Autor: Jakub Chlebiej

Wstęp

W erze cyfrowej, gdzie codziennie przetwarzane są gigantyczne ilości danych, a interakcje społeczne coraz częściej odbywają się za pośrednictwem Internetu, regulacje dotyczące funkcjonowania platform internetowych stają się kluczowe. Jednym z najbardziej dyskutowanych obecnie w tym kontekście aktów prawnych jest Akt o Usługach Cyfrowych (Digital Services Act – DSA). Wprowadza on szereg obowiązków dla tzw. bardzo dużych platform internetowych (very large online platforms – VLOP), w tym obowiązek publikowania repozytoriów reklam.

Czym są bardzo duże platformy internetowe?

Na wstępie warto zdefiniować, czym są bardzo duże platformy internetowe. Według DSA, za bardzo duże platformy internetowe uznaje się te, które mają co najmniej 45 milionów aktywnych użytkowników miesięcznie w Unii Europejskiej. Takie platformy, ze względu na swój zasięg i wpływ na społeczeństwo, podlegają bardziej rygorystycznym regulacjom niż mniejsze podmioty. Status bardzo dużej platformy internetowej lub bardzo dużej wyszukiwarki internetowej, przyznawany jest przez Komisję Europejską w ramach decyzji. Aktualnie status bardzo dużej platformy internetowej lub bardzo dużej wyszukiwarki internetowej posiadają następujące podmioty:

Obowiązek publikowania repozytoriów reklam

Jednym z kluczowych obowiązków nałożonych przez DSA na VLOPy, jest obowiązek publikowania repozytoriów reklam. Platformy te muszą gromadzić i udostępniać informacje na temat wszystkich reklam wyświetlanych na ich stronach. Repozytoria te muszą zawierać m.in.:

1. Treść reklamy – w tym nazwę produktu, usługi lub marki oraz przedmiot reklamy, jaki był wyświetlany użytkownikom.

2. Dane reklamodawcy – informacje o podmiocie, w imieniu którego reklama jest wyświetlana.

3. Dane podmiotu, który zapłacił za reklamę, jeżeli osoba ta nie jest reklamodawcą – jeśli za reklamę zapłaciła inna osoba niż reklamodawca, konieczne jest także wskazania danych tego podmiotu. Celem takiego wymogu jest wskazanie podmiotu, w którego interesie reklama jest prezentowana. W praktyce sprostanie temu wymogowi może powodować wyzwania. Zwykle dostawcy zmuszeni są bazować w tym zakresie na oświadczeniu reklamodawcy, czy sam płaci za prezentowanie reklamy czy działa w imieniu innego podmiotu. Należy podkreślić, że dostawcy mają obowiązek dołożenia „rozsądnych starań, aby zapewnić prawidłowość i kompletność informacji” (art. 39 ust. 1 DSA).

4. Okres emisji – okres, w których reklama była prezentowana (dacie pierwszego oraz ostatniego zaprezentowania reklamy w ramach interfejsu dostawcy).

5. Grupa docelowa – informacje o tym, do jakiej grupy użytkowników reklama była skierowana (jeśli reklama miała być prezentowana zamierzano konkretnie, co najmniej jednej szczególnej grupie odbiorców usługi). W przypadku reklamy targetowanej, należy wskazać również kryteria targetowania. Kryteriami tymi mogą być np.: wiek, płeć, dotychczasowa aktywność w ramach platformy, obszar geograficzny. Jeśli zastosowane zostały również ewentualne kryteria negatywne tj. kryteria mające na celu wyłączenie kierowania danej reklamy do określonej grupy lub grup odbiorców, również takie kryteria powinny zostać wskazane. Kryteriami negatywnymi mogą być kryteria analogiczne jak wskazane powyżej kryteria pozytywne.

6. Całkowita liczba odbiorców usługi, do których reklama dotarła – chodzi o wskazanie liczby użytkowników, którym reklama została wyświetlona; dodatkowo, w przypadku reklamy targetowanej – dostawcy VLOP są zobowiązani wskazać zagregowaną liczbę odbiorców reklamy w podziale na państwa członkowskie.

DSA przewiduje również, że repozytorium reklam ma:

1. być dostępne w ramach określonej sekcji interfejsu internetowego VLOPów;

2. umożliwiać wyszukiwanie reklam na podstawie wielu kryteriów i niezawodnego narzędzia oraz za pośrednictwem interfejsów programowania aplikacyjnego (ang. application programming interface, API). Obowiązek udostępnienia funkcji wyszukiwania za pośrednictwem API, w praktyce zapewnić ma podmiotom trzecim łatwiejszy dostęp do zawartych w repozytorium informacji oraz tworzenie przez nich własnych narzędzi wyszukiwania.

VLOPy powinny zapewnić, aby repozytorium nie zawierało żadnych danych osobowych odbiorców usługi, którym reklama była lub mogła być prezentowania.

Cel i znaczenie regulacji

Celem wprowadzenia obowiązku publikowania repozytoriów reklam jest zwiększenie przejrzystości w obszarze reklamy internetowej. Dzięki temu użytkownicy mogą lepiej zrozumieć, kto i w jaki sposób próbuje wpłynąć na ich decyzje zakupowe za pomocą reklam. Ponadto, regulacje te mają na celu zapobieganie manipulacjom wyborczym i dezinformacji, które mogą być szerzone za pomocą celowanych kampanii reklamowych.

Konsekwencje dla platform internetowych

Wprowadzenie obowiązku publikowania repozytoriów reklam nakłada na platformy internetowe szereg nowych wyzwań. Muszą one zainwestować w odpowiednie technologie i zasoby ludzkie, aby spełnić nowe wymogi prawne. Ponadto, muszą one działać w sposób przejrzysty i zgodny z prawem, co może wymagać modyfikacji dotychczasowych praktyk biznesowych. Nieprzestrzeganie nowych przepisów może skutkować poważnymi konsekwencjami, w tym wysokimi karami finansowymi.

Wpływ na użytkowników i reklamodawców

Nowe regulacje mają na celu ochronę interesów użytkowników, zapewniając im większą kontrolę i świadomość w zakresie wyświetlanych reklam. Użytkownicy będą mieli dostęp do informacji na temat reklam, co pozwoli im na bardziej świadome korzystanie z usług internetowych.

Dla reklamodawców oznacza to konieczność większej przejrzystości i odpowiedzialności za kampanie reklamowe. Mogą oni napotkać nowe bariery i wyzwania, zwłaszcza w kontekście zgodności z nowymi regulacjami. Konieczność publikowania szczegółowych informacji o kampaniach reklamowych może również wpłynąć na strategię marketingową i budżetowanie kampanii.

Podsumowanie

Akt o Usługach Cyfrowych wprowadza istotne zmiany w zakresie funkcjonowania bardzo dużych platform internetowych. Choć nowe regulacje, w tym obowiązek publikowania repozytoriów reklam, mogą stanowić wyzwanie dla VLOPów i reklamodawców, mają one na celu zwiększenie przejrzystości i ochronę użytkowników przed nieetycznymi praktykami reklamowymi.

Więcej informacji na temat obowiązków nałożonych na bardzo duże platformy internetowe, dostępnych jest w rozdziale IX publikacji „Wdrożenie aktu o usługach cyfrowych w e-commerce”, 2024, wydawnictwo C.H. Beck, którego jestem współautorką.

https://www.ksiegarnia.beck.pl/22073-wdrozenie-aktu-o-uslugach-cyfrowych-w-e-commerce-mateusz-borkiewicz

W tym artykule skupię się na omówieniu obowiązków, jakie spoczywają na dostawcach platform internetowych na podstawie aktu o usługach cyfrowych (AUC).  

Pod platformy internetowe kwalifikuje się wiele usług. Mogą nimi być media społecznościowe (np. usługi Meta, jak Facebook czy Instagram), usługa typu market place (np. Allegro, Amazon), czy też miejsca umożliwiające publikowanie filmów (np. Youtube). W ciągu ostatnich lat świadczenie usług w formie platform internetowych stało się jednym z przodujących sektorów gospodarki cyfrowej. Dlatego też prawodawca unijny postanowił poświęcić bardzo dużo uwagi tym podmiotom podczas tworzenia AUC i nałożył na nie szereg obowiązków. 

Kim jest dostawca platformy internetowej? 

Na samym początku należy wskazać, kim jest dostawca platformy internetowej.  

Platformą internetową w myśl AUC jest usługa hostingu (więcej informacji na ten temat znajdziecie na naszym blogu w artykule [__]), która na żądanie odbiorcy usługi przechowuje i rozpowszechnia publicznie informacje. 

AUC przewiduje jednak wyjątki od tego, czy konkretna usługa kwalifikuje się jako platforma internetowa. Z takim wyłączeniem mamy do czynienia, gdy działanie jest nieznaczną lub wyłącznie poboczną cechą innej usługi lub nieznaczną funkcją głównej usługi, i ze względów obiektywnych i technicznych nie można z niej skorzystać bez takiej innej usługi, a włączenie takiej cechy lub funkcji w taką inną usługę nie jest sposobem na obejście stosowania AUC.  

Samo ustalenie, że konkretny dostawca spełnia przesłanki bycia platformą internetową, wcale nie oznacza, że konieczne będzie stosowanie w tym zakresie AUC. Jeżeli dostawca jest mikro lub małym przedsiębiorstwem w myśl zaleceń Komisji Europejskiej 2003/361/WE, wówczas – poza jednym wyjątkiem sprawozdawczym – nie będzie zobowiązany do wdrożenia rozwiązań przewidzianych dla dostawców platformy internetowej. Są to następujące przedziały: 

– mikro przedsiębiorstwo – zatrudnia mniej niż 10 pracowników, a jego obrót lub roczna suma bilansowa nie przekracza 2 mln EUR; 

– małe przedsiębiorstwo – zatrudnia mniej niż 50 pracowników, oraz których obrót lub roczna suma bilansowa nie przekracza 10 mln EUR. 

Ale i tutaj mamy wyjątek od wyjątku 😊 Nawet jeżeli dostawca platformy internetowej jest mikro lub małym przedsiębiorstwem, będzie musiał przestrzegać tych obowiązków, jeżeli jednocześnie będzie posiadał status dostawcy bardzo dużej platformy internetowej. Wynika to z tego, że przy takiej kwalifikacji nie ma znaczenia rozmiar dostawcy, a przede wszystkim jego zasięgi (o czym więcej poniżej).  

Poniżej ogólne zestawienie obowiązków przewidzianych wyłącznie dla dostawców platform internetowych z AUC (Rozdział III Sekcja 3 AUC): 

Ale uwaga! Musimy jeszcze pamiętać o poniższych zasadach: 

1. Dostawca platformy internetowej musi spełniać również obowiązki, jakie są przewidziane dla każdego dostawcy usług pośrednich (Rozdział III Sekcja 1 AUC) oraz dostawcy usług hostingu (Rozdział III Sekcja 2 AUC). Wynika to z tego, że dostawca platformy internetowej z założenia jest również dostawcą hostingu, czyli jednego z rodzajów usług pośrednich. 

1. Kolejne obowiązki dla dostawcy platformy internetowej pojawią się, jeżeli jego platforma umożliwia konsumentom zawieranie z przedsiębiorcami umów zawieranych na odległość (tzw. platformy B2C) (Rozdział III Sekcja 4 AUC). 

1. Jeszcze więcej obowiązków wystąpi, kiedy dostawca będzie posiadał status dostawcy bardzo dużej platformy internetowej, czyli posiadał średnią liczbę miesięcznie aktywnych odbiorców usługi w Unii wynoszącą co najmniej 45 mln i został wskazany przez Komisję Europejską jako bardzo duża platforma internetowa. 

1. Last but not least, niezależnie od obowiązków nałożonych przez AUC, dostawca platformy internetowej musi spełniać obowiązki, jakie są na niego nałożone w innych aktach prawnych (jak np. rozporządzenia 2021/784 w sprawie przeciwdziałania rozpowszechnianiu w internecie treści o charakterze terrorystycznym, czy też RODO). 

Poniżej skrótowo obowiązki dostawców platform internetowych, jakie wymieniłem powyżej. 

Wewnętrzny system rozpatrywania skarg 

Jest to rozwinięcie nałożonych na każdego dostawcę usługi obowiązków związanych z moderacją treści w swoich zasobach. Dostawca platformy internetowej musi umożliwić odbiorcom usługi, w tym osobom, które dokonują zgłoszenia, przez okres co najmniej sześciu miesięcy od podjęcia decyzji związanej z moderacją dostęp do skutecznego wewnętrznego systemu rozpatrywania skarg.  

Dla przykładu, załóżmy że użytkownik A zauważył, że na platformie internetowej XYZ użytkownik B zamieścił komentarz, który narusza dobra osobiste użytkownika A. Użytkownik A zgłosił do dostawcy platformy internetowej XYZ o występowaniu tych nielegalnych treści. Po pewnym czasie dostawca platformy wydał decyzję, w której przychylił się do stanowiska użytkownika A i usunął z platformy XYZ treści komentarz użytkownika B, który został o tym fakcie poinformowany. Użytkownik B nie zgadza się z taką decyzją, dlatego składa na nią skargę, która będzie rozpatrywana przez właśnie wewnętrzny system rozpatrywania skarg tego dostawcy. 

Oczywiście jest to jeden ze scenariuszy, kiedy wewnętrzny system rozpatrywania skarg znajduje zastosowanie.  

Więcej informacji o tej procedurze znajdziecie w tym artykule. 

Pozasądowy mechanizm rozstrzygania sporów 

Kolejnym obowiązkiem, jaki spoczywa na dostawcach platform internetowych, jest zapewnienie użytkownikom i osobom uprawnionym (tj. osobom dokonującym zgłoszenia, które nie są użytkownikami) możliwości skorzystania z pozasądowego mechanizmu rozstrzygania sporów. 

Należy pamiętać, że nie jest to kolejny etap rozpatrywania sprawy przez dostawcę platformy internetowej. Sprawa jest rozstrzygana przez zewnętrzny podmiot. Dostawca platformy internetowej musi wskazać zainteresowanemu, że prawo skorzystania z tego środka.  

Zainteresowany może skierować wniosek o rozwiązanie sporu do pozasądowego (np. certyfikowanego) organu. Co do zasady dostawca platformy internetowej nie może odmówić przystąpienia do takiej sprawy. 

Priorytetowe traktowanie zgłoszeń  

Na dostawcy platformy internetowej spoczywa obowiązek wdrożenia w swojej organizacji niezbędnych środków technicznych i organizacyjnych w celu zapewnienia priorytetowego traktowania zgłoszeń dokonywanych przez zaufane podmioty sygnalizujące. Są to podmioty wskazane przez koordynatora ds. usług cyfrowych, które: 

1. dysponują szczególną wiedzą ekspercką i kompetencjami do celów wykrywania, identyfikowania i zgłaszania nielegalnych treści; 

1. są niezależne od dostawców platform internetowych; 

1. podejmują działania mające na celu dokonywanie zgłoszeń w sposób dokładny i obiektywny oraz z zachowaniem należytej staranności. 

Spełnienie takiego obowiązku może się wiązać np. z ustanowieniem osobnego kanału zgłoszeń dla tych podmiotów, niezależnie od zgłoszeń dokonywanych przez inne osoby.  

Mechanizmu reagowania na nadużycia w korzystaniu usług 

AUC nakłada na dostawcy platformy internetowej wdrożenie mechanizmów, z których ten może skorzystać, gdy nadużywa się z udostępnianych przez niego usług. Bardzo często są to osoby uprawiające „trolling”.  

Po pierwsze, dostawca zawiesza na rozsądny okres i po wydaniu uprzedniego ostrzeżenia świadczenie usług na rzecz odbiorców usługi często przekazujących oczywiście nielegalne treści. 

Po drugie, dostawca zawiesza na rozsądny okres i po wydaniu uprzedniego ostrzeżenia rozpatrywanie zgłoszeń dokonanych za pośrednictwem mechanizmów zgłaszania i działania oraz skarg wnoszonych za pośrednictwem wewnętrznych systemów rozpatrywania skarg przez osoby lub podmioty dokonujące często oczywiście bezzasadnych zgłoszeń lub przez skarżących wnoszących często oczywiście bezzasadne skargi. 

Dla przykładu, użytkownik A, mający konto w platformie społecznościowej XYZ, zgłasza jej dostawcy jako potencjalne nielegalne treści każdy wpis użytkownika B, który dotyczy sytuacji politycznej w kraju. Użytkownik A nie zgadza się z poglądami użytkownika B, ponieważ sam opowiada się za inną opcją polityczną. Natomiast już bez potrzeby posiadania wiedzy eksperckiej dostawca platformy XYZ zauważa, że żadna z wypowiedzi użytkownika B nie zawiera treści nielegalnych, a same wypowiedzi są konstruktywną krytyką. W takiej sytuacji dostawca platformy XYZ zwraca się do użytkownika A z ostrzeżeniem, że ten nadużywa swoich uprawnień zgłoszeniowych i wzywa do zaprzestania tych praktyk. Pomimo wezwania, użytkownik A dalej dokonuje zgłoszeń wypowiedzi użytkownika B. W związku z tym dostawca zawiesza na czas 1 miesiąca rozpatrywanie zgłoszeń użytkownika A. 

