Digital Services Act: přehled změn a povinností

Koho se nařízení DSA týká?

Nařízení DSA musíte řešit, pokud provozujete:

• online platformu nebo marketplace, která propojuje podnikatele a spotřebitele – jde o marketplace, zprostředkovatelské platformy, platformy pro rezervaci ubytování nebo týkající se sdílené ekonomiky či sociální sítě;
• hostingové služby – poskytovatele cloudu nebo webhostingu;
• zprostředkovatelské služby nabízející síťovou infrastrukturu – jednodušeji řečeno, pokud provozujete službu týkající se přenosu informací, ukládání do mezipaměti anebo pokud ukládáte informace na žádost uživatelů. Jde například o registrátory internetových domén, poskytovatele přístupu k internetu nebo provozovatele SaaSových řešení.

Mikro a malé podniky, tedy ty s méně než 50 zaměstnanci a ročním obratem pod 10 milionů EUR, mají z některých pravidel a povinností výjimky. Naopak velmi velké platformy a vyhledávače, které mají více než 45 milionů aktivních uživatelů z Evropské unie měsíčně, musí dodržet další povinnosti týkající se hlavně systémových rizik.

Co hrozí v případě nesplnění povinností podle DSA?

Pokud povinnosti podle DSA nesplníte, může vám být uložena pokuta až 6 % z vašeho ročního obratu v předchozím účetním období.

Co čeká provozovatele zprostředkovatelských služeb?

Pokud zprostředkováváte digitální služby, poskytujete internetové připojení anebo poskytujete online platformu, která umožňuje přenos nebo ukládání informací (typicky SaaS nebo PaaS), patříte do základní kategorie provozovatelů zprostředkovatelských služeb.

Konkrétně se za poskytovatale zprostředkovatelských služeb považují ti, kteří poskytují jednu (nebo obě) z níže uvedených služeb:

• službu prostého přenosu, která spočívá v přenosu informací poskytovaných příjemcem vaší služby v komunikační síti anebo ve zprostředkování přístupu ke komunikační síti;
• službu ukládání do mezipaměti, která spočívá v přenosu informací a současně i v automatickém a dočasném ukládání poskytnutých informací.

Zprostředkovatelské jsou tyto služby ne proto, že by zprostředkovávaly uzavření smlouvy, ale proto, že zprostředkovávají (poskytují) přenos informací anebo jejich ukládání.

Poskytovatelé zprostředkovatelských služeb budou muset podle nařízení DSA splnit tyto povinnosti:

Aktualizovat a doplnit obchodní podmínky

Do vašich obchodních podmínek bude třeba doplnit informace týkající se transparentnosti. Vaši uživatelé se z vašich obchodních podmínek musí dozvědět:

• proč a jak může být jejich obsah, který na vaši platformu vkládají, omezený nebo smazaný,
• proč a jak jim můžete znepřístupnit vaši službu, třeba zablokovat účet,
• jak mohou přestat vaši službu užívat.

Informace musí být napsané srozumitelně, jednoznačně a uživatelsky vstřícně. A pokud se zaměřujete hlavně na nezletilé, musí být informace sepsané tak, aby je pochopili i tito mladší uživatelé. Na ochranu nezletilých se nařízení DSA zaměřuje obecně a dává na ni velký důraz.

A když už budete vaše obchodní podmínky kontrolovat, pohlídejte si, jestli obsahují vše podle nařízení Platform to Business, které dopadá na podobnou kategorii poskytovatelů služeb jako nařízení DSA.

Zřízení jednotného kontaktního místa

Aby vás mohli uživatelé i kontrolní orgány snadno a dobře kontaktovat, musíte zřídit kontaktní místo pro přímou komunikaci jak s uživateli, tak státními orgány a informace o tomto kontaktním místě zveřejnit. Vedle e‑mailu gdpr@vaseznacka.cz tedy založíte i e‑maily jako dsa@vaseznacka.cz.

Zpráva o transparentnosti

Pokud nejste mikro nebo malý podnik (jednoduše řečeno, nezaměstnáváte méně než 50 zaměstnanců a váš roční obrat nedosáhne 10 milionů EUR), musíte každý rok zveřejnit výroční zprávu o moderování obsahu. Ta musí obsahovat informace o tom, jakým způsobem jste v uplynulém roce moderovali obsah, který uživatelé na vaši platformu vložili.

Zpráva musí být vydána alespoň jednou ročně, první zprávu je třeba vydat do 17. února 2025 (velmi velké platformy a vyhledávače musí zprávu vydávat častěji).

Obsah zprávy záleží na tom, do jaké kategorie poskytovatele služeb spadáte. Zprávy všech kategorií poskytovatelů služeb musí obsahovat:

• informace o obdržených příkazech od veřejných orgánů,
• informace o moderování obsahu z vašeho vlastního podnětu,
• informace o využívání automatizovaných nástrojů pro moderování obsahu,
• informace o stížnostech, které jste obdrželi prostřednictvím vašeho systému stížností.

Zveřejnění informací o aktivních uživatelích

Alespoň jednou ročně musíte zveřejňovat informace o tom, kolik aktivních příjemců vaše služba má. Opět se to netýká mikro ani malých podniků.

Co musíte zavést, pokud provozujete hostingové služby?

Pokud provozujete hostingové služby, musíte splnit všechny povinnosti popsané pro první kategorii zprostředkovatelských služeb. Výjimky pro mikro a malé podniky platí přitom i pro vás coby poskytovatele hostingových služeb, pokud parametry těchto podniků splňujete. Nad rámec toho vás ale čekají ještě další povinnosti.

Notice and Action

Musíte umožnit uživatelům nahlašování obsahu, které považují za nezákonný. Na každé takové nahlášení musíte reagovat, prověřit ho a pokud v jeho důsledku smažete něčí obsah, musíte o tom autora obsahu informovat a odůvodnit mu, proč ke smazání obsahu došlo.

Informovat v případě podezření ze spáchání trestného činu

Pokud máte podezření na spáchání trestného činu, který ohrožuje život nebo zdraví lidí, a dozvěděli jste se o něm v souvislosti s poskytováním vašich služeb (třeba z dat, která u vás má nějaký uživatel uložená), musíte o tom informovat policii nebo státního zástupce.

Rozšířená zpráva o transparentnosti

Pokud nejste malý nebo mikro podnik, vaše zpráva o transparentnosti musí obsahovat body popsané v kategorii výše, tedy:

• informace o obdržených příkazech od veřejných orgánů,
• informace o moderování obsahu z vašeho vlastního podnětu,
• informace o využívání automatizovaných nástrojů pro moderování obsahu,
• informace o stížnostech, které jste obdrželi prostřednictvím vašeho systému stížností.

A kromě toho musí obsahovat i informace o oznámeních, která jste přijali prostřednictvím Notice and Action mechanismu.

Jaké kroky musíte udělat, pokud provozujete online platformu nