DSA 2024: ключові положення для IT-бізнесу

The EU Digital Services Act (DSA), який набуває чинності 17 лютого 2024 року, має на меті забезпечити безпечне, справедливе та прозоре онлайн-середовище на просторах Європейського Союзу. Цей акт встановлює нові правила для постачальників посередницьких послуг (intermediary service providers), тобто компаній, які постачають споживачам з ЄС товари, послуги та контент, що називається, “на відстані” за допомогою електронних засобів.

Загалом, Digital Services Act (DSA) застосовується до постачальників посередницьких послуг, які надають послуги в ЄС, незалежно від того, де розташовані такі компанії – фактично як і GDPR, DSA має екстериторіальну дію.

Коло суб’єктів, на яких стане поширюватись дія Digital Service Agreement (DSA) після 17 лютого 2024 року

Зазвичай, суб’єктів за Digital Services Act (DSA) розподіляють на 4 умовні рівні:

1 рівень: Intermediary services (загальна назва для всіх послуг, до якої базово входять 3 основні надавачі послуг)

• Caching, Hosting and Mere Conduit Service Providers (суб’єкти, що надають послуги з кешування, внаслідок передачі інформації із автоматичним/тимчасовим зберіганням; суб’єкти, що надають послуги з хостингу, тобто зберігання інформації; суб’єкти, що надають послуги “простого каналу” шляхом передачі інформації у мережі або надання доступу до неї). Такі послуги включають передачу та/або тимчасове зберігання наданої користувачем інформації в комунікаційних мережах і охоплюють такі компанії, як інтернет-провайдери, провайдери послуг доменних імен та VPN.

2 рівень: Hosting services

• Hosting Service Providers (суб’єкти, що надають послуги з хостингу, тобто зберігання інформації). Наприклад, до такої категорії входять веб-хостінги та хмарні середовища.

3 рівень: Online platforms and marketplaces

• Online Platforms & Online Platforms allowing distance contracts to be concluded (суб’єкти, що є онлайн платформами та маркетплейси). Онлайн-платформи розглядаються Digital Services Act (DSA) як хостингові послуги, які на прохання користувача зберігають і поширюють інформацію для широкої аудиторії. У самому Акті наводяться приклади соціальних мереж та онлайн-маркетплейсів, де споживачі можуть укладати дистанційні контракти з продавцями. Інші платформи, які можуть потрапити під дію Акту, включають магазини додатків, краудфандингові платформи та платформи із економічними моделями спільного споживання (collaborative economy platforms).

4 рівень: Very large online platforms and large online search engines

• Very Large Online Platforms (VLOPs) and Very Large Online Search Engines (VLOSEs) (суб’єкти, що є дуже великими онлайн-платформами або пошуковими системами). Зазвичай, онлайн-платформа або пошукова система в середньому буде кваліфікуватися як дуже велика онлайн-платформа/пошукова система, якщо кількість щомісячних користувачів перевищує 10% від загальної кількості споживачів ЄС (На сьогодні ця цифра становить близько 45 мільйонів). Сюди входять AppStore, Facebook, YouTube, Google Search, Bing Search та ін.

Однак пам’ятайте, що існує важливий виняток зі сфери застосування Digital Services Act (DSA). Якщо поширення інформації для широкої аудиторії є лише допоміжним елементом послуги, що надається, така послуга не підпадає під сферу дії цього Акту. Так, у документі наводиться приклад розділу коментарів на веб-сайті газети, де останній  є лише допоміжним елементом послуги, представленої публікацією новин під редакційною відповідальністю видавця.

Які ж вимоги до постачальників послуг висуває Digital Services Act (DSA)?

DSA накладає нові вимоги на постачальників послуг (service providers), такі як заборона на використання чорних паттернів (dark patterns) і зобов’язання бути більш прозорими щодо логіки, яка лежить в основі будь-якої рекомендаційної системи. Крім того, він надає інтернет-користувачам нові права, якими вони можуть користуватися. Серед ключових зобов’язань – такі:

Зобов’язання, що застосовуються до всіх постачальників посередницьких послуг (intermediary services), включають:

Технічні умови, прозорість та звітність: Всі постачальники посередницьких послуг будуть зобов’язані переглянути свої Умови та положення, щоб забезпечити дотримання певних мінімальних вимог, зокрема, щодо ясності, прозорості та справедливості, а також того, що вони включають інформацію про будь-які політики, процедури, заходи та інструменти, що використовуються для модерації контенту.  На них також поширюватиметься щорічний режим прозорості та звітності (за винятком мікро і малих підприємств) щодо їхньої діяльності з модерації контенту. 

Тут важливо уточнити, що з метою стимулювання інновацій та створення рівних умов, мікро- та малі компанії здебільшого звільняються від вимог DSA. Це стосується компаній з чисельністю працівників менше 50 осіб на рік та річним оборотом/річним балансом менше 10 мільйонів євро. Обґрунтування такого звільнення можна знайти у всьому тексті Угоди: чим більшим є ваш цифровий вплив та можливі наслідки для людей і суспільства, тим повнішими є ваші зобов’язання за Угодою DSA.

Наявність EU representative: Будь-які постачальники посередницьких послуг, які не мають представництва в ЄС (але надають послуги в ЄС), повинні призначити місцевого представника в одній з держав-членів ЄС, де вони здійснюють свою діяльність. Цей представник може бути притягнутий до відповідальності за невиконання зобов’язань DSA, хоча і без шкоди для дій, які також можуть бути ініційовані проти самого провайдера

Зобов’язання Hosting service providers (including online platforms) включають:

Механізми оповіщення та вжиття заходів: DSA встановлює низку вимог до провайдерів-посередників, які надають послуги хостингу, що застосовуються на додаток до “базових” зобов’язань, описаних вище. Вони включають більшу відповідальність хостинг-провайдерів за забезпечення зручних для користувачів механізмів повідомлення та видалення, які дозволяють третім особам повідомляти про незаконний контент.

Обраний механізм повинен дозволяти фізичним або юридичним особам подавати детальні повідомлення, які дозволять хостинг-провайдеру визначити, чи є повідомлена інформація незаконною або несумісною з його умовами без проведення юридичної або фактичної експертизи. Після отримання повідомлення провайдер послуг хостингу повинен опрацювати його і швидко прийняти рішення про можливі дії (наприклад, видалити або відключити доступ до контенту), а також поінформувати заявника про вжиті заходи. 

До послуг хостингу, які підпадають під визначення “онлайн-платформ”, висуваються ще більші вимоги, на додаток до тих, що згадані вище:

Баланс між скаргами та свободою слова: Онлайн-платформи (крім мікро та малих підприємств) будуть зобов’язані створити внутрішню систему розгляду скарг, яка дозволить отримувачам послуг, чия інформація постраждала від певних рішень щодо модерації контенту, подавати електронні скарги впродовж певного періоду часу.

Після отримання скарги онлайн-платформа повинна переглянути рішення і, можливо, скасувати його, якщо контент є законним. Передбачається, що ці рішення не повинні прийматися лише на основі автоматизованих засобів, тобто для забезпечення дотримання вимог буде потрібен кваліфікований персонал.

Простежуваність (traceability) продавців та їхні зобов’язання щодо нелегальних продуктів і послуг: Онлайн-платформи, які дозволяють споживачам укладати онлайн-контракти з продавцями, повинні гарантувати, що такі продавці надали певну інформацію для забезпечення їхньої відстежуваності, і повинні перевіряти надану інформацію в міру своїх можливостей.

Якщо онлайн-платформі стає відомо, що якийсь продавець пропонує незаконні продукти або контент, вона повинна видалити їх і зберегти запис про таке видалення, а також виконати певні інформаційні вимоги щодо своїх клієнтів, споживачів загалом і відповідних органів влади.

Реклама в Інтернеті: Спираючись на засади Директиви про електронну комерцію (e-Commerce Directive) (яка вже вимагала чіткої ідентифікації комерційних повідомлень та суб’єкта, що їх надсилає), Digital Services Act (DSA) вимагає від платформ чітко визначати (1) параметри, які вони використовують для визначення одержувачів реклами, і (2) способи зміни цих параметрів.

Так, статтею 26.3 коментованого Акту провайдерам онлайн-платформ заборонено показувати користувачам таргетовану рекламу на основі конфіденційних даних, таких як раса, релігія та політичні погляди.

Крім того, провайдери онлайн-платформ не повинні розміщувати на своєму інтерфейсі рекламу, яка ґрунтується на профілюванні з використанням персональних даних, що стосуються одержувача послуги, якщо вони знають з достатнім ступенем достовірності, що одержувач послуги є неповнолітнім. 

Прозорість рекомендаційних систем: Рекомендаційні системи – програмне забезпечення, яке передбачає вподобання користувача – відповідають, наприклад, за створення плейлистів “Зроблено для вас”, списків “Схожі продукти” та “Фільми, які можуть вам сподобатися”.

Digital Services Act (DSA) вимагає, щоб онлайн-платформи та пошукові системи, які рекомендують контент, надавали користувачам легкодоступну інформацію про те, як працює система рекомендацій (включаючи її критерії, параметри, будь-які цілі та те, як поведінка користувача впливає на результати видачі), а також про наявні можливості для зміни або впливу на ці параметри. Хоча Акт не передбачає обов’язкової опції “вимкнення рекомендацій”, він вимагає, щоб онлайн-платформи дозволяли користувачам легко змінювати параметри рекомендаційних систем.

Іншими словами, коли онлайн-платформа використовує систему рекомендацій, наприклад, стрічку новин, вона повинна інформувати своїх користувачів про логіку роботи цієї системи рекомендацій і бути прозорою щодо того, як вона працює. 

Дизайн інтерфейсу та “dark patterns”: Важливо, що онлайн-платформам буде заборонено використовувати структуру, функції або спосіб роботи своїх інтерфейсів для спотворення або обмеження здатності одержувачів приймати поінформовані рішення – включаючи конкретні обмеження на повторне запрошення користувачів надати згоду на обробку або зробити розірвання договору більш обтяжливим, ніж “реєстрація”.

Особливості дизайну також повинні забезпечувати високий рівень конфіденційності, безпеки та захисту для неповнолітніх. Ці вимоги перегукуються з вимогами GDPR щодо прозорості, згоди та конфіденційності за задумом і ґрунтуються на них, а також повинні розглядатися разом з новими рекомендаціями, опублікованими органами з питань захисту персональних даних щодо обробки даних, які стосуються неповнолітніх, що постійно розвиваються.

Так, статтею 25 Digital Services Act (DSA) заборонено використовувати оманливі та/або маніпулятивні інтерфейси, які заважають користувачам робити поінформований і вільний вибір.

Вимоги до прозорості реклами на онлайн-платформах: Постачальники онлайн-платформ, які представляють рекламу на своїх онлайн-інтерфейсах, повинні забезпечити, щоб для кожної конкретної реклами, представленої кожному окремому одержувачу, одержувачі послуги могли чітко, стисло і недвозначно в режимі реального часу визначити наступне:

• що інформація є рекламою,
• фізичну або юридичну особу, від імені якої подається реклама
• фізичну або юридичну особу, яка оплатила рекламу, 
• змістовну інформацію, безпосередньо та легко доступну з реклами, про основні параметри, що використовуються для визначення одержувача, якому подається реклама, та, у відповідних випадках, способи зміни цих параметрів.

У той же час, для Very Large Online Platforms (VLOPs) and Very Large Online Search Engines (VLOSEs), яких на сьогодні Європейською Комісією визначено всього 19, існує чималий список обмежень (створення внутрішніх функцій з дотримання певних вимог, обов’язкове повідомлення про кримінальні правопорушення, набагато ширші вимоги щодо прозорості і т.д.).

Що це означає набрання чинності Digital Services Act (DSA) для мене, як для власника IT-бізнесу?

Починаючи від запровадження більш ширшої прозорості до заборони персоналізованої реклами на основі конфіденційних даних користувачів, Digital Services Act (DSA) привносить нові зобов’язання щодо того, як постачальники послуг, включаючи хостингові сервіси та маркетплейси, повинні розробляти свої платформи та інтерфейси, а також вводить нові вимоги до інформування користувачів про свою діяльність. Утім, набрання чинності цим Актом зовсім не означає, що Вам доведеться починати свій бізнес спочатку, адже його положення вже адаптовані під нашу реальність та під чинні нормативно-правові акти у цифровому просторі.

Почніть підготовку до імплементацій нових вимог у свої політики вже зараз – пишіть нам, і ми з радістю Вас проконсультуємо!