Trzymając się jeszcze przez moment aktu o usługach cyfrowych dziś przyszedł czas na kilka zdań o konieczności wdrożenia zmian w procedurach wewnętrznych usługodawców: czy nałożone na obowiązki wynikające z rozporządzenia DSA wymagają podania informacji o stosowanych rozwiązaniach służących moderowaniu treści? uzasadniania decyzji wynikających z ustalenia, że usługobiorca dostarcza nielegalne dane?
Wynikające z rozporządzenia DSA obowiązki usługodawców podzieliłbym na dwie kategorie. Pierwsza z nich to te, które realizować należy ad hoc (najczęściej na wezwanie lub według zaistniałej konieczności), a mianowicie, w pewnym skrócie:
- dla krótkiego przypomnienia: akt o usługach cyfrowych dotyczy wyłącznie dostawców usług pośrednich, tj. świadczących na rzecz swych odbiorców usługi (użytkowników) w zakresie przechowywania (hostingu), transmisji lub cachingu informacji (kto dokładnie jest dostawcą takiej usługi, można deliberować, ale umówmy się, że ten spór pozostawiamy na boku);
- generalna zasada jest następująca: „właścicielem” przechowywanych / przesyłanych informacji jest użytkownik, zaś usługodawca nie ponosi odpowiedzialności za nielegalne dane, o ile nie wie o ich bezprawnym charakterze, zaś uzyskując taką wiedzę bezzwłocznie je usunie lub uniemożliwi do nich dostęp; wiedza taka może pochodzić z dowolnego, nie tylko oficjalno-urzędowego źródła — przepis wyraźnie mówi o wiedzy „faktycznej”, ale też o tym, że usługodawca nie ma obowiązku aktywnej moderacji danych;
- upraszczając: obowiązkiem dostawcy usług jest blokowanie / usuwanie nielegalnych treści pochodzących od usługobiorców — o ile się o niej dowiedział; natomiast DSA nie nakazuje sprawdzania danych dostarczanych przez klientów;
- jednakże ze szczególną uwagą należy traktować nakaz podjęcia działań przeciwko nielegalnym treściom: w przypadku otrzymania tego rodzaju nakazu dostawca ma obowiązek podjęcia stosownych działań (czyt.: usunąć / zablokować dane) i poinformowania organu o zastosowanych środkach (art. 9 DSA);
- nakazem szczególnego rodzaju jest natomiast nakaz udzielenia informacji o odbiorcy usługi — ale tylko tych danych, które zostały zgromadzone na potrzeby świadczonej usługi (art. 10 DSA).
Akt o usługach cyfrowych wymag od dostawców usług pośrednich także podjęcia pewnych działań obejmujących wdrożenie organizacyjne i techniczne. Obowiązki usługodawców w zakresie przystosowania się do DSA są różne, w zależności od rodzaju świadczonych usług i rozmiaru prowadzonej działalności i tak:
- każdy dostawca usługi pośredniej ma obowiązek wyznaczenia punktu kontaktowego umożliwiającego bezpośrednią komunikację drogą elektroniczną z organami państwa, Komisją Europejską i Radą Usług Cyfrowych; taki punkt kontaktowy (upraszczając: adres listelowy lub inne, podobne rozwiązanie) powinien być łatwo dostępny i aktualizowany, zarazem obowiązkiem usługodawcy jest wskazanie choćby jednego języka urzędowego państwa, w którym ma swoje główne miejsce działalności (tych języków może być więcej — wszystko zależy od zasięgu biznesu);
- odrębny elektroniczny punkt kontaktowy należy wyznaczyć dla klientów — zaś ta forma komunikacji z użytkownikami nie może opierać się wyłącznie na botach i innych zautomatyzowanych narzędziach (art. 12 DSA);
- każdy dostawca spoza UE, acz oferujący swe usługi w UE, ma obowiązek wyznaczenia „na piśmie” prawnego przedstawiciela, którego dane (imię i nazwisko lub nazwę, adres pocztowy, adres e-mail oraz numer telefonu) należy przekazać koordynatorowi d/s usług cyfrowych (zgodnie z ustawą wdrażającą DSA ma nim być UKE); rolą przedstawiciela prawnego jest reprezentowanie podmiotu przed wszystkimi organami w zakresie stosowania DSA — co istotne może on ponosić własną odpowiedzialność z tytułu niewypełniania obowiązków wynikających;
- DSA nakłada na usługodawców także powinności w zakresie treści regulaminu, który powinien określać m.in. procedury i narzędzia stosowane przy moderowaniu danych, a także o zasadach wewnętrznego systemu rozpatrywania skarg;
art. 14 ust. 1 rozporządzenia 2022/2065 w/s jednolitego rynku usług cyfrowych
W warunkach korzystania z usług dostawcy usług pośrednich uwzględniają informacje na temat wszelkich ograniczeń, które nakładają w związku z korzystaniem z ich usług, w odniesieniu do informacji przekazywanych przez odbiorców usługi. Informacje te muszą zawierać informacje na temat wszelkich polityk, procedur, środków i narzędzi wykorzystywanych na potrzeby moderowania treści, w tym na temat algorytmicznego podejmowania decyzji i przeglądu dokonywanego przez człowieka, a także na temat regulaminu wewnętrznego systemu rozpatrywania skarg. Informacje te formułuje się jasno i w sposób prosty, zrozumiały, przyjazny dla użytkownika i jednoznaczny oraz podaje do wiadomości publicznej w łatwo dostępnym i nadającym się do odczytu maszynowego formacie.
- natomiast podejmując decyzje w zakresie stosowania i egzekwowania ustanowionych ograniczeń dostawca ma obowiązek postępować w sposób staranny, obiektywny i proporcjonalny, uwzględniając także prawa i uzasadnione interesy użytkowników, przede wszystkim takie jak wolność wypowiedzi oraz wolność i pluralizm mediów (art. 14 ust. 4 DSA);
- DSA nakłada na dostawców usług pośrednich (wszystkich, acz z wyjątkiem mikroprzedsiębiorstw i małych przedsiębiorstw) także obowiązki w zakresie „przejrzystości”: każdy z nich będzie miał obowiązek upublicznienia corocznego sprawozdania o moderowaniu treści, w tym otrzymanych nakazach usunięcia danych, moderacji „z własnej inicjatywy”, otrzymanych zgłoszeniach o nielegalnych treściach, etc.,etc. (art. 15 DSA);
Przepisy DSA wyróżniają, jako szczególną kategorię usług pośrednich, dostawców usług hostingu, na których dodatkowo nałożony został:
- obowiązek wdrożenia mechanizmów zgłaszania nielegalnych treści; mechanizm przedstawienia danych do moderacji powinien być łatwo dostępny i przyjazny dla użytkownika, a także musi pozwalać na wysyłanie zawiadomień w formie elektronicznej;
art. 16 ust. 1 rozporządzenia DSA
Dostawcy usług hostingu wdrażają mechanizmy umożliwiające dowolnej osobie lub dowolnemu podmiotowi zgłoszenie im obecności w ich usłudze określonych informacji, które dana osoba lub dany podmiot uważają za nielegalne treści. Mechanizmy te muszą być łatwo dostępne i przyjazne dla użytkownika oraz muszą pozwalać na dokonywanie zgłoszeń wyłącznie drogą elektroniczną.
- („mechanizmy zgłaszania i działania” są na tyle ciekawe i znaczące dla wszystkich podmiotów, że pokuszę się o ich odrębne opisanie);
- ponadto DSA nakłada na wszystkich dostawców usług hostingowych obowiązek uzasadnienia środków zastosowanych w odniesieniu do treści nielegalnych lub sprzecznych z regulaminem;
art. 17 ust. 1 DSA
Dostawcy usług hostingu przedstawiają wszystkim zainteresowanym odbiorcom usługi jasne i konkretne uzasadnienie w odniesieniu do następujących ograniczeń nałożonych ze względu na fakt, iż informacje przekazane przez odbiorcę usługi stanowią nielegalne treści lub są niezgodne z warunkami korzystania z usług dostawcy:
a) ograniczenia w zakresie widoczności określonych informacji przekazywanych przez dostawcę usługi, w tym usuwanie treści, uniemożliwianie dostępu do treści lub depozycjonowanie treści;
b) zawieszenie, zakończenie lub inne ograniczenie płatności pieniężnych;
c) zawieszenie lub zakończenie świadczenia usługi w całości lub w części;
d) zawieszenie lub zamknięcie konta odbiorcy usługi.
- interesujący jest fakt, że przepis podpowiada jakiego rodzaju rozwiązania „sankcyjne” mogą stosować hostingodawcy wobec krnąbrnych usługobiorców, a mianowicie: ograniczenia widoczności treści poprzez ich usuwanie, uniemożliwianie dostępu i depozycjonowanie, zawieszanie / zakończenie świadczenia usług, zawieszenie / zamknięcie konta użytkownika (i rozwiązanie zawartej umowy), a także ograniczenia płatności pieniężnych;
- takie uzasadnienie należy przesłać najpóźniej do dnia nałożenia takiego ograniczenia — acz tylko pod warunkiem dysponowania elektronicznymi danymi kontaktowymi usługobiorcy (upraszczając: usługodawca musi się wyłuszczyć — ale jeśli nie zna adresu poczty elektronicznej, to poleconym na papierze wysyłać nic nie musi);
- uzasadnienie ograniczenia w korzystaniu z usług powinno zawierać w szczególności opis zastosowanych środków, fakty i okoliczności przemawiające za podjęciem decyzji, informację o tym, czy nielegalne treści wykryto lub decyzję podjęto przy użyciu zautomatyzowanych środków, podstawy prawnej zakwalifikowania danych jako nielegalnych lub sprzecznych z regulaminem, a także informację o ścieżce odwoławczej;
- rozporządzenie DSA nakłada na hostingodawców także obowiązek zawiadomienia organów ścigania o podejrzeniu przestępstwa — popełnionego, popełnianego lub planowanego — oraz przekazania wszelkich informacji dotyczących okoliczności czynu, sprawcy, etc.,etc.;
art. 18 ust. 1 DSA
W przypadku gdy dostawca usług hostingu poweźmie jakiekolwiek informacje dające podstawę do podejrzenia, że popełniono, popełnia się lub może dojść do popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu osoby lub osób, natychmiast informuje o swoim podejrzeniu organy ścigania lub organy sądowe zainteresowanego państwa członkowskiego lub zainteresowanych państw członkowskich i przekazuje wszystkie dostępne informacje na ten temat.
- (ten przepis jest na tyle lakoniczny, acz ważki, że pozwolę sobie ledwie na dygresję: z pewnością jest to coś więcej niż znany naszemu prawu społeczny obowiązek zawiadomienia o przestępstwie — ale jak odnosić do go karalności braku zawiadomienia o przygotowaniu albo usiłowaniu lub dokonaniu czynu zabronionego?
- nie jestem karnistą, więc mądrzyć się nie będę, aczkolwiek pozwolę sobie zauważyć, że z jednej strony art. 240 kk mówi o zbrodniach najcięższego kalibru (ludobójstwo, terroryzm, stosowanie środków masowej zagłady, zamach stanu, zabójstwo, porwanie, zgwałcenie, czyn pedofilski, wzięcie zakładnika, etc., etc.) — z drugiej art. 18 DSA posługuje się znacznie szerszym kwantyfikatorem „przestępstwa zagrażającego życiu lub bezpieczeństwu osoby lub osób”;
- i mnie się wydaje, że nie ma tu żadnej rozbieżności: DSA nie zawiera przepisów karnych, zaś jedyną sankcją za naruszenie nakazów i obowiązków są administracyjne kary pieniężne nakładane na dostawców usług pośrednich — zaś ewentualna odpowiedzialność karna osób, które nie zastosowały się do odpowiedniej normy karnej jest poza rozporządzeniem (sprawdzić czy nie ma czegoś w ustawie o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary).
Dla jasności: to nie wszystkie obowiązki dostawców usług pośrednich wynikające z rozporządzenia DSA — jednak ze względu na konieczność syntetyzowania tematów (i zachowania w miarę przyzwoitych rozmiarów publikowanych artykułów) zainteresowanych obowiązkami platform internetowych (także tych, które umożliwiają konsumentom zawieranie umów na odległość) oraz dostawców bardzo dużych platform internetowych odsyłam do materiałów, które ukażą się na tutejszych łamach w jeszcze niesprecyzowanej przyszłości.