Ostatnio, pisząc o założeniach i adresatach aktu o usługach cyfrowych (DSA) zauważyłem, że nakłada on na dostawców usług pośrednich dwie główne kategorie obowiązków: wymogi związane z zapewnieniem odpowiedniego poziomu moderacji treści oraz wymogi związane z odpowiednim dostosowaniem projektu usług, w szczególności w zakresie reklamy. W dzisiejszym wpisie przedstawię założenia systemu odpowiedzialności wprowadzanego przez rozporządzenie oraz zestaw obowiązków, które spełnić powinni wszyscy dostawcy usług pośrednich, niezależnie od tego, jaki rodzaj usług świadczą. W przyszłym tygodniu skupię się z kolei na dodatkowych wymaganiach, którym sprostać muszą dostawcy usług hostingu oraz platformy internetowe.

Struktura odpowiedzialności pod DSA

Zakres obowiązków wynikających z DSA zależny jest od tego, jaki rodzaj usług pośrednich świadczy dany podmiot. Odpowiedzialność dostawców została zaprojektowana kaskadowo, to znaczy poszczególne grupy obowiązków zawartych w tekście rozporządzenia obejmują coraz węższe kategorie podmiotów. Kolejne pakiety obowiązków dotyczą:

• wszystkich dostawców usług pośrednich świadczonych na odległość;
• dostawców usług hostingu;
• dostawców platform internetowych;
• dostawców platform internetowych umożliwiających konsumentom zawieranie z przedsiębiorcami umów zawieranych na odległość;
• dostawców bardzo dużych platform internetowych (VLOP) oraz bardzo dużych wyszukiwarek internetowych (VLOSE).

Wymogi aktu o usługach cyfrowych obciążają więc przede wszystkim dostawców usług hostingu oraz ich szczególnej wariacji – platform internetowych. Nie oznacza to jednak, że dostawcy usług zwykłego przekazu oraz cachingu mogą odetchnąć. Zakres ogólnych obowiązków również wymaga określonych działań organizacyjnych oraz rewizji regulaminu usługi oraz załączników do niego, o czym w Sekcji 2.

Jakie treści podlegają moderacji?

Powinności dotyczące wszystkich przedsiębiorców objętych zakresem DSA dotyczą przede wszystkim moderacji treści. Mowa o treściach niedozwolonych, czyli treściach nielegalnych oraz treściach niezgodnych z warunkami świadczenia usług. Treści nielegalne zostały przez DSA dość niezgrabnie zdefiniowane w polskiej wersji art. 3 lit. h Rozporządzenia, jako informacje, które „same w sobie lub przez odniesienie do działania” nie są zgodne z prawem UE bądź jakiegokolwiek państwa członkowskiego UE.

Nie nastręcza problemów zrozumienie, że treści nielegalne mogą już samą swoją zawartością łamać prawo (np. nawołując do czystek etnicznych). Więcej wątpliwości pojawia się w przypadku sformułowania „przez odniesienie do działania”, gdyż wówczas zachodzi konieczność dokładnego zbadania kontekstu, w którym opublikowane zostały treści. Kluczowe jest, aby treści takie w jakiś sposób przyczyniały się do łamania prawa (np. przez podanie linku przepisu na domową bombę zegarową). W odmiennym przypadku można bowiem uznać, że reportaż dotyczący rozbicia gangu narkotykowego powinien zostać uznany za treść nielegalną, gdyż odnosi się do działania nielegalnego.

O nielegalności treści nie decydują przepisy aktu o usługach cyfrowych, a ogół norm prawa unijnego i krajowego. Warto pamiętać, że uznane za takie nie zostaną jedynie treści w jakiś sposób krzywdzące czy szkodliwe dla różnych grup i jednostek, ale również treści naruszające prawa własności intelektualnej.

Regulacje dotyczące wszystkich dostawców usług pośrednich

Wyłączenia odpowiedzialności

Artykuły 4-6 DSA przewidują szerokie wyłączenie odpowiedzialności za przekazywane lub uzyskiwane informacje o treściach niedozwolonych dla dostawców poszczególnych typów usług pośrednich. W tym zakresie regulacja powtarza funkcjonujące od wielu lat rozwiązanie znane z dyrektywy 2000/31/WE, w Polsce implementowanej przez ustawę z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Z tego względu, przytoczone przepisy wyłączają stosowanie art. 12-15 u.ś.u.d.e.

Najszersze wyłączenia dotyczą dostawców usług zwykłego przekazu oraz cachingu. W pierwszym przypadku odpowiedzialności nie podlega ten, kto nie jest inicjatorem transmisji, nie wybiera jej odbiorcy oraz nie modyfikuje jej treści. W przypadku cachingu przesłanek jest nieco więcej. Aby podlegać wyłączeniu, dostawcy tych usług również nie mogą ingerować w treść informacji, powinni jednak również zachować szereg wymagań technicznych oraz dobrych praktyk wymienionych w art. 5 ust. 1 DSA dotyczących przechowywania, aktualizowania i usuwania informacji.

Próg stosowania wyłączenia w przypadku usług hostingu jest wyższy i został określony w art. 6 DSA. W tym przypadku nie ma znaczenia, czy usługodawca ingerował w treść informacji, a decyduje to, czy posiadał faktyczną wiedzę o nielegalnej działalności lub nielegalnych treściach, a w przypadku pozyskania informacji o występowaniu takich treści w jego usłudze podjął odpowiednie działania w celu ich usunięcia lub podjął wiarygodną informację o usunięciu nielegalnych treści z usługi.

Wszystkie powyższe wyłączenia nie wykluczają możliwości skierowania żądania usunięcia treści lub usunięcia dostępu do niej przez organy sądowe lub administracyjne.

Ustanowienie punktów kontaktowych

Dostawcy usług pośrednich powinni stworzyć dwa punkty kontaktowe umożliwiające komunikację drogą elektroniczną. Pierwszy przeznaczony ma być dla organów państw członkowskich, Komisji i Rady Usług Cyfrowych. Dostawcy powinni też zadbać o to, aby za pośrednictwem tego punktu kontaktowego możliwa była komunikacja przynajmniej w języku rozumianym przez jak największą liczbę obywateli Unii Europejskiej (angielski to naturalny kandydat) oraz przynajmniej jednym języku urzędowym państwa członkowskiego, w którym dostawca ma siedzibę, bądź w którym działa jego przedstawiciel.

Drugi z punktów kontaktowych ma służyć do kontaktu z odbiorcami usług i spełniać 4 kryteria: (i) zapewniać bezpośrednią i szybką komunikację, (ii) drogą elektroniczną, (iii) w sposób przyjazny dla użytkownika oraz (iv) umożliwiać wybór środków komunikacji, które nie mogą opierać się wyłącznie na zautomatyzowanych narzędziach.

W przypadku obu punktów kontaktowych dostawca usług pośrednich powinien zapewnić łatwo dostępną, publiczną informację umożliwiającą z nim szybki, bezpośredni kontakt. Informacja ta powinna być aktualizowana.

Powołanie przedstawicieli prawnych

Jeśli podmiot świadczący usługi pośrednie na terenie Unii Europejskiej ma siedzibę poza nią, powinien wyznaczyć na jej terenie przedstawiciela prawnego odpowiedzialnego za kontakt z organami państwowymi, Komisją oraz Radą Usług Cyfrowych. Taki przedstawiciel powinien zostać odpowiednio umocowany do działania w imieniu podmiotu, a także uzyskać niezbędne zasoby umożliwiające współdziałanie z organami w sprawach związanych z obowiązywaniem DSA. Chodzi więc o przyznanie przedstawicielowi takich warunków prawnych i organizacyjnych, aby posiadał on wystarczająco dużo swobody dla odpowiedzialnej reprezentacji usługodawcy.

Przejrzystość regulaminów

Artykuł 14 Rozporządzenia zawiera wytyczne co do prawidłowego formułowania „Warunków korzystania z usług”, co w praktyce oznacza konieczność dostosowania przez usługodawców dotychczasowych regulaminów. To chyba najistotniejszy z tej grupy obowiązków A, gdyż dotyczy bezpośrednio kształtowania bezpiecznego środowiska sieciowego.

Dostawcy usług powinni mianowicie informować o wszelkich ograniczeniach, które nakładają w związku z informacjami przekazywanymi przez odbiorców usługi. Informacje te powinny dotyczyć każdego aspektu moderacji treści – procedur, polityk, środków i narzędzi. Szczególną rolę akt o usługach cyfrowych przypisuje informacjom na temat stosowania systemów algorytmicznego podejmowania decyzji z uwzględnieniem przeglądu dokonywanego przez człowieka, a także wewnętrznego regulaminu rozpoznawania skarg przez usługodawcę.

Przepis zawiera także wytyczne co do sposobu sformułowania warunków korzystania z usług. Mają one być przekazane w sposób:

• prosty,
• zrozumiały,
• przyjazny dla użytkownika
• jednoznaczny,

a także podane do wiadomości publicznej w łatwo dostępnym i nadającym się do odczytu maszynowego formacie.

Od razu warto zaznaczyć, że format nadający się do odczytu maszynowego często nie jest przyjazny do odczytania dla ludzi. Formaty plików nadające się do odczytu maszynowego to na przykład formaty XML lub JSON. Wobec tego dobrym rozwiązaniem będzie przedstawienie wymaganych informacji na stronie internetowej w dwóch formatach – przyjaznym dla człowieka (np. PDF) i wygodnym do odczytania przez komputer (np. XML).

Istotnym, choć łatwym do przeoczenia wymogiem jest konieczność odpowiedniego sformułowania warunków korzystania z usług w przypadku, gdy usługa jest skierowana przede wszystkim do dzieci. Wówczas dokument powinien być zrozumiały przede wszystkim dla docelowej grupy odbiorców.

Wreszcie, art. 14 ust. 5 DSA zawiera wskazania dotyczące sposobu właściwego ustalenia ograniczeń, zgodnego z zasadą proporcjonalności, tak, aby wprowadzane ograniczenia uwzględniały prawa i interesy zaangażowanych stron w sposób obiektywny. Wobec tego, przedsiębiorca przygotowujący dokumentację wdrażającą DSA powinien wziąć pod uwagę takie czynniki jak:

• charakter świadczonych usług;
• grupa docelowych odbiorców;
• swoboda użytkowników w publikacji treści w ramach usług;
• adekwatność nakładanych ograniczeń do naruszeń, których zapobieganiu owe ograniczenia mają służyć.

Obowiązek sprawozdawczy

Ostatnim z kluczowych obowiązków nakładanych przez DSA na wszystkich dostawców usług pośrednich jest obowiązek publikowania corocznych sprawozdań odnośnie „wszelkiego moderowania treści”, które miało miejsce w okresie sprawozdawczym. Również sprawozdania mają być publikowane w formacie możliwym do odczytu maszynowego, w łatwy sposób dostępne, a także jasne i łatwo zrozumiałe.

W stosunku do dostawców usług pośrednich DSA przewiduje w szczególności konieczność raportowania nakazów, z którymi wystąpiły organy publiczne, a także konieczność przedstawienia przejrzystych informacji na temat moderowania treści dokonanego z własnej inicjatywy (wykorzystanych narzędzi, szkoleń, również systemów uczenia maszynowego). Sprawozdanie powinno też uwzględniać liczbę skarg złożonych na działania usługodawców.