+380442055410 a@legalitgroup.com м. Київ, вул. Володимирська, 38, оф. 1
DSA 2024 ключові положення для IT-бізнесу
Публічна оферта та Terms of use, Data privacy compliance

EU DIGITAL SERVICES ACT: що зміниться для онлайн-платформ у 2024

Вже зовсім скоро європейський  Digital Services Act (DSA) поширить свою дію на широке коло провайдерів посередницьких онлайн-послуг у Європейському Союзі. Починаючи з 17 лютого 2024, всі онлайн-платформи для обміну контентом, онлайн-маркетплейси, веб-хостинги, соціальні мережі, хмарні сервіси, які пропонують свої послуги користувачам у ЄС, повинні дотримуватись оновлених та деталізованих обов’язків щодо прозорості діяльності, модерації контенту, обмежень  обробки деяких даних для реклами, безпеки користувачів та ін.

У  цій статті ми розглянемо практичні аспекти реалізації нових обов’язків та зміни, які необхідно запровадити у механіки взаємодії із користувачами та практики обробки персональних даних для всіх провайдерів посередницьких онлайн-послуг.  Ми не будемо зосереджувати увагу на обов’язках для великих гравців на ринку – провайдерів, які були визнані «very large online platforms» (VLOP) та very large online search engines (VLOSE) та до яких DSA обов’язковий ще з серпня 2023 року і передбачає набагато вищий рівень обов’язків та відповідальності. 

Пряма дія Digital Services Act

Digital Services Act, або Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC, є регламентом Європейського Союзу, і відтак підлягає виконанню в усіх державах-членах без додаткової імплементації у національне законодавство. Таким чином, Digital Services Act підлягає застосуванню as is та має пряму дію для всіх суб’єктів, на яких поширюється. 

Чи застосовний Digital Services Act до мого сервісу?

Залежно від суті послуг, які надаються:  Digital Services Act застосовується до постачальників певних послуг інформаційного суспільства (information society services), зокрема до постачальників  посередницьких послуг, якими є постачальники послуг так званого «простого каналу», «кешування» та «хостингу», і які надаються користувачам в ЄС. В свою чергу ‘hosting’ послуги включають провайдерів онлайн-платформ, зокрема соцмережі та макретплейси.

information society services (послуга, яка зазвичай надається за винагороду, на відстані, електронними засобами та за індивідуальним запитом одержувача)

посередницькі онлайн-послуги

‘mere conduit’ (послуги «простого каналу») – тобто передача інформації від одержувача послуги через мережу зв’язку або надання доступу до неї.


Приклад: інтернет-провайдери; бездротові точки доступу; VPN; DNS-сервіси; реєстри доменних імен верхнього рівня; послуги міжособистісного спілкування (наприклад, VoIP). 		‘caching’ (послуги кешування) – тобто послуги передачі інформації користувача через мережу зв’язку з автоматичним і тимчасовим зберіганням виключно з метою ефективності такої передачі іншим отримувачам.

Приклад: мережі доставки контенту; кешування веб-сторінок і баз даних; зворотні проксі-сервери та проксі-сервери адаптації вмісту. 		‘hosting’ (послуги хостингу) – тобто зберігання інформації користувачів.

Приклад: веб-хостинги, хмарні хостинг сервіси (напр. SaaS), сервіси зберігання та обміну файлами.

Ця категорія провайдерів також включає підкатегорію провайдерів онлайн-платформ.

 

  

Онлайн-платформа – послуги хостингу, провайдери яких на запит користувачів як зберігають, так і роблять публічно доступною інформацію, надану користувачами.


Приклад: соціальні мережі, онлайн-маркетплейси, платформи для пошуку подорожей, рейтинг-форуми, сервіси у моделі спільного споживання (до прикладу каршеринг).


Важливо – якщо розповсюдження інформації є не основною функцією, а лише допоміжною та пов’язаною із іншою основною функцією, такі послуги не вважаються онлайн-платформою (наприклад, секція коментарів в інтернет-виданні). 

Я знаходжусь за межами ЄС, але мій сервіс націлений в тому числі на європейських користувачів. Чи маю я відповідати вимогам DSA? 

Digital Services Act застосовується до провайдерів посередницьких послуг, які пропонують послуги користувачам в ЄС, незалежно від того,  де розташований такий провайдер послуг та де він зареєстрований. Для того, щоб DSA застосовувався до провайдерів-нерезидентів ЄС, достатньо, щоб мав місце суттєвий зв’язок з ЄС, а саме:

  1. провайдер має представництво (establishment) в Союзі або, за відсутності такого представництва, 
  2. кількість користувачів в одній або кількох державах-членах є значною по відношенню до населення такої країни, або 
  3. діяльність спрямована на одну чи більше держав-членів (наприклад, доступна версія сайту відповідною мовою або є можливість оплати у місцевій валюті, або можливість замовлення продуктів чи послуг до цієї країни в ЄС, або використано відповідний домен верхнього рівня, або ж рекламні кампанії спрямовані на локальних користувачів).

Відтак, DSA має екстериторіальну дію, і якщо ви надаєте послуги користувачам в ЄС без фізичної присутності там, з великою долею ймовірності ви повинні дотримуватись відповідних вимог, які застосовні до вашого сервісу чи платформи.

Ми – невелика компанія, чи є якісь виключення для нас?

Враховуючи те, що деякі обов’язки, що покладає DSA на провайдерів посередницьких послуг, вимагають значних капіталовкладень, які можуть бути непосильні та неспівмірні із доходами невеликих провайдерів, DSA виключає дію певних положень для мікро- та малих підприємств:

  1. мікропідприємство: працює менше 10 осіб і річний оборот та/або загальний річний баланс не перевищує 2 млн євро
  2. мале підприємство: працює менше 50 осіб і річний оборот та/або загальний річний баланс не перевищує 10 млн євро.

Такі винятки застосовні як протягом всього часу, доки підприємство відповідає вищезазначеним критеріям, так і протягом 12 місяців після втрати такого статусу. Винятки незастосовні до VLOP та VLOSE, навіть якщо вони відповідають цим критеріям.

VLOP = Very Large Online Platforms (дуже великі онлайн-платформи). 


VLOSE = Very Large Online Search Engines (дуже великі онлайнові пошукові системи) Комісія ЄС визначає, які компанії підпадають під визначення VLOP i VLOSE.


Тобто допоки Ваша компанія не зазначена на сторінці Комісії, то на Вас не поширюються покладені на них обовʼязки. Ми не розповідаємо про обовʼязки VLOP i VLOSE у цій статті. 

Зверніть увагу, що виключення стосується лише деяких додаткових зобов’язань і не виключає обов’язок дотримання умов DSA, які застосовні до всіх провайдерів  посередницьких послуг. Нижче ми прямо зазначаємо, які обов’язки НЕ поширюються на мікро- та малі підприємства.

Тепер, коли ми з’ясували коло суб’єктів, які з 17 лютого 2024 року підпадають під дію DSA, розглянемо обов’язки, які покладаються на таких суб’єктів, та виконання таких обов’язків на практиці.

DSA 2024

Які нові обов’язки поширюються на мій сервіс?

DSA покладає ‘due diligence obligations’ для всіх провайдерів посередницьких послуг на основі багаторівневого підходу, залежно від типу послуг, які надаються. Обов’язки додаються градаційно, нашаровуються: 

  1. базові обов’язки для всіх провайдерів посередницьких послуг
  2. додаткові обов’язки для провайдерів послуг хостингу
  3. додаткові обов’язки для провайдерів онлайн-платформ
  4. додаткові обов’язки для провайдерів маркетплейсів
  5. додаткові обов’язки для VLOP та VLOSE

Відтак найменша кількість обов’язків встановлена для провайдерів послуг простого каналу та кешування, а найбільша – для онлайн-платформ і маркетплейсів, та VLOP і VLOSE (останні не розглядаємо у цій статті). Ілюстративно це можна зобразити наступним чином:

FYI, DSA не скасовує обов’язки, які встановлені для надавачів послуг іншими правовими актами Європейського Союзу, що регулюють інші аспекти надання посередницьких послуг, зокрема eCommerce Directive, законодавство Союзу про захист прав споживачів, про захист персональних даних, про авторське право та суміжні права та ін. Відтак, для вже функціонуючих сервісів деякі основи для комплаєнсу із вимогами DSA вже можуть мати місце, наприклад, сервіс вже має функцію сповіщення про незаконний контент, і відтак її потрібно не розробляти з нуля, а удосконалити відповідно до вимог.

Перший рівень: обов’язки для всіх провайдерів посередницьких послуг

1) Single point of contact: обов’язок призначити «точку контакту» для комунікації з державними органами держав-членів Союзу, Комісією та European Board for Digital Services, і точку контакту для зв’язку з користувачами

Умови та вимоги: 

  • забезпечити можливість контактування із провайдером електронними засобами, фізична адреса для цих цілей не потрібна;
  • опублікувати та оновлювати контактну інформацію у легкодоступний спосіб (у terms and conditions, у футері сайту); 
  • зазначити як мову спілкування мову однієї із країн-членів ЄС, на додачу до загальнозрозумілої мови більшості користувачів (наприклад, на додачу до англійської мови). Як мінімум, потрібно включити мову країни, у якій знаходиться головне представництво або де проживає або зареєстрований законний представник;
  • для користувачів – забезпечити можливість вибору різних методів зв’язку, які не повинні покладатися виключно на автоматизовані інструменти (телефон, ел. пошта, чатботи, онлайн-форми);
  • точка контакту може бути спільною для виконання вимог різних законодавчих актів, відтак виділяти окрему пошту/телефон/форму необов’язково, можна використати вже наявну.

Практична реалізація: доцільно зібрати необхідну для контакту інформацію в окремому розділі terms and conditions, а також, для цілі легкодоступності – у розділі «контакти» у футері сайту. Необхідно забезпечити регулярну перевірку комунікацій, що надходять, та реагування на них.

2) Legal representative для провайдерів за межами ЄС: обов’язок призначити законного представника в одній із держав-членів ЄС, де такий провайдер надає послуги

Умови та вимоги:

  • законного представника потрібно призначити, якщо провайдер посередницьких послуг не має представництва в ЄС, але надає там послуги;
  • представником може бути фізична чи юридична особа в одній із країн, де надаються послуги (де доступний сервіс);
  • ціль законного представника – можливість для компетентних органів держав-членів, Комісії та European Board for Digital Services зверталися з усіх питань, необхідних для дотримання та виконання рішень, винесених у зв’язку з DSA; 
  • законного представника можна притягнути до відповідальності за недотримання зобов’язань згідно DSA, незалежно від того, чи ініційовані судові позови проти самого постачальника;
  • контактна інформація такого представника має бути повідомлена компетентному органу (Digital Services Coordinator) в тій державі, де його призначено, та додатково доступна публічно;
  • законний представник також має мати можливість виконувати функцію точки контакту.

Практична реалізація: це працює тоді, коли головний офіс (або єдиний офіс) компанії знаходиться за межами ЄС. Тому необхідно найняти законного представника  в одній із країн, де в ЄС надаються послуги чи доступний сервіс, та повідомити контактні дані такого представника відповідному Digital Services Coordinator. Контактні дані законного представника потрібно опублікувати у публічних документах на сайті чи сервісі.  Це можна сумістити з функціями Article 27 Representative, призначення якого передбачає GDPR (акт ЄС про захист персональних даних). 

3) Обов’язок видаляти незаконний контент та надавати інформацію згідно наказу компетентних державних органів

DSA значною мірою деталізує передбачений eCommerce Directive механізм звернення відповідних адміністративних чи судових органів держав-членів ЄС до провайдерів із наказом про видалення незаконного вмісту або про розкриття інформації про користувача, яка вже зібрана провайдером для цілей надання послуг.

Умови та вимоги: 

  • наказ має відповідати встановленим DSA формальним вимогам щодо наповнення та обґрунтування;
  • провайдери мають без необґрунтованих затримок повідомити відповідний орган про те, чи було виконано наказ і коли;
  • провайдери зобов’язані повідомити користувачів, щодо яких видано такий наказ, про факт його існування та про те, чи його виконано, включаючи наданий органом statement of reasons, варіанти способів звернення за відшкодуванням (redress), та опис територіальної дії наказу.

Практична реалізація: необхідно забезпечити постійний моніторинг контактних каналів на предмет надходження таких наказів; перевіряти їх на предмет дотримання формальних вимог; надсилати сповіщення відповідним користувачам, на яких вплинув відповідний наказ.

Необхідно відповідно оновити політику обробки персональних даних (privacy policy) та terms and conditions сервісу. Також слід адаптувати свої Records of Processing Activities (RoPA) та політики реагування на запити користувачів і державних органів: зокрема, навчити команду підтримки реагувати на запити щодо того, чи будуть розкриті правоохоронним органам всі дані про користувача чи тільки частина, як буде проходити процес і чи може команда підтримки видаляти дані на запит користувача-порушника або видавати дані органам без залучення юридичного відділу. 

До прикладу, Unity розробили API для розробників, які використовують Unity Gaming Services, для того, щоб була можливість сповіщати кінцевих користувачів у випадках надходження розпоряджень державних органів.

4) Transparency reporting: обов’язок публікувати щорічні звіти щодо модерації контенту (не застосовний до мікро- та малих підприємств)

Провайдери посередницьких послуг, крім мікро- та малих підприємств, мають щорічно публікувати звіти про модерацію контенту, яку вони здійснюють, та про заходи, вжиті в результаті модерації. Звіт має бути у машинозчитуваному форматі. 

Машинозчитувальний формат (machine-readable format) зазвичай описується нечітко і без списків рекомендованих форматів, тому ви можете обрати будь-який поширений. 

Якщо ж вам цікаво розібратися, то ось пояснення з Directive 2013/37/EU (підкреслення наші): a file format structured so that software applications can easily identify, recognize and extract specific data, including individual statements of fact, and their internal structure. Data encoded in files that are structured in a machine-readable format are machine-readable data. Machine-readable formats can be open or proprietary; they can be formal standards or not. Documents encoded in a file format that limits automatic processing, because the data cannot, or cannot easily, be extracted from them, should not be considered to be in a machine-readable format. Member States should where appropriate encourage the use of open, machine-readable formats.  

Тримання інформації у машинозчитувальному форматі необхідне також для комплаєнсу з GDPR, тому ви можете спостерігати за оновленнями, які видає European Data Protection Board (EDPB), зокрема Guidelines on data portability, щоб мати орієнтир для вибору формату та кількості інформації.  

DSA встановлює різні вимоги до наповнення звіту в залежності від виду провайдера посередницьких послуг. Це може бути інформація про видалення контенту на основі отриманих від компетентних органів розпоряджень, повідомлення про незаконний контент від користувачів і довірених осіб, інформація про модерацію за добровільною ініціативою провайдера, кількість і тип вжитих заходів, які впливають на доступність, видимість інформації, інформація про використання будь-яких автоматичних засобів модерації.

Практична реалізація: доцільно перевірити, чи дозволяють системи модерації вмісту (наприклад, інформаційні панелі) ефективно отримувати необхідну аналітичну інформацію та  формувати звіти, а за необхідності розробити чи удосконалити такі системи з можливістю формування звітів. 

Кілька прикладів transparency reports: YouTube, Booking.com. Це приклади дуже великих платформ, оскільки до них умови DSA застосовні раніше, тому наводимо їх для цілей аналізу best practices. Європейська Комісія ініціювала підготовку детальніших правил підготовки звітів та шаблонів таких звітів. 

Також це вплине на ваш GDPR Compliance: треба буде розглянути збір інформації для формування звіту як окрему процедуру з обробки, і її відповідно задокументувати (у privacy policy, RoPA, інших документах), а також вжити заходів, щоб анонімізовані звіти було достатньо важко деанонімізувати (принаймні, використовуючи іншу інформацію, що походить з вашої ж платформи) — тобто переконатися, що дані захищені (і що ви можете доказати, що міри для захисту дійсно продумані та вживаються). 

5) Обов’язок забезпечити прозорість інформації про модерацію контенту та заборонені дії: включення інформації у terms and conditions. Додаткові зобов’язання щодо неповнолітніх користувачів.

Умови та вимоги: 

  • обов’язок включити до  terms and conditions інформацію про будь-які обмеження щодо інформації, яка може надаватись користувачами, та про політики, процедури, заходи та інструменти, що використовуються з метою модерації контенту (включаючи інформацію про алгоритми та чи є перегляд рішення людиною), а також правила та процедури внутрішньої системи розгляду скарг;
  • надавати легкодоступну інформацію про право припинити користування послугою;
  • виклад  чіткою, зрозумілою, зручною для користувача та недвозначною мовою;
  • повідомлення про будь-які суттєві зміни до terms and conditions;
  • у випадку, якщо сервіс призначений переважно для неповнолітніх або використовується переважно ними, провайдер повинен викласти terms and conditions та будь-які обмеження простою та доступною для неповнолітніх мовою.

Практична реалізація: доцільно переглянути чинні terms and conditions, включивши до них  інформацію про заборонений на платформі контент, про підстави для обмеження надання послуг, про практики модерації контенту та внутрішні процедури розгляду скарг. У випадку націлювання сервісу на неповнолітніх – доцільно зробити саммері всіх основних положень terms and conditions у легкому до читання та розуміння форматі (наприклад, окрема сторінка із зручною навігацією та короткими текстами, FAQ тощо).  

Регулятори з захисту даних вже раніше штрафували компанії за занадто складні тексти для розуміння неповнолітніх. Ви могли про це чути, якщо бачили новини про штраф для TikTok. В окремих країнах також всерйоз беруться за перевірки софту, яким будуть користуватися діти — як демонструє заборона використовувати продукти Google у муніципальних школах Данії.

DSA 2024

Другий рівень: додаткові обов’язки для провайдерів послуг хостингу

Всі провайдери, які надають послуги хостингу, повинні додатково до вищенаведених обов’язків дотримуватись наступних:

6) Notice and action mechanisms: обов’язок імплементувати механізм повідомлення про незаконний вміст та вжиття заходів

Ще однією вимогою DSA є обов’язок,  щоб хостингові сервіси надавали користувачам та третім сторонам зручний і доступний спосіб повідомляти про ймовірно незаконний контент на їх сервісах, та повинні реагувати на такі повідомлення. 

Умови та вимоги: 

  • механізм повинен давати можливість користувачам надати визначену DSA інформацію через онлайн-інструменти;
  • механізм має бути чітко ідентифікованим, розміщуватись поруч із відповідною інформацією (ймовірно незаконним контентом) та легким для пошуку та використання;
  • механізм має передбачати опцію множинної скарги в одній скарзі;
  • провайдер хостингової послуги повинен: 1) одразу повідомити користувача про факт отримання скарги; 2) додатково повідомити скаржника про рішення після її розгляду та про можливості звернення за відшкодуванням (redress);
  • рішення має бути без затримок, сумлінним та об’єктивним,  а якщо для прийняття рішень використовуються автоматизовані засоби, про це також має бути повідомлено користувачу.

Практична реалізація: розробити або удосконалити механізм для швидкого та легкого позначення потенційно незаконного вмісту для користувачів та третіх сторін. До прикладу, онлайн-форма або спеціально виділена адреса електронної пошти. Враховуючи, що скарга має містити визначену DSA інформацію, форма повинна одразу містити поля, обов’язкові до заповнення. Якщо у вас є великий американський ринок — скоріш за все, ви вже мали робити подібну форму для комплаєнсу з DMCA (американський закон про авторське право).

Для дотримання вимоги повідомлення про прийняття скарги до розгляду, може бути доцільно запровадити авто-відповідь на отриману скаргу.  Процес сповіщення про незаконний контент потрібно описати також у terms and conditions, а пов’язані із цим практики обробки даних – у privacy policy сервісу та внутрішній документації, а також внести у план навчання для працівників служб підтримки роботу з подібними запитами і відповідями на них.

Приклад, як онлайн-платформа повідомляє користувачів про оновлену процедуру сповіщення про незаконний контент. 

7) Statement of reasons: обов’язок обґрунтувати рішення щодо модерації контенту та повідомити про це відповідного користувача

Провайдери хостингових послуг за результатами розгляду скарг, описаних вище, повинні надати користувачам, щодо яких було прийнято рішення, чітке пояснення його причин, факти та обставини його прийняття, правову (незаконний контент) чи договірну (порушення terms and conditions) підставу, факт використання автоматизованих засобів та доступні можливості для відшкодувань (redress), зокрема, у відповідних випадках, за допомогою внутрішніх механізмів розгляду скарг, позасудового чи судового врегулювання спорів.

Умови та вимоги: 

  • statement of reasons надається за умови прийняття рішення через незаконність контенту чи порушення таким контентом terms and conditions провайдера, у випадку накладення таких обмежень, як обмеження видимості чи видалення контенту, тіньовий бан, припинення чи обмеження монетизації, припинення/призупинення облікового запису чи надання послуг;
  • особа скаржника розкривається у виключних випадках, наприклад, якщо порушення полягає у порушенні прав інтелектуальної власності; 
  • цей обов’язок застосовний лише якщо провайдеру відома електронна адреса чи інший контакт користувача;
  • цей обов’язок також незастосовний, якщо обмеження накладені щодо інформації, яка є оманливим комерційним вмістом великого обсягу (зокрема, використання ботів або фейкових облікових записів, або інших оманливих способів використання сервісу).

Практична реалізація: якщо вже наявний механізм сповіщення про факт наслідків модерації контенту, механізм повідомлення необхідно актуалізувати відповідно до вимог DSA, зокрема щодо обсягу інформації, яка надається. Якщо модерація контенту наразі відбувається без сповіщення користувача, необхідно розробити шаблон та процедуру для сповіщення із врахуванням вище перелічених вимог. 

Також нагадаємо про data protection impact assessment (DPIA) і про обмеження статтею 22 GDPR при використанні “повністю автоматизованих систем прийняття рішень, що мають юридичні або інші серйозні наслідки”. Якщо внаслідок модерації хтось з користувачів може бути заблокований або сильно обмежений у функціоналі платформ, або якщо для модерації використовуються дуже складні і ризикові інструменти (наприклад, ліцензована ШІ-модель), то слід провести також оцінку ризиків і переконатися, що зібрані у процесі модерації персональні дані не будуть систематично хибно опрацьовані. Регулятори вже мають досвід розгляду скарг користувачів на дискримінаційні практики автоматизованих систем (наприклад, щодо системи прийому заявок німецького банку), тому слід підготувати докази заздалегідь.

8) Обов’язок повідомляти відповідні органи про підозрювану злочинну діяльність

При аналізі отриманих скарг чи добровільній модерації провайдеру послуг хостингу може стати відома будь-яка інформація, яка дає підстави підозрювати, що користувач міг вчинити, може вчинити або зможе вчинити кримінальне правопорушення, пов’язане із загрозою життю чи безпеці людей (наприклад, підбурювання до тероризму). Про це необхідно негайно повідомити компетентні органи відповідної держави-члена разом із наданням необхідної інформації.

Третій рівень: додаткові обов’язки для провайдерів онлайн-платформ

Провайдери онлайн-платформ повинні додатково до всіх вищенаведених обов’язків дотримуватись наступних:

9) Запровадження внутрішньої системи оскарження рішень провайдера щодо модерації контенту, та повідомлення про доступні позасудові процедури (не застосовний до мікро- та малих підприємств) або internal complaint-handling system

Ситуація: компанія (через її систему модерування або скаргу іншого користувача) помітила порушення і вжила одну з наступних дій:

  • видалила (або відмовилась видаляти) доступ до якоїсь інформації; 
  • призупинила доступ користувача до сервісу, заблокувала його (або відмовилась це робити); 
  • вирішила не надавати сервіс або його частину; 
  • забрала монетизацію контенту користувача (або вирішила не забирати). 

У цьому випадку користувачі матимуть право на оскарженя рішення компанії через внутрішню систему розгляду скарг. “Строк давності” оскарження має бути не менше 6 місяців з дати повідомлення користувача про рішення (блокувати чи ні). 

Механізм оскарження має бути легким для використання та працювати швидко і без дискримінації. При цьому механізм оскарження може бути автоматизованим, але має бути під постійним наглядом належно підготованого персоналу. 

Якщо користувач лишився незадоволеним відповіддю або без відповіді, він може звернутися до позасудового органу вирішення спорів (наприклад, сертифікованого арбітражного органу), до суду або іншого захисного механізму. Про можливість звернутися до арбітражу чи суду слід повідомляти користувача. 

10) Надання пріоритету обробці сповіщень про незаконний контент від так званих “trusted flaggers” через імплементацію технічних та організаційних заходів (не застосовний до мікро- та малих підприємств)

Trusted flaggers — організації за вибором Digital Services Coordinators (регуляторів, які мають слідкувати за виконанням DSA), що мають досвід та знання, необхідні для ефективного виявлення на платформах інформації, що порушує закон. Списки будуть визначені кожним Координатором з 17 лютого 2024 року. Ці організації можуть, наприклад, шукати та скаржитися на продаж контрафактних товарів, що шкодять брендам. Компаніям слід швидко розглядати ці скарги. 

Компаніям необхідно підготувати для таких організацій спеціальні канали для роботи (щоб їхні скарги на контент розглядалися у першу чергу). 

11) Обов’язок припинити надання послуг тим користувачам, які неодноразово поширюють незаконний контент. Обов’язок припинити опрацювання повідомлень про незаконний контент від недобросовісних скаржників (не застосовний до мікро- та малих підприємств)

Якщо користувач часто постить незаконний контент, то компанія зобовʼязана: 

  • попередити про те, що має намір заблокувати користувача на певний період; 
  • після попередження, якщо користувач далі порушує закон — заблокувати на “розумний” (reasonable) період. 

Ті самі правила поширюються на скаржників, які зловживають інструментом для скарг (тобто подають скарги на контент, який при перевірці виявляється законним). 

Компанія має оновити свої terms of use та додати інформацію про те, що вона вважатиме зловживанням (з прикладами) і за якими критеріями встановлюватиме, чи порушує контент (або необґрунтована скарга) закон. Також слід вкласти час та ресурси для підготовки персоналу, які будуть розбиратися зі скаргами на блокування: цілком імовірно, що хтось з юридичної команди буде потрібен постійно для допомоги команді підтримки знаходити та правильно тлумачити законодавство про інтелектуальну власність. 

12) Transparency reporting: додаткові обов’язки, зокрема оприлюднення звітів про середньомісячну кількість користувачів (мікро- та малі підприємства частково звільнені від цього обов’язку)

До звітів, про які ми згадали у пункті 4 цієї статті (перший рівень, де обовʼязки для всіх компаній), треба додавати: 

  • додаткову інформацію про кількість справ, що пройшли через позасудовий механізм врегулювання спорів, результат та середній час тривалості розгляду, і дії компанії щодо виконання рішення; 
  • кількість призупинень (акаунтів або просто надання послуг користувачам) за розміщення незаконного контенту та подачі необґрунтованих скарг на контент, що виявився легальним. 

Ці звіти мають бути в машинозчитувальному форматі та включатися до бази даних Комісії ЄС. Тому слід бути уважними з персональними даними та переконатися, що автоматизована генерація цих звітів не буде розкривати осіб (або сильно спрощувати їхню подальшу ідентифікацію).

Пошуковики та онлайн-платформи мусять публікувати звіти про середню місячну кількість активних користувачів з ЄС — кожні 6 місяців. Також цю інформацію треба надавати державному регулятору на його запит, а якщо кількість користувачів досягне лімітів для визнання компанії VLOP/VLOSE — то відразу повідомити Координатора. 

13) User interface transparency by design: заборона dark patterns (не застосовний до мікро- та малих підприємств)

Відразу зазначимо: dark patterns регулюються також і GDPR, і GDPR не дозволяє їхнє використання для підштовхування користувача розкривати більше персональних даних, ніж необхідно. Тож цю норму не слід розглядати окремо від того, що про dark patterns каже інше законодавство. 

DSA вказує, що використовувати поштовхи для обману користувачів чи маніпуляції ними або для викривлення процесу вільного та поінформованого прийняття рішень не дозволено. Щоб продемонструвати відповідність, компанія може:

  • давати підказки щодо наслідків опцій, які пропонуються користувачеві; 
  • повторно запитувати користувача, чи впевнений він щодо свого рішення, особливо якщо він приймав його доволі давно; 
  • зробити процедури відмови від послуги такою ж легкою, як її отримання. 

Знову-таки, більше всього інформації про те, які практики ЄС вважає (не)прийнятними для використання dark patterns ви зможете знайти на сайті European Data Protection Board (EDPB). Наприклад, ви можете розпочати з Guidelines 03/2022 (on deceptive design patterns in social media platform interfaces: how to recognise and avoid them).

14) Обов’язок повідомляти, яка інформація є рекламою, хто  є рекламодавцем, на чому реклама показана користувачеві (не застосовний до мікро- та малих підприємств)

Ця вимога стосується платформ (соціальних мереж, сайтів, пошуковиків), які вбудовують у свої продукти рекламу. При цьому Акт не робить різниці між видами реклами або механіками її показу: якщо ваша платформа показує рекламу, то необхідно: 

  • позначати, що це саме рекламний матеріал; 
  • розкрити інформацію про людину чи організацію, від чийого імені розміщена реклама; 
  • розкрити інформацію, хто оплатив рекламу (якщо не співпадає з розміщувачем); 
  • вказати підстави, чому саме ця реклама була показана користувачеві та як змінити параметри, за якими обирається реклама для показу. 

У інтерфейс платформи треба також додавати функціонал для розмічення комерційного матеріалу (що цей чи інший контент містить або не містить реклами). 

Прикладом комплаєнсу можна назвати рекламні кабінети Google i Facebook, де можна побачити інформацію про рекламу, рекламодавця і інтереси, які послужили пошуковими ключами для таргетингу реклами. 

Тут дуже важливо врахувати законодавство про захист персональних даних, адже DSA забороняє таргетувати рекламу на підставі чутливих персональних даних (а список чутливих даних є в статті 9 GDPR). 

15) Обов’язок розкривати алгоритми рекомендацій користувачам (не застосовний до мікро- та малих підприємств)

Якщо ваша платформа має рекомендаційний механізм (наприклад, у онлайн-магазині або онлайн-кінотеатрі), то вам доведеться розкривати в terms of service інформацію про нього: 

  • які основні параметри пошуку використовуються, 
  • критерії, за якими інформація підбирається для показу користувачеві, 
  • причини вибору цих параметрів та критеріїв,
  • як користувач може модифікувати ці параметри або повпливати на результати пошуку. 

Якщо ви вже раніше робили GDPR сompliance, то у вас уже має бути інформація про використання персональних даних для підбору рекомендацій. Якщо ж ви досі не оновили політику приватності, але при цьому маєте таргетовану на користувача систему — слід відразу оновити і публічну оферту, і політику приватності. 

16) Додаткові обмеження щодо надання послуг неповнолітнім 

На платформах, доступних для дітей, слід передбачити заходи і засоби захисту приватності і безпеки дітей. Також заборонено показувати рекламу, таргетовану на дітей за допомогою їх персональних даних (через профілювання). 

При цьому DSA не змушує збирати додаткові дані, щоб переконатися, що одержувачем послуг є саме дитина.  

DSA 2024

Четвертий рівень: додаткові обов’язки для провайдерів онлайн-маркетплейсів

Всі провайдери онлайн-маркетплейсів повинні додатково до всіх вищенаведених обов’язків дотримуватись наступних:

17) Know your business customer: обов’язок отримувати інформацію про продавців товарів/послуг, перевіряти таку інформацію,  здійснювати вибіркові перевірки законності товарів/послуг продавців (не застосовний до мікро- та малих підприємств)

DSA зобовʼязує майданчики для онлайн-торгівлі між користувачами збирати інформацію про продавця (trader): 

  • імʼя, адресу, номер телефону та електронну пошту продавця; 
  • копію ідентифікаційного документу продавця; 
  • реквізити рахунку для платежів; 
  • посилання на публічний реєстр, якщо інформація про продавця є в публічному реєстрі економічних агентів або іншому подібному реєстрі; 
  • підтвердження від продавця, що він або вона продаватиме лише ті товари та послуги, які відповідають законодавству ЄС. 

Частина цієї інформації також має розкриватися потенційним покупцям на сторінці товару або послуги.  Майданчики також мають створити інтерфейси для продавців, куди останні могли б внести всю обовʼязкову інформацію (у тому числі лого або інформацію про безпеку продукту). 

Відповідальними за достовірність цієї інформації є продавці, але майданчик повинен також самостійно перевіряти надану йому інформацію (у тому числі за допомогою публічних державних реєстрів чи інших офіційних джерел). Майданчики мають прикладати всіх можливих сил для перевірки своїх продавців, у тому числі за допомогою автоматичного сканування публічних реєстрів. 

Також майданчики мають зібрати цю інформацію від вже наявних на платформі продавців до 17 лютого 2025 року і призупинити дію акаунтів у продавців, які інформації на запит майданчика не надали — допоки вони не нададуть перераховані документи та дані. У майданчика також є обовʼязок вимагати виправлення неточної або неповної інформації. Помилкові рішення майданчика продавець може оскаржити. 

Цю інформацію майданчик має зберігати весь строк роботи акаунту продавця і ще 6 місяців після припинення договору з ним (наприклад, видалення акаунту); після спливу цього строку інформацію слід видалити. Не забудьте внести інформацію про це у політики приватності та records of processing activities! 

18) Обов’язок повідомляти покупців товарів/послуг, якщо стало відомо про їх незаконність (не застосовний до мікро- та малих підприємств)

Цей обовʼязок поширюється на покупців (які в ЄС) товарів та послуг, які вже придбали товар на майданчику: майданчик має повідомити їх про те, що запропоновані йому товар або послуга порушують законодавство. У повідомленні також має бути інформація про продавця — його особа та доступні заходи захисту покупцем своїх прав). Такі повідомлення треба надсилати покупцям, що зробили покупку протягом 6 місяців до моменту виявлення порушення законодавства. 

Якщо інформації про продавця у майданчика немає — слід на сторінці продавця (товару чи послуги) розмістити інформацію про факт порушення закону, доступні засоби захисту прав та особу продавця. 

Як Digital Services Act впливає на terms and conditions мого сервісу?

Terms and conditions (також може називатись terms of use, terms of service, user agreement) встановлює основні аспекти взаємодії провайдера та користувачів (у деяких випадках як бізнес-користувачів, так і кінцевих).  Це важливий документ для онлайн-платформ та загалом провайдерів посередницьких послуг, оскільки окреслює правила використання сервісу, заборонені практики, які можуть мати наслідком видалення контенту користувача чи інше обмеження, а також встановлює межі відповідальності провайдера.

Нові вимоги DSA мають прямий вплив на положення terms and conditions, які мають бути доповнені та оновлені відповідно до запроваджених провайдером практик модерації контенту, реагування на повідомлення про незаконний вміст, ведення звітності щодо модерації та щодо кількості користувачів, призначення точки контакту тощо.

Як окреслено вище, є доволі великий обсяг компаній, які не підпадають під деякі додаткові зобов’язання DSA – це мікро- та малі підприємства. Однак якщо ваша діяльність підпадає під дію DSA, то повністю оминути імплементацію його положень не вийде.

DSA 2024

Оновлення terms and conditions

Щодо модерації контенту:

  1. необхідно чітко визначити перелік забороненого до завантаження та поширення контенту, та наслідки таких дій для користувачів (наслідки модерації) (обмеження видимості контенту, повне чи часткове блокування облікового запису чи доступу до платформи);
  2. всі політики, процедури, інструменти та заходи, які використовуються в процесі модерації контенту, повинні бути включені у terms and conditions;
  3. інформація має бути подана у зрозумілій формі, уникаючи можливості неоднозначного трактування;
  4. якщо сервіс націлений на неповнолітніх чи в основному використовується ними – положення terms and conditions доцільно продублювати у такому форматі, який зрозумілий відповідній віковій категорії (короткі речення, зручне форматування для виділення важливих моментів, використання графіки, формат FAQ тощо);
  5. якщо послуги підпадають під визначення «онлайн-платформи» (має місце поширення контенту користувачів), тоді в terms and conditions потрібно описати процедуру notice and action – як користувачі можуть повідомляти про незаконний вміст, та яка процедура розгляду таких скарг і сповіщення користувачів про причини видалення контенту;
  6. якщо до онлайн-платформи незастосовне виключення для мікро- та малих підприємств, тоді terms and conditions потрібно доповнити умовами про процедуру оскарження рішень щодо модерацї контенту (з обов’язковим переглядало рішення людиною), та політику провайдера щодо повторних порушників та недобросовісних скаржників (з прикладами фактів та обставин, на які звертається увага при прийнятті такого рішення).

Точка контакту та законний представник:

  1. всі провайдери посередницьких послуг повинні визначити точку контакту для звернень відповідних органів та користувачів, відтак terms and conditions треба оновити розділом про засоби зв’язку із таким суб’єктом та доступні до спілкування мови;
  2. якщо провайдер не знаходиться в ЄС та не має там представництва, але надає послуги – необхідно також зазначити контактні дані законного представника.

Реклама та система рекомендацій (для тих провайдерів, що кваліфікуються як «онлайн-платформа»):

  1. у terms and conditions необхідно визначити основні параметри показу реклами та повідомити про опцію зміни параметрів показу реклами;
  2. якщо застосовується система рекомендацій – terms and conditions треба доповнити розділом про алгоритми системи рекомендацій та будь-які доступні користувачеві опції зміни відповідних параметрів, зокрема про застосовні  критерії та їх важливість для визначення рекомендацій.

Для онлайн-маркетплейсів:

  1. у terms and conditions необхідно розкрити процедуру збору інформації про продавців та її перевірку;
  2. необхідно повідомити, що провайдер має право проводити вибіркові перевірки товарів/послуг на предмет законності, та сповіщати покупців, які здійснили покупку за останні 6 місяців, якщо товар чи послуга виявилась незаконною, разом із можливостями відшкодування (redress);
  3. розмежувати відповідальність маркетплейсу та продавців, та встановити чіткі вимоги до продавців щодо гарантування законності їх діяльності.

Як Digital Services Act впливає на privacy policy мого сервісу?

Треба буде додати нову інформацію до політики приватності — у тій частині, які дані про користувачів платформ треба збирати за вимогою законодавства. 

Зокрема, треба буде додати інформацію про: 

  • представника іноземної компанії в ЄС;
  • механізм роботи рекомендаційних систем;
  • обробку даних для виконання скарг про видалення незаконного контенту; 
  • збір і розкриття даних про продавців товарів та послуг; 
  • які дані збираються для створення звітів про роботу платформи та як вони обробляються; 
  • створити розділ з інформацією для неповнолітніх, зі спрощеною мовою та ілюстраціями; 
  • роботу модерації; 
  • політику компанії щодо повідомлення про порушення закону правоохоронним органам та покупцям товарів та послуг; 
  • позасудові інституції, які можуть вирішувати спори з майданчиком, та механізм оскарження рішень модерації або платформи (наприклад, у випадку блокування акаунту); 
  • критерії для таргетування реклами. 

Також слід уже займатися збором інформації про наявних на майданчику продавців: зібрати всю необхідну інформацію про них, та по можливості перевіряти її. 

—-

Всі ці зміни до публічних документів мають бути не просто декларативними, а відображати реальні механіки провайдерів. Відтак на першому місці стоїться саме практична реалізація: 

  • запровадження механізму повідомлення про незаконний контент; 
  • внутрішня система розгляду скарг на рішення про видалення контенту чи інші наслідки модерації; 
  • формування статистичної та аналітичної інформації у звіти щодо модерації контенту, розгляду скарг та щодо кількості користувачів; 
  • імплементація інтерфейсу для керування параметрами реклами та рекомендацій (для онлайн-платформ, які не підпадають під виключення); 
  • зміна практик обробки даних для показу реклами відповідно до обмежень DSA, зокрема щодо неповнолітніх користувачів;
  • імплементація інтерфейсу, який відповідатиме вимогам щодо збору та перевірки інформації про продавців на онлайн- маркетплейсах.

Які фінансові наслідки недотримання вимог Digital Services Act можуть бути застосовні до мене?

DSA передбачає, що штрафи за порушення закону пропорційні розміру провайдера, і санкція має бути ефективною, пропорційною та переконливою.

Згідно  DSA, кожній державі-члену ЄС дозволяється визначати штрафи, застосовні до порушень DSA. При цьому встановлені верхні межі: максимальний розмір штрафу за невиконання зобов’язань, встановлених DSA, повинен складати 6 % річного світового обороту відповідного провайдера у попередньому фінансовому році.   Із цього правила є виключення: у випадку, якщо порушення полягає у наданні невірної, неповної або оманливої інформації, ненаданні відповіді або невиправленні невірної, неповної або оманливої інформації, і неявці на перевірку, тоді штраф обмежується 1% від річного доходу або світового обороту провайдера  за попередній фінансовий рік

Окрім цього, на провайдерів можуть накладатись періодичні штрафні санкції в розмірі до 5% від середнього щоденного світового обороту або доходу відповідного провайдера за попередній фінансовий рік на день.

Крім цього, користувачі мають право вимагати, відповідно до законодавства Союзу та національного законодавства, компенсацію за шкоду або збитки, понесені через порушення провайдерів зобов’язань згідно DSA.

Підсумовуючи

DSA встановлює нові вимоги до провайдерів посередницьких послуг, зокрема до онлайн-платформ, маркетплейсів, хостингових сервісів, платформ для обміну контентом, соціальних мереж та ін., з метою підвищення рівня безпеки в Інтернеті. Це покладає на провайдерів обов’язки щодо оновлення своїх внутрішніх процесів, механік взаємодії з користувачами, та документів, щоб забезпечити належний рівень прозорості та безпеки користувачів.

Попри те, що Digital Services Act фактично містить такі ж умови safe harbor для провайдерів посередницьких послуг, як e-Commerce Directive, щодо виключення відповідальності за законність контенту, який зберігається чи поширюється на платформах провайдерів, все ж нові зобов’язання не дозволяють сидіти склавши руки, і активні дії для комплаєнсу таки потрібні.

Для того, щоб підготуватись до імплементації нових процесів згідно DSA, доцільно діяти покроково:

  1. провести аудит діяльності сервісу/платформи, щоб зрозуміти, чи підпадають послуги під дію DSA і якщо так, якою мірою;
  2. проаналізувати вже наявні процеси модерації контенту, механізми сповіщення про незаконний контент та їх опрацювання, формат повідомлення користувачів про видалення їхнього контенту чи інші обмежувальні рішення, системи рекомендацій та реклами та провести gap assessment;
  3. проаналізувати публічні документи на предмет відповідності DSA;
  4. скласти план дій щодо допрацювання процесів та механізмів для відповідності вимогам DSA;
  5. оновити публічні документи та розробити додаткові внутрішні політики за потреби;
  6. оновити свої документи для відповідності законодавству про захист персональних даних; 
  7. слідкувати за оновленнями, гайдлайнами від відповідних органів, рішеннями у справах про порушення умов DSA для відслідковування та впровадження best practices галузі.

Кожна платформа є унікальною, і аналіз застосовності DSA та необхідних кроків для досягнення комплаєнсу варто проводити case by case. Ми зі свого боку радо допоможемо із аудитом та подальшими діями для дотримання вимог DSA, зокрема оновленням публічних документів.  

16/02/2024

Автори: Катерина Дубас і Катерина Намака

GDPR compliance

GDPR compliance

Катерина Дубас

Катерина Дубас

Голова практики приватності в Legal IT Group, LLM, CIPP/E, CIPT, FIP

    Твоє запитання ІТ юристам


    Отримуй сповіщення про нові статті :)