Dodatkowe obowiązki sprawozdawcze 

Dostawca platformy internetowej posiada więcej obowiązków sprawozdawczych, niż standardowy dostawca usług pośrednich. Poniżej przykładowe obowiązki w tym zakresie. 

Poza informacjami zawartymi w art. 15 AUC (więcej informacji w artykule pod tym linkiem), dostawca platformy internetowej musi podać do publicznej wiadomości (najczęściej na stronie internetowej platformy internetowej) również następujące dane: 

1. związane z prowadzeniem przez dostawcę platformy internetowej sporów:  

1. liczbę sporów przekazywanych do organów pozasądowego rozstrzygania sporów; 

1. wyniki rozstrzygania tych sporów oraz 

1. medianę czasu potrzebnego na przeprowadzenie postępowania w sprawie rozstrzygania sporów, a także 

1. udział sporów, w których dostawca platformy internetowej wdrożył decyzje tego organu. 

1. liczbę przypadków zawieszenia świadczenia usług z podziałem na zawieszenia dokonane w związku z: 

1. przekazywaniem treści oczywiście nielegalnych; 

1. dokonywaniem oczywiście bezzasadnych zgłoszeń; oraz 

1. wnoszeniem oczywiście bezzasadnych skarg.  

Ponadto co najmniej raz na sześć miesięcy dostawcy, w odniesieniu do każdej platformy internetowej lub wyszukiwarki internetowej, publikują w publicznie dostępnej sekcji swojego interfejsu internetowego informacje na temat średniej liczby aktywnych miesięcznie odbiorców usługi w Unii. 

Jednocześnie dostawcy platform internetowych lub wyszukiwarek internetowych przekazują koordynatorowi ds. usług cyfrowych właściwemu dla miejsca siedziby i Komisji Europejskiej – na ich wniosek i bez zbędnej zwłoki – informacje o średniej liczbie aktywnych miesięcznie odbiorców w Unii.  

Zakaz wykorzystywania dark patterns 

Dostawca platformy internetowej nie może projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji. AUC nazywa tego typu praktyki „zwodniczymi interfejsami internetowymi”, jednak w najczęściej biznes posługuje się zwrotem „dark patterns”. Stosowanie dark patterns jest niezwykle często występującym zjawiskiem, m.in. w e-commerce. Przez takie interfejsy użytkownicy często kupują produkty, których w ogóle nie potrzebują, czy też kupują je w ilości większej niż to niezbędne.  

Należy tutaj zauważyć, że pierwszeństwo stosowania przed przepisem AUC w tym zakresie mają regulacje RODO oraz dyrektywy o nieuczciwych praktykach rynkowych (w polskim porządku prawnym implementowanej jako ustawa o przeciwdziałaniu nieuczciwym praktykom rynkowym).  

Transparentność reklam internetowych 

Dostawcy platform internetowych, którzy prezentują reklamy na swoich interfejsach internetowych, zapewniają, aby – w odniesieniu do każdej konkretnej reklamy prezentowanej każdemu indywidualnemu odbiorcy – odbiorcy usługi byli w stanie w sposób jasny, wyraźny, zwięzły i jednoznaczny oraz w czasie rzeczywistym: 

1. stwierdzić, że informacje są reklamą;  

1. stwierdzić, w imieniu jakiej osoby fizycznej lub prawnej jest prezentowana reklama;  

1. stwierdzić, jaka osoba fizyczna lub prawna zapłaciła za reklamę, jeżeli osobą tą nie jest osoba fizyczna lub prawna, o której mowa w lit. b;  

1. znaleźć istotne informacje, pozyskane bezpośrednio i łatwo z reklamy, na temat głównych parametrów wykorzystanych do określenia odbiorcy, któremu reklama jest prezentowana i, w stosownych przypadkach, sposobu zmiany tych parametrów.  

W dodatku dostawcy zapewniają odbiorcom usługi funkcję umożliwiającą składanie oświadczenia, czy przekazywane przez nich treści są informacjami handlowym lub zawierają informacje handlowe (widzicie czasem na platformach, że konkretny materiał jest „sponsorowany”? 😊). 

Kolejnym istotnym obowiązkiem nałożonym na dostawców platform internetowych jest zakaz prezentowania odbiorcom usługi reklam opartych na profilowaniu w myśl przepisów RODO z wykorzystaniem szczególnych kategorii danych osobowych (np. danych dot. stanu zdrowia lub poglądów politycznych).  

Stosowanie przejrzystego systemu rekomendacji 

Dostawcy platform internetowych, którzy korzystają z systemów rekomendacji, w prostym i przystępnym języku określają w swoich warunkach korzystania z usług główne parametry stosowane w ich systemach rekomendacji, a także wszelkie opcje zmieniania tych parametrów przez odbiorców usługi lub wpływania na nie. 

W głównych parametrach wyjaśnia się, dlaczego niektóre informacje są sugerowane odbiorcy usługi. Obejmują one co najmniej: 

1. kryteria, które są najistotniejsze przy określaniu informacji sugerowanych odbiorcy usługi; oraz 

1. udział poszczególnych parametrów („ile ważą”) przy ustalaniu rekomendacji dla użytkownika. 

Innymi słowy, dzięki temu powinniśmy wiedzieć, że często wyświetlają nam się na platformie zdjęcia śmiesznych kotów, ponieważ oglądamy bardzo dużo filmików z nimi w udziale 😊 

Jeżeli dostępnych jest kilka opcji dla systemów rekomendacji, które określają względną kolejność informacji przedstawianych odbiorcom usługi, dostawcy udostępniają również funkcję umożliwiającą odbiorcy usługi wybór i zmianę w dowolnym momencie preferowanej opcji. Ta funkcja musi być bezpośrednio i łatwo dostępna w określonej sekcji interfejsu internetowego platformy internetowej, w której informacje są szeregowane. 

Ochrona małoletnich w internecie 

Ostatnim obszarem obowiązków, jakie spoczywają na dostawcach platform internetowych, związana jest z korzystaniem z ich usług przez osoby małoletnie. Są to następujące obowiązki: 

1. wprowadzenie odpowiednich i proporcjonalnych środków, aby zapewnić wysoki poziom prywatności, bezpieczeństwa i ochrony małoletnich w ramach świadczonych przez dostawców usług (bardzo pomocne są tutaj rozwiązania wypracowane w RODO); 

1. zakaz prezentowania przez dostawców na swoim interfejsie reklam opartych na profilowaniu z wykorzystaniem danych osobowych odbiorcy usługi, jeżeli wiedzą z wystarczającą pewnością, że odbiorca usługi jest małoletni. 

Wypełnianie powyższych obowiązków nie zobowiązuje dostawców platform internetowych do przetwarzania dodatkowych danych osobowych w celu oceny, czy odbiorca usługi jest małoletni. 

1. AUC i RODO – status związku: „to skomplikowane” 

Ostatnie miesiące upływają wielu przedsiębiorcom działającym w e-commerce na wdrażaniu w swoich organizacjach unijnego rozporządzenia – aktu o usługach cyfrowych (AUC).  

Należy pamiętać, że AUC nie działa w próżni. Poza nim przedsiębiorcy e-commerce muszą pamiętać o innych regulacjach, które muszą stosować, aby być w pełni compliance. Jednym z nich jest właśnie RODO. Można nawet zaryzykować stwierdzenie, że AUC nie będzie poprawnie wdrożone, jeśli wcześniej w organizacji nie zostało wdrożone RODO.  

Rozporządzenie AUC w swojej treści wskazuje, jak wygląda jego relacja z RODO. Generalnie AUC pozostaje bez wpływu na unijne regulacje ochrony danych osobowych (czyli przede wszystkim RODO). W tym miejscu prawnik użyje sformułowania, że RODO jest lex specialis do AUC. Oznacza to, że przepisy RODO mają charakter szczególny względem przepisów AUC. Akt o usługach cyfrowych ma wyłącznie charakter uzupełniający względem regulacji RODO.  

Poniżej znajduje się kilka obszarów, gdzie przy wdrażaniu AUC w organizacji należy pamiętać o RODO. 

2. RODO a dark patterns  

Jednym z przykładów jest zakaz stosowania dark patterns – „zwodniczych interfejsów”. Zgodnie z art. 25 ust. 1 AUC dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji. Co istotne, ta regulacja ma zastosowanie wtedy, gdy nie znajdą zastosowania przepisy RODO oraz dyrektywy o nieuczciwych praktykach rynkowych. Co to oznacza? Nawet jeżeli dostawca platformy internetowej używa dark patterns, najpierw trzeba ustalić, czy nie są one związane z gromadzeniem lub przetwarzaniem danych osobowych, czy też są skierowane do konsumentów. Jeżeli żadna z tych sytuacji nie będzie miała miejsca, wówczas należy skorzystać z regulacji AUC.  

Tym samym przy zwalczaniu dark patterns większe znaczenie niż AUC ma w dalszym ciągu RODO. Istotne w tym kontekście jest zwrócenie uwagi m.in. na wytyczne Europejskiej Rady Ochrony Danych 3/2022 (Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: How to recognise and avoid them, przyjęte 14.2.2023 r. (wersja 2.0)). 

3. RODO a profilowanie 

Jednym z obszarów, na który AUC zwróciło szczególną uwagę, jest kwestia przedstawiania reklam w oparciu o profilowanie z wykorzystaniem danych osobowych. 

Czym jest profilowanie? Zgodnie z RODO jest to dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. 

Rozporządzenie AUC odnosi się przede wszystkim do profilowania w przypadku dostawców platform internetowych. 

Po pierwsze, dostawcy platform internetowych nie mogą prezentować odbiorcom usługi reklam opartych na profilowaniu z wykorzystaniem szczególnych kategorii danych osobowych. Czym są te „szczególne kategorie danych”, które są również nazywane „danymi wrażliwymi”? RODO wskazuje, że są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. 

Po drugie, dostawcy platform internetowych nie mogą prezentować na swoim interfejsie reklam opartych na profilowaniu z wykorzystaniem danych osobowych (nie tylko wrażliwych!) odbiorcy usługi, jeżeli wiedzą z wystarczającą pewnością, że odbiorca usługi jest małoletni. 

Po trzecie, dostawcy bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych, którzy korzystają z systemów rekomendacji (więcej pod tym linkiem), zapewniają co najmniej jedną opcję dla każdego ze swoich systemów rekomendacji, która nie jest oparta na profilowaniu. 

4. RODO a ochrona małoletnich 

Kolejnym obszarem AUC, przy którego wdrożeniu konieczna jest znajomość RODO, jest kwestia ochrony małoletnich (z perspektywy AUC osób poniżej 18. roku życia). Powyżej wspomniałem o zakazie prezentowania małoletnim reklam opartych o profilowaniu z wykorzystaniem danych osobowych. Poniżej kolejny obowiązek. 

Dostawcy platform internetowych dostępnych dla małoletnich wprowadzają odpowiednie i proporcjonalne środki, aby zapewnić wysoki poziom prywatności, bezpieczeństwa i ochrony małoletnich w ramach świadczonych przez siebie usług. Jest do podejście zbliżone do modelu privacy by design oraz privacy by default, jakie zostało wprowadzone w RODO. Innymi słowy, przy wprowadzaniu odpowiednich środków w celu zapewnienia prywatności, bezpieczeństwa i ochrony małoletnich, konieczne jest skorzystanie z dorobku RODO w tym zakresie, zwłaszcza w kontekście art. 25 i 34 tego rozporządzenia. Ważne jest też korzystanie z wytycznych opracowanych zarówno przez EROD (np. 5/2020 dotyczące zgody na mocy rozporządzenia 2016/679), czy też organów nadzorczych poszczególnych państw członkowskich Unii Europejskiej (np. „The Fundamentals for a Child-Oriented Approach to Data Processing”, opracowane przez irlandzki Data Protection Commision). 

5. Podsumowanie 

To tylko kilka przykładów, które pokazują, jak ważnym rozporządzeniem z perspektywy AUC jest RODO. Wdrożenie aktu o usługach cyfrowych w organizacji nie będzie kompletne, jeżeli zawczasu nie doszło do prawidłowego wdrożenia RODO. Oznacza to, że już teraz warto, aby każdy z przedsiębiorców sektora e-commerce sprawdził aktualność swoich rozwiązań w kontekście ochrony danych osobowych.