Lubasz Dominik (red.), Namysłowska Monika (red.), Akt o usługach cyfrowych. Komentarz

1. W pierwotnej wersji zbioru cyfrowych zasad Unii Europejskiej, którą od listopada 2020 r. promuje Komisja Europejska jako sposób regulacji rynków, usług i technologii cyfrowych, akt o usługach cyfrowych (DSA) był formalnie tylko jednym z pięciu głównych rozdziałów większej całości, na którą miały się składać również: akt o zarządzaniu danymi (DGA), akt o rynkach cyfrowych (DMA), akt o sztucznej inteligencji (AIA) i akt o danych (DA). Od początku było jednak jasne, że pozycja DSA w „zbiorze” jest na tyle podstawowa, że uchwalenie tego rozporządzenia jest warunkiem sine qua non prowadzenia prac nad resztą aktów.

W momencie zakończenia prac nad niniejszym komentarzem wiemy, że plan Komisji dotyczący całości zbioru ma ogromne szanse na realizację, gdyż cztery z pięciu planowanych aktów zostały uchwalone przed zakończeniem kadencji Komisji Europejskiej i Parlamentu Europejskiego, a ostatni z „rozdziałów” – akt o sztucznej inteligencji – czeka na przekształcenie wstępnej zgody politycznej w ostateczny tekst, który może zostać opublikowany w Dzienniku Urzędowym.

Cokolwiek by się nie stało na finiszu prac nad zbiorem, dwa podstawowe filary – DSA i DMA – stoją stabilnie w centrum wspólnej europejskiej przestrzeni cyfrowej. Cytując słowa komunikatu Komisji Europejskiej, wydanego po przyjęciu DSA, jednolity zbiór przepisów dla całej UE stworzy odpowiednie warunki do rozwoju transgranicznych usług cyfrowych, co może doprowadzić do zwiększenia udziału transgranicznego handlu cyfrowego w jednolitym rynku nawet o 2%. Jednocześnie nowe przepisy tworzą gwarancję, że małe platformy internetowe nie będą postawione w nieproporcjonalnie gorszej pozycji, a zarazem nadal będą ponosić pełną odpowiedzialność. Małe firmy – zdaniem Komisji – będą miały pewność prawną, która pozwoli im rozwijać usługi i chronić użytkowników przed nielegalnymi działaniami, gdyż uzyskają wsparcie w postaci norm i wytycznych. Będą też zwolnione z najpoważniejszych obciążeń finansowych, ale zyskają swobodę stosowania sprawdzonych rozwiązań, co pozwoli im uzyskać przewagę konkurencyjną.

2. Akt o usługach cyfrowych nie pojawił się jednak w próżni. Europejski prawodawca musiał odnieść się nie tylko do bezpośrednich poprzedników każdej z części zbioru (o ile takie poprzedzające akty istniały), lecz także – a może przede wszystkim – oprzeć je na fundamentach wybudowanych w poprzednich latach w Unii. W przypadku DSA oznaczało to inkorporowanie lub zmianę zasad wynikających z aktów takich jak dyrektywa o handlu elektronicznym, przy jednoczesnym oparciu nowych rozwiązań na konstytucyjnych podstawach wypracowanych przez Traktat z Lizbony (prawa podstawowe) dookreślonych w aktach takich jak ogólne rozporządzenie o ochronie danych (RODO).

Niniejszy komentarz został napisany przez autorów, którzy łączą głęboką wiedzę o rynkach cyfrowych i wyzwaniach ich regulacji ze znajomością prawnych i technicznych zagadnień przetwarzania danych osobowych, które jest nieodłączną i podstawową działalnością podmiotów działających na rynkach cyfrowych. Jest to wyjątkowo cenne dla czytelnika, który patrzy na regulację rynków i usług przez pryzmat praw podstawowych do prywatności i ochrony danych osobowych (art. 7 i 8 KPP UE), a taką perspektywę przyjmuję jako europejski inspektor ochrony danych (EIOD). Wiedza całego zespołu komentatorów na temat modeli biznesowych i technologii regulowanych przez każdą z wyżej wymienionych regulacji umożliwia autorom odniesienie ich do zasad ochrony danych osobowych także w przypadku tych przepisów w nowych aktach, które wyraźnie dotyczą definicji, pojęć i obowiązków RODO.

Zachęcam tym samym wszystkich czytelników komentarza do prześledzenia rozważań dotyczących w oczywisty sposób wskazanych powiązań z unijnym prawem dotyczącym ochrony danych (np. art. 26 ust. 3, art. 28 ust. 2 czy art. 38 DSA) lub mogących mieć wpływ na przetwarzanie danych osobowych przez podmioty objęte aktem o usługach cyfrowych. Pozwolę sobie – tytułem zapowiedzi – zwrócić uwagę czytelników na najbardziej znaczące interakcje DSA i RODO. Czytanie całości komentarza będzie bowiem wymagać interpretacji definicji, pojęć lub obowiązków wynikających z RODO. Jednocześnie realizacja niektórych uprawnień i obowiązków wprowadzanych przez DSA będzie wywoływała interakcje z RODO. DSA i RODO realizują różne, ale uzupełniające się cele. Podczas gdy RODO ma na celu ochronę osób fizycznych w odniesieniu do przetwarzania danych osobowych, DSA ma na celu zwalczanie pewnych zjawisk szkodliwych społecznie, takich jak rozpowszechnianie nielegalnych treści, dezinformacja online i inne zagrożenia społeczne. Jednocześnie DSA zawiera kilka przepisów, które będą miały wpływ na przetwarzanie danych osobowych przez platformy internetowe, w tym zasady dotyczące reklamy internetowej, systemów rekomendacji i ochrony małoletnich. Ponadto wiele przepisów DSA odnosi się wprost do ochrony danych osobowych, a także definicji i pojęć w ramach RODO, takich jak „profilowanie” i „szczególne kategorie danych”.

Biorąc pod uwagę silną interakcję z unijnym prawem ochrony danych, konieczne jest zapewnienie spójnego i konsekwentnego podejścia regulacyjnego w odniesieniu do obu instrumentów w praktyce. Żadne z postanowień DSA nie powinno być stosowane ani interpretowane w taki sposób, aby zmniejszać lub ograniczać poziom ochrony oferowany przez unijne prawo o ochronie danych. DSA wyraźnie potwierdza, że pozostaje bez uszczerbku dla unijnych przepisów o ochronie danych oraz że ochrona osób fizycznych w odniesieniu do przetwarzania danych osobowych podlega wyłącznie unijnym przepisom o ochronie danych.

Niestety DSA, pozostawiając kwestie zarządzania wprowadzaniem w życie zasad wynikających z DSA państwom członkowskim, nie przewiduje zorganizowanej współpracy organów regulacyjnych wykonujących DSA i organów nadzorczych z zakresu danych osobowych. O wskazanie zasad takiej współpracy apelowałem jako EIOD wraz z Europejską Radą Ochrony Danych (EROD).

3. Wśród najważniejszych podobieństw pomiędzy DSA i RODO należy wymienić kwestie związane z oceną i ograniczaniem ryzyka. Przepisy art. 34 i 35 DSA wymagają od tzw. bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych oceny i ograniczania wszelkich ryzyk systemowych wynikających z projektowania, funkcjonowania i korzystania z ich usług. Ta ocena ryzyka musi obejmować m.in. wszelkie rzeczywiste lub przewidywalne negatywne skutki dla wykonywania praw podstawowych, w tym poszanowania życia prywatnego i rodzinnego, ochrony danych osobowych. Ocena ta musi uwzględniać m.in. „praktyki związane z danymi” stosowane przez te podmioty. Obowiązki bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych w zakresie oceny i ograniczania ryzyka pokrywają się w pewnym stopniu z ich obowiązkami opartymi na ryzyku jako administratorów na mocy RODO (w szczególności art. 24, 25, 35 i 36 RODO). Co więcej, niektóre środki mające na celu przeciwdziałanie ryzyku systemowemu będą prawdopodobnie się wiązać z przetwarzaniem danych osobowych, co musi wywołać pytania dotyczące zakresu, w jakim takie przetwarzanie jest zgodne z RODO. Inną kwestią, która może się pojawić, jest to, czy rola komórki ds. przestrzegania DSA (art. 41 DSA) może być połączona z rolą inspektora ochrony danych (art. 37–39 RODO).

Jednym z najważniejszych obszarów regulacyjnych DSA jest zwalczanie nielegalnych treści w internecie. Podczas gdy DSA zakazuje nakładania ogólnego obowiązku monitorowania lub aktywnego ustalania faktów (art. 8), stara się również wyeliminować istniejące czynniki zniechęcające do dobrowolnych dochodzeń z własnej inicjatywy podejmowanych przez dostawców usług pośrednictwa (art. 7). Wysiłki mające na celu identyfikację, wykrywanie, usuwanie lub podejmowanie innych działań w związku z nielegalnymi treściami lub niewłaściwym korzystaniem z usług (np. zawieszenie konta) prawdopodobnie wiążą się z przetwarzaniem danych osobowych, jednak DSA nie określa, w jakim stopniu takie przetwarzanie byłoby zgodne z prawem lub proporcjonalne.

DSA ustanawia szczególne obowiązki dla dostawców platform internetowych w celu zapewnienia przejrzystości reklamy online (art. 26 ust. 1–2). Zakazuje także prezentowania reklam online „opartych na profilowaniu z wykorzystaniem szczególnych kategorii danych” (art. 26 ust. 3). Ważne będzie doprecyzowanie zakresu tego zakazu oraz precyzyjne określenie, w jakich okolicznościach reklama internetowa faktycznie obejmuje „profilowanie z wykorzystaniem szczególnych kategorii danych” (np. w kontekście targetowania użytkowników mediów społecznościowych), z odwołaniem się w tym przypadku bezpośrednio do przepisów RODO.

Zasadę tę rozwinął europejski prawodawca w przepisach art. 28 DSA, zabraniając dostawcom platform internetowych prezentowania reklam opartych na profilowaniu z wykorzystaniem danych osobowych osób małoletnich, gdy są oni świadomi z wystarczającą pewnością, że odbiorca usługi jest osobą małoletnią. Jednocześnie DSA nie zobowiązuje nikogo do przetwarzania dodatkowych danych osobowych jedynie w celu oceny wieku użytkownika. Co więcej, te same przepisy wymagają również od dostawców platform wprowadzenia „odpowiednich i proporcjonalnych środków w celu zapewnienia wysokiego poziomu prywatności, bezpieczeństwa i ochrony” małoletnich. Obowiązki te w pewnym stopniu pokrywają się z ochroną dzieci na podstawie przepisów RODO.

Bardzo ciekawym novum regulacyjnym są przepisy o dostępie do danych udzielanym – w specjalnym trybie – zweryfikowanym naukowcom, którzy na mocy art. 40 ust. 4 DSA mogą starać się o taki dostęp bezpośredni lub za pośrednictwem interfejsów API. Jakkolwiek szczegółowo nie opisałby europejski prawodawca odpowiednich procedur w dwunastu ustępach art. 40 DSA, to ostatecznie brak sprzeczności tych procedur i ich celów z RODO jest podstawowym wskazaniem dla Komisji Europejskiej (i dla Rady Usług Cyfrowych) przy stanowieniu aktów delegowanych określających warunki techniczne udostępniania danych oraz cele, do których dane te mogą być wykorzystywane.

Wydaje się, że doświadczenia z wdrażania RODO miały również spory wpływ na przepisy DSA dotyczące kodeksów postępowania. Komisja i Rada Usług Cyfrowych są zobowiązane do wspierania ich powstawania i ułatwiania ich opracowywania. Obowiązki te jednak dotyczą jedynie poziomu unijnego i, co więcej, w swoisty sposób obostrzone są sugerowanym terminem na przygotowanie takich dokumentów. Kodeksy mają przyczynić się do właściwego stosowania rozporządzenia, uwzględniając zwłaszcza specyficzne wyzwania związane ze zwalczaniem różnych rodzajów nielegalnych treści i ryzyka systemowego. DSA szczególnie podkreśla wymagania co do ich zgodności z prawem Unii, w szczególności dotyczące konkurencji i ochrony danych osobowych.

4. Przed nami etap wdrożenia DSA w poszczególnych państwach członkowskich. Mam nadzieję, że komentarz będzie stanowić przede wszystkim pomocne narzędzie do praktycznej analizy niełatwych przepisów prawnych budowanych na fundamencie, jaki stanowi prawo unijne.

Akt o usługach cyfrowych jest co prawda rozporządzeniem, a normy wynikające z przepisów rozporządzenia powinny być z zasady obowiązujące bezpośrednio i gotowe do bezpośredniego stosowania. Powinny także wywoływać bezpośredni skutek zarówno w wymiarze horyzontalnym, jak i wertykalnym. A jednak wdrożenie norm z rozporządzeń w praktyce systemów prawnych państw członkowskich jest zadaniem bardziej złożonym niż binarne rozróżnienie między rozporządzeniem a dyrektywą, gdzie ten drugi rodzaj aktu prawnego określa się jako formułujący jedynie cel i termin jego osiągnięcia. Takie „szkolne rozróżnienie” nie sprawdzało się już przy przepisach dyrektywy o handlu elektronicznym – choćby tych o cashingu, hostingu i mere conduit, które mimo że pochodzące z dyrektywy, dawały się implementować jedynie przez „przepisanie słowo w słowo” do prawa krajowego i przez w miarę zharmonizowane interpretowanie przez organy państw członkowskich, w tym przez sądy. Nie sprawdzało się ono również w wypadku RODO, które choć wydane w formie rozporządzenia, wymagało od początku klasycznej ustawy implementującej, a dziś jest uzupełniane przez rozporządzenie ustanawiające dodatkowe przepisy proceduralne dotyczące egzekwowania RODO.

Stosowanie norm wyprowadzanych z aktu o usługach cyfrowych będzie się łączyło z podobnymi wyzwaniami. Należy jednak ufać, że korzystając z doświadczeń wdrażania aktów takich jak RODO, w pełni świadomi powiązań DSA z aktami: o zarządzaniu danymi, o rynkach cyfrowych, o danych i przyszłym aktem o sztucznej inteligencji, będziemy w stanie sprostać zadaniu budowy konkurencyjnej wspólnej przestrzeni cyfrowej, która przyniesie wszystkim uczestnikom gry rynkowej i użytkownikom poczucie zaufania do panujących w niej reguł.

Bruksela, 23.01.2024 r.

Dr hab. Wojciech R. Wiewiórowski