Wróć do bloga

DSA – Compliance – czyli co mi zrobią jak mnie złapią


       Zgodność z Aktem o usługach cyfrowych– czyli co mi zrobią jak mnie złapią?

W Internecie pojawia się wiele artykułów na temat Aktu o usługach cyfrowych – Rozporządzenia UE (DSA – Compliance). Rozporządzenie w większości swoich postanowień zacznie obowiązywać od 17 lutego 2024.

Co ciekawe, Polska do 17 lutego 2024 na pewno nie wdroży przepisów wymagających doprecyzowania na poziomie krajowym. Projektu ustawy jak na razie brak, a 17-sty lutego jest dopiero datą końcową zgłaszania uwag do założeń ustawy krajowej.

Czy więc będzie to kolejna regulacja, która obowiązuje na poziomie UE, ale jej przestrzegania nie ma możliwości dochodzić?

Otóż nie… Jako, że jest to rozporządzenie UE – DSA – Compliance obowiązuje bezpośrednio we wszystkich krajach członkowskich i podobnie jak RODO, od 17 lutego 2024 zostanie wcielone do naszego polskiego porządku krajowego na mocy równej ustawie.

DSA reguluje m.in. następujące kwestie:

1. Wyłączenia od odpowiedzialności dla dostawców usług pośrednich za treści nielegalne i nieetyczne;

2. Dodatkowe obowiązki dostawców usług pośrednich w zakresie procedur reklamacyjnych i procedur zdjęcia lub zawieszenia treści na stronach internetowych

3. Dodatkowe zwiększone obowiązki dla platform internetowych (definiowanych jako usługa hostingu, która na żądanie odbiorcy usługi przechowuje i rozpowszechnia publicznie informacje, chyba że takie działanie jest nieznaczną lub wyłącznie poboczną cechą innej usługi lub nieznaczną funkcją głównej usługi, i ze względów obiektywnych i technicznych nie można z niej skorzystać bez takiej innej usługi, a włączenie takiej cechy lub funkcji w taką inną usługę nie jest sposobem na obejście stosowania niniejszego rozporządzenia;

4. Kolejne zwiększone obowiązki dla bardzo dużych platform internetowych (i tu konieczne jest stworzenie nowej niezależnej komórki organizacyjnej weryfikującej zgodność platformy z rozporządzeniem, ustalającej ryzyka dla platformy);

5. Wyeliminowanie tzw. zwodniczych interfejsów;

6. Obowiązek ujawniania w repozytorium szczegółowych informacji o prezentowanych reklamach w ramach bardzo dużych platform internetowych i wyszukiwarkach (art. 39).

O powyższym pisze się dużo, ale zadziwiająco mało pisze się o tym, co ma zostać uregulowane na poziomie krajowym, a właśnie tego dotyczyć mają konsultacje:

1. Powołaniu Koordynatorów ds. usług cyfrowych – art. 49 DSA – Compliance;

2. Karach za nieprzestrzeganie wytycznych z rozporządzenia – art. 52 i 74 DSA;

3. Szerokich uprawnienia Koordynatorów ds. usług cyfrowych w stosunku do dostawców usług pośrednich (z wyłączeniem bardzo dużych platform internetowych) art. 15 DSA;

4. Obowiązkach sprawozdawczych – nie tylko platform internetowych, ale też innych dostawców usług pośrednich (niebędących mikro i małymi przedsiębiorstwami);

5. Uprawnieniach podmiotów dotkniętych środkami nadzorczymi – np. zawieszeniem świadczenia usług przez danego przedsiębiorcę –  30 ust 3 DSA;

6. I wszelkimi innymi regulacjami dotyczącymi egzekwowania zapisów Rozporządzenia.

Ciekawe, że w czasie poprzedzającym wejście RODO głównym tematem były nakładane kary, natomiast w zakresie tego rozporządzenia bez wglądu do treści rozporządzenia można by założyć, że kar tych nie ma.

Tymczasem są… Krajowy koordynator ds. usług cyfrowych będzie miał m.in. uprawnienia do:

1. żądania od dostawców, udzielenia informacji bez zbędnej zwłoki;

2. prowadzenia kontroli lub zwrócenia się do organu sądowego w ich państwie członkowskim o nakazanie przeprowadzenia kontroli we wszelkich pomieszczeniach, których tacy dostawcy lub takie osoby używają do celów związanych z ich działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, lub do żądania tego od innych organów publicznych w celu zbadania, zajęcia, wykonania lub uzyskania kopii informacji związanych z podejrzeniem naruszenia w jakiejkolwiek postaci, niezależnie od nośnika, na jakim są przechowywane;

3. nakazania zaprzestania naruszeń;

4. nakładania grzywien lub zwrócenia się do organu sądowego w ich państwie członkowskim o nałożenie grzywien;

5. nakładania okresowych kar pieniężnych lub zwrócenia się do organu sądowego w ich państwie członkowskim o nałożenie okresowych kar pieniężnych;

6. przyjmowania środków tymczasowych lub zwrócenia się do właściwego krajowego organu sądowego w ich państwie członkowskim o przyjęcie środków tymczasowych.

Zarówno kary, jak i inne środki kontroli przymusu, mają być określone na poziomie krajowym – wytyczne w zakresie ich maksymalnej wysokości znajdują się natomiast w samym DSA:

1. 6 % rocznego światowego obrotu danego dostawcy usług pośrednich w poprzednim roku obrotowym. – za niewypełnienie obowiązku ustanowionego w niniejszym rozporządzeniu;

2. 1 % rocznego dochodu lub światowego obrotu danego dostawcy usług pośrednich lub danej osoby w poprzednim roku obrotowym – za udzielenie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji, nieudzielenie odpowiedzi lub niepoprawienie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji oraz niepoddanie się kontroli;

3. 5 % średniego dziennego światowego obrotu lub dochodu danego dostawcy usług pośrednich w poprzednim roku obrotowym – maksymalna dzienna wysokość okresowej kary pieniężnej;

4. Odbiorcy usługi mają prawo dochodzić od dostawców usług pośrednich, odszkodowania za wszelkie szkody lub straty poniesione w wyniku naruszenia przez tych dostawców ich obowiązków wynikających z niniejszego rozporządzenia.

Podsumowanie

Mając na uwadze powyższe warto zainteresować się nie tylko zapisami DSA, ale także planami naszego polskiego ustawodawcy, a następnie dokładnie zrewidować nie tylko swoje regulaminy, ale rzeczywiste wykonywanie zapisów rozporządzenia i wyznaczenie określonych funkcji odpowiedzialnych za procedury określone w rozporządzeniu, a każde naruszenie traktować jako istotne i wymagające zweryfikowania. Kary wymierzane są bowiem nie tylko za brak reakcji na naruszenia, ale również za ich nadużywanie bez weryfikacji.