Kogo dotyczą obowiązki z DSA
DSA nakłada obowiązki przede wszystkim na dostawców usług pośrednich, tj.:
- usług „zwykłego przekazu” polegających na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi lub na zapewnianiu dostępu do sieci telekomunikacyjnej,
- usług „cachingu” polegających na transmisji w sieci telekomunikacyjnej informacji przekazanych przez odbiorcę usługi, obejmujących automatyczne, pośrednie i krótkotrwałe przechowywanie tej informacji, dokonywane wyłącznie w celu usprawnienia późniejszej transmisji informacji na żądanie innych odbiorców,
- usług „hostingu” polegających na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie.
Rozszerzony zakres obowiązków stosuje się wobec platform internetowych (szczególnego rodzaju usług hostingu) oraz wyszukiwarek internetowych (rodzaju usług pośrednich), które mają średniomiesięcznie 45 milionów odbiorców treści oraz zostały wskazane przez Komisję Europejską. Takie podmioty są określone w DSA jako bardzo duże platformy internetowe („VLOP”) oraz bardzo duże wyszukiwarki internetowe („VLOSE”).
Na dzień opracowania artykułu na stronie internetowej Komisji Europejskiej widnieje 20 podmiotów, które są dostawcami VLOP i/lub VLOSE. Należą do nich m.in. Meta Platforms Ireland Limited, Google Ireland Ltd., AliExpress International (Netherlands) BV czy Zalando SE.
Oznacza to, że oprócz obowiązków ciążących wyłącznie na bardzo dużych platformach:
- każdy obowiązek przewidziany dla dostawców usług pośrednich dotyczy VLOP i VLOSE,
- każdy obowiązek przewidziany dla dostawców usług hostingu dotyczy również VLOP.
Czy RODO ma pierwszeństwo przed DSA
Istotą stosowania obu aktów prawnych jest – zdaniem EROD – ich spójność i komplementarność. Żaden z tych aktów prawnych nie stanowi przepisów szczegółowych w stosunku do drugiego. Tym samym w modelowych sytuacjach nie będzie można posłużyć się przy ich interpretacji rzymską paremią lex specialis derogat legi generali.
I faktycznie: najprawdopodobniej podobne podejście przyświecało autorom tekstu DSA. W art. 2 ust. 4 DSA wpisano RODO jako jeden z ważniejszych aktów prawnych, z których stosowaniem DSA nie wejdzie w kurs kolizyjny. Jednak spójność i komplementarność dają się zauważyć także w bardziej konkretnych przepisach. RODO jest w nich przywoływane jako punkt odniesienia lub uzupełnienie, które wyeliminowało nadprodukcję treści przy przygotowywaniu DSA (np. w art. 38 DSA występuje odwołanie do definicji profilowania przyjętej w RODO).
EROD zwraca jednak uwagę, że przepisy DSA powinny być uwzględniane przez organy nadzorcze przy monitorowaniu przestrzegania przepisów o ochronie danych. Ma to szczególne znaczenie ze względu na obowiązki, jakie DSA nakłada na dostawców usług pośrednich.
DSA to przepisy regulujące konkretny obszar życia społecznego i gospodarczego, a działania podejmowane na tej płaszczyźnie podlegają ocenie także z perspektywy przepisów o ochronie danych osobowych.
Jak RODO ma się do działań sprawdzających i usuwania nielegalnych treści
Jeżeli działania dostawców usług pośrednich obejmują przetwarzanie danych osób fizycznych, trzeba oprzeć je na odpowiedniej podstawie prawnej z art. 6 ust. 1 RODO. Nie jest to oczywiście wybór pozbawiony znaczenia. Wpływa on na określone prawa osób, których dane dotyczą, a także na różne możliwości ochrony interesów podmiotu, który dane przetwarza.
Decyzja o wyborze podstawy prawnej przetwarzania często nastręcza administratorom niemałych trudności. Dlatego też stanowisko EROD ułatwia planowanie przyszłych i dostosowanie aktualnych procesów przetwarzania danych.
W ocenie EROD w rachubę wchodzą dwie podstawy prawne:
- 6 ust. 1 lit. c RODO, czyli niezbędność do realizacji obowiązku prawnego,
- 6 ust. 1 lit. f RODO, czyli niezbędność do realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej.
