Kogo dotyczy rozporządzenie DMA?
Rozporządzenie DMA dotyczy specyficznej grupy podmiotów, określanej jako strażnicy dostępu (ang. gatekeepers). Są to indywidualnie wytypowane przedsiębiorstwa, które świadczą tzw. podstawowe usługi platformowe. Do zakresu tych usług unijny ustawodawca zaliczył:
- usługi pośrednictwa internetowego;
- wyszukiwarki i przeglądarki internetowe;
- internetowe serwisy społecznościowe;
- usługi platformy udostępniania wideo;
- usługi łączności interpersonalnej niewykorzystujące numerów (np. poczta elektroniczna, czaty grupowe, komunikatory internetowe);
- systemy operacyjne;
- wirtualni asystenci;
- usługi przetwarzania w chmurze (niezależnie od typu cloud computing, np. SaaS, PaaS);
- internetowe usługi reklamowe świadczone przez przedsiębiorstwo, które realizuje którekolwiek z wymienionych wyżej platformowych usług podstawowych.
Zobacz również: Usługi chmurowe: IaaS vs PaaS vs SaaS vs XaaS – na czym polegają ?
Na pierwszy rzut oka mogłoby się wydawać, że przedmiotowy zakres rozporządzenia DMA jest bardzo szeroki. Unijny ustawodawca ogranicza jednak jego obowiązywanie wyłącznie do podmiotów, które zostały wytypowane jako strażnicy dostępu zgodnie z art. 3 rozporządzenia. Do tej grupy zalicza się przedsiębiorstwa, które łącznie spełniają następujące przesłanki (usługach cyfrowych uczciwych rynków użytkownikom biznesowym unii europejskiej):
- wywierają znaczący wpływ na rynek wewnętrzny – domniemanie w tym zakresie zachodzi, jeżeli firma uzyskała roczny obrót w Unii na poziomie przynajmniej 7,5 miliarda euro rocznie w każdym z ubiegłych 3 lat obrotowych lub jeżeli jego średnia wartość rynkowa wynosiła co najmniej 75 miliardów euro w ubiegłym roku obrotowym oraz świadczy tę samą usługę platformową w co najmniej 3 państwach członkowskich;
- świadczą podstawową usługę platformową będącą ważnym punktem dostępu, za pośrednictwem którego użytkownicy biznesowi docierają do użytkowników końcowych – domniemanie w tym zakresie zachodzi, jeżeli podmiot świadczy podstawową usługę platformową, z której w ostatnim roku korzystało co najmniej 45 milionów aktywnych użytkowników końcowych mających siedzibę lub miejsce stałego pobytu w Unii oraz co najmniej 10 tysięcy aktywnych rocznie użytkowników biznesowych z siedzibą w Unii;
- zajmują ugruntowaną i trwałą pozycję w zakresie prowadzonej przez siebie działalności lub można oczekiwać, że zajmie taką pozycję w niedalekiej przeszłości – o domniemaniu w tym przypadku można mówić, jeśli progi przewidziane dla drugiej przesłanki są spełniane przez ostatnie 3 lata obrotowe.
Przedsiębiorstwo, które spełniło wymienione wyżej przesłanki, ma obowiązek zgłosić ten fakt do Komisji Europejskiej w ciągu 2 miesięcy od dnia przekroczenia progu dla danej usługi podstawowej. Zawiadomienie należy uzupełnić o informacje niezbędne do ustalenia, czy rzeczywiście doszło do przekroczenia progu. Zaniechanie obowiązków w tym zakresie uprawnia Komisję do wskazania podmiotu jako strażnika dostępu na podstawie informacji, którymi ona sama dysponuje.
Obecnie organy unijne wytypowały sześć firm, które spełniają kryteria niezbędne do zakwalifikowania ich jako strażników dostępu. Są to:
- Alphabet (m.in. Google wraz z poszczególnymi usługami, Youtube, Chrome);
- Amazon (Amazon Marketplace, Amazon);
- Apple (iOS, App Store, Safari);
- ByteDance (TikTok);
- Meta (Facebook, Messenger, Instagram, Meta Ads);
- Microsoft (LinkedIn, Windows OS).
Nadal trwają wyjaśnienia, czy do gatekeeper’ów można zakwalifikować usługi Bing, Edge, Microsoft Advertising oraz iMessage.
Z usług lub produktów wymienionych wyżej firm korzysta – przynajmniej w części – znakomita większość użytkowników sieci niezależnie od wieku. Desygnacja pierwszych strażników dostępu została przeprowadzona we wrześniu 2023 r. W tym samym miesiącu Komisja Europejska wszczęła postępowania mające na celu ustalenie, czy na rynku nie pojawiły się w międzyczasie kolejne firmy spełniające wymienione wyżej kryteria.
Dla pierwszych wytypowanych przedsiębiorstw w marcu 2024 r. kończy się czas na zapewnienie compliance z nowymi przepisami. Co oznacza wejście w życie DMA dla jego adresatów, a także użytkowników końcowych, czyli – nas wszystkich?
Jakie obowiązki spoczywają na strażnikach dostępu?
Desygnowanie podmiotu jako strażnika dostępu powoduje, że musi on spełnić wszystkie wymagania wskazane w treści rozporządzenia. Należy pamiętać, że obowiązują one dla każdej z usług platformowych osobno.
Zwiększona ochrona danych osobowych
Rozporządzenie DMA sprzyja ochronie danych osobowych poprzez nałożenie na strażników dostępu ograniczeń w zakresie ich przetwarzania. Zgodnie z treścią art. 5 ust. 2 do czasu, aż użytkownikowi nie przedstawiono możliwości wyboru i nie wyraził on świadomej i dobrowolnej zgody, gatekeeper nie może bez naruszania prawa:
- przetwarzać danych osobowych użytkowników końcowych do celów reklamowych, jeżeli osoby te korzystają ze świadczonych przez osoby trzecie usług wykorzystujących podstawowe usługi platformowe;
- łączyć danych osobowych pochodzących z danej podstawowej usługi platformowej z danymi osobowymi, które pochodzą z innych podstawowych usług platformowych lub innych usług świadczonych przez gatekeepera albo osoby trzecie;
- wykorzystywać danych podstawowych pochodzących z danej podstawowej usługi platformowej w ramach innych, świadczonych oddzielnie usług, a także działań odwrotnych, polegających na wykorzystaniu danych osobowych z innej usługi w ramach podstawowej usługi platformowej;
- logować użytkowników końcowych do innych usług świadczonych przez strażnika dostępu, po to, aby łączyć dane osobowe.
Zobacz również: Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?
W praktyce oznacza to, że gatekeeper – co do zasady – może wykorzystać dane użytkownika wyłącznie w celu świadczenia mu danej usług platformowej. Oczywiście wielu usługodawców projektuje swoje produkty w taki sposób, aby skłonić użytkowników do wyrażenia zgody w zamian za bardziej kompleksowe i lepiej dopasowane świadczenie usług, ale nie może być to rozwiązanie domyślne. Warto zwrócić uwagę, że użytkownik zawsze musi mieć zagwarantowaną możliwość wycofania zgody na przetwarzanie danych lub odmowy jej wyrażenia. W takiej sytuacji strażnik dostępu nie może występować o ponowne udzielenie zgody w okresie rocznym.
Obowiązki gatekeeperów względem użytkowników biznesowych
Obecnie podstawowe usługi platformowe – jak chociażby Facebook czy LinkedIn – są wykorzystywane przez firmy do reklamowania oferowanych przez siebie dóbr i usług. Aby nie ograniczać tych możliwości, rozporządzenie DMA wprowadza liczne udogodnienia dla użytkowników biznesowych. Polegają one
m.in. na:
- zapewnieniu możliwości nieodpłatnego przedstawiania ofert użytkownikom końcowym pozyskanym za pośrednictwem podstawowej usługi platformowej, a także promowanie tych ofert i zawieranie z użytkownikami końcowymi umów;
- zapewnieniu możliwości oferowania towarów lub usług na innych warunkach za pośrednictwem podstawowych usług platformowych oraz innych kanałów;
- zezwoleniu użytkownikom końcowym na korzystanie z określonych funkcjonalności usług platformowej, jeżeli nabyli je oni od użytkownika biznesowego;
- braku możliwości ograniczania dostępu użytkownika końcowego wyłącznie do usług płatniczych lub usług technicznych, które je wspierają, należących do danego gatekeepera;
- zakazie uzależnienia korzystania z jednej usługi platformowej przez użytkownika biznesowego od zarejestrowania się jako użytkownik innej usługi podstawowej.
Dodatkowo rozporządzenie nakłada na strażników dostępu obowiązek udostępniania reklamodawcy informacji dotyczących cen, opłat i wynagrodzeń związanych z wyświetlanymi przekazami reklamowymi, których opublikowanie zlecił dany reklamodawca. Użytkownicy biznesowi mają zagwarantowane sprawiedliwe, rozsądne i niedyskryminujące warunki do sklepów z aplikacjami, wyszukiwarek internetowych oraz internetowych serwisów społecznościowych.
Należy jednocześnie zauważyć, że dane wygenerowane przez użytkownika biznesowego nie mogą być wykorzystane przez gatekeepera w celu rywalizacji o dostęp do użytkownika końcowego. W szczególności chodzi tutaj o takie dane, jak kliknięcia, zapytania, wyświetlenia i dane głosowe.
Regulacja dotycząca użytkowników biznesowych ma na celu zapewnienie równego dostępu do rynku oraz likwidację potencjalnych barier i kosztów, jakie podmiot świadczący podstawowe usługi platformowe mógłby nałożyć na podmioty prowadzące działalność gospodarczą.
Zobacz również: Czym jest ESOP i dlaczego warto wdrożyć go w spółce? Czy przekazanie pracownikowi udziałów w firmie w ramach programu opcyjnego to dobry pomysł?
Ułatwienia korzystania z podstawowych usług platformowych
Obowiązek niedyskryminacji dotyczy także użytkowników końcowych, którzy muszą mieć zagwarantowane prawo m.in. do:
- łatwej zmiany ustawień domyślnych, które mogłyby naprowadzać odbiorcę na usługi lub produkty gatekeepera;
- możliwości korzystania z aplikacji, które można pobrać ze sklepów współpracujących z daną usługą;
- dostępu do usług, których warunki są określane na zasadzie indeksowania lub crawlingu, na takich samych zasadach, niezależnie od tego, czy są to usługi gatekeepera czy podmiotu trzeciego;
- równego dostępu do aplikacji i usług świadczonych za pośrednictwem danej usługi platformowej.
Dzięki rozporządzeniu DMA użytkownicy końcowi mogą korzystać z podstawowych usług platformowych, jak chociażby wyszukiwarka Google czy system operacyjny Microsoft, ograniczając się do ich możliwości technicznych. Dostawca danej usługi nie może jednak promować z wykorzystaniem takich kanałów swoich innych usług lub w jakikolwiek sposób ograniczać możliwości reklamowania się przez inne podmioty.
Obowiązki sprawozdawcze oraz audyt strażników dostępu
Każda firma, która została desygnowana jako strażnik dostępu, musi ewidencjonować realizację obowiązków wynikających z rozporządzenia. W terminie 6 miesięcy od przyznania statusu gatekeepera przedsiębiorstwo ma obowiązek opublikować sprawozdanie oraz przekazać Komisji jego jawne streszczenie. Następnie raz w roku te dokumenty powinny być aktualizowane.
W tym samym terminie strażnik dostępu ma obowiązek przedłożyć Komisji wynik niezależnego audytu obejmującego wykorzystywane techniki profilowania konsumentów korzystających z podstawowych usług platformowych. Raz w roku audyt należy zaktualizować, a jego skrócona wersja jest przekazywana do publicznego wglądu.
