DSA, DMA, DGA та інші новини європейського законодавства у сфері цифровізації

Сьогодні вже багато хто знає про існування GDPR – європейського регламенту із захисту персональних даних, що встановлює одні з найжорстокіших вимог до їх обробки у світі. Однак при цьому небагатьом відомо, що Європейський Союз прагне більш детально врегулювати і інші види даних (не тільки персональні), а також процес цифровізації у цілому. Зокрема для цього у 2020 році була започаткована європейська цифрова стратегія, також відома як Europe’s Digital Decade. Вона складається з ряду законодавчих ініціатив щодо цифрових послуг, обміну даними та їх використання, кібербезпеки й штучного інтелекту.

Нещодавно у межах стратегії вже було підтримано три основні ініціативи, які врегульовують питання щодо цифрових послуг, цифрових ринків та управління даними. У цій статті ми детальніше розповімо про кожну із них, зокрема про суб’єктів, на які вони поширюються, основні положення та штрафи за недотримання їх вимог.

 

1. Digital Services Act (DSA) або Закон про цифрові послуги

Основна мета акту: 

Закон про цифрові послуги покликаний сприяти належному функціонуванню на території Європейського Союзу ринку посередницьких послуг («intermediary services»), які допомагають передавати чи зберігати сторонній контент. До них, наприклад, належать соціальні мережі, магазини додатків, платформи для пошуку подорожей та проживання, хмарні сервіси тощо. 

Статус: 

Закон про цифрові послуги все ще не пройшов повну процедуру прийняття. Він вже був підтриманий Європейським парламентом у липні цього року, але у вересні також очікується його формальне ухвалення Радою Європейського Союзу. 

Дата вступу у повну силу: 

Для більшості суб’єктів Закон про цифрові послуги застосовуватиметься через 15 місяців після набуття чинності або з 1 січня 2024 року, залежно від того, яка дата буде пізніше. 

Однак для дуже великих онлайн-платформ («very large online platforms» чи VLOP) та дуже великих онлайн-пошукових систем («very large online search engines» або VLOSE) Закон про цифрові послуги вступить у силу раніше. Він застосовуватиметься вже через чотири місяці після того, як вони будуть офіційно визначені як VLOP чи VLOSE Європейською Комісією. 

Суб’єкти, на яких поширюється акт:

До суб’єктів, на яких поширюється акт, належать особи, які:

• надають послуги так званого «простого каналу» («mere conduit») шляхом передачі інформації у мережі або надання доступу до неї (до них належать, зокрема, інтернет-провайдери);
• надають послуги з кешування, внаслідок передачі інформації із автоматичним/тимчасовим зберіганням (наприклад, сервіси, які дозволяють на обмежений строк залити та зберегти на сайті фото чи відео);
• надають послуги з хостінгу, тобто зберігання інформації (хмарні або веб-хостінги);
• є онлайн-платформами, наприклад, торговими майданчиками;
• є дуже великими онлайн-платформами, які щомісячно надають свої сервіси 45 мільйонам або більше користувачам у Європейському Союзі;
• є дуже великими онлайн-пошуковими системами, які так само надають щомісячно свої сервіси 45 або більше мільйонам користувачів у ЄС.

Закон про цифрові послуги має екстериторіальну дію і застосовується у всіх випадках, коли посередницькі послуги надаються особам у Європейському Союзі. Іншими словами він поширюється на всіх суб’єктів, які були засновані та розташовані за межею союзу (наприклад, у США), якщо вони відповідають вказаним вимогам.

Основні положення:

Закон про цифрові послуги встановлює вимоги до суб’єктів, які надають посередницькі послуги. Частина вимог є спільною для всіх, а частина – залежить від того,  хто саме здійснює посередництво. 

Положення, спільні для всіх суб’єктів:

• прозорість;
• виконання розпоряджень про надання інформації або припинення протиправної поведінки;
• призначення представника у Європейському Союзі, якщо послуги надаються суб’єктом, розташованим за його межами;
• створення так званої «точки дотику» («point of contact»), яка надає можливість користувачам швидко і просто зв’язатися з сервісом;
• обмеження відповідальності за певних встановлених обставин.

