Do kogo stosuje się rozporządzenie DSA?
Odpowiedzi na pytanie o zakres obowiązywania DSA można szukać już w jego uzasadnieniu. Zgodnie z motywem 5 uzasadnienia rozporządzenie powinno mieć przede wszystkim zastosowanie do dostawcy usług pośrednich. Stosownie do art. 3 lit. g DSA do usług pośrednich zalicza się następujące usługi społeczeństwa informacyjnego:
- caching – transmisję w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmującej automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców. W tym przypadku chodzi przede wszystkim o pośredniczenie usługodawców w dostępie do danych przesyłanych z odległych serwerów w celu przyspieszenia obiegu informacji i odciążenia sieci;
- hosting – przechowywanie informacji przekazanych przez odbiorcę usługi oraz na jego żądanie; mogą to być np. komentarze do bloga prowadzonego na stronie czy zamieszczone w sklepie internetowym opinie o konkretnych produktach. Nie chodzi jednak o informacje niezbędne do korzystania z funkcjonalności strony, jak np. dane użytkownika na potrzeby realizacji zamówień;
- mere conduit – zwykły przekaz to transmisja w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnienie dostępu do sieci telekomunikacyjnej; o zwykłym przekazie można mówić, kiedy dostawca usługi nie jest inicjatorem przekazu, nie wybiera jego odbiorcy oraz nie wybiera i nie modyfikuje informacji zawartych w przesyłanym pakiecie danych.
Zobacz również: Rozporządzenie ws. usług cyfrowych (DSA) – nowe RODO?
Jakie usługi pośrednie świadczą sklepy internetowe?
Mając w pamięci zakres pojęcia usług pośrednich można powiedzieć, że sklepy internetowe nie będą świadczyły usług cachingu oraz zwykłego przekazu. Mogą jednak świadczyć usługę hostingu. Mowa o sytuacjach, kiedy witryna została wyposażona w możliwość zamieszczania komentarzy bezpośredni przez klientów sklepu. W takim przypadku ten niewielki wycinek danych w postaci wpisu na stronie internetowej będzie właśnie hostingiem.
Bardzo ważne jest rozgraniczenie możliwości samodzielnego zamieszczania opinii od różnego rodzaju programów konsumenckich, kiedy to po zakupie kupujący otrzymuje maila z prośbą o wystawienie opinii czy też wypełnienie ankiety. W ten sposób realizowana jest przesłanka z rozporządzenia mówiąca o przekazaniu informacji na wyraźne żądanie usługobiorcy.
Platformy handlowe jako podkategoria usługi hostingu
Rozporządzenie DSA wyodrębnia pojęcie platformy internetowej jako rodzaj dostawcy usługi hostingu. Pojęcie platformy internetowej znalazło się w art. 3 lit i DSA i zostało zdefiniowane jako usługa hostingu, która na żądanie odbiorcy usługi przechowuje i rozpowszechnia publiczne informacje, chyba że takie działanie jest nieznaczną lub wyłącznie poboczną cechą innej usługi lub nieznaczną funkcją innej usługi i ze względów obiektywnych i technicznych nie można z niej korzystać bez tej innej usługi. Jednocześnie włączenie hostingu do głównej usługi nie może zmierzać do naruszenia przepisów rozporządzenia DSA. Chodzi więc o serwisy, które wprawdzie dopuszczają możliwość zamieszczania komentarzy, ale ta opcja ma charakter uboczny.
W motywie 13 DSA jako przykład platformy internetowej została wskazana sekcja gazety internetowej przeznaczona na komentarze, podczas gdy oczywistym jest, że główną usługą jest publikowanie wiadomości za które odpowiedzialność ponosi wydawca.
Zobacz również: RODO w sklepie internetowym. Na jakie zabezpieczenia zwracać uwagę w branży e-commerce?
Czy sklepy internetowe muszą wdrażać rozporządzenie DSA?
Do sklepów internetowych nie znajdzie zastosowanie wyłączenie obowiązków dostawcy usługi hostingowej w postaci przyznania statusu platformy internetowej. Jeśli więc firma umożliwia publikowanie recenzji lub opinii, będzie musiała dostosować bieżącą działalność do nowych wymagań. Może się okazać, że lepszym rozwiązaniem będzie wyłączenie takiej funkcjonalności na stronie internetowej.
Jeżeli przedsiębiorca chce jednak umożliwić nabywcom dzielenie się swoimi spostrzeżeniami, powinien zwrócić uwagę na:
- wyznaczenie punktów kontaktowych zarówno dla organów państw członkowskich, Komisji i Rady Usług Cyfrowych, jak i odbiorców usług;
- wyznaczenie przedstawiciela prawnego w przypadku sklepu, który nie ma siedziby w Unii Europejskiej, ale oferuje na jej terytorium swoje usługi;
- dostosowanie regulaminu sklepu internetowego do wymagań DSA poprzez:
- wskazanie ograniczeń, jakie sklep może nałożyć na odbiorcę usługi w odniesieniu do przekazywanych przez niego informacji;
- określenie polityk, procedur, środków i narzędzi wykorzystywanych do moderowania treści, w tym algorytmicznego podejmowania decyzji;
- sformułowanie regulaminu wewnętrznego systemu rozpoznawania skarg;
- wprowadzenie mechanizmu informowania o istotnych zmianach warunków korzystania z usługi;
- wprowadzenie mechanizmu zgłaszania treści nielegalnych oraz niezgodnych z regulaminem oraz reagowania na nie oraz procedurę odwołania się od decyzji w sprawie treści nielegalnych.