Zobacz również: Platformy subskrypcyjne – jak działają?
Czy firma może uciec spod zasięgu rozporządzenia?
Dodatkowe obowiązki nałożone przez rozporządzenie DMA wiążą się dla firm z wieloma obowiązkami organizacyjnymi oraz potrzebą adaptacji procesów biznesowych. Wszystko to oznacza dodatkowe wydatki, dlatego po stronie zarządu spółki może pojawić się pokusa obejścia regulacji. Unijny ustawodawca usiłuje przeciwdziałać takim próbom poprzez wprowadzenie zakazu segmentacji, podziału lub dalszego podziału, a także fragmentacji lub rozdzielenia w celu obejścia progów ilościowych, przy czym w art. 13 ust. 1 zwraca się uwagę, że nie ma znaczenia, czy przedsiębiorstwo podejmuje w tym celu działania:
- umowne;
- handlowe;
- techniczne lub inne.
Gatekeeperzy nie mogą więc usiłować obejść rozporządzenia DMA poprzez np. utworzenie spółki-córki albo outsourcowanie części usług na inny podmiot.
Jednocześnie zakazuje się podejmowania działań, które utrudniałyby realizację obowiązków nałożonych przez rozporządzenie lub też ograniczały możliwość korzystania z serwisu przez użytkowników indywidualnych lub biznesowych, np. poprzez stworzenie możliwości nieobiektywnego wyboru czy ograniczenie funkcjonalności platformy.
Obowiązek informowania o koncentracji
Strażnicy dostępu mają obowiązek poinformować Komisję o każdej próbie koncentracji niezależnie od tego, czy takie działanie podlegałoby zgłoszeniu na poziomie prawa krajowego. Wystarczające jest to, że podmioty biorące udział w koncentracji:
- świadczą podstawowe usługi platformowe;
- świadczą inne usługi w sektorze cyfrowym;
- umożliwiają zbieranie danych.
W zakresie pojęcia koncentracji rozporządzenie DMA odwołuje się do art. 3 rozporządzenia nr 139/2004 w sprawie kontroli koncentracji przedsiębiorców. Zgodnie z tym przepisem o koncentracji można mówić, kiedy trwała zmiana kontroli wynika z:
- łączenia się dwóch lub więcej wcześniej samodzielnych przedsiębiorstw lub ich części;
- przejęcia przez jedną lub więcej osób już kontrolujących co najmniej jedno przedsiębiorstwo albo przez jedno lub więcej przedsiębiorstw bezpośredniej lub pośredniej kontroli nad całym lub częścią jednego lub więcej innych przedsiębiorców, niezależnie od tego, w jaki sposób doszło do tego przejęcia kontroli (np. zbycie udziałów lub akcji, zbycie aktywów).
Kary za niewykonywanie obowiązków przez strażnika dostępu
W sytuacji, kiedy Komisja Europejska stwierdzi, że strażnik dostępu nie wykonuje swoich obowiązków, ma prawo skorzystać z sankcji finansowych. Naruszenie obowiązków określonych rozporządzeniem, a także niewykonanie środków zaradczych, tymczasowych lub niewykonanie wiążących zobowiązań pozwala na nałożenie kary w wysokości do 10% łącznego światowego obrotu uzyskanego w poprzednim roku obrotowym.
Niezależnie od wskazanej wyżej kary Komisja może nałożyć sankcję w wysokości do 20% łącznego światowego obrotu uzyskanego w poprzednim roku obrotowym na firmę, która już raz otrzymała decyzję o niewykonaniu obowiązków w odniesieniu do tej samej usługi platformowej w ciągu ostatnich 8 lat. W skrajnych przypadkach sankcja może sięgnąć nawet 30% rocznego światowego obrotu! Aby lepiej odzwierciedlić o jak wysokich karach mowa, można spojrzeć na wyniki finansowe koncernu Alphabet, które tylko w trzecim kwartale 2023 r. przekroczyły 76 miliardów USD.
Unijny ustawodawca penalizuje też zaniedbania na gruncie realizacji obowiązków sprawozdawczych. Nieprzekazanie raportów, o których mowa w rozporządzeniu, a także przekazanie informacji niekompletnych lub nierzetelnych wiąże się z sankcją w wysokości do 1% łącznego światowego obrotu w poprzednim roku obrotowym.
Obok sankcji głównych rozporządzenie przewiduje okresowe kary pieniężne, które mają za zadanie nakłonić strażników dostępu do realizacji obowiązków wskazanych w decyzjach, np.:
- udostępnienia baz danych i algorytmów;
- poddania się kontroli;
- wykonania decyzji zarządzającej środki tymczasowe.
W tym przypadku kary liczone są w odniesieniu do dziennego światowego obrotu i nie mogą przekroczyć 5% pułapu określonego w oparciu o dane z ubiegłego roku obrotowego.
Niezależnie od podstawy, na jakiej nakładana jest sankcja, przedawnienie możliwości nałożenia kary następuje z upływem 5 lat od dnia popełnienia naruszenia, a przy uchybieniach o charakterze ciągłym – od jego zakończenia. Samo roszczenie wynikające z decyzji administracyjnej przedawnia się z upływem 5 lat od stwierdzenia jej ostateczności.
Zobacz również: Umowa wdrożeniowa na algorytm AI
Rozporządzenie DMA pozwala na zgłaszanie wykrytych naruszeń wszystkim podmiotom. Mogą to być zarówno konsumenci, jak i przedsiębiorcy, w tym bezpośredni konkurenci strażnika dostępu. Względem osób zgłaszających stosuje się unijne przepisy o ochronie sygnalistów, które Polska niedługo powinna wdrożyć na poziomie krajowym.
Rozporządzenie DMA to prawdziwa rewolucja dla podmiotów działających w cyfrowym świecie. Nie ulega wątpliwości, że lista gatekeeperów z biegiem czasu będzie się stopniowo poszerzała. Już teraz przedsiębiorstwa działające na szeroką skalę w sieci powinny rozważyć skorzystanie z usług kancelarii prawnej, która pomoże w dostosowaniu biznesu do wymagań DMA.
Nasi specjaliści pomogą w weryfikacji statusu strażnika dostępu, ocenie przetwarzania danych osobowych, zasad profilowania użytkowników oraz weryfikacji regulaminów z aplikacjami. Wspieramy naszych klientów w utworzeniu i nadzorowaniu pracy komórki compliance. W razie potrzeby przeprowadzimy także zgłoszenie zamiaru koncentracji.
Pytania i odpowiedzi
Komisja Europejska w szczególnych przypadkach może zakwalifikować przedsiębiorcę jako gatekeepera pomimo niespełnienia przez niego wymagań ilościowych. Zgodnie z motywem 23 i art. 9 rozporządzenia przyjmuje się też, że przedsiębiorstwo może – w wyjątkowych przypadkach wykazywać, że – pomimo osiągnięcia liczbowych progów wskazanych w rozporządzeniu – nie spełnia ono kryteriów uzasadniających uznania go za strażnika dostępu. Zawieszenie obowiązków w ramach danej podstawowej usługi platformowej następuje na wniosek na mocy aktu wykonawczego Komisji i zawsze jest ograniczone czasowo – do czasu usunięcia zagrożenia dla rentowności danego działania dla strażnika dostępu.
Taka zgoda powinna odpowiadać wymaganiom wskazanym w art. 4 pkt 11 rozporządzenia RODO, czyli powinno być to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli. Może ono przybrać postać oświadczenia woli lub też wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie danych osobowych. Nie jest dopuszczalne wyrażenie zgody „na zapas”, musi ona dotyczyć konkretnego przypadku przetwarzania.
Zaufali nam: