oraz przekazywane dane nie powinny uwzględniać informacji o orientacji seksualnej, poglądach politycznych, a także nie powinny dotyczyć osób małoletnich. W ostatnim przypadku zaleca się ponadto wprowadzenie łatwej procedury wycofania zgody na przetwarzanie takich danych.

Podsumowując, cyfrowa reforma rzeczywiście nadchodzi, choć dla małych i średnich przedsiębiorców oznaczać będzie przede wszystkim konieczność uszczelnienia i ponownego zrewidowania swoich praktyk reklamowych oraz zbierania i przetwarzania danych. Powiedzenie „nasz klient, nasz pan” powoli staje się równie prawdziwe w sieci, co w rzeczywistości, choć w ostatnich latach tendencja ta była odwrócona w świecie online, szczególnie w zakresie praktyk branży reklamowej. Warto przygotować się do tej zmiany – oraz nowej, uprzywilejowanej pozycji użytkownika końcowego – już teraz, aby stopniowo amortyzować ewentualne zmiany w konwersjach reklamy bądź ilości wykorzystywanych danych. Zagadką pozostaje tutaj jedynie to, czy giganci technologiczni rzeczywiście zostaną postawieni pod ścianą przez nowe regulacje, czy znów – jak w przypadku RODO – najwięcej niedogodności przypadnie w udziale mniejszym firmom.

Karolina Kaim

specjalistka ds. własności intelektualnej oraz trendwatchingu, współpracuje z organizacjami ze świata kultury oraz startupami technologicznymi

[1] Komisja Europejska, Wniosek – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych) z dnia 15.12.2020 r., 2020/0374; data dostępu: 04.05.2022 r.

[2] Oprac. zbior., Deal on Digital Markets Act: EU rules to ensure fair competition and more choice for users, data dostępu: 12.05.2022 r.

[3] Op. cit.

[4] Op. cit.

[5] Op. cit.

[6] Op. cit.

[7] Oprac. zbior., The Digital Markets Act: ensuring fair and open digital markets, data dostępu: 08.05.2022 r.

[8] Op. cit.

[9] Komisja Europejska, Wniosek – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych) z dnia 15.12.2020 r., 2020/0374, data dostępu: 04.05.2022 r.

[10] Komisja Europejska, Wniosek – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych) i zmieniające dyrektywę 2000/31/WE, 2020/0361, data dostępu: 04.05.2022 r.