Zgodnie z art. 14 ust. 1 in fine rozporządzenia DSA wszystkie powyższe informacje należy sformułować jasno, w sposób zrozumiały, prosty, przyjazny dla użytkownika oraz w sposób jednoznaczny. Powinny one być dostępne w postaci pliku o formacie łatwo dostępnym i nadającym się do odczytu maszynowego.
Zobacz również: Sprzedaż sklepu internetowego – jakie dokumenty przygotować?
Na czym polega Consent Mode Vol. 2?
W związku z ograniczeniami w przetwarzaniu danych osobowych nałożonymi przez RODO dostawcy wyszukiwarek internetowych zaczęli poszukiwać rozwiązania, które pozwoliłoby lepiej zarządzać zgodami użytkowników, a jednocześnie pozwoliło na zachowanie przynajmniej części profitów, jakie niesie ze sobą śledzenie aktywności klientów np. sklepów internetowych. Konieczność wprowadzenia zmian zapoczątkował wyrok TSUE, który wyrokiem z dnia 1 października 2019 r. stwierdził, że zgoda na instalowanie i udostępnianie plików cookies jest nieważna, jeśli została udzielona za pomocą domyślnie zaznaczonego okienka wyboru (vide: wyrok C-673/17).
Pierwszym podmiotem, który wprowadził innowacje w tym zakresie jest Google, który opracował tzw. Consent Mode Vol. 2 oświadczając jednocześnie, że rezygnuje z wspierania tzw. third-party cookies, plików śledzących wykorzystywanych m.in. przez dostawców usług analitycznych. Co to takiego?
Odświeżony tryb zgody ma polegać na tym, że użytkownik musi zostać poinformowany o tym, jakie pliki cookies są powiązane z daną witryną i zostaną zainstalowane na jego komputerze. Jednocześnie powinien mieć możliwość wyrażenia zgody lub odmowy na korzystanie z nich. Google planuje wprowadzić dwa rodzaje Consent Mode w zależności od rodzaju zgody wyrażonej przez użytkownika:
- w wariancie podstawowym blokowane są wszystkie pliki cookies, więc żadne informacje dotyczące użytkownika nie zostaną zebrane i przekazane dalej;
- w wariancie zaawansowanym dane o użytkowniku są wprawdzie gromadzone, ale w sposób anonimowy. Dane analityczne nadal mogą być zbierane, ale w ograniczonym zakresie.
Dla sklepów internetowych oznacza to konieczność rozbudowy bannerów informujących o plikach ciasteczek oraz odpowiedniego skonfigurowania poszczególnych usług śledzących.
Klient musi otrzymać możliwość wyboru na włączenie lub wyłączenie poszczególnych ciasteczek (niezbędne, preferencyjne, statystyczne, marketingowe). Może on zaakceptować wszystkie ciasteczka, jedynie niektóre albo wyrazić zgodę wyłącznie na pliki niezbędne do działania witryny. Warto zwrócić uwagę, czy po rozwinięciu poszczególnych kategorii ciasteczek użytkownik otrzymuje o nich dokładne informacje (przeznaczenie, data ważności i rodzaj ciasteczka). Szczegóły dotyczące wykorzystania plików cookies powinny znaleźć się w polityce prywatności lub w polityce cookies.
Zwłaszcza kiedy przedsiębiorca korzysta z usług typu CMP (ang. Consent Management Provider) należy upewnić się, że dostawca dostosował się do nowych wymagań. Można też wybrać jednego z dostawców CMP rekomendowanych przez Google. Obecnie jest to dziewięć podmiotów, w tym firmy takie, jak Usercentrics czy Commanders Act.
Consent Mode Vol. 2 powinien zostać wdrożony przez witryny internetowe do 6. marca 2024 r. Nadal jednak wielu przedsiębiorców nie dopilnowało nowego obowiązku. Jakie ryzyko niesie ze sobą zignorowanie trybu zgody?
Przede wszystkim administrator ryzykuje wysokie kary finansowe w związku z przetwarzaniem danych bez podstawy prawnej. Co więcej, Google będzie blokował dostęp do usług reklamowych powiązanych z kontem Google Ads.
Zobacz również: Kiedy sklep nie musi przyjąć zwracanego towaru: towary nieprefabrykowane, towary na zamówienie
Czy sklepy internetowe ponoszą odpowiedzialność za treść publikowanych opinii?
Warto zwrócić uwagę, że właściciele sklepów internetowych co do zasady nie odpowiadają za nielegalne treści publikowane przez użytkowników pod warunkiem, że niezwłocznie po otrzymaniu zgłoszenia w tej sprawie usuną je lub ograniczą do nich dostęp. Wyłączenie odpowiedzialności zachodzi również w momencie, kiedy sklep – w ramach cyklicznej moderacji treści serwisu – zidentyfikuje i usunie treści nielegalne z własnej inicjatywy.
Ustalenie czy konkretny sklep internetowy jest zobligowany do stosowania przepisów DSA nie zawsze będzie proste. W razie wątpliwości warto skorzystać ze wsparcia kancelarii prawnej doświadczonej zarówno w sektorze e-commerce, jak i świadczeniu pomocy prawnej na rzecz przedsiębiorstw stosujących nowoczesne technologie.
Zaufali nam: