Czym są platformy internetowe?
Pojęcie „platformy internetowej” na gruncie projektu Aktu o usługach cyfrowych zdefiniowano w art. 3 lit. i rozporządzenia DSA. Zgodnie z tą definicją platformę internetową należy rozumieć jako: „dostawcę usługi hostingu, który na żądanie odbiorcy usługi przechowuje i rozpowszechnia publicznie informacje, chyba że takie działanie jest nieznaczną i wyłącznie poboczną funkcją innej usługi, i ze względów obiektywnych i technicznych nie można go wykorzystać bez takiej innej usługi, a włączenie takiej funkcji w taką inną usługę nie jest sposobem na obejście stosowania niniejszego rozporządzenia”. Co to w praktyce oznacza? Tyle, że nowym rozporządzeniem objęte zostaną właściwie wszystkie strony internetowe i portale społecznościowe.
Jednakże nowymi przepisami nie będą objęte na przykład internetowe wydania gazety, w ramach których wydzielono sekcje na komentarze, bo wtedy funkcjonalność ta ma charakter poboczny w stosunku do głównej usługi, jaką jest publikowanie wiadomości. Nowymi przepisami nie będą także objęci dostawcy usług komunikacji elektronicznej tak długo jak ich aplikacja umożliwia jedynie komunikowanie się, nie będąc przy tym jedynie dodatkiem do portalu społecznościowego, jak ma to na przykład miejsce w przypadku Messengera i Facebooka oraz dostawców takich usług jak poczta elektroniczna, komunikatory internetowe czy usługi czatów grupowych.
Podsumowując powyższe, nowe przepisy Aktu o usługach cyfrowych dotyczą takie podmioty, jak:
- serwisy społecznościowe;
- internetowe platformy handlowe, e-commerce;
- sklepy internetowe z aplikacjami (np. Google Play czy App Store);
- platformy wymiany treści;
- serwisy online umożliwiające np. zakup usług turystycznych lub wynajem lokali od osoby prywatnych;
- platformy, które kwalifikują się jako mikroprzedsiębiorstwa lub małe przedsiębiorstwa w rozumieniu załącznika do zalecenia 2003/361/WE;
- platformy, do których stosują się dodatkowe – w stosunku do usługi hostingu – obowiązki;
- „bardzo duże platformy internetowe”.
Tak jak pierwsze kilka grup nie wymaga specjalnego objaśnienia, tak trzy ostatnie już tak. Chodzi bowiem o to, że stosowanie się do poszczególnych obowiązków określonych w projekcie Aktu powiązano z wielkością danej platformy na zasadzie proporcjonalności. Istnieją tu zatem trzy kategorie:
- Te platformy, które spełniają przesłanki mikroprzedsiębiorstwa, a więc zatrudniające mniej niż 10 osób, przy rocznym obrocie i/lub rocznej sumie bilansowej mniejszej niż 2 mln EUR;
- Te platformy, które spełniają przesłanki małego przedsiębiorstwa, a więc zatrudniające więcej jak 10, ale mniej niż 50 osób, przy rocznym obrocie i/lub rocznej sumie bilansowej mniejszej niż 10 mln EUR;
- Te platformy, które spełniają przesłanki „bardzo dużej platformy internetowej”, a więc zatrudniające powyżej 50 osób, przy rocznym obrocie i/lub rocznej sumie bilansowej mniejszej przekraczającej 10 mln EUR (czyli na przykład Facebook czy Twitter).
Po co takie wyróżnienie? Dlatego, że większość nowych obowiązków spadnie na tą ostatnią grupę, czyli na bardzo duże platformy, podczas gdy pozostałe odnotują w większości przypadków jedynie niewielką zmianę swojej sytuacji.
Jak rozumieć pojęcie dużej platformy internetowej?
Rozporządzenie DSA wprowadza pojęcie bardzo dużej platformy internetowej (ang. Very Large Online Platform, VLOP) oraz bardzo dużej wyszukiwarki internetowej (ang. Very Large Search Engine, VLOSE). Oba te określenia odnoszą się do największych podmiotów, które świadczą usługi objęte zakresem przedmiotowym aktu prawnego.
Pojęcia zarówno VLOP, jak i VLOSE odnoszą się do podmiotów, które odnotowują średnią comiesięczną liczbę użytkowników na poziomie odpowiadającym przynajmniej 10% liczebności całkowitej populacji Unii Europejskiej. Obecnie wartość ta została ustalona na poziomie 45 milionów z zastrzeżeniem, że Komisja Europejska będzie uprawniona do zwiększenia tej wartości, jeśli liczebność społeczeństwa wspólnotowego ulegnie zwiększeniu.
Według stanu na luty 2023 r. na liście VLOP i VLOSE znajduje się niespełna 20 podmiotów, wśród których można odnaleźć tak dobrze znane w Polsce serwisy, jak Zalando, Google Maps, Youtube, Facebook czy Twitter. Z całą pewnością ta lista będzie stopniowo ulegała rozszerzeniu.
Jakie obowiązki spoczywają na dużych platformach online?
Wymagania jakie muszą spełnić VLOP oraz VLOSE można podzielić na dwie kategorie:
- ogólne, które dotyczą wszystkich adresatów rozporządzenia lub też poszczególnych kategorii dostawców usług pośrednich;
- szczególne, spoczywające wyłącznie na podmiotach zakwalifikowanych jako duże platformy.
Wymagania ogólne, wspólne dla wszystkich platform internetowych
Jeśli chodzi o „zwykłe” platformy, a więc wszystkie niebędące „bardzo dużymi platformami internetowymi”, to nowe obowiązki będą się sprowadzały właściwie do:
- obowiązków związanych z moderowaniem treści umieszczanych na platformach;
- obowiązków dotyczących przejrzystości funkcjonowania internetowych platform handlowych;
- obowiązków dotyczących przejrzystości reklam internetowych;
- obowiązków sprawozdawczych platform internetowych.
Jeśli chodzi o obowiązek moderowania treści, oznacza on konieczność podejmowania przez właścicieli działań w celu wykrycia, identyfikowania i zwalczania nielegalnych treści lub informacji niezgodnych z warunkami korzystania z ich usług. By to osiągnąć mają oni wdrożyć środki, które wpływają na dostępność, widoczność i osiągalność takich nielegalnych treści lub informacji. Jak takie działanie może wyglądać w praktyce?
Na przykład w ten sposób, że właściciele platform zaczną implementować na swoich stronach narzędzia umożliwiające im ograniczenie eksponowania takich treści (np. dany artykuł nie będzie wyświetlał się na stronie głównej), umożliwiające im blokowanie lub usuwanie takich wpisów czy w końcu zawieszanie czy usuwanie kont zamieszczających takie wpisy osób. Przy tym nie wolno zapominać, że teraz samo usunięcie treści nie jest wystarczające – zgodnie z nowymi przepisami – konieczne będzie też zapewnienie, że ta treść nie zostanie umieszczona ponownie.
Ponadto zgodnie z projektem wszyscy użytkownicy powinni mieć możliwość łatwego i skutecznego kwestionowania decyzji platform internetowych, które mają na nich negatywny wpływ. Przede wszystkim chodzi tutaj o decyzje w kontekście usunięcia informacji lub uniemożliwienia dostępu do nich, zawieszenia lub zakończenia świadczenia usługi na rzecz takich użytkowników oraz zawieszenia lub usunięcia konta użytkowników. W związku z powyższym na platformy zostanie nałożony obowiązek zapewnienia wewnętrznego systemu rozpatrywania skarg na wskazane decyzje. System ten ma w założeniu być łatwo dostępny i przyjazny dla użytkowników i, co ciekawe, nie w pełni zautomatyzowany.
W rozporządzeniu pojawia się też obowiązek współpracy z certyfikowanymi organami pozasądowego rozstrzygania sporów w celu rozwiązywania wszelkich sporów z użytkownikami. Certyfikacji tych organów będzie dokonywał koordynator ds. usług cyfrowych, a decyzje wydane przez ten organ będą wiążące dla platform. Przy tym opisane wyżej środki nie będą zamykać użytkownikowi drogi do skorzystania z innych środków zaskarżenia przewidzianych w danym państwie członkowskim (np. prawa do wniesienia sprawy przed sąd powszechny).
Z obowiązkiem moderowania treści bezpośrednio wiąże się też obowiązek zapewnienia priorytetowego traktowania zgłoszeń składanych przez te podmioty, którym przyznano nowo wprowadzany status zaufanych podmiotów sygnalizujących – tzw. trusted flaggers. Będzie on przyznawany przez koordynatora ds. usług cyfrowych na wniosek zainteresowanego.
Do tego dochodzi obowiązek informowania przez platformy internetowe właściwych organów ścigania w razie uzyskania informacji dającej podstawę do podejrzenia „poważnych przestępstw”, które mogą stanowić zagrożenie dla życia lub bezpieczeństwa osób. Wymóg ten pojawiać się będzie zarówno w sytuacji gdy platforma taką informacje poweźmie samodzielnie jak i w przypadku gdy ją otrzyma z zewnątrz np. od użytkownika. Jednakże wymóg ten nie może stanowić podstawy do masowego profilowania odbiorców usług.
Rozporządzenie przewiduje także obowiązek wprowadzenia odpowiednich środków przeciwko niewłaściwemu korzystaniu z platformy oraz ochrony przed niewłaściwym korzystaniem z systemu „notice take action”. Chodzi o to, że platformy będą zobowiązane do przeciwdziałania tak jak dotychczas w przekazywaniu na platformie treści nielegalnych treści, ale też nadużyciom w kwestii składania ewidentnie bezzasadnych zgłoszeń lub skarg w ramach mechanizmów „notice take action”. Stwierdzono bowiem, że bardzo często dochodzi do nadużywania tych mechanizmów, na przykład celem blokowania i ograniczania konkurencji, co stoi w sprzeczności z ich założeniami.
Co więcej za takie nadużycia przewidziano sankcje, i tak po obowiązkowym dokonaniu uprzedniego upomnienia, platforma może zawiesić świadczenie usług lub odebrać możliwość składania skarg i zgłoszeń za pośrednictwem mechanizmów „notice take action”, w stosunku do użytkowników dopuszczających się naruszeń. Jednocześnie platformy zostały zobowiązane do opisania powyższego w ramach swoich regulaminów, w szczególności w jaki sposób i na jakiej podstawie oceniać będą czy dane zachowanie stanowi niewłaściwe korzystanie, a także w odniesieniu do okresu zawieszenia.
Ochrona konsumentów przed nielegalnymi towarami
Jednym z założeń rozporządzenia DSA jest aktywne zniechęcenie przedsiębiorców do sprzedawania produktów lub usług z naruszeniem właściwych przepisów. By osiągnąć ten cel projekt zakłada wprowadzenie dwóch grup obowiązków. Pierwszą z nich jest wprowadzenie obowiązku blokowania sprzedaży nielegalnych towarów lub usług umieszczonych na platformie (w tym blokowania reklam). Te działania mają być prowadzone w oparciu o stosowne zasady i przepisy dotyczące usuwania nielegalnych treści funkcjonujące w państwach członkowskich.
Drugą grupą obowiązków jest przymuszenie tych platform, które umożliwiają konsumentom zawieranie z przedsiębiorcami umowy na odległość, do tego by zapewniały identyfikowalność takich przedsiębiorców. W ich ramach wspomniane platformy internetowe będą musiały identyfikować swoich użytkowników biznesowych, a ich klientom w sposób zrozumiały wyjaśniać, kto sprzedaje dany produkt lub oferuje usługę. Wszystko to w celu łatwiejszego wykrywania nieuczciwych sprzedawców i ochrony kupujących w Internecie.
Co ciekawe po raz pierwszy na poziomie europejskim ustanowiono obowiązek weryfikacji przekazanych danych w oparciu o dostępne bazy danych bowiem planuje się zobowiązanie platform do „rozsądnych” (tj. z pominięciem nadmiernych obciążeń) działań w celu weryfikacji wiarygodności przekazanych przez partnerów informacji (art. 31 DSA, motyw 73), na przykład właśnie poprzez „wykorzystanie ogólnodostępnych oficjalnych internetowych baz danych i interfejsów internetowych, takich jak krajowe rejestry handlowe i system wymiany informacji o VAT”. Przewiduje się nawet możliwość żądania przez platformy przedstawienia wiarygodnych dokumentów potwierdzających przekazane informacje od potencjalnych partnerów. Przykładowo mogą to być kopie dokumentów tożsamości, ale rozporządzenie przewiduje także możliwość żądania przedstawienia dokumentów takich jak: uwierzytelnione wyciągi bankowe, zaświadczenia o prowadzeniu działalności gospodarczej i zaświadczenia z rejestrów handlowych.
Nie należy się jednak obawiać, że w wyniku wprowadzenia powyższych przepisów utoniemy w biurokracji. Powyższe rozwiązania są jedynie możliwościami jakie ma platforma, a samo rozporządzenie wprost wskazuje, że nie ma konieczności angażowania się w nadmierne lub kosztowne działania związane z weryfikacją partnera. Oczywiście im więcej działań podejmiemy, tym lepiej.
Dodatkowo platformy mają obowiązek przechowywania informacji dotyczących przedsiębiorców korzystających z ich usług przez okres trwania stosunku umownego z danym przedsiębiorcą.
Przejrzystość reklam internetowych
Zgodnie z rozwiązaniami DSA platforma ma dodatkowe obowiązki informacyjne związane z reklamami. W motywie 68 wskazano, że platformy mają obowiązek zapewnić użytkownikom możliwość zapoznania się z tym, kiedy i w czyim imieniu wyświetlana jest reklama. Oznaczenia treści marketingowych – w myśl art. 26 rozporządzenia – powinny precyzować:
- że dany przekaz jest reklamą;
- w czyim imieniu reklama jest prezentowana oraz kto ją finansuje (jeżeli jest to inny podmiot niż zlecający);
- główne parametry wykorzystywane do zdefiniowania odbiorcy.
Obowiązki sprawozdawcze platform internetowych
Kolejną nowością jest szereg dodatkowych obowiązków dla platform internetowych, jeśli chodzi o kwestie sprawozdawcze (art. 24 rozporządzenia DSA). Przede wszystkim sprowadzają się one do obowiązku publikowania przez platformy sprawozdań obejmujących:
- liczbę sporów przekazanych do organów pozasądowego rozstrzygania sporów, wyniki tych sporów oraz medianę czasu potrzebnego do ich rozstrzygnięcia;
- liczbę przypadków zawieszenia świadczenia usług wraz ze wskazaniem tego zawieszenia.
Dodatkowo platformy internetowe co najmniej raz na sześć miesięcy muszą publikować informacje na temat średniej liczby aktywnych odbiorców usługi miesięcznie z podziałem na każde państwo Unii Europejskiej. Ma to służyć bieżącej weryfikacji statusu platformy a przez to jej obowiązków przez koordynatora ds. usług cyfrowych.
Wymagania szczególne, dotyczące dużych platform internetowych
Na duże platformy internetowe został nałożony szereg dodatkowych wymagań. Ma to związek z “siłą oddziaływania” takich serwisów, jak Facebook czy Twitter. Poprzez nałożenie poszerzonych obowiązków ustawodawca niejako wymusza zwiększoną transparentność działań szczególnie dużych uczestników rynku. O czym powinny pamiętać podmioty kwalifikowane jako VLOP/VLOSE?
Analiza ryzyka
Dostawcy zakwalifikowani jako VLOP lub VLOSE mają obowiązek przeprowadzania cyklicznej ewaluacji ryzyka, czyli jego:
- identyfikację;
- analizę;
- ocenę –
– które wynika ze świadczonej usługi, a także powiązanych z nią innych usług i systemów. Analizę ryzyka przeprowadza się przed każdym wdrożeniem usługi mającej krytyczny wpływ na ocenę ryzyka w przyszłości, a w każdym razie nie rzadziej niż raz do roku. Ocena powinna bazować na zasadzie proporcjonalności i obejmować przynajmniej:
- ryzyko rozpowszechnienia nielegalnych treści za pośrednictwem usług VLOP/VLOSE;
- ryzyko wystąpienia faktycznych lub przewidywalnych negatywnych skutków dla:
- wykonywania praw podstawowych;
- dla dyskursu obywatelskiego, przepisów wyborczych oraz bezpieczeństwa publicznego;
- w odniesieniu do przemocy ze względu m.in. na płeć danej osoby i ochronę zdrowia publicznego.
Dokonując oceny ryzyka należy zwrócić szczególną uwagę na to, w jaki sposób wpływają na nie określone czynniki, w tym system moderowania treści, warunki korzystania z usług, system wyboru i prezentowania reklam oraz postępowanie dostawcy z danymi osobowymi, a także automatyzacja świadczenia usług (np. za pomocą AI).
Przynajmniej raz na trzy lata ocena ryzyka powinna być przekazana Komisji Europejskiej oraz lokalnemu koordynatorowi.
Obowiązkiem dostawców jest mitygacja ryzyka. Każdy podmiot samodzielnie dobiera odpowiednie sposoby działania, które zdaniem ustawodawcy powinny być „rozsądne, proporcjonalne i skuteczne”.
Rozporządzenie DSA zawiera w tym zakresie jedynie przykładowe wytyczne. Zgodnie z art. 35 aktu prawnego takie działania mogą polegać m.in. na prowadzeniu serii testów lub wzmocnieniu zasobów platformy (np. poprzez silniejsze szyfrowanie kryptograficzne lub przejście na inną usługę chmurową).
Wprowadzenie mechanizmu reagowania kryzysowego
Kolejnym obowiązkiem jest wprowadzenie rozwiązań pozwalających na natychmiastowe uruchomienie mechanizmu reagowania kryzysowego na żądanie Komisji. Może ona zobowiązać podmioty VLOP lub VLOSE do oceny, czy prowadzone przez nich działania przyczyniają się do powstania stanu kryzysowego, a także zobligować do podjęcia starań zmierzających do zapobieżenia takiemu stanowi.
Pod pojęciem sytuacji kryzysowej unijny ustawodawca rozumie sytuację, kiedy ze względu na nadzwyczajne okoliczności na całym terytorium Unii Europejskiej lub jego znacznej części pojawia się poważne zagrożenia bezpieczeństwa publicznego lub zdrowia publicznego. Do takich wyjątkowych sytuacji można by zakwalifikować np. działania zbrojne lub pandemię.
Obowiązek poddania się niezależnemu audytowi
Dostawcy dużych platform internetowych mają obowiązek poddać się na własny koszt niezależnemu audytowi przynajmniej raz w roku. Taki audyt ma za zadanie ustalić, czy podmiot realizuje swoje obowiązki określone w rozdziale III rozporządzenia, czyli dotyczące działań, mających na celu utrzymanie przejrzystego i bezpiecznego środowiska internetowego oraz w zakresie kodeksów postępowania i protokołów kryzysowych.
Audyt musi być przeprowadzony przez niezależną organizację spełniającą odpowiednio wysokie wymagania etyczne, a także zakończyć się sporządzeniem pisemnego sprawozdania. Jeżeli ocena audytu jest inna, niż pozytywna, sprawozdanie zawiera również rekomendacje wraz z terminem, w jakim należy przywrócić zgodność z prawem.
Dodatkowa przejrzystość reklam internetowych
Rozporządzenie DSA zaostrza wymagania względem przekazów reklamowych emitowanych za pośrednictwem swoich serwisów przez VLOP/VLOSE. Zgodnie z art. 39 wspomnianego aktu prawnego platforma ma obowiązek prowadzenia w wyodrębnionym miejscu serwisu repozytorium, które zawiera informacje dotyczące co najmniej:
- treści reklamy, w tym nazwę produktu, usługi lub marki oraz przedmiot reklamy;
- osoby fizycznej lub prawnej w imieniu której reklama jest prezentowana, a także podmiotu, który zapłacić za reklamę (jeśli nie są one ze sobą tożsame);
- okresu, w którym reklama była prezentowana;
- informacji, czy reklama miała być prezentowana określonej grupie odbiorców (np. rodzicom dzieci), a jeśli tak – wskazanie parametrów pozwalających na określenie docelowej grupy;
- informacji, czy reklama zawiera informacje handlowe;
- całkowitej liczby odbiorców usługi odbiorców do których usługa dotarła, z podziałem na państwa członkowskie, jeśli jest to uzasadnione.
Takie dane muszą być gromadzone przez cały czas emitowania reklamy oraz okres jednego roku od ostatniego jej wyświetlenia. W przypadku usunięcia reklam z uwagi na podejrzenie ich nielegalności zakres informacji udostępnianych w ramach repozytorium będzie prezentował się nieco inaczej.
Zapewnienie dostępu do danych
Podmioty VLOP/VLOSE mają obowiązek gromadzić i przechowywać dane potwierdzające zgodność rozporządzeniem w taki sposób, aby możliwe był ich przekazania na żądanie Komisji lub lokalnego koordynatora. Może to oznaczać również konieczność ujawnienia informacji stanowiących informacji istotnych dla przedsiębiorstwa, jak projekt, logika, funkcjonowanie i zasady testowania systemów algorytmicznych oraz rekomendacji.
Warto zwrócić uwagę, że duże platformy internetowe nie mają możliwości uchylenia si od obowiązku udostępnienia danych, za wyjątkiem sytuacji, kiedy:
- prowadziłoby to do znacznych lub w zakresie bezpieczeństwa ich usług lub ochrony informacji poufnych, w szczególności tajemnicy przedsiębiorstwa;
- nie mają dostępu do tych danych (np. z uwagi na automatyczne usuwanie archiwów co pewien czas).
Jest to jednak wyjątek dostępny wyłącznie na wniosek, choć i w takim przypadku niezbędne jest przedstawienie środka alternatywnego, który zapewni dostęp do danych lub dostarczy informacje adekwatne i wystarczające do żądań koordynatora.
Obowiązek utworzenia działu compliance
W celu zapewnienia zgodności z przepisami rozporządzenia duże platformy internetowe mają też obowiązek utworzenia działu compliance. Taka komórka musi być całkowicie niezależna od pozostałych działów przedsiębiorstwa. Najłatwiej przyrównać ją do Inspektora Ochrony Danych w zakresie RODO. Do obowiązków działu compliance w zakresie DSA należy:
- współpraca z koordynatorem na szczeblu lokalnym oraz Komisją;
- opracowanie mechanizmów pozwalających na identyfikowanie i zgłaszanie ryzyka oraz zarządzanie nim;
- współpraca z niezależny audytem;
- pełnienie funkcji doradczej oraz konsultacyjnej zarówno dla kierownictwa platformy internetowej, jak i pracowników;
- monitorowanie bieżącego wykonywania obowiązków na gruncie rozporządzenia;
- monitorowanie zgodności działania dużych platform internetowych z wdrożonymi kodeksami postępowania.
Obowiązek transparentności w zakresie moderacji treści
Duże platformy internetowe, tak jak wszyscy dostawcy usług pośrednich, są zobowiązane udostępniać do wiadomości publicznej sprawozdania dotyczące wszelkiego rodzaju moderacji treści. Są jednak zobowiązane czynić to częściej – minimum co 6 miesięcy. Muszą one zawierać dwie grupy informacji:
- Informacje ogólne, czyli:
- liczbę nakazów dotyczących treści nielegalnych;
- liczbę zgłoszeń nielegalnych treści w przypadku hostingu;
- przypadki samodzielnej moderacji treści z wyodrębnieniem moderacji zautomatyzowanej;
- liczbę przypadków skarg zgłoszonych za pośrednictwem wewnętrznych systemów;
- Informacje szczegółowe obejmujące:
- dane na temat zasobów ludzkich przeznaczonych na moderację treści oraz ich kwalifikacji;
- wskaźnik dokładności automatycznego moderowania treści.
Transparentność jest też realizowana poprzez podawanie do publicznej wiadomości wyników niezależnego audytu zawierających m.in. ocenę ryzyka działalności serwisu.
Praktyczne aspekty wdrażania obowiązków spoczywających na VLOP/VLOSE – Przykłady Schein oraz Facebook
Poniżej prezentujemy praktyczne wnioski dotyczące działań, jakie muszą podjąć duże platformy, aby móc funkcjonować w zgodzie z rozporządzeniem DSA. Bazujemy na dwóch przykładach. Jednym z nich jest firma Schein – globalny producent damskiej odzieży, który 26 kwietnia 2024 r. został uznany przez Komisję Europejską za VLOP. Czasu na wdrożenie zmian w tym przypadku nie zostało dużo, ponieważ muszą one zostać zaimplementowane do końca sierpnia 2024 r. (w ciągu 4 miesięcy od desygnacji). Drugi to platforma Meta, czyli właściciel m.in. serwisu społecznościowego Facebook, który już składał pierwsze raporty.
W jaki sposób Schein powinno wdrożyć DSA?
Wśród działań, jakie musi przeprowadzić Schein należy wskazać wzmocnienie nadzoru nad nielegalnymi produktami poprzez:
- analizę ryzyka systemowego w odniesieniu do rozpowszechniania nielegalnych treści i produktów oraz projektu lub funkcjonowania swoich usług i powiązanych z nimi systemów. Pierwsze sprawozdanie należy przedłożyć do końca sierpnia 2024 r., kolejne raz w roku;
- wdrożenie środków pozwalających na zmniejszenie ryzyka wystawiania i sprzedaży podrabianych towarów, niebezpiecznych produktów i przedmiotów, które mogą naruszać prawa własności intelektualnej. Do przykładowych rozwiązań można zaliczyć ulepszenie projektu interfejsu użytkownika poprzez wprowadzenie funkcji pozwalających na zgłaszanie podejrzanych ofert oraz wzmocnienie procesu moderacji (w tym automatycznych algorytmów) poprzez usuwanie nielegalnych towarów;
- przeanalizowanie i dopasowanie wszystkich wewnętrznych procesów, zasobów i dokumentacji pozwalających na wykrywanie ryzyk systemowych.
Należy też pamiętać o wzmocnieniu ochrony przysługującej konsumentom w drodze:
- corocznego sporządzania sprawozdań z oceny ryzyka oceniających wszelkie potencjalne niekorzystne skutki dla zdrowia i bezpieczeństwa konsumentów (w szczególności nieletnich użytkowników);
- modyfikacji interfejsu platformy tak, aby zabezpieczała nabywców przed zakupem towarów nielegalnych lub szkodliwych. W tym celu zaleca się wdrożenie odpowiednio rozbudowanych systemów kontroli wieku tak, aby realnie ograniczyć możliwość nabycia towarów objętych limitem wieku.
Otrzymując status VLOP platforma Schein przyjęła na siebie także obowiązek zachowania poszerzonej transparentności oraz odpowiedzialności. Przede wszystkim chodzi o to, aby ocenę wypełniania przepisów powierzyć zewnętrznej i niezależnej kontroli. Dodatkowo platforma musi publikować repozytoria wszystkich reklam, które pojawiają się w jej interfejsie. Raporty w tym zakresie muszą być ujawnione publicznie. Kolejnym obowiązkiem jest także konieczność publikacji co 6 miesięcy raportów zawierających wyniki moderowania treści oraz zarządzania ryzykiem, a raz na 12 miesięcy – raporty dotyczące ryzyka systemowego oraz wyników audytów. Niezależnie od tego Schein ma obowiązek wytypować compliance officera i podlega zewnętrznym audytom w zakresie zgodności z DSA.
Warto pamiętać, że unijny ustawodawca nie wskazuje konkretnych mechanizmów jakie mają zostać zastosowane przez VLOP/VLOSE. Wymaga jednak określonych efektów.
W jaki sposób z DSA poradził sobie Facebook?
W przypadku platformy Schein musimy jeszcze poczekać, aby zobaczyć konkretne rozwiązania. Na razie znane są tylko ogólne zalecenia mające na celu zapewnienie zgodności z unijnymi przepisami. Jak w takim razie z DSA compliance poradził sobie Facebook? Spójrzmy na konkretne zmiany:
- przebudowana i poszerzona AdLibrary, czyli repozytorium reklam pozwala na zapoznanie się z informacjami dotyczącymi publikowanych ogłoszeń każdej osobie przez rok;
- reklamy kierowane do osób w wieku między 13 a 17 lat są dopasowywane wyłącznie do wieku i do lokalizacji użytkownika, ale już nie do jego aktywności;
- wprowadzono 22 panele informacyjne wyjaśniające ogólne zasady działania algorytmów dla takich funkcji, jak Feed, Reels czy Stories. Oczywiście chodzi o to, aby użytkownik wiedział, dlaczego dana treść jest wyświetlana, firma nie musi publikować danych stanowiących tajemnicę przedsiębiorstwa;
- udostępniono badaczom dwa nowe narzędzia – Meta Content Library oraz interfejs API do przeglądania treści publikowanej w serwisie;
- udostępniono użytkownikom możliwość łatwego przeglądania treści, która nie jest dla nich rekomendowana przez wbudowane algorytmy AI;
- ułatwiono dostęp do funkcji zgłaszania nielegalnych treści, a także przebudowano moderację treści tak, aby wszyscy użytkownicy (a nie tylko ten, kto umieścił daną treść) byli informowani o usunięciu contentu. Dotyczy to sytuacji, kiedy wprowadzane są ograniczenia w korzystaniu z konta lub treść jest ograniczana z uwagi na naruszenie lokalnych przepisów.
Zaglądając do raportu transparentności opublikowanego 27 października 2023 r. przez firmę Meta w odniesieniu do platformy Facebook, można docenić skrupulatność i szczegółowość sprawozdania, które powinno stanowić swego rodzaju benchmark dla innych VLOP/VLOSE. To 25 stron konkretnych danych, precyzujących działania, jakie były podejmowane w poszczególnych krajach aktywności serwisu społecznościowego.
Nie ulega wątpliwości, że przyznanie statusu dużej platformy oznacza okres wytężonej pracy i powinno być przewidziane z wyprzedzeniem, np. na podstawie narzędzi do analizy ruchu sieciowego. W przeciwnym razie może się okazać, że okres 4 miesięcy wynikających z rozporządzenia to zbyt mało, aby skutecznie dostosować swój biznes do nowych wymagań.
Co grozi za nie dostosowanie firmy do wymogów rozporządzenia?
Za niestosowanie się do wymagań rozporządzenia grożą surowe kary finansowe wymienione w art. 52 rozporządzenia.
