Koho se týká nařízení o digitálních službách DSA a jaké jsou jejich nové povinnosti

Koho se týká nařízení o digitálních službách a jaké jsou povinnosti?

Zdroj: Systemonline.cz
Autoři: Mgr. Michal Nulíček, LL.M., FCIArb, Mgr. Filip Beneš, Mgr. Tereza Jirásková, LL.M.

Moderní svět je svět internetu. Internet se stal hojně využívaným prostředkem pro nejrůznější aspekty lidské činnosti, ať už se jedná o komunikaci, podnikání či odpočinkové aktivity. Stejně jako v offine světě se na internetu pohybují subjekty, které prostředí vytvářejí a rozvíjejí ho tím, že poskytují digitální služby, a dále uživatelé těchto služeb – tedy příjemci digitálních služeb.

Poskytovatelé digitálních služeb jsou ti, kteří určují pravidla pro fungování určitých částí internetového prostředí a měli by být zodpovědní za jejich správné fungování a respektování práv a svobod nejen vlastních příjemců. S cílem sjednotit pravidla v offline a online světě, a zajistit tím bezpečné, předvídatelné a důvěryhodné online prostředí pro příjemce digitálních služeb, přichází evropské nařízení o digitálních službách^[1] neboli zkráceně DSA (Digital Services Act).

Koho se DSA týká?

Povinnostmi podle DSA se musí řídit poskytovatelé digitálních služeb, kteří zároveň fungují jako zprostředkovatelé[2], a tedy propojují příjemce služeb (své uživatele) se zbožím, službami nebo obsahem, který však není jejich vlastním. Zároveň se musí jednat o takové zprostředkovatele, kteří poskytují služby za úplatu, na dálku, elektronicky a na individuální žádost příjemců.[3] Úplata nemusí spočívat jen v tom, že uživatelé za služby platí, ale může jít i o příjmy z reklamy, která je v rámci digitální služby zobrazována.[4]

DSA rozlišuje tři kategorie těchto poskytovatelů digitálních služeb, a to poskytovatele služeb prostého přenosu, poskytovatele služeb ukládání do mezipaměti a poskytovatele hostingových služeb.[5]

Se službou prostého přenosu se setkáváme na denní bázi, a to například při užívání wifi sítí či internetových hlasových telefonních služeb. Poskytovatelé tohoto typu služeb pouze zprostředkovávají přenos uživatelských dat komunikační síti nebo zprostředkovávají přístup k síti.

Digitální služby, které spočívají v ukládání dat poskytnutých uživatelem do mezipaměti, jsou také známé jako tzv. caching a zahrnují například reverzní proxy služby nebo mirror servery a slouží ke zrychlení a optimalizaci provozu počítačových sítí.

Oproti službám prostého přenosu a službám ukládání do mezipaměti, jsou hostingové služby nejblíže uživatelským datům, neboť spočívají v jejich ukládání, a to za účelem jejich dalšího užití. Hostingové služby zahrnují online platformy, online tržiště (marketplace) a internetové vyhledávače.

DSA dále rozlišuje takzvané velmi velké online platformy a velmi velké internetové vyhledávače, na které však dopadají zvláštní pravidla podle DSA až v návaznosti na individuální rozhodnutí Evropské komise při splnění dalších podmínek.[6] Ke dni uzavření rukopisu tohoto příspěvku Evropská komise určila celkem 23 velmi velkých online platforem a velmi velkých internetových vyhledávačů. Jedná se např. o LinkedIn, Google či Facebook.[7]

Povinnosti podle DSA dopadají na všechny poskytovatele digitálních služeb, kteří své služby poskytují uživatelům v EU, bez ohledu na jejich vlastní usazení.[8]

Nařízení o digitálních službách: Povinnosti online platforem

V DSA je nejvíce povinností ukládáno online platformám, a to s ohledem na jejich obrovský sociální a ekonomický dopad. Povinnosti se týkají zejména moderace nezákonného obsahu, který uživatelé prostřednictvím online platforem šíří. Ten představuje jakékoliv informace, které nejsou v souladu s právem Evropské unie nebo některého členského státu.[9] Může se jednat o nenávistný projev sdílený na sociální síti či padělané zboží nabízené obchodníky v rámci online tržiště.

Mechanismus pro přijímání a vyřizování oznámení

DSA ukládá online platformám povinnost umožnit uživatelům nahlašovat nezákonný obsah, který na platformu nahráli jiní uživatelé. Konkrétní podoba nástroje pro přijímání oznámení o nezákonném obsahu není DSA stanovena, ale měl by být umístěný „v blízkosti obsahu“. Může se jednat o řízenou e-mailovou schránku či ticketovací nástroj. Uživatel by však měl mít vždy možnost vysvětlit důvod nezákonnosti obsahu, poskytnout jednoznačný údaj o elektronickém umístění nezákonného obsahu na online platformě (typicky URL), sdělit své jméno / název a e-mailovou adresu a prohlásit, že oznámení je přesné a úplné.[10]

Online platforma musí uživateli přijetí oznámení nejprve potvrdit.[11] Následně musí oznámení přezkoumat a rozhodnout, zda se jedná o nezákonný obsah. Pokud ano, je třeba přijmout příslušná opatření (např. omezí viditelnost obsahu v rámci online platformy nebo odstraní uživatelský účet osoby, která závadný obsah na online platformu nahrála). Pokud se o nezákonný obsah nejedná, online platforma žádná opatření spočívající v moderaci obsahu či omezení uživatelských oprávnění přijímat nemusí. O svém rozhodnutí a možnostech nápravy v souvislosti s tímto rozhodnutím musí online platforma uživatele informovat.[12]

Pokud oznámení podají tzv. důvěryhodní oznamovatelé, musí online platforma oznámení vyřídit přednostně. Důvěryhodným oznamovatelem je subjekt, který má zvláštní odborné znalosti související s nezákonným obsahem, a kterému byl status důvěryhodného oznamovatele udělen koordinátorem digitálních služeb.[13] V České republice bude koordinátorem digitálních služeb Český telekomunikační úřad.[14]

Zákaz „dark patternů“

Kromě výše stanovených povinností ohledně nezákonného obsahu a jeho oznamování mají online platformy také povinnosti týkající se koncepce a uspořádání online rozhraní. Zakázáno je užívání tzv. „dark patterns“ neboli manipulativních technik, kterými online platformy manipulují nebo jinak redukují možnost uživatelů učinit informované rozhodnutí.[15] Může se jednat i o pouhé přednostní zviditelňování určitých možností či opakované žádosti o provedení již dříve učiněného rozhodnutí.[16]

Transparentnost online reklamy

DSA dále klade důraz na transparentnost a srozumitelnost v oblasti online reklamy. Pokud je uživatelům online platformy reklama prezentována, měli by dostat jasné informace o tom, že se jedná o reklamu, kým je reklama prezentována, kdo za reklamu zaplatil, proč jim je reklama prezentována, a případně jakým způsobem mohou parametry zobrazování reklamy změnit.[17]

DSA také zakazuje prezentování reklam v rámci online platforem na základě profilování[18], které se opírá o zvláštní kategorie osobních údajů.[19] V případě nezletilých uživatelů je zakázána prezentace reklam založených na profilování úplně.[20] S ohledem na skutečnost, že online platformy jsou financovány převážně z inzerce a doporučovací algoritmy založené na behaviorální cílené reklamě jsou pro ně zcela klíčové, lze očekávat že nová regulace bude mít na oblast fungování online reklamy citelný dopad.

Další povinnosti v nařízení o digitálních službách

Kromě výše uvedených povinností musí online platformy také upravit své smluvní podmínky^[21] a zveřejňovat výroční zprávy o moderování obsahu^[22] a informace o průměrném měsíčním počtu uživatelů.^[23] V neposlední řadě musí provést nezbytné úpravy v dokumentaci upravující zpracování osobních údajů, neboť v rámci výše popsaných systémů bude docházet k masivnímu zpracování osobních údajů uživatelů online platforem a není náhodou, že DSA je úzce propojeno s GDPR a ochranou soukromí obecně.

Zvláštní povinnosti ukládá DSA provozovatelům online tržišť ve vztahu k ověřování totožnosti obchodníků, kteří v rámci tržiště nabízejí své zboží a služby. Předtím, než provozovatel online tržiště obchodníkovi umožní v rámci tržiště zboží a služby nabízet, musí od něj získat jeho jméno /název, poštovní adresu, telefonní číslo a e-mailovou adresu obchodníka, informace o zápisu v obchodním rejstříku obchodníka včetně IČO, kopii dokladu totožnosti, údaje o jeho platebním účtu, a prohlášení obchodníka, kterým se zavazuje nabízet pouze zboží nebo služby, které jsou v souladu s použitelným právem Evropské unie.[24]

Provozovatelé online tržišť musí dále náhodně ověřovat, zda zboží nebo služby nabízené na online tržišti nebyly označeny jako nezákonné. Kontroly nezákonnosti mohou provozovatelé online tržiště provádět v jakékoli volně přístupné online databázi nebo rozhraní[25]. K plnění této povinnosti mohou využívat např. RAPEX, který funguje jako pravidelně aktualizovaná databáze s nebezpečnými výrobky.

Závěr k nařízení o digitálních službách

DSA přináší poskytovatelům zprostředkovatelských digitálních služeb celou řadu nových povinností. Pokud provozujete sociální sítě, online tržiště nebo aplikaci, které umožňují ukládání uživatelského obsahu, je pravděpodobné, že je budete muset plnit také. V případě, že povinnosti nesplníte, vystavujete se nejen riziku sankce ze strany koordinátora digitálních služeb[26], ale pokud i takovým porušením způsobíte škodu uživatelům, mohou se u vás samotní uživatelé domáhat její náhrady.[27]

Povinnosti poskytovatelů zprostředkovatelských digitálních služeb zahrnují zejména zřízení mechanismu pro přijímání a vyřizování oznámení o přítomnosti nezákonného obsahu v rámci služby, přes úpravy smluvních podmínek a související dokumentace, až po plnění informační povinnosti a podřízení se pravidlům v oblasti koncepce a uspořádání online rozhraní či prezentace reklamy.

1. Nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách).
2. Čl. 2 odst. 1 DSA.
3. Bod 5 odůvodnění DSA.
4. Dle Rozsudku Soudního dvora ze dne 11. září 2014 ve věci C-291/13 se úplatou nerozumí pouze platby od uživatelů digitálních služeb, ale také například příjmy plynoucí z reklamy.
5. Čl. 3 písm. g) DSA.
6. Čl. 33 DSA.
7. Srov. Evropská komise: Supervision of the designated very large online platforms and search engines under DSA [online]. European Commission. [cit. 14. 5. 2024]. https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses.
8. Článek 2 odst. 1 DSA.
9. Článek 3 písm. h) DSA.
10. Článek 16 odst. 2 DSA.
11. Článek 16 odst. 4 DSA.
12. Článek 16 odst. 5 DSA.
13. Článek 22 odst. 2 DSA.
14. V České republice bude funkci koordinátora digitálních služeb vykonávat Český telekomunikační úřad, a to na základě zákona o digitální ekonomice, který je mj. adaptačním předpisem DSA. Návrh zákona o digitální ekonomice prošel mezirezortním připomínkovým řízením a v tuto chvíli čeká na projednání vládou.
15. Článek 25 odst. 1 DSA.
16. Článek 25 odst. 3 DSA.
17. Článek 26 odst. 1 DSA.
18. Podle článku 4 odst. 4 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) se profilováním rozumí jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.
19. Podle článku 9 odst. 1 GDPR se jedná o osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
20. Článek 28 odst. 2 DSA.
21. Článek 14 DSA.
22. Článek 15 DSA.
23. Článek 24 odst. 2 DSA.
24. Článek 30 odst. 1 a odst. 2 DSA.
25. Článek 31 odst. 3 DSA.
26. Článek 51 DSA.
27. Článek 54 DSA.