Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria C
  3. Dz.U.UE.C.2021.149.3

Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego aktu o usługach cyfrowych (pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu).

Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego aktu o usługach cyfrowych

(pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu)

(2021/C 149/03)

(Dz.U.UE C z dnia 27 kwietnia 2021 r.)

15 grudnia 2020 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych) i zmieniającego dyrektywę 2000/31/WE (ang. Digital Services Act, DSA).

EIOD wspiera dążenie Komisji do promowania przejrzystego i bezpiecznego środowiska internetowego, określając zakres odpowiedzialności i rozliczalności za usługi pośrednie, w szczególności platform internetowych, takich jak media społecz- nościowe i platformy handlowe.

EIOD z zadowoleniem przyjmuje fakt, iż wniosek raczej uzupełnia, niż zastępuje ochronę istniejącą na podstawie rozporządzenia (UE) 2016/679 i dyrektywy 2002/58/WE. Nie mniej jednak wniosek będzie miał z pewnością wpływ na przetwarzanie danych osobowych. EIOD uważa, że konieczne jest zapewnienie komplementarności w nadzorze i kontroli nad platformami internetowymi i innymi dostawcami usług hostingu.

Pewne działania podjęte w zakresie platform internetowych stwarzają coraz większe ryzyko nie tylko dla praw osób fizycznych, ale również dla społeczeństwa jako całości. Wniosek zawiera szereg środków zmniejszających ryzyko, zapewniając dodatkowe zabezpieczenia, w szczególności dotyczące systemów moderowania treści, reklam internetowych i rekomendacji.

Moderowanie treści powinno odbywać się zgodnie z przepisami prawa. Biorąc pod uwagę prowadzony już monitoring endemiczny zachowań osób, w szczególności w zakresie platform internetowych, DSA powinien określić przypadki, w których wysiłki podejmowane, aby przeciwdziałać "nielegalnym treściom", uzasadniają korzystanie ze zautomatyzowanych środków w celu wykrycia, identyfikacji i zgłoszenia nielegalnych treści. Profilowanie dla celów moderowania treści powinno być zabronione, chyba że dostawca może wykazać, że środki takie są absolutnie niezbędne, aby zapobiec wyraźnie określonym w RSA ryzykom systemowym.

Biorąc pod uwagę wiele ryzyk związanych z ukierunkowaną reklamą internetową, EIOD namawia współprawodawców, aby uwzględnili dodatkowe przepisy wykraczające poza przepisy dotyczące przejrzystości. Środki takie powinny obejmować stopniowo wprowadzane działania prowadzące do zakazu reklam ukierunkowanych na podstawie wszechobecnego śledzenia, jak również ograniczenia dotyczące kategorii danych, które mogą być przetwarzane dla celów ukierunkowania reklam, oraz kategorii danych, które mogą być ujawniane reklamodawcom lub osobom trzecim w celu umożliwienia lub ułatwienia im stosowanie reklam ukierunkowanych.

Zgodnie z wymogami dotyczącymi ochrony danych w fazie projektowania i domyślnej ochrony danych, systemy rekomendacji nie powinny być domyślnie oparte na profilowaniu. Biorąc pod uwagę ich znaczny wpływ, EIOD zaleca również stosowanie dodatkowych środków w zakresie systemów rekomendacji w celu dalszego promowania przejrzystości i kontroli użytkownika.

Ogólnie biorąc, EIOD zaleca wprowadzenie minimalnych wymogów interoperacyjności dla bardzo dużych platform internetowych oraz promowanie opracowywania norm technicznych na poziomie europejskim zgodnie z obowiązującymi przepisami unijnymi dotyczącymi normalizacji europejskiej.

Mając na uwadze doświadczenie i rozwój sytuacji dotyczący cyfrowej platformy koordynacyjnej, EIOD stanowczo zaleca określenie wyraźnej i kompleksowej podstawy prawnej w zakresie współpracy i wymiany stosownych informacji między organami nadzorczymi, każdy działający w zakresie swoich kompetencji. Akt o usługach cyfrowych powinien zapewniać zinstytucjonalizowaną i zorganizowaną współpracę pomiędzy właściwymi organami kontroli, w tym organami ds. ochrony danych, organami ds. ochrony konsumentów i organami ds. konkurencji.

1. 

WPROWADZENIE I KONTEKST

1.
15 grudnia 2020 r. Komisja przyjęła wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie jednolitego rynku usług cyfrowych (akt o usługach cyfrowych) i zmieniającego dyrektywę 2000/31/WE 1 .
2.
Wniosek sporządzony został w następstwie komunikatu Kształtowanie cyfrowej przyszłości Europy, w którym Komisja potwierdziła zamiar opracowania nowych i znowelizowania istniejących przepisów w celu pogłębienia rynku wewnętrznego w zakresie usług cyfrowych poprzez zwiększenie i zharmonizowanie obowiązków platform internetowych i dostawców usług informacyjnych oraz wzmocnienia kontroli w zakresie polityki dotyczącej treści platform w UE. 2
3.
Zgodnie z uzasadnieniem nowe i innowacyjne usługi cyfrowe znacznie przyczyniają się do transformacji społecznej i ekonomicznej w Unii i na świecie. Jednocześnie korzystanie z tych usług stało się również źródłem nowego ryzyka i wyzwań zarówno dla społeczeństwa jako całości, jak i osób korzystających z takich usług 3 .
4.
Celem wniosku jest zapewnienie najlepszych warunków do świadczenia innowacyjnych usług cyfrowych na rynku wewnętrznym, zwiększanie bezpieczeństwa w internecie oraz ochrona praw podstawowych, a także ustanowienie solidnej i trwałej struktury zarządzania na potrzeby skutecznego nadzoru nad dostawcami usług pośrednich 4 . W związku z powyższym wniosek:
zawiera przepisy dotyczące wyłączenia odpowiedzialności dostawców usług pośrednich (rozdział II);
określa "obowiązki w zakresie należytej staranności" dostosowane do rodzaju i charakteru danej usługi pośredniej (rozdział III); oraz
zawiera przepisy dotyczące wdrożenia i egzekwowania proponowanego rozporządzenia (rozdział IV).
5.
Projekt wniosku dotyczącego aktu o usługach cyfrowych z dnia 27 listopada 2020 r. był nieformalnie konsultowany z EIOD. EIOD z zadowoleniem przyjmuje fakt, iż konsultacje odbyły się na wczesnym etapie postępowania.
6.
Oprócz wniosku dotyczącego aktu o usługach cyfrowych Komisja przyjęła również wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych) 5 . Zgodnie z art. 42 ust. 1 rozporządzenia 2018/1725 wniosek dotyczący aktu o rynkach cyfrowych, który jest przedmiotem oddzielnej opinii, został również skonsultowany z EIOD.

3. 

WNIOSKI

93.
W świetle powyższego EIOD wydaje następujące zalecenia:

Odnośnie do związku z rozporządzeniem (UE) 2016/679 i dyrektywą 2002/58/WE:

ujednolicić brzmienie art. 1 ust. 5 lit. i) wniosku z obecnym brzmieniem art. 1 ust. 5 lit. b) dyrektywy 2000/31/WE; oraz
wyjaśnić, iż wniosek nie dotyczy kwestii związanych z odpowiedzialnością administratorów i podmiotów przetwarzających;

Odnośnie do moderowania treści i zawiadomienia o podejrzeniu popełnienia przestępstwa

wyjaśnić, że nie wszystkie postacie moderacji treści wymagają przypisania do określonej osoby, której dane dotyczą, oraz że zgodnie z wymogami minimalizacji danych i ochrony danych w fazie projektowania i domyślnej ochrony danych, moderacja treści, w zakresie w jakim jest to możliwe, nie powinna obejmować przetwarzania danych osobowych;
zapewnić, aby moderacja danych odbywała się zgodnie z przepisami prawa, określając przypadki, w których wysiłki podejmowane, aby przeciwdziałać "nielegalnym treściom", usprawiedliwiają korzystanie ze zautomatyzowanych środków i przetwarzanie danych osobowych w celu wykrycia, identyfikacji i zgłoszenia nielegalnych treści;
wskazać, iż profilowanie dla celów moderowania treści powinno być zabronione, chyba że dostawca może wykazać, że środki takie są absolutnie niezbędne, aby zapobiec ryzykom systemowym, które zostały wyraźnie określone we wniosku;
wyjaśnić, czy i w jakim stopniu dostawcy usług pośrednich są upoważnieni do dobrowolnego zgłaszania podejrzenia popełnienia przestępstwa organom ścigania lub organom sądowym, poza przypadkiem przewidzianym w art. 21 wniosku;
wskazać, iż każdy dostawca usług hostingu korzystający ze zautomatyzowanych środków moderacji treści powinien zapewnić, aby środki takie nie dawały wyników dyskryminujących lub niesprawiedliwych;
rozszerzyć wymóg określony w art. 12 ust. 2 wniosku na wszystkie formy moderacji treści, bez względu na to, czy taka moderacja odbywa się zgodnie z warunkami dostawcy czy na jakiejkolwiek innej podstawie; oraz wskazać iż środki te, oprócz tego, że są "proporcjonalne", muszą być również "niezbędne" do realizacji celów;
wzmocnić stosowanie wymogów dotyczących przejrzystości określonych w art. 14 ust. 6 i art. 15 ust. 2 lit. c) wniosku, podając osobom fizycznym bardziej szczegółowe informacje, w szczególności w przypadku wykorzystania środków zautomatyzowanych do moderacji treści, nie naruszając obowiązku informowania oraz praw osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2016/679;
zmodyfikować art. 15 ust. 2 wniosku, aby jednoznacznie stwierdzić, że w każdym przypadku przekazywane powinny być informacje dotyczące środków zautomatyzowanych wykorzystywanych do wykrycia i identyfikacji nielegalnych treści, bez względu na to, czy podjęta później decyzja dotyczyła korzystania ze środków zautomatyzowanych;
wymagać od wszystkich dostawców usług hostingu, a nie tylko platform internetowych, stworzenia łatwo dostępnego mechanizmu składania skarg, przewidzianego w art. 17 wniosku;
określić w art. 17 wniosku termin wydania przez platformę decyzji dotyczącej skargi, jak również wskazać, że stworzony mechanizm składania skarg nie będzie naruszał praw i środków naprawczych dostępnych dla osób, których dane dotyczą, zgodnie z rozporządzeniem (UE) 2016/679 i dyrektywą 2002/58/WE;
ponadto wymienić w załączniku inne przestępstwa (oprócz wykorzystania seksualnego dzieci), które spełniają wymóg art. 21 wniosku, i mogą spowodować powstanie obowiązku złożenia zawiadomienia;
rozważyć wprowadzenie dodatkowych środków, aby zapewnić przejrzystość i korzystanie z praw przez osoby, których dane dotyczą, z uwzględnieniem ściśle określonych ograniczeń w przypadkach absolutnie koniecznych (np. aby chronić poufność toczącego się dochodzenia, jeśli jest to konieczne) zgodnie z wymogami określonymi w art. 23 ust. 1 i 2 rozporządzenia (UE) 2016/679; oraz
wyraźnie zdefiniować termin "stosowne informacje", o których mowa w art. 21 wniosku, podając wyczerpujący katalog kategorii danych, które powinny zostać przekazane, jak również kategorii danych, które powinny zostać zabezpieczone w celu wspierania dalszych dochodzeń prowadzonych przez stosowne organy ścigania, jeśli będzie to koniecznie.

Odnośnie do reklam w internecie:

uwzględnić dodatkowe przepisy wykraczające poza przepisy dotyczące przejrzystości, w tym stopniowe wprowadzanie działań prowadzących do zakazu reklam ukierunkowanych na podstawie wszechobecnego śledzenia;
uwzględnić ograniczenia w zakresie a) kategorii danych, które mogą być przetwarzane dla celów ukierunkowania reklam; b) kategorii danych lub kryteria, na podstawie których reklamy mogą być ukierunkowane lub pokazywane; oraz c) kategorii danych, które mogą zostać ujawnione reklamodawcom lub osobom trzecim w celu umożliwienia lub ułatwienia stosowania reklam ukierunkowanych; oraz
dokładniej wyjaśnić zawarte w art. 24 i 30 wniosku odniesienie do osób fizycznych lub prawnych, w których imieniu reklama jest wyświetlana;
dodać do wymogów określonych w art. 24 nową pozycję, zgodnie z którą dostawca platformy jest zobowiązany informować osoby, których dane dotyczą, o tym czy reklama została wybrana przy użyciu systemu zautomatyzowanego (np. giełdy lub platformy reklamowej) i w takim przypadku podać tożsamość osoby fizycznej lub prawnej (osób fizycznych lub prawnych) odpowiedzialnej za system(y);
określić w art. 30 ust. 2 lit. d), że rejestr powinien również obejmować informacje dotyczące tego, czy jedna określona grupa bądź więcej określonych grup odbiorców usługi zostało wyłączonych z grupy docelowej dotyczącej reklamy;
zastąpić odniesienie do "głównych parametrów" odniesieniem do "parametrów" oraz podać dalsze wyjaśnienia dotyczące tego, co najmniej jakie parametry należałoby ujawnić, aby stanowiły one "znaczące informacje" w rozumieniu art. 24 i art. 30 wniosku; oraz
uwzględnić w stosunku do użytkowników usług reklam w internecie (art. 24 i art. 30 wniosku) wymogi podobne do tych, które stosuje się w celu zapewnienia identyfikowalności przedsiębiorców (art. 22 wniosku).

Odnośnie do systemów rekomendacji:

wyjaśnić, że zgodnie z wymogami ochrony danych w fazie projektowania i domyślnej ochrony danych, systemy rekomendacji nie powinny być domyślnie oparte na "profilowaniu" w rozumieniu art. 4 ust. 4 rozporządzenia (UE) 2016/679;
podać, że informacje dotyczące roli i funkcjonowania systemów rekomendacji zostaną przedstawione oddzielnie w sposób, który powinien być łatwo dostępny, zrozumiały dla laika i zwięzły;
wyjaśnić, że zgodnie z wymogami ochrony danych w fazie projektowania i domyślnej ochrony danych, systemy rekomendacji nie powinny być domyślnie oparte na "profilowaniu" w rozumieniu art. 4 ust. 4 rozporządzenia (UE) 2016/679;
włączyć poniższe dodatkowe wymogi do art. 29 wniosku:
wskazać w istotnej części platformy fakt, iż platforma korzysta z systemu rekomendacji i kontroli z dostępnymi opcjami w sposób przyjazny dla użytkownika;
poinformować użytkownika platformy o tym, czy system rekomendacji jest zautomatyzowanym systemem podejmowania decyzji oraz podać tożsamość osoby fizycznej lub prawnej, która odpowiada za podejmowanie decyzji.
w sposób przyjazny dla użytkownika umożliwić osobom, których dane dotyczą, wgląd do profilu lub profili wykorzystywanych do selekcjonowania treści platformy dla odbiorcy usługi;
pozwolić odbiorcom usługi dostosowanie systemów rekomendacji w oparciu o co najmniej podstawowe kryteria naturalne (np. godzinę, zainteresowania, ...); oraz
umożliwić użytkownikom łatwy dostęp do opcji usuwania profilu lub profilów używanych do selekcjonowania treści, które widzą.

Odnośnie do dostępu przez zweryfikowanych badaczy:

wyjaśnić, że zgodnie z wymogami ochrony danych w fazie projektowania i domyślnej ochrony danych, systemy rekomendacji nie powinny być domyślnie oparte na "profilowaniu" w rozumieniu art. 4 ust. 4 rozporządzenia (UE) 2016/679;
przeformułować treść art. 26 ust. 1 lit c) wniosku, aby odnieść się do faktycznych lub przewidywanych negatywnych skutków systemowych dotyczących ochrony zdrowia publicznego, małoletnich, dyskursu publicznego czy też faktycznych lub przewidywanych skutków związanych z procesami wyborczymi i bezpieczeństwem publicznym, w szczególności w odniesieniu do ryzyka zamierzonej manipulacji ich usługi, w tym za pomocą fałszywego korzystania z usługi lub zautomatyzowanego wykorzystywania usługi;
rozszerzyć art. 31 co najmniej w zakresie umożliwiającym weryfikację skuteczności i proporcjonalności środków zmniejszających ryzyko; oraz
uwzględnić to, w jaki sposób ułatwić badanie interesu publicznego w sposób bardziej ogólny, w tym wychodzący poza monitorowanie zgodności z wnioskiem;

Odnośnie do interoperacyjności platformy:

uwzględnić wprowadzenie minimalnych wymogów interoperacyjności dla bardzo dużych platform internetowych oraz promować tworzenie norm technicznych na poziomie europejskim zgodnie z obowiązującymi przepisami unijnymi dotyczącymi normalizacji europejskiej.

Odnośnie do wdrażania, współpracy, sankcji i egzekwowania:

zapewnić komplementarność w kontroli nad nadzorem platform internetowych i innych dostawców usług hostingu, w szczególności poprzez
podanie wyraźnej podstawy prawnej w zakresie współpracy między stosownymi organami, każdy działający w zakresie swoich kompetencji;
zapewnienie zinstytucjonalizowanej i zorganizowanej współpracy pomiędzy właściwymi organami kontroli, w tym organami ds. ochrony danych; oraz
wyraźne odniesienie się do właściwych organów zajmujących się współpracą i określenie okoliczności, w których powinna odbywać się współpraca;
odnieść się w motywach wniosku do właściwych organów zajmujących się prawem konkurencji, jak również do Europejskiej Rady Ochrony Danych;
zapewnić, aby koordynatorzy ds. usług cyfrowych, właściwe organy i Komisja posiadali również odpowiednie uprawnienia i obowiązek konsultowania się z właściwymi organami, w tym organami ds. ochrony danych, w zakresie prowadzenia dochodzeń i ocen zgodności z wnioskiem;
wyjaśnić, iż właściwe organy nadzorcze zgodnie z wnioskiem powinny móc przekazać na żądanie właściwych organów nadzorczych zgodnie z rozporządzeniem (UE) 2016/679 lub z własnej inicjatywy wszelkie informacje uzyskane w zakresie prowadzonych audytów i dochodzeń, które dotyczą przetwarzania danych osobowych, oraz w tym celu podać wyraźną podstawę prawną;
zapewnić większą zgodność kryteriów określonych w art. 41 ust. 5, art. 42 ust. 2 i art. 59 wniosku; oraz
zezwolić Europejskiej Radzie Ochrony Danych na wydanie swoich opinii z własnej inicjatywy oraz umożliwić Radzie wydanie opinii w sprawach innych niż środki podjęte przez Komisję.
Bruksela, 10 lutego 2021 r.
Wojciech Rafał WIEWIÓROWSKI
1 COM(2020) 825 final.
2 COM(2020) 67 final, s. 12.
3 COM(2020) 825 final, s. 1.
4 COM (2020) 825 final, p. 2.
5 COM(2020) 842 final.

Zmiany w prawie

Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką
Data 30 kwietnia dla wnioskodawcy dodatku osłonowego może być pułapką

Choć ustawa o dodatku osłonowym wskazuje, że wnioski można składać do 30 kwietnia 2024 r., to dla wielu mieszkańców termin ten może okazać się pułapką. Datą złożenia wniosku jest bowiem data jego wpływu do organu. Rząd uznał jednak, że nie ma potrzeby doprecyzowania tej kwestii. A już podczas rozpoznawania poprzednich wniosków, właśnie z tego powodu wielu mieszkańców zostało pozbawionych świadczeń.

Robert Horbaczewski 30.04.2024
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024
Bez kary za brak lekarza w karetce do końca tego roku
Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Metryka aktu
Identyfikator:

Dz.U.UE.C.2021.149.3
Rodzaj: Informacja
Tytuł: Streszczenie opinii Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego aktu o usługach cyfrowych (pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD: www.edps.europa.eu).
Data aktu: 27/04/2021
Data ogłoszenia: 27/04/2021