Додаткові обов’язки, встановлені для суб’єктів, що надають послуги з хостингу, включаючи онлайн-платформи:

• запровадження механізму повідомлення та дії («notice-and-action»), що надає можливість будь-якій фізичній чи юридичній особі надавати інформацію про незаконний контент;
• надання інформації про причини призупинення або повне припинення надання послуги, дії рахунків користувача, грошових виплат тощо;
• надання інформації про вчинене правопорушення або підозри про його вчинення відповідним органам.

Додаткові (до усіх вищенаведених) обов’язки, встановлені для онлайн-платформ:

• створення внутрішньої системи розгляду скарг та надання можливості позасудового вирішення спорів;
• у разі якщо користувачі створюють очевидно незаконний контент – призупиняти надання послуг таким користувачам на розумний час після попередження;
• розкриття більш детальної інформації про онлайн-платформу, рекламу, що на ній розміщується, принципи роботи системи рекомендацій тощо. 

Додаткові (до усіх вищенаведених) обов’язки, встановлені для дуже великих онлайн-платформ та дуже великих онлайн-пошукових систем:

• здійснення оцінки ризиків та запровадження необхідних засобів для їх зниження;
• проведення незалежного аудиту; 
• запровадження механізму антикризового регулювання у разі наявності відповідної вимоги від Європейської Комісії;
• розкриття додаткової інформації про рекламу на дуже великій онлайн-платформі;
• призначення однієї чи декількох осіб для забезпечення відповідності діяльності дуже великої онлайн-платформи вимогам Закону про цифрові послуги. 

Штрафи за порушення положень акту:

Залежить від суб’єкта та типу порушення. Для дуже великих онлайн-платформ або дуже великих онлайн-пошукових систем штраф може досягати 6% від загального обороту за попередній фінансовий рік.

 

2. Digital Markets Act (DMA) або Закон про цифрові ринки

Основна мета акту:

Закон про цифрові ринки спрямований на підвищення конкуренції у Європейському Союзі шляхом встановлення обмежень для великих гравців на ринку – так званих гейткіперів («gatekeepers»). 

Статус: 

Закон про цифрові ринки був підтриманий Радою Європейського Союзу у липні 2022 року.

Дата вступу у повну силу:

Через шість місяців після підписання та публікації у Офіційному віснику Європейського Союзу (орієнтовно – у березні 2023 року).

Суб’єкти, на яких поширюється акт:

Закон про цифрові ринки поширюється на гейткіперів. Гейткіперами є компанії, які:

• мають значний вплив на внутрішній ринок;

Такий значний вплив, зокрема, мають компанії з оборотом у Європейській економічній зоні у 7,5 мільярдів євро у кожному за останні три фінансові роки або якщо їх середня ринкова капіталізація складає 75 мільярдів євро. При цьому вони також мають надавати хоча б одну ключову платформенну послугу у трьох державах-країнах союзу.

• управляють ключовою платформенною послугою, яка є важливим шлюзом для бізнесу для досягнення кінцевих споживачів;

До ключових платформенних послуг належать пошукові системи, соціальні мережі, платформи для перегляду відео, платформи для комунікацій, операційні системи, хмарні послуги, веб-браузери, віртуальні асистенти, посередницькі послуги і рекламні послуги.

При цьому такі послуги мають використовуватися як мінімум 45 мільйонами кінцевих користувачів щомісяця та 10 тисячами бізнес-користувачів щороку.

• мають міцне та усталене становище у своїй діяльності (або передбачається, що таке становище буде існувати у найближчому майбутньому).

Відповідно до Закону про цифрові ринки вважається, що компанія має міцне та усталене становище, якщо вона досягла порогових значень щодо кількості користувачів протягом трьох останніх фінансових років.

Зважаючи на високі вимоги до гейткіперів, Закон про цифрові ринки здебільшого застосовуватиметься до Big Tech компаній – Google, Amazon, Meta, Apple та Microsoft.

Основні положення:

У цілому, Закон про цифрові ринки встановлює доволі багато вимог до гейткіперів щодо обмеження їх переважаючого становища на ринку, підвищення конкуренції, встановлення більш жорстких вимог до обробки даних користувачів тощо. Серед іншого він забороняє:

• надавати більш високу оцінку своїм товарам та послугам порівняно із конкурентами;
• зобов’язувати розробників використовувати тільки ті чи інші сервіси (наприклад, платіжні системи, як apple pay) для того, щоб їх застосунки могли бути розміщені у магазинах додатків;
• без згоди поєднувати або перехресно використовувати інформацію про користувачів, отриману з ключової платформенної послуги та інших сервісів гейткіпера (наприклад, одночасно використовувати інформацію з Meta та її дочірньої Whatsup).

Окрім того, гейткіпери також зобов’язані надавати можливості:

• видаляти попередньо встановлені програми у операційних системах або змінювати їх параметри за замовчуванням;
• встановлювати сторонні програми або використовувати сторонні магазини додатків;
• відписатися від своїх сервісів так само просто, як і підписатися на них;
• отримати більш детальні дані про результати рекламних кампаній (у тому числі про ціни та методологію, за якою вони вираховуються).

Штрафи за порушення положень акту: 

Для гейткіперів штрафи за порушення Закону про цифрові ринки можуть досягати 10% від загального обороту за попередній фінансовий рік. У разі повторного порушення штраф може досягати 20% від обороту.

 

3. Data Governance Act (DGA) або Закон про управління даними

Основна мета акту: 

Здебільшого Data Governance Act спрямований на:

• розвиток альтруїзму у обміні даними; 
• урегулювання сервісів з передачі даних («data intermediation services»); 
• створення механізмів для повторного використання окремих категорій даних, якими володіють державні органи; та
• утворення Європейської ради з інновацій даних («European Data Innovation Board»).

Альтруїзм щодо даних передбачає їх добровільну безоплатну передачу для спільних інтересів суспільства, наприклад, у сферах зміни клімату або розвитку медицини.

Послуги із передачі даних застосовуються, як випливає із назви, для оплатної передачі даних між невизначеною кількістю суб’єктів даних та їх власниками. 

У свою чергу повторне використання даних державних органів означає їх використання фізичними чи юридичними особами із будь-якою ціллю (як комерційною, так і ні), окрім початкової.

Статус: Прийнятий і опублікований у Офіційному віснику Європейського Союзу 03 червня 2022 року. 

Дата вступу у повну силу: Набув чинності через 20 днів після його публікації у Офіційному віснику Європейського Союзу і почне повноцінно застосовуватися з 24 вересня 2023 року.

Суб’єкти, на яких поширюється акт: 

Закон про управління даними є складним за своєю структурою. Окремі його глави поширюють свою дію на прямо визначених суб’єктів (наприклад, на державні органи), у той час як під положення інших (зокрема, щодо альтруїзму даними) можуть підпадати усі фізичні чи юридичні особи. 

Основні положення:

Закон про управління даними визначає, які саме категорії даних можуть бути повторно використані та яким чином, встановлює заборону для ексклюзивного використання таких даних та зобов’язує членів Європейського Союзу призначити як мінімум один компетентний орган із цього питання.

Окрім того DGA вказує, які саме сервіси є сервісами із передачі даних (до них переважно належать ті, що здійснюють посередництво між власниками даних та потенційними користувачами даних) та встановлює вимоги до їх діяльності, починаючи від створення окремої юридичної особи і закінчуючи забороною використання даних для власних цілей.

Data Governance Act також встановлює вимоги до реєстрації організацій, що мають займатися альтруїзмом даними, зобов’язує дотримуватися положень про захист прав та інтересів суб’єктів і власників даних, а також передбачає розробку спеціального зводу правил із нормами технічних вимог безпеки для зберігання даних, рекомендацій щодо стандартів взаємодії, особливостей надання згоди суб’єктів даних тощо.

У свою чергу надавати поради та розробляти гайдлайни із повторного використання даних, діяльності сервісів із передачі даних та альтруїзму даними має Європейська рада з інновацій даних, створення якої також передбачено DGA.

 

У цілому, DSA, DMA та DGA спрямовані на розвиток різних аспектів цифрової сфери і встановлюють вимоги для багатьох суб’єктів (у тому числі за межами Європейського Союзу), починаючи від інтернет-провайдерів і закінчуючи державними органами. Окрім цих трьох основних актів у межах нової європейської цифрової стратегії очікують ухвалення і інші акти законодавства, зокрема Закон про дані («Data Act»), який також спрямований на більш широке та просте використання даних у межах ЄС,  Директива про кібербезпеку та Регламент про штучний інтелект. Поки всі вони знаходяться на різних етапах обговорення та не пройшли повну офіційну процедуру прийняття.