W ramach krótkiej omówki DSA w odcinkach dziś czas na kilka lakonicznych punktów o tym jakie obowiązki akt o usługach cyfrowych nakłada na dostawców usług pośrednich w zakresie udostępniania zebranych danych ich użytkowników? — czyli czym jest (a czym nie jest) nakaz udzielenia informacji o odbiorcy usługi.
A mianowicie, bez zbytecznych skrótów:
- chociaż RODO może się niektórym kojarzyć z problematyką wywoływania pacjentów po nazwisku w poczekalni u lekarza, niektórym kojarzy się także z kwestią żądania udostępnienia danych osobowych użytkowników serwisów internetowych, którzy (w ich ocenie) dopuścili się zachowań bezprawnych;
- aktualna wykładnia jest taka, że nawet jeśli dochodzenie roszczeń od internautów, w tym konieczność wytoczenia powództwa sądowego jest przesłanką przetwarzania ich danych osobowych, to jednak nawet PUODO nie może nikomu nakazać udostępnienia danych, nawet jeśli jest to niezbędne do wniesienia pozwu (por. np. wyrok WSA w Warszawie z 27 listopada 2020 r., II SA/Wa 1542/20 czy wyrok WSA w Warszawie z 8 marca 2021 r., II SA/Wa 766/20);
- sytuacji tej nie zmienia (i nie zmieniał) przepis nakładający na usługodawcę świadczącego usługę elektroniczną obowiązek udostępnienia uprawnionym organom państwa danych osobowych i eksploatacyjnych usługobiorcy (art. 18 ust. 6 uośude);
- rozporządzenie DSA wydaje się porządkować i precyzować te powinności: dostawca usługi pośredniej może otrzymać sądowy lub urzędowy nakaz udzielenia informacji o odbiorcy usługi;
art. 10 ust. 1 rozporządzenia 2022/2065 w/s jednolitego rynku usług cyfrowych
Po otrzymaniu nakazu udzielenia określonych informacji na temat co najmniej jednego określonego indywidualnego odbiorcy usługi, wydanego przez odpowiednie krajowe organy sądowe lub administracyjne na podstawie mającego zastosowanie prawa Unii lub mającego zastosowanie prawa krajowego zgodnego z prawem Unii, dostawcy usług pośrednich bez zbędnej zwłoki informują organ, który wydał nakaz, lub inny organ określony w nakazie o jego otrzymaniu oraz o działaniach podjętych w odpowiedzi na ten nakaz, wskazując, czy i kiedy zostały podjęte działania w odpowiedzi na ten nakaz.
- wydany przez właściwy sąd lub urząd nakaz udzielenia informacji usługobiorcy powinien spełniać określone warunki, tj.: (i) wskazywać podstawę prawną nakazu, (ii) nazwę organu, który nakaz wydał, (iii) zawierać „jasne informacje” pozwalające na identyfikowanie konkretnego usługobiorcy, „takie jak co najmniej jedna nazwa rachunku lub niepowtarzalne identyfikatory”, (iv) uzasadnienie nakazu (ten element może być pominięty, jeśli żądanie ma związek z szeroko pojętym ściganiem przestępczości), (v) wskazanie mechanizmów odwoławczych od nakazu, przysługujących zarówno dostawcy, jak i odbiorcy usługi;
- nakaz udostępnienia danych powinien być sporządzony przede wszystkim w języku zadeklarowanym przez usługodawcę jako właściwy do prowadzenia korespondencji;
- ważna informacja dla nieodbierających awiza: taki nakaz będzie wysyłany elektronicznie, na wyznaczony przez dostawcę elektroniczny punkt kontaktowy (o tych punktach kontaktowych napiszę więcej za jakiś czas);
- zaś wydany nakaz nie może nakładać na dostawcę usługi obowiązku prowadzenia dochodzeń lub poszukiwania jakichkolwiek informacji o jego użytkowniku — nakaz może dotyczyć wyłącznie informacji „już zgromadzonych na potrzeby świadczenia usługi i znajdujących się pod kontrolą dostawcy” (art. 10 ust. 2 lit. b) DSA);
- usługodawca, który otrzymał nakaz udzielenia informacji o odbiorcy usługi będzie miał obowiązek podjąć stosowne działania oraz poinformować zainteresowany organ o tych działaniach — zgodnie z projektem nowelizacji ustawy o świadczeniu usług drogą elektroniczną ta odpowiedź będzie przesyłana do Urzędu Komunikacji Elektronicznej (co ciekawe projekt ustawy wdrażającej akt o usługach cyfrowych nie przewiduje nakładania administracyjnych kar pieniężnych za naruszenie art. 10 DSA, por. art. 22zr ust. 1 uośude);
- i tu chyba jedna z ciekawszych nowości wynikających z rozporządzenia w/s jednolitego rynku usług cyfrowych: zgodnie z art. 15 ust. 1 DSA
każdy[jednak nie każdy] dostawca usługi pośredniej będzie miał obowiązek, co najmniej raz w roku, opublikować sprawozdanie dotyczące moderowania treści obejmujące m.in. liczbę nakazów, zarówno tych dotyczących nielegalnych treści, jak i nakazów udostępnienia danych użytkowników (o tym czym jest takie sprawozdanie, oczywiście napiszę za jakiś czas); - (zaś UKE jako koordynator ds. usług cyfrowych będzie miał analogiczny obowiązek sporządzenia corocznego sprawozdania ze swojej działalności, w którym będzie musiał wyszczególnić m.in. liczbę i przedmiot wydanych nakazów, art. 55 DSA).
Dla przypomnienia: akt o usługach cyfrowych obowiązuje od przeszło miesiąca — ciekawe czy już ktoś otrzymał taki nakaz? ;-)