Porozumienie osiągnięte 22 kwietnia jest kolejnym – po Digital Markets Act (DMA) – sukcesem negocjacyjnym w obszarze regulacji platform internetowych. Komisja Europejska (KE) przedstawiła projekt rozporządzenia w grudniu 2020 r., a prace w trilogach (między trzema instytucjami UE: Radą, Komisją i Parlamentem) prowadzone w celu osiągnięcia kompromisu trwały niecałe cztery miesiące (od stycznia do kwietnia br.). Akt o Usługach Cyfrowych (Digital Services Act, DSA) wejdzie w życie prawdopodobnie w styczniu 2024 r., a europejskie małe i średnie przedsiębiorstwa (MŚP) będą miały więcej czasu niż pozostałe firmy na dostosowanie się do nowych regulacji.

Założenia Aktu o Usługach Cyfrowych

 DSA dotyczy przede wszystkim platform internetowych oraz innych usługodawców internetowych działających w UE, takich jak tzw. rynki internetowe (marketplaces, typu Amazon czy Allegro), media społecznościowe i wyszukiwarki. Przewidywane w rozporządzeniu obowiązki są uzależnione od rozmiaru firmy. Im większy podmiot, tym rozleglejsza jest lista powinności. Kategorie bardzo dużych platform internetowych (very large online platforms, VLOPs) oraz bardzo dużych wyszukiwarek (VLOSE – very large online search engines) obejmą firmy, które posiadają powyżej 45 mln aktywnych użytkowników miesięcznie w UE. Do tych kategorii, choć nie ma jeszcze szczegółowych ustaleń sposobu liczenia użytkowników, zostaną zaliczone największe amerykańskie platformy (m.in. Google, YouTube, Amazon, Apple, Meta). Firmy określone jako VLOP i VLOSE będą musiały stale analizować i minimalizować tzw. ryzyka systemowe, takie jak rozprzestrzenianie nielegalnych i szkodliwych treści (np. dezinformacji) czy manipulacja zachowaniami użytkowników. Coroczny obowiązkowy audyt zewnętrzny oceni te działania i ich zgodność z postanowieniami DSA. VLOP-y będą też musiały zapewnić instytucjom nadzorczym (krajowym i KE) oraz badaczom dostęp do tych danych i algorytmów, które pozwolą dokonać szczegółowej oceny. Przepisy przewidują ponadto tzw. mechanizm kryzysowy, w ramach którego w przypadku zdarzeń zagrażających bezpieczeństwu publicznemu czy zdrowiu (takich jak rosyjska inwazja na Ukrainę, pandemia COVID-19) KE będzie mogła wymusić na VLOP-ach określone działania, np. usunięcie na trzy miesiące wybranych treści powielających szkodliwą dezinformację lub kont użytkowników podżegających do niebezpiecznych zachowań.

W ramach DSA wszystkie platformy muszą wprowadzić transparentny system monitorowania i usuwania nielegalnych treści, produktów i usług. Stosowany mechanizm musi być zrozumiały dla użytkowników, a reakcja platform na zgłoszenia wystarczająco szybka. Platformy będą musiały ponadto stale monitorować skuteczność własnych systemów zarządzania treścią pod kątem zwalczania nielegalnych i szkodliwych treści oraz naruszeń prywatności. DSA zobowiązuje platformy do udostępniania zasad działania algorytmów, które generują użytkownikom spersonalizowane treści (np. news feed na Facebooku), a także do umożliwienia dostosowania parametrów do indywidualnych potrzeb odbiorców.

Ważnym aspektem DSA jest zwiększenie bezpieczeństwa użytkowników sieci. Będzie obowiązywał zakaz używania dark patterns, czyli takiego projektowania usług w internecie, które manipuluje zachowaniem użytkowników (np. w formie wyskakujących okienek dających wybór między dwiema opcjami, jednak prezentowanymi w taki sposób, że niemal zawsze użytkownik wybierze pożądaną przez autora treści). Zakazane zostaną wobec nieletnich tzw. reklamy behawioralne, czyli bazujące na zachowaniu i zainteresowaniach użytkowników. Zwiększy się też odpowiedzialność platform internetowych za firmy sprzedające produkty czy usługi za ich pośrednictwem.

Podmioty, które nie będą przestrzegać postanowień DSA, muszą liczyć się z karami ze strony KE w wysokości do 6% rocznego obrotu.

Wyzwania związane z wdrożeniem DSA

 Wyzwaniem może się okazać niejasny podział kompetencji między KE a państwami członkowskimi. Akt o usługach cyfrowych przewiduje rozległe prerogatywy KE wobec największych platform, natomiast pozostałe podmioty mają być nadzorowane przez państwa członkowskie. DSA wprowadza funkcję tzw. koordynatora usług cyfrowych państwa członkowskiego, czyli organu odpowiedzialnego za egzekwowanie DSA. Krajowi koordynatorzy stworzą ponadto organ doradczy dla KE, który będzie decydował w niektórych przypadkach wspólnie z Komisją, np. o wprowadzeniu mechanizmu kryzysowego wymuszającego określone działania na VLOP-ach i VLOSE-ach. DSA nie nakreśla jasnych zasad współpracy między instytucjami na poziomie krajowym i europejskim, zwłaszcza w przypadkach, kiedy kompetencje tych podmiotów mogą się na siebie nakładać (np. w obszarze regulowanym przez RODO – Ogólne Rozporządzenie o Ochronie Danych). Oznacza to potencjalne ryzyko sporów i osłabienia egzekwowania postanowień rozporządzenia. KE przewiduje jednocześnie konieczność zatrudnienia ok. 200 pracowników do nadzorowania największych platform internetowych. Chce, żeby te koszty poniosły VLOP-y w formie „opłaty nadzorczej” w wysokości maksymalnie 0,05% rocznych obrotów.

Wyzwaniem będzie też niejednolita interpretacja postanowień DSA przez platformy internetowe, która może doprowadzić do sporów prawnych bądź braku widocznych efektów funkcjonowania aktu, np. w przypadku obowiązku wprowadzenia mechanizmów zwalczania szkodliwych treści i dezinformacji. Tym samym DSA mogłoby się okazać regulacją o słusznych założeniach, ale trudną do zastosowania w praktyce z uwagi na niemożność precyzyjnego zdefiniowania niektórych aspektów funkcjonowania gospodarki cyfrowej.

Wpływ na regulacje globalne

 Funkcjonowanie DSA będzie mieć konsekwencje poza granicami UE. Globalne firmy technologiczne funkcjonujące na różnych rynkach mogą zdecydować, że bardziej opłacalne będzie wdrożenie jednej spójnej strategii monitorowania i usuwania treści i przyjęcie w innych państwach za punkt odniesienia stosunkowo rygorystycznych przepisów UE.

UE liczy również, że podobnie jak miało to miejsce w przypadku RODO, państwa trzecie same zainicjują regulacje. Wielka Brytania opracowuje obecnie przepisy o zbliżonym zakresie przedmiotowym pod nazwą Online Safety Bill. W Stanach Zjednoczonych z kolei prezydent Joe Biden w tegorocznym orędziu o stanie państwa wezwał do silniejszej ochrony nieletnich w sieci, co może przyczynić się do wprowadzenia przepisów związanych z ograniczeniem reklam behawioralnych czy manipulowania zachowaniem użytkowników. Propozycje takich aktów legislacyjnych pojawiły się już w Kongresie.

Wnioski

UE jest pionierem procesu regulacji platform internetowych. Skuteczne egzekwowanie postanowień DSA wobec największych platform będzie wymagało jednak nie tylko zaangażowania większych środków finansowych i personalnych ze strony KE, ale ścisłej koordynacji z państwami członkowskimi i instytucjami unijnymi, m.in. Europejską Radą ds. Ochrony Danych. Niezbędny jest także stały nieformalny dialog z firmami objętymi regulacjami, aby zapobiegać ewentualnym naruszeniom DSA, a tam gdzie do nich dojdzie – zwiększyć skuteczność i tempo reakcji.

Z punktu widzenia zarówno Polski, jak i całej UE korzystne byłoby wprowadzenie podobnych regulacji w większej liczbie państw trzecich w celu skuteczniejszej walki z dezinformacją i mową nienawiści, zwłaszcza generowaną na globalnych platformach przez konta (często fikcyjne) pochodzące z państw autorytarnych. Przykład rosyjskiej inwazji na Ukrainę pokazuje, że walka z rozprzestrzenianiem się nielegalnych i szkodliwych (nieprawdziwych) treści była skuteczna na ograniczonym obszarze geograficznym (głównie w Europie). UE mogłaby przekonywać do wprowadzenia podobnych zasad państwa trzecie, m.in. w ramach specjalnych forów bilateralnej współpracy w obszarach cyfrowych, np. utworzonych w ostatnim czasie Transatlantyckiej (2021 r.) i Unijno-Indyjskiej (2022 r.) Rady ds. Technologii i Handlu. Sukces częściowego rozprzestrzenienia się DSA poza UE jest możliwy, ponieważ zamysł regulacji, której sednem jest zwiększenie bezpieczeństwa użytkowników on-line i przeciwdziałanie rozprzestrzenianiu się szkodliwych treści, nie stanie się przedmiotem otwartej krytyki ze strony innych państw.