Stosowanie pierwszej z wymienionych podstaw nie budzi wątpliwości. Trzeba jednak zwrócić uwagę na dwie kwestie. Po pierwsze, art. 8 DSA uniemożliwia państwom nakładanie ogólnych obowiązków monitorowania, dlatego obowiązki w tym zakresie powinny mieć charakter ukierunkowany i szczegółowy. Po drugie, przetwarzanie na podstawie obowiązku prawnego nie zwalnia podmiotu z obowiązku zachowania właściwych proporcji. Podmiot ma prawo przetwarzać jedynie te dane osobowe, które są niezbędne do realizacji obowiązku wynikającego z przepisów prawa. Co zaś tyczy się formułowania samych obowiązków – powinny one być przede wszystkim jasne, precyzyjne i przewidywalne.
Co ważne, art. 6 ust. 1 lit. c RODO jest podstawą przetwarzania również wtedy, gdy zachodzi ono w ramach wykonania nakazu udzielenia informacji lub przeciwdziałania nielegalnym treściom. Nakaz stanowi wówczas realizację przepisów, jednak dostawca usług pośrednich musi zweryfikować, czy nakaz ten rzeczywiście spełnia wymogi z art. 9 lub 10 DSA.
Tezę EROD, która każe dostawcom usług pośrednich weryfikować nakazy i uzależnia od tej weryfikacji możliwość oparcia się na podstawie z art. 6 ust. 1 lit. c RODO, uważam za kontrowersyjną.
W ramach prawnie uzasadnionego interesu dostawcy będą przetwarzać dane osobowe wtedy, gdy w dobrej wierze i z należytą starannością prowadzą z własnej inicjatywy dobrowolne czynności sprawdzające lub podejmują inne środki mające na celu wykrycie, identyfikację i usunięcie nielegalnych treści lub uniemożliwienie do nich dostępu (art. 7 DSA).
EROD wskazuje trzy warunki, które muszą być spełnione, żeby przetwarzanie było dopuszczalne. Pierwszym z nich jest posiadanie przez dostawcę prawnie uzasadnionego interesu. Jednak w tym miejscu EROD błyskawicznie rzuca koło ratunkowe i wskazuje, że interes polegający na wykrywaniu i zwalczaniu nielegalnych treści w usługach pośredniczących w celu ochrony odbiorców usługi jest uzasadniony, w szczególności gdy takie treści mogą być udostępniane publicznie za pośrednictwem platformy internetowej.
Drugim warunkiem jest niezbędność przetwarzania danych do tego celu, a trzecim – potwierdzenie, że prawa i wolności osób, których dane dotyczą, nie przeważają nad interesem w przetwarzaniu tych danych. W tym zakresie spostrzeżenia EROD trudno uznać za odkrywcze, bo te elementy są stałymi komponentami każdego rzetelnego testu równowagi (ang. balance test).
Czynności sprawdzające i usuwanie nielegalnych treści a zautomatyzowane podejmowanie decyzji i profilowanie
Temat profilowania i zautomatyzowanego podejmowania decyzji EROD rozpoczyna od przytoczenia motywu 56 DSA. Zgodnie z nim rozporządzenie nie stanowi podstawy do profilowania odbiorców usług w celu ewentualnego identyfikowania przestępstw przez dostawców usług hostingu. Informując organy ścigania, dostawcy usług hostingu powinni również przestrzegać innych mających zastosowanie przepisów prawa Unii lub prawa krajowego dotyczących ochrony praw i wolności osób. Oznacza to, że gdyby miało dojść do takiego profilowania, musiałaby zachodzić inna podstawa prawna, o której mowa w art. 22 RODO.
EROD podaje również przykład zautomatyzowanych decyzji polegających na usuwaniu nielegalnych treści. Zwraca uwagę, że w takich sytuacjach konieczna jest weryfikacja przez dostawców usług pośrednich, czy decyzja jest oparta wyłącznie na zautomatyzowanym przetwarzaniu danych (podobnie jest traktowana sytuacja z interwencją ludzką, która ma charakter pozorny lub zupełnie marginalny). Następnie dostawca powinien ocenić, czy dysponuje odpowiednimi przesłankami z art. 22 RODO.
Czy dostawca usług pośrednich musi przeprowadzić DPIA
Kiedy ostatnio
robiłeś analizę ryzyka?
EROD sugeruje, że przy takiej ocenie powinny zostać wzięte pod uwagę z pewnością kryteria takie, jak:
- ocena lub punktacja,
- zautomatyzowane podejmowanie decyzji o skutkach prawnych lub podobnych skutkach,
- systematyczne monitorowanie,
- przetwarzanie danych na dużą skalę, zwłaszcza gdy jest wysoce prawdopodobne, że będzie ono dotyczyć bardzo dużych platform VLOP i VLOSE, takich jak Facebook czy YouTube, ale nie tylko.
Wytyczne podpowiadają zarazem, że dostawcy usług pośrednich zazwyczaj będą spełniać wystarczającą liczbę kryteriów, by uznać, że mają obowiązek przeprowadzić DPIA w tym zakresie.
Ochrona zgłaszających
Obowiązek stworzenia mechanizmów zgłaszania potencjalnie nielegalnych treści ciąży na dostawcach usług hostingu. Nieczęsto jednak zdarza się, by prawodawca wyręczał administratorów danych w ustalaniu, jak w praktyce stosować zasadę minimalizacji danych.
Zgodnie z ogólną zasadą mechanizmy zgłaszania tworzone przez dostawców usług hostingu powinny być zaprojektowane tak, aby pozyskiwać od zgłaszających imię, nazwisko i adres e-mail. Danych tych nie zbiera się jednak w sytuacji, gdy zgłoszenie dotyczy przestępstw wymienionych w art. 3–7 dyrektywy 2011/93/UE w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej („dyrektywa CSAM”).
Faktem jest również, że co do zasady brak możliwości identyfikacji zgłaszającego nie powinien skutkować odmową podjęcia czynności przez dostawcę usług hostingu. Jego rolą jest umożliwienie zgłaszającemu zidentyfikowania się, a nie uzależnianie realizacji zgłoszenia od takiej identyfikacji. Chociaż oczywiście, że specyfika niektórych zgłoszeń może wymagać identyfikacji zgłaszającego.
EROD wskazuje także, jak w świetle DSA można wykorzystywać dane osób zgłaszających (jeżeli zostały podane):
- w celu przekazania zgłaszającemu, bez zbędnej zwłoki, potwierdzenia otrzymania zawiadomienia,
- w celu przekazania zgłaszającemu swojej decyzji w odniesieniu do „zgłoszonych” informacji oraz informacji dotyczących środków odwoławczych od tej decyzji,
- w celu wysłania do zgłaszającego zawiadomienia o przypadkach, w których dostawcy hostingu nie mogą, ze względów technicznych lub operacyjnych, usunąć konkretnej informacji,
- „tylko w przypadku, gdy jest to absolutnie konieczne” – w celu zamieszczenia danych osobowych zgłaszającego w uzasadnieniu, które ma zostać przekazane odbiorcom usługi.
Nie może zaskakiwać, że ciężar ustalenia, czy przekazanie danych zgłaszającego jest absolutnie niezbędne, został przerzucony na dostawcę usług hostingowych. Oznacza to, że ponosi on ryzyko błędnych ustaleń i w efekcie naruszeń ochrony danych, jakie się z tym wiążą. W przypadku bowiem ustalenia po fakcie, że przekazanie tych danych nie było niezbędne, dostawcy będzie można postawić zarzut działania bez podstawy prawnej, co będzie stanowiło naruszenie nie tylko art. 17 ust. 2 lit. b DSA, lecz także art. 6 ust. 1 RODO. Sformułowanie „absolutnie niezbędne” dostawca powinien traktować jako bardzo rzadki wyjątek od żelaznej reguły.
EROD zwraca dodatkowo uwagę, że jeśli dane zgłaszającego mają zostać udostępnione odbiorcy usługi, zgłaszający powinien zostać o tym powiadomiony na zasadach przewidzianych w art. 13 RODO, a zakres udostępnianych danych powinien zostać ograniczony do niezbędnego minimum.
Zautomatyzowane środki i ich zastosowanie w sprawie zgłoszeń
Zgodnie z art. 16 ust. 6 DSA rozpatrywanie zgłoszeń lub podejmowanie decyzji może odbywać się z wykorzystaniem zautomatyzowanych środków. Taką informację przekazuje się zgłaszającemu post factum – na etapie zawiadomienia o decyzji podjętej w odniesieniu do zgłoszenia.
„Zautomatyzowane środki”, o których mowa w art. 16 ust. 6 DSA, mogą, ale nie muszą wchodzić w zakres wynikający z art. 22 RODO. Jeżeli wejdą, to w pierwszej kolejności podmiot powinien zweryfikować, czy dysponuje odpowiednimi przesłankami z art. 22 ust. 2 lub 4 RODO. Jeżeli tak, to niezależnie od informacji z DSA powinna zostać przekazana informacja o decyzjach opartych wyłącznie na zautomatyzowanym przetwarzaniu danych – na zasadach zgodnych z art. 13 RODO.
Stanowisko EROD w tej sprawie można podsumować następująco:
- 16 ust. 6 DSA nie stanowi samodzielnej przesłanki do zautomatyzowanego podejmowania decyzji, o których mowa w art. 22 RODO,
- obowiązek informacyjny z art. 16 ust. 6 DSA nie zastępuje, ale uzupełnia obowiązek, o którym mowa w art. 13 RODO.
Na marginesie warto dodać, że DSA przewiduje analogiczne zasady w odniesieniu do odbiorców usług – w przypadku sporządzania uzasadnień przy użyciu zautomatyzowanych środków (art. 17 ust. 3 lit. c DSA).
Zwodnicze interfejsy
Zwodniczym interfejsem internetowym (ang. deceptive design pattern) jest takie rozwiązanie, które wprowadza w błąd odbiorców usługi lub nimi manipuluje, lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców usługi do podejmowania wolnych i świadomych decyzji.
Przykłady zwodniczych interfejsów były omawiane m.in. w wytycznych EROD 3/2022 w sprawie zwodniczych interfejsów w interfejsach platform mediów społecznościowych. EROD trafnie zwraca uwagę, że zwodniczy interfejs ma znaczenie na gruncie ochrony danych osobowych, jeżeli wpływa na decyzje związane z wykorzystaniem danych osobowych (np. na ich podanie podmiotowi posługującemu się zwodniczym interfejsem). Jednocześnie EROD zauważa, że granica tutaj jest dość cienka.
Przykład podany przez EROD w wytycznych: wzorce, które próbują nakłonić wszystkich odbiorców usługi do zakupu produktu poprzez sterowanie (emocjonalne), np. „Pozostało tylko kilka produktów w magazynie”, mogą nie być objęte RODO. Jeśli jednak odbiorca usługi zostanie zmanipulowany w celu podania (dodatkowych) danych osobowych, np. „Pozostało tylko kilka produktów w magazynie. Wprowadź teraz swój adres e-mail i dokonaj rezerwacji”, lub podania większej ilości danych osobowych niż w innym przypadku, to wzorzec podlega RODO.
EROD stoi na stanowisku, że użycie zwodniczych interfejsów do celów związanych z przetwarzaniem danych osobowych (w tym z ich pozyskiwaniem) stanowi naruszenie zasady rzetelności przetwarzania danych osobowych (art. 5 ust. 1 lit. a RODO). Trudno nie zgodzić się z tym wnioskiem. Jednak w istocie zwodniczy interfejs może powodować naruszenia zarówno innych przepisów RODO ustalających ogólne zasady (zwłaszcza zasady przejrzystości), jak i przepisów szczegółowych – jak choćby tych, które odnoszą się do dobrowolności i świadomości zgód na przetwarzanie danych czy do poprawności spełnienia obowiązków informacyjnych.
Zakaz prezentowania reklam opartych na profilowaniu z użyciem szczególnych kategorii danych
Przepis art. 26 ust. 3 DSA wprowadza zakaz prezentowania reklam opartych na profilowaniu przy użyciu szczególnych kategorii danych osobowych. Zakaz ten odnosi się do platform internetowych, a zatem obejmuje także VLOP.
Jak łatwo zauważyć, zakaz nie dotyczy samego profilowania, lecz efektów, które takie profilowanie miałoby przynieść. Czysto teoretycznie można więc wyobrazić sobie, że w razie zaistnienia odpowiednich przesłanek wskazanych w art. 22 ust. 4 RODO platformy internetowe nadal będą mogły profilować osoby, których dane dotyczą, na podstawie szczególnych kategorii danych. Jednak efektem tego profilowania nie może być prezentowanie reklam.
Ochrona małoletnich
Bezpłatna wiedza o RODO.
Korzystaj do woli!
- zakaz reklam opartych na profilowaniu – zakazane jest profilowanie małoletnich, jeśli platforma ma pewność co do wieku użytkownika,
- brak obowiązku zbierania dodatkowych danych osobowych wyłącznie w celu ustalania wieku – platforma, ustalając wiek użytkownika, powinna bazować na posiadanych przez siebie informacjach o osobie fizycznej.
EROD rekomenduje unikanie mechanizmów weryfikacji, które:
- pozwalają na jednoznaczną identyfikację użytkowników,
- wymagają długotrwałego przechowywania informacji o wieku lub zakresie wieku,
- naruszają proporcje w stosunku do zamierzonego celu.
Stosowanie przez VLOP i VLOSE opcji rekomendacji nieopartej na profilowaniu
VLOP i VLOSE powinny zapewnić możliwość skorzystania z systemu rekomendacji w wersji nieopartej na profilowaniu. Taką opcję powinny wyeksponować w sposób równorzędny do opcji, które obejmują możliwość profilowania.
EROD zauważa, że dopóki aktywny pozostaje wybór użytkownika dotyczący opcji nieopartej na profilowaniu, pozyskiwanie jego danych w celu profilowania będzie niezgodne z prawem. Podkreśla także, że systemy rekomendacji powinny być zorganizowane w taki sposób, by nawet w przypadku wielokrotnej zmiany ustawień w ciągu jednego dnia nie dochodziło do profilowania użytkownika, gdy korzysta on z opcji nieobjętej profilowaniem.
Z perspektywy ochrony danych może mieć znaczenie również to, że nierównorzędna prezentacja poszczególnych systemów rekomendacji (opartego i nieopartego na profilowaniu) może niekiedy stanowić tzw. deceptive design pattern. Jednak nawet kiedy prezentacja jest nierównorzędna, lecz nie stanowi zwodniczego interfejsu, może dochodzić do naruszenia zasady przejrzystości lub reguł zgodnego z prawem wyrażania zgody na przetwarzanie danych.
Podsumowanie
Łatwo można zauważyć, że EROD kształtuje swoje stanowisko tak, by w jak najmniejszym stopniu eksponować ewentualne wątpliwości, które mogą rodzić się na gruncie relacji RODO i DSA. Wiele kwestii poruszonych w wytycznych wydaje się dość oczywistych – w szczególności próby ustalenia przesłanek przetwarzania danych osobowych w związku z realizacją obowiązków lub dobrowolnych inicjatyw dostawców usług pośrednich.
Według mnie dość istotne znaczenie ma wyraźne odróżnienie decyzji podejmowanych z użyciem zautomatyzowanych środków (np. art. 16 ust. 6 oraz art. 17 ust. 3 lit. c DSA) od decyzji, o których mowa w art. 22 RODO. Zautomatyzowane środki mogą, ale nie muszą wiązać się z podejmowaniem decyzji, o których mowa w art. 22 RODO, co może nie być jasne przy mało pogłębionej analizie przepisów obu aktów prawnych.
Na minus można zapisać EROD brak ustalenia relacji między wyjątkami przewidzianymi w art. 14 ust. 5 RODO a prawem dostępu do danych (art. 15 RODO) w kontekście przekazywania odbiorcy usług informacji o osobie, która zgłosiła nielegalne treści.
Pewnym przełomem jest zmiana regulacji dotyczących personalizacji reklam opartej na szczególnych kategoriach danych. Jednak sama wykładnia tych przepisów dokonana przez EROD nie wydaje się już szczególnie odkrywcza. Wnioski wysnute w tym zakresie uznaję za dość oczywiste.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jaką podstawę prawną przetwarzania danych osobowych EROD wskazuje jako właściwą dla dostawców usług pośrednich podczas realizacji obowiązków związanych z usuwaniem nielegalnych treści?