Maksymalna wysokość grzywien za niewykonanie obowiązków może sięgnąć do 6% rocznego światowego obrotu dostawcy usług. Jeśli uchybienie polega na nieprzekazaniu wymaganych prawem informacji lub też informacje te są nieprawdziwe, niekompletne lub wprowadzające w błąd, maksymalna kara wynosi 1% rocznego światowego obrotu platformy.
Tam gdzie sankcja przybiera wymiar dzienny, jej maksymalna wysokość wynosi do 5% średniego dziennego światowego obrotu lub dochodu danego dostawcy usług pośrednich w poprzednim roku obrotowym.
Aby lepiej wyobrazić sobie wymiar sankcji na gruncie DSA, można przytoczyć wyniki finansowe Grupy Allegro. Tylko w trzecim kwartale ubiegłego roku w Polsce platforma odnotowała skorygowaną EBITDA (w uproszczeniu – zysk operacyjny) w wysokości 778 milionów złotych.
Spełnienie warunków dla dużych platform i co dalej?
Niezależnie od wdrożenia wymagań zarezerwowanych dla VLOP/VLOSE duże platformy internetowe mają obowiązek zastosować wszystkie rozwiązania przewidziane dla mniejszych dostawców usług pośrednich. Oznacza to konieczność zaimplementowania m.in.:
- procedury notice action w celu zgłaszania i usuwania treści nielegalnych;
- jasnego i przejrzystego oznaczania materiałów reklamowych;
- priorytetowe rozpatrywanie zgłoszeń tzw. trusted flaggers, czyli zaufanych sygnalistów oraz możliwość zawieszenia świadczenia usługi wobec osób nadużywających zgłoszeń;
- niezwłocznego zgłaszania naruszeń organom ścigania;
- mechanizmów pozwalających na zachowanie transparentności towarów i usług świadczonych przez przedsiębiorców;
- regulaminu świadczenia usług napisanego w jasny i przejrzysty sposób w języku państwa członkowskiego na terenie którego operuje dostawca;
- mechanizmy ograniczające bazowanie reklama na danych wrażliwych;
- możliwość rezygnacji z systemu rekomendacji przez użytkowników;
- zakazu adresowania reklam do dzieci;
- punktu kontaktowego dla odbiorców usług.
Duże platformy internetowe stanęły przed trudnym zadaniem dopasowania swojej działalności do bieżących wymogów prawa. W praktyce wiąże się to z koniecznością aktualizacji lub opracowania zupełnie nowych polityk bezpieczeństwa, regulaminów i procedur, ale także wdrożeniem wielu rozwiązań informatycznych. Można się spodziewać, że w związku ze zmianami i nałożoną opłatą nadzorczą pojawią się dodatkowe opłaty za korzystanie z wielu serwisów, jak np. media społecznościowe.
Kancelaria RPMS oferuje kompleksowe wsparcie w zakresie dopasowania usług świadczonych przez dostawców usług pośrednich do wymagań stawianych przez DSA. Nasi specjaliści przeanalizują środowisko prawno-biznesowe przedsiębiorstwa i doradzą wdrożenie rozwiązań gwarantujących zgodność z przepisami. Poza obsługą compliance gwarantujemy także bieżące wsparcie prawne w działalności gospodarczej.
1https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32022R2065
Pytania i odpowiedzi
Zgodnie z art. 33 ust. 5 rozporządzenia DSA, Komisja znosi wskazanie VLOP/VLOSE, jeśli w nieprzerwanym okresie jednego roku platforma internetowa lub wyszukiwarka internetowa nie ma średniej liczby aktywnych miesięcznie odbiorców usługi równej lub wyższej progowi wskazanemu w rozporządzeniu. Utrata statusu dużej platformy internetowej wiąże się z zawężeniem zakresu obowiązków, które musi wypełnić dany podmiot.
Duże platformy internetowe są zobligowane do ponoszenia opłaty nadzorczej związanej z kosztami, jakie Komisja ponosi w związku z realizację obowiązków nadzorczych. Opłata jest uiszczana rocznie i określana dla każdej usługi świadczonej przez platformę osobno. Niezależnie od tego finansowanie audytów czy tworzenie repozytoriów reklam również jest pokrywane z budżetu przedsiębiorstwa.
Zgodnie z art. 24 ust. 4 DSA koordynator informuje o tym fakcie Komisję Europejską, która podejmuje niezbędne działania w celu przyznania platformie internetowej statusu VLOP/VLOSE. Z tym faktem wiąże się konieczność wypełnienia wszystkich dodatkowych obowiązków przewidzianych dla grupy największych podmiotów.
Zaufali nam: