Przedsiębiorcy prowadzący biznes w Internecie muszą mierzyć się w ostatnich latach z szeregiem obowiązków nakładanych przez unijnego ustawodawcę. Miniony rok upłynął części przedsiębiorcom pod hasłem „Omnibus”. Hasłem bieżącego roku, a przynajmniej jego początku, będzie zapewne DSA – Digital Services Act (Akt o usługach cyfrowych).

Większość postanowień DSA wchodzi w życie 17 lutego 2024 r. Operatorzy części platform internetowych  musieli wykonać swoje obowiązki już w roku 2023.

Przyjrzyjmy się podstawowym obowiązkom wynikającym z DSA.

Czym jest Akt o usługach cyfrowych i czemu ma służyć?

Akt o usługach cyfrowych to Rozporządzenie 2022/2065 w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz. U. UE. L. z 2022 r. Nr 277, str. 1 z późn. zm.).

Przedmiot i zakres stosowania DSA

DSA określa obowiązki różnych dostawców usług cyfrowych. Obowiązki nakładane są proporcjonalnie do rozmiaru dostawcy, przedmiotu jego usług i stwarzanego przez te usługi zagrożenia dla społeczeństwa. Celem DSA jest ujednolicenie przepisów dotyczących bezpiecznego środowiska internetowego.

Do jakich podmiotów DSA zostało skierowane?

DSA jest kierowane do dostawców usług pośrednich. Istotne jest zatem zdefiniowanie pojęcia usługi pośredniej.  Zgodnie z art. 3 lit. g DSA usługą pośrednią jest jedna z następujących usług społeczeństwa informacyjnego:

• usługa „zwykłego przekazu”. Polega na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej;
• usługa „cachingu”. Polega na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi. Obejmuje automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców;
• usługa „hostingu”. Polega na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie. Jest to np. możliwość opublikowania opinii o produkcie w sklepie internetowym, dodanie komentarza pod opublikowanym artykułem czy też stworzenie wirtualnej wizytówki. Nie ma przy tym znaczenia, że dostawca usług pośrednich korzysta z serwerów nienależących do niego. 

Z punktu widzenia obowiązków nakładanych przez DSA na przedsiębiorców świadczących usługi „hostingu” istotne jest określenie, czy dany podmiot jest dostawcą platformy internetowej. 

Jakie obowiązki należy spełniać w związku z DSA?

DSA nakłada na przedsiębiorców szereg różnych obowiązków, które w sposób ogólny można podzielić na:

• obowiązki w zakresie należytej staranności na potrzeby przejrzystego i bezpiecznego środowiska internetowego. Te obowiązki mają zastosowanie do wszystkich dostawców usług pośrednich.  Należą do nich: obowiązek wyznaczenia punktu kontaktowego, określenia zasad świadczenia usług w zakresie zakazów publikowania niedopuszczalnych treści, moderacji treści, zautomatyzowanego podejmowania decyzji wobec odbiorców usług, podjęcia działań przeciwko nielegalnym treściom, tworzenia sprawozdań;
• dodatkowe obowiązki mające zastosowanie do dostawców usług hostingu, w tym platform internetowych. Należy do nich między innymi obowiązek wdrożenia mechanizmów dokonywania zgłoszeń dotyczących nielegalnych treści;
• dodatkowe obowiązki mające zastosowanie wyłącznie do platform internetowych (z określonymi w DSA wyłączeniami dotyczącymi wielkości przedsiębiorcy). Należą do nich między innymi: obowiązek zorganizowania wewnętrznego systemu rozpatrywania skarg, dodatkowe obowiązki sprawozdawcze, obowiązki dotyczące reklam internetowych;
• dodatkowe obowiązki mające zastosowanie do dostawców platform internetowych umożliwiających konsumentom zawieranie umów na odległość z przedsiębiorcami. Tu też DSA określa wyłączenia dotyczące wielkości przedsiębiorców. Do tych obowiązków należą między innymi obowiązki związane z identyfikacją przedsiębiorcy oraz odpowiedniego zaprojektowania interfejsu internetowego.

DSA a ochrona danych osobowych

Każdy dostawca usług pośrednich musi zweryfikować, czy realizując obowiązki lub uprawnienia wynikające z DSA  dochodzi do przetwarzania danych osobowych. Jeśli tak, musi wówczas uwzględnić ten fakt w wyodrębnionych w działalności procesach przetwarzania danych oraz dokonać oceny zagrożeń związanych z tym przetwarzaniem. Najczęstszym przypadkiem będzie konieczność wyodrębnienia dodatkowych procesów przetwarzania danych osobowych.

Kary za nieprzestrzeganie DSA

Nie dostosowanie się do wymogów DSA  może skutkować odpowiedzialnością finansową. Kary mogą sięgać do 6 % rocznego światowego obrotu danego dostawcy usług pośrednich w poprzednim roku obrotowym.

Ponadto to odbiorca usługi, który stwierdzi, że dostawca usługi narusza DSA, może złożyć skargę do koordynatora ds. usług cyfrowych. Poszkodowany odbiorca usługi może również dochodzić odszkodowania na drodze cywilnej.

radca prawny Patrycja Wasilewska