facebook LinkedIN LinkedIN - follow
IT SYSTEMS 1-2/2022 , IT právo

Digital Services Act

Petra Věžníková


V prosinci roku 2020 představila Evropské komise balíček dvou nařízení, která mají nastavit nová pravidla pro fungování digitálního prostředí v Evropské Unii. Prvním z nich je návrh nařízení o jed­not­ném trhu digitálních služeb, známý jako Akt o digi­tál­ních služ­bách (Digital Services Act, „DSA“), přinášející řadu pod­stat­ných změn, které dopadnou i na české provozovatele těchto služeb.


Návrh byl předložen, je projednáván a veřejnosti prezentován spolu s návrhem dalšího nařízení, kterým je Akt o digitálních trzích (Digital Markets Act, „DMA“), který vám blíže představíme v příštím čísle. Oba tyto návrhy – jakožto součást digitální strategie Evropské Unie - mají aktualizovat zejména unijní směrnici o elektronickém obchodu (2000/31/ES), která byla přijata před dvaceti lety a už poněkud nestačí moderním trendům. Návrhy směřují k posílení jednotného digitálního trhu, k čemuž má sloužit i zvolená forma.

Hlavními cíli DSA je vytvořit bezpečnější digitální prostředí pro uživatele (tedy pro příjemce digitálních služeb) a usnadnit rozšiřování menších platforem, malých a středních podniků a startupů – nastavit „rovné podmínky hry“ (level playing field), a tím v konečném důsledku podpořit inovace, růst a konkurenceschopnost na jednotném digitálním trhu i na vnitřním trhu Evropské Unie celkově.

Načasování legislativního procesu

Návrhy obou nařízení, tedy jak DSA, tak DMA, byly Komisí schváleny 16. prosince 2020. V průběhu roku 2021 byl návrh několikrát projednáván v rámci prvního čtení na půdě Rady EU. Předpokládáme, že v příštím roce dojde k jeho projednání i na úrovni Evropského parlamentu. Optimistický odhad pro schválení je rok 2023/2024.

Na koho se DSA vztahuje?

Nařízení upravuje harmonizovaná pravidla pro poskytování zprostředkovatelských služeb na vnitřním trhu, zejména upravuje rámec pro podmíněné zproštění odpovědnosti poskytovatelů zprostředkovatelských služeb ale taky nové povinnosti. Hlavními adresáty jsou tedy poskytovatelé zprostředkovatelských služeb. Některé povinnosti jsou pak stanoveny jen pro specifické kategorie poskytovatelů zprostředkovatelských služeb, jak si ukážeme dále:

  • Zprostředkovatelská služba je souhrnné označení pro službu prostého přenosu, službu ukládání do mezipaměti nebo hostingovou službu.
  • Služba prostého přenosu spočívá v přenosu informací poskytovaných příjemcem služby v komunikační síti nebo ve zprostředkování přístupu ke komunikační síti – adresáty nařízení tak budou například poskytovatelé síťové infrastruktury, poskytovatelé připojení nebo registrátoři domén.
  • Služba ukládání do mezipaměti (caching) spočívá v přenosu informací (poskytovaných příjemcem služby) v komunikační síti a zahrnuje automatické dočasné přechodné ukládání informací.
  • Hostingová služba spočívá v ukládání informací poskytovaných příjemcem služby na jeho žádost; spadají sem veškeré služby, které ukládají uživatelská data (např. webhosting a cloudové služby či online platformy).
  • Online platformy nařízení definuje zvlášť, a to jako pos­ky­to­va­te­le hostingové služby, který na žádost příjemce služby ukládá a veřejně šíří informace (to neplatí pro situace, kdy je tato činnost nepodstatnou a pouze pomocnou funkcí jiné služ­by a z objektivních a technických důvodů ji nelze používat bez této jiné služby a integrace této funkce do jiné služby není prostředkem k obcházení této právní úpravy). Online plat­for­ma­mi jsou například internetová tržiště (Aukro), obchody s mobilními aplikacemi (Google Play, AppStore), platformy pro sdílenou ekonomiku (Bolt, Airbnb, Uber), sociální sítě, atd.

Zvlášť návrh nařízení definuje i tzv. velmi velké online platformy. Těmi jsou online platformy, které poskytují své služby alespoň 10% obyvatelstva EU (resp. alespoň 45 milionům příjemců služby v EU měsíčně).

Příjemcem služby je pak fyzická nebo právnická osoba, která využívá příslušnou zprostředkovatelskou službu. Nařízení se použije na zprostředkovatelské služby poskytované příjemcům služby, kteří mají místo usazení nebo bydliště v Evropské Unii, a to bez ohledu na místo usazení poskytovatelů těchto služeb. Podobně jako např. u GDPR i zde vidíme extrateritoriální účinek evropské právní úpravy.

Co Digital Services Act upravuje?

Odpovědnost poskytovatelů zprostředkovatelských služeb za obsah informací

V prvé řadě návrh upravuje výjimky z odpovědnosti, respektive rámec pro podmíněné zproštění se odpovědnosti poskytovatelů zprostředkovatelských služeb. Oproti stávající úpravě se pravidla téměř nemění (alespoň prozatím: zejména větší státy se snaží na poskytovatele přenést větší míru odpovědnosti). Nařízení pro jednotlivé kategorie poskytovatelů stanoví výjimky, při jejichž naplnění může dojít ke zproštění odpovědnosti za přenášené či ukládané informace.

V případě prostého přenosu není poskytovatel odpovědný, pokud

  1. není původcem přenosu,
  2. nevolí příjemce přenášených informací, a
  3. nevolí a nemění obsah přenášených informací.

V případě cachingu není poskytovatel odpovědný, pokud:

  1. nemění informace,
  2. vyhoví podmínkám přístupu k informacím,
  3. dodržuje pravidla o aktualizaci informací,
  4. nepřekročí povolené používání technologie s cílem získat údaje o užívání informace, a
  5. urychleně smaže nebo zamezí přístup, jakmile zjistí, že informace byly odstraněny/blokovány ve zdrojovém uložišti, nebo pokud tak nařídí soud nebo správní orgán.

V případě hostingu není poskytovatel odpovědný, pokud:

  1. neví o protiprávní činnosti nebo nezákonném obsahu, nebo
  2. jakmile zjistí protiprávní činnost nebo nezákonný obsah, urychleně jej odstraní nebo znemožní přístup.

Vymezení nezákonného obsahu je poměrně široké. Mohou jím být „jakékoli informace, které samy o sobě nebo ve vztahu k určité činnosti včetně prodeje zboží nebo poskytování služeb nejsou v sou­la­du s právem Unie nebo právem některého členského státu, a to bez ohledu na přesný předmět či povahu tohoto práva“. Tedy na­pří­klad nezákonné nenávistné projevy, teroristický obsah, nezákonný diskriminační obsah, sdílení obrázků s dětskou pornografií, nezákonné sdílení soukromých fotografií bez souhlasu, kybernetické pro­ná­s­le­do­vá­ní, prodej nevyhovujících nebo padělaných výrobků, neoprávněné použití materiálů chráněných autorským právem, činnosti zahrnující porušování právních předpisů na ochranu spotřebitele atp.

Oproti některým dřívějším návrhům není v nařízení zakotvena povin­nost nezákonný obsah aktivně vyhledávat. Toto vzešlo z před-legi­sla­tiv­ních konzultací jako jeden z hlavních požadavků poskytovatelů. To ale nebrání poskytovatelů provádět vlastní dobrovolná vyše­třo­vá­ní a nezákonný obsah vyhledávat. Dále je upravena povinnost sou­čin­nos­ti s vnitrostátními justičními nebo správními orgány (ta bude rovněž spočívat v znepřístupnění obsahu nebo poskytnutí informací).

Povinnosti poskytovatelů zprostředkovatelských služeb

Návrh dále stanovuje celou řadu povinností, které dopadají jak na všechny poskytovatele zprostředkovatelských služeb, tak na jednotlivé specifické kategorie (pro velmi velké online platformy je povinností stanoveno nejvíce).

Povinnosti, které dopadnou na všechny poskytovatele zprostředkovatelských služeb:

  • zřídit jednotné kontaktní místo pro komunikaci s veřejnými orgány (pokud nemá poskytovatel provozovnu v EU povinnost jmenovat zástupce)
  • podávat zprávy o transparentnosti: minimálně jednou za rok publikovat zprávu o veškerém moderování obsahu, které prováděl v příslušném období (obsahuje např. informace o počtu příkazů obdržených od orgánů členských států; počtu oznámení uživatelů ohledně nezákonného obsahu; moderování obsahu z vlastního podnětu poskytovatele)
  • uvést ve svých podmínkách informace o veškerých omezeních, která používají k moderování obsahu (včetně rozhodování založeného na algoritmech)
  • spolupráce s vnitrostátními orgány po vydání příkazu - povinnost plnit příkazy vnitrostátních orgánů ohledně nezákonného obsahu

Poskytovatelé hostingových služeb mají navíc povinnost:

  • zavést mechanismy pro oznamování a pro přijímání opatření ohledně nezákonného obsahu
  • informovat příjemce o konkrétních provedených opatřeních (včetně odůvodnění)

Další řada povinností se týká online platforem*, například:

  • zavést interní mechanismus pro vyřizování stížností a sjednávání nápravy a mimosoudní urovnávání sporů
  • v rámci oznamovacích mechanismů nastavit procesy pro přednostní vyřizování podnětů od tzv. důvěryhodných oznamovatelů
  • zavést opatření pro pozastavení služeb příjemcům včetně stanovení ochranných prvků proti možnému zneužití
  • ověřovat totožnost obchodníků, kteří v rámci platformy uza­ví­ra­jí smlouvy se spotřebiteli (Know Your Business Customer)
  • zajistit transparentnost internetové reklamy včetně označení reklamy a jejího objednatele
  • oznamovat trestné činy a zabraňovat jejich páchání

(* nevztahuje se na platformy, které jsou mikropodniky nebo malými podniky)

Na velmi velké platformy pak dále dopadají povinnosti v oblasti řízení rizik a další povinnosti:

  • povinnost alespoň jednou ročně provést posouzení rizik (specificky pak v otázce šíření nezákonného obsahu, negativních dopadů na výkon základních práv a ochrany soukromí, a úmyslných manipulací s jejich službou)
  • zmírňovat výše uvedená rizika
  • provést alespoň jednou ročně audit nezávislým auditorem a přijmout opatření na základě auditu
  • v případě používání doporučovacích systémů, uvést ve svých podmínkách hlavní parametry nastavení a možnosti ovlivnění parametrů doporučení
  • v případě zobrazování reklamy zveřejňovat archiv informací ohledně zobrazených reklam
  • poskytnout koordinátorovi digitálních služeb a pověřeným osobám (výzkumní pracovníci)
  • určit osobu odpovědnou za sledování souladu s DSA
  • zapojit se na výzvu Komise do tvorby kodexů a krizových protokolů
Povinnost poskytovatelů podle DSA ZS HS OP + OP
zprávy o transparentnosti
přijetí podmínek zohledňujících základní práva
spolupráce s vnitrostátními orgány
kontaktní místa (+ zákonný zástupce)
oznámení, opatření a poskytování informací uživatelům  
mechanismus pro vyřizování stížností a mimosoudní řešení sporů    
důvěryhodní oznamovatelé    
opatření proti nekorektním oznámením    
ověřování totožnosti dodavatelů-třetích stran (KYBC)    
transparentnost internetové reklamy    
oznamování trestných činů    
povinnosti v oblasti řízení rizik + kontrolor shody      
audit vnějších rizik a odpovědnost vůči veřejnosti      
doporučující systémy - transparentnost a možnosti volby přístupu k informacím      
sdílení údajů s úřady a výzkumnými pracovníky      

Legenda: ZS = zprostředkovatelské služby, HS = hostingové služby, OP = online platformy, +OP = velmi velké online platformy)

Provádění a vymáhání nařízení

Dohled nad dodržováním DSA na národní úrovni mají mít tzv. koordinátoři digitálních služeb (jejich roli budou zastávat orgány určené příslušným členským státem). Dále nařízení zavádí Evropský sbor pro digitální služby, který má být nezávislou poradní skupinou tvořenou představiteli národních koordinátorů digitálních služeb. Další pravomoci (zejména pak v oblasti dohledu nad velmi velkými online platformami) pak mají příslušet Komisi. Národní koordinátoři i Komise budou moci mimo jiné provádět kontroly na místě a za nedodržení nařízení ukládat sankce až do výše 6% ročního příjmu nebo obratu poskytovatele zprostředkovatelských služeb (resp. do výše 1 % v případě poskytnutí nesprávných, neúplných nebo zavádějících informací nebo neumožnění kontroly na místě).

Na závěr: Co přinese DSA pro jednotlivé stakeholdery?

Ačkoliv jde prozatím pouze o návrh nařízení a jeho finální podoba se může v průběhu legislativního procesu ještě měnit, již z předloženého textu můžeme vidět, že nová evropská regulace digitálních služeb přinese řadu nových povinností zejména pro větší poskytovatele digitálních služeb a potřebu se na tyto změny připravit a zakomponovat nové prvky do svých procesů. Zároveň si však Komise od nových pravidel slibuje zvýšení právní jistoty a umožnění snazší expanze a podnikání i pro menší poskytovatele digitálních služeb; a širší nabídku, nižší ceny, transparentnější informace a nižší riziko vystavení nezákonnému obsahu pro uživatele digitálních služeb, ať už z řad podniků nebo pro spotřebitele.

Mgr. Ing. Petra Věžníková Mgr. Ing. Petra Věžníková
Autorka článku je advokátka ve společnosti Squire Patton Boggs, kde se zaměřuje na právo digitálních technologií (ochrana osob­ních údajů, kyberbezpečnost, regulace ele­k­tro­nic­kých komunikací a soutěžní právo).
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Umělá inteligence už není pro české firmy tabu

IT Systems 5/2025V aktuálním vydání IT Systems je opět hlavním tématem umělá inteligence, která v českých firmách stále více nachází uplatnění. Potvrzují to i závěry reportu Digitalizace podniků, který vydala společnost Asseco Solutions. Jiří Hub, CEO Asseco Solutions, jej shrnul slovy, že české podniky se opřely do digitalizace a umělá inteligence už pro ně není tabu. Stále ovšem mají co objevovat, protože ze studie společnosti McKinsey vyplývá, že potenciál AI zatím využívá jen zlomek firem a její implementaci v Česku táhnou především sektory bankovnictví, pojišťovnictví a e-commerce.