Wolters Kluwer Sklep Online

Jesteś już użytkownikiem programów LEX?

Akt o usługach cyfrowych w świetle przepisów RODO

07 lutego 2024

Rozporządzenie o usługach cyfrowych weszło w życie 16 listopada 2022 r., jednak większość przepisów zaczęła być stosowania dopiero od 17 lutego 2024 r. Ponad roczny okres oczekiwania na ich wejście w życie podyktowany był potrzebą dostosowania możliwości dostawców usług do realizacji przepisów oraz zagwarantowaniu niezbędnej dla rozporządzenia harmonizacji. Regulacja na poziomie ponadnarodowym ma zapobiegać powstawaniu rozbieżności na rynku wewnętrznym. Przepisy wycelowane przede wszystkim w cyfrowych gigantów objęły jednak także mniejsze podmioty świadczące usługi kwalifikowane jako „usługa zwykłego przekazu”, „usługa cachingu” oraz „usługa hostingu”.

 

Zakres regulacji DSA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19.10.2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) – nazywane skrótowo DSA – ma zagwarantować większe bezpieczeństwo użytkownikom w sieci, ale nakłada także nowe obowiązki na dostawców cyfrowych treści.

DSA reguluje takie kwestie, jak m.in.:

  • ograniczenia w zakresie reklam opartych na profilowaniu;
  • ochrona małoletnich w internecie;
  • zgłaszanie treści nielegalnych i obsługa zgłoszeń użytkowników;
  • zgłaszanie skarg na decyzje dostawców usług (np. w zakresie blokowania kont użytkowników) i obsługa takich skarg;
  • zakaz stosowania tzw. zwodniczych interfejsów (dark patterns). 

Nowe regulacje dotykają podmioty z różnych branż działające na rynku cyfrowym - m.in. dostawców usług chmurowych oraz platform hostingowych, media społecznościowe, platformy i wyszukiwarki internetowe, platformy internetowe umożliwiające konsumentom zawieranie z przedsiębiorcami umów na odległość, ale również podmioty, które w ramach swojej działalności w sieci udostępniają także fora internetowe czy blogi (gdzie przechowywane są wpisy użytkowników).

DSA wprowadził nie tylko nowe ograniczenia dotyczące przetwarzania danych osobowych, przykładowo w kontekście profilowania, ale konstruuje także nowe procesy przetwarzania danych (np. w ramach obsługi zgłoszeń dotyczących treści nielegalnych), których realizacja musi spełniać wymagania RODO (np. w zakresie oceny ryzyka).

 

Jakie są nowe obowiązki administratora danych osobowych w świetle DSA?

W ramach aktu o usługach cyfrowych wprowadzony został szereg nowych czynności, które z punktu widzenia RODO stanowią procesy przetwarzania danych i w związku z tym wymagają one odpowiedniego zaopiekowania w kontekście ochrony danych osobowych. Poniżej wskazano niektóre z obowiązków ADO.

Analiza ryzyka

Realizacja nowych procesów, jakie wprowadza DSA, może wiązać się z wystąpieniem ryzyka - także w kontekście ochrony danych osobowych.

Zgodnie z art. 34 DSA, dostawcy bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych z należytą starannością identyfikują, analizują i oceniają ryzyko systemowe w Unii wynikające z projektu lub funkcjonowania swojej usługi i powiązanych z nią systemów, w tym systemów algorytmicznych, lub z korzystania z ich usług. W ramach tej oceny należy objąć także ryzyko wystąpienia faktycznych lub przewidywalnych negatywnych skutków dla wykonywania praw podstawowych - w także prawa do ochrony danych osobowych zapisanego w art. 8 Karty praw podstawowych.

Ocena ryzyka w ramach RODO może wpływać na stosowanie DSA w tym znaczeniu, że wynik oceny ryzyka może wymagać wdrożenia środków technicznych lub organizacyjnych, które nie zostały wprost wskazane w DSA, ale które są niezbędne do właściwego zabezpieczenia danych osobowych (np. konieczność wdrożenia określonych mechanizmów weryfikacji wieku odbiorcy usługi, chociaż z DSA nie wypływa taki obowiązek).

Rejestr czynności przetwarzania

W przedmiocie rejestru czynności przetwarzania w rozumieniu art. 30 RODO, na administratorze spoczywa obowiązek jego uzupełnienia o nowe czynności, jakie wynikają z DSA (tu w szczególności w zakresie zgłaszania treści nielegalnych i skarg na decyzje dostawcy). Szczegółowe informacje, wraz z tabelami mogącymi pomóc w tym procesie zostały zawarte w najnowszym komentarzu autorstwa dra Mirosława Gumularza, radcy prawnego, eksperta LEX, poświęconym DSA i nowym procesom przetwarzania.

DSA i nowe procesy przetwarzania danych osobowych

 

Jak na gruncie DSA wyglądają mechanizmy zgłaszania nielegalnych treści i rozpatrywania skarg?

Nielegalne treści

Jednym z elementów DSA w zakresie walki z nielegalnymi treściami jest zobligowanie dostawcy treści cyfrowych do wprowadzenia łatwo dostępnego i przyjaznego mechanizmu zgłaszania informacji uznanych przez zgłaszającego za nielegalne. Dzięki mechanizmowi umożliwiającemu podjęcie przez użytkownika działań, dostawca będzie mógł podjąć decyzję, czy zgadza się ze zgłoszeniem i czy chce usunąć nielegalne treści lub uniemożliwić do nich dostęp. Wskazane mechanizmy powinny być umieszczone w pobliżu opisanych wyżej informacji oraz łatwe do znalezienia i wykorzystania przez użytkownika. Tak zaprojektowany mechanizm powinien umożliwiać identyfikację podmiotu dokonującego zgłoszenia, jednocześnie nie wymagając jej. W przypadku niektórych rodzajów zgłaszanych treści informacje o tożsamości danej osoby mogą jednak być konieczne do ustalenia czy potencjalne treści są faktycznie nielegalne. Opisywany obowiązek powinien obejmować usługi przechowywania plików, hostingu stron internetowych, serwerów reklamowych i usług typu pastebin, jeżeli kwalifikują się one jako usługi hostingu objęte DSA.

Skarga na decyzję dostawcy

Zgodnie z art. 20 DSA, dostawcy platform internetowych muszą zapewnić odbiorcom usługi (przez co najmniej 6 miesięcy od podjęcia decyzji przez dostawcę) możliwość wniesienia skargi na takową decyzję. Dotyczy to zarówno decyzji wydanej na skutek zgłoszenia nielegalnej treści, ale także decyzji w zakresie usunięcia informacji lub uniemożliwienia do niej dostępu, decyzji dotyczącej zawieszenia lub zakończenia działania usługi, decyzji o zawieszeniu lub zamknięcia konta odbiorcy (użytkownika) lub zawieszenia, zakończenia lub ograniczenia w inny sposób możliwości monetyzacji informacji przekazanych przez odbiorców.

Co ważne, właściwa realizacja procesów zgłaszania treści nielegalnych i składania skarg musi obejmować także realizację obowiązku informacyjnego wobec odbiorcy usługi czy osoby zgłaszającej. Taka osoba musi wiedzieć w jakim zakresie i w jakim celu jej dane osobowe będą przetwarzane i jakie przysługują jej w tym zakresie prawa na gruncie RODO.

 

DSA jako nowość w prawie ochrony danych osobowych

Nie da się ukryć, że przepisy wprowadzone na gruncie aktu o usługach cyfrowych wprowadzają istotne zmiany w kontekście przetwarzania danych, uzupełniając skomplikowaną materię zawartą w RODO. W szybkim zapoznaniu się z najnowszymi zmianami pomoże najnowsza analiza opublikowana w LEX Ochrona Danych Osobowych. Znajdziesz w niej najnowsze komentarze, publikacje i szkolenia, które pomogą wdrożyć najnowsze przepisy.

Akt o usługach cyfrowych w świetle przepisów RODO – fot. 1

Najnowsza analiza - DSA a RODO 

Szkolenie poświęcone relacji DSA i RODO

Role na gruncie DSA w zestawieniu z rolami na gruncie RODO - komentarz praktyczny 

Podział majątku wspólnego małżonków

Alicja Plichta

Dyrektor Działu Zarządzania Produktami

Product Manager LEX Ochrona Danych Osobowych

 

Podział majątku wspólnego małżonków

Filip Taraszkiewicz

Redakcja Publikacji Elektronicznych