Akt o usługach cyfrowych

Akt o usługach cyfrowych[1] („Akt”) jest nowym unijnym rozporządzeniem, które dotyczy obowiązków dostawców usług pośrednich (takich jak zwykły przekaz (mere conduit), caching oraz hosting) i dostawców wyszukiwarek internetowych. Jednakże niektóre z tych obowiązków dotyczą przetwarzania danych osobowych odbiorców usług (użytkowników) – właśnie te obowiązki omawiamy w niniejszym artykule.

Akt został opublikowany w Dzienniku Urzędowym UE 27 października 2022 r., co oznacza, że większość przewidzianych w nim obowiązków będzie miała zastosowanie od 17 lutego 2024 r.

Moderowanie treści i rozpatrywanie zgłoszeń nielegalnych treści

Jednym z kluczowych obowiązków nakładanych przez Akt o usługach cyfrowych na dostawców usług pośrednich jest moderowanie treści oraz rozpatrywanie zgłoszeń nielegalnych treści.

Przez „moderowanie treści” rozumie się podejmowane przez dostawców usług pośrednich działania, których celem jest wykrywanie, identyfikowanie i zwalczanie nielegalnych treści lub informacji niezgodnych z warunkami korzystania z usług. W ramach moderowania treści dostawca może wdrożyć m.in. takie środki, jak nieeksponowanie treści lub informacji, uniemożliwienie dostępu do nich lub ich usunięcie, a także zamknięcie lub zawieszenie konta odbiorcy przekazującego takie treści (art. 2 lit. t Aktu).

Akt o usługach cyfrowych dopuszcza moderowanie treści oraz rozpatrywanie zgłoszeń nielegalnych treści za pomocą zautomatyzowanych środków. Na taką okoliczność przewidziane są dodatkowe obowiązki informacyjne dotyczące stosowania takich rozwiązań, np.:

  • obowiązek poinformowania w warunkach korzystania z usług o wszelkich politykach, procedurach, środkach i narzędziach wykorzystywanych na potrzeby moderowania treści, w tym na temat algorytmicznego podejmowania decyzji (obowiązek ten dotyczy dostawców wszystkich usług pośrednich; art. 14 ust. 1 Aktu);
  • obowiązek poinformowania zgłaszającego nielegalne treści o decyzji dostawcy co do zgłoszonej treści, w tym poinformowania o tym, czy przy podejmowaniu takich decyzji dostawca korzysta ze zautomatyzowanych środków (obowiązek ten dotyczy tylko dostawców usług hostingu; art. 16 ust. 5–6 Aktu);
  • obowiązek wskazania w uzasadnieniu wybranych decyzji (np. o ograniczeniu widoczności treści, usunięciu treści, zawieszeniu lub zakończeniu płatności pieniężnych na rzecz odbiorcy przekazującego treści, zawieszeniu lub zamknięciu konta odbiorcy) informacji na temat korzystania ze zautomatyzowanych środków podczas podejmowania decyzji (obowiązek ten dotyczy tylko dostawców usług hostingu; art. 17 ust. 1 i 3 Aktu).

Jeżeli decyzje dotyczące ograniczenia widoczności treści dostępnych publicznie, w tym ich usunięcia lub uniemożliwienia dostępu do nich, decyzje dotyczące zawieszenia lub zakończenia płatności pieniężnych na rzecz odbiorcy przekazującego treści czy decyzje o zawieszeniu lub zamknięciu konta są podejmowane w sposób całkowicie zautomatyzowany, to należy rozpatrzyć, czy podlegają one ograniczeniom i obowiązkom określonym w art. 22 RODO[2].

Wydaje się, że co najmniej decyzje o zawieszeniu lub zakończeniu płatności na rzecz odbiorcy bądź o zawieszeniu lub zamknięciu konta można by uznać za decyzje wywołujące wobec odbiorcy skutki prawne lub w podobny sposób istotnie na niego wpływające. W związku z tym konieczne byłoby spełnienie wymogów z art. 22 RODO, w tym określenie podstawy prawnej podejmowania całkowicie zautomatyzowanych decyzji, przekazanie informacji określonych w art. 13 ust. 2 lit. f RODO lub art. 14 ust. 2 lit. g RODO, a także zapewnienie realizacji praw określonych w art. 22 ust. 3 RODO.

Ponadto niezbędne będzie spełnienie wszystkich wymagań RODO w odniesieniu do przetwarzania danych osobowych osób fizycznych zgłaszających nielegalne treści.

Profilowanie w celach reklamowych

Dostawcy platform internetowych (np. serwisów społecznościowych czy internetowych platform handlowych) nie będą mogli prezentować użytkownikom reklam opartych na profilowaniu w rozumieniu art. 4 pkt 4 RODO z wykorzystaniem szczególnych kategorii danych, o których mowa w art. 9 ust. 1 RODO (art. 26 ust. 3 Aktu).

Przepis ten wprost odwołuje się do RODO, a konkretnie do definicji profilowania oraz definicji danych wrażliwych. Niewątpliwie zakaz profilowania w celach reklamowych będzie służył lepszej ochronie prywatności użytkowników platform internetowych.

Ponadto dostawcy platform internetowych, którzy prezentują reklamy w swoich interfejsach internetowych, będą mieli obowiązek oznaczania reklam oraz przekazywania odbiorcom pewnych informacji dotyczących reklam. Mają to być m.in. informacje o podmiocie, w imieniu którego reklama jest prezentowana, oraz znaczące informacje na temat głównych parametrów wykorzystanych do określenia odbiorcy, któremu reklama jest prezentowana (art. 26 ust. 1 Aktu). Takie parametry mogą być związane z przetwarzaniem danych osobowych odbiorcy, np. zainteresowania odbiorcy określone na podstawie przeglądanych przez niego treści czy wyszukiwań. W takiej sytuacji konieczne będzie spełnienie obowiązków zarówno z Aktu, jak i z RODO (w tym obowiązku informacyjnego), a przedstawiane odbiorcom usług informacje powinny być spójne.

Zakaz profilowania małoletnich w celach reklamowych

Dostawcy platform internetowych nie będą mogli wyświetlać w swoich interfejsach reklam opartych na profilowaniu w rozumieniu RODO z wykorzystaniem danych osobowych odbiorcy usługi, jeżeli wiedzą z wystarczającą pewnością, że odbiorca usługi jest małoletni (art. 28 ust. 2 Aktu).

Co istotne, dostawcy platform internetowych nie będą musieli zbierać dodatkowych danych osobowych w celu oceny, czy odbiorca usługi jest małoletni.

Powyższy zakaz jest elementem szerszego obowiązku dostawców platform internetowych, związanego z zapewnieniem wysokiego poziomu prywatności, bezpieczeństwa i ochrony małoletnich w ramach świadczonych przez tych dostawców usług (art. 28 ust. 1 Aktu).

Przejrzystość systemów rekomendacji

Akt o usługach cyfrowych zawiera również obowiązki dotyczące systemów rekomendacji, czyli w pełni lub częściowo zautomatyzowanych systemów wykorzystywanych przez platformy internetowe w celu sugerowania odbiorcom usługi w ich interfejsach internetowych konkretnych informacji i nadawania im priorytetu, w tym na skutek wyszukiwania wykonanego przez odbiorcę usługi lub w inny sposób determinującego względną kolejność lub eksponowanie pokazywanych informacji (zgodnie z definicją w art. 2 lit. s Aktu). Innymi słowy, są to systemy, które decydują o tym, w jakiej kolejności wyświetlane są informacje oraz czy są one w jakikolwiek sposób wyróżniane.

Dostawcy bardzo dużych platform internetowych, którzy korzystają z systemów rekomendacji, będą musieli określić w swoich warunkach korzystania z usług główne parametry stosowane w systemach rekomendacji, a także wszelkie opcje modyfikacji tych parametrów przez odbiorców usługi lub wpływu na nie (art. 27 ust. 1 Aktu). W ramach takich wyjaśnień konieczne będzie wskazanie kryteriów, które są najistotniejsze przy określaniu informacji sugerowanych odbiorcy usługi. Jeśli wśród takich kryteriów znajdą się dane osobowe, np. informacje o zainteresowaniach odbiorcy czy o przeglądanych przez niego treściach, to konieczne będzie spełnienie obowiązków wynikających z RODO w tym zakresie (np. obowiązku informacyjnego) i zachowanie spójności między informacjami przedstawianymi odbiorcom na podstawie Aktu a RODO.

Ponadto dostawcy bardzo dużych platform internetowych korzystający z systemów rekomendacji będą musieli zapewnić co najmniej jedną opcję dla każdego ze swoich systemów rekomendacji, która nie jest oparta na profilowaniu w rozumieniu RODO (art. 38 Aktu).

Co istotne, powyższe obowiązki dotyczą tylko bardzo dużych platform internetowych. Są one zdefiniowane jako platformy internetowe, które docierają do średniej liczby aktywnych odbiorców usługi w Unii miesięcznie wynoszącej co najmniej 45 mln (art. 33 ust. 1 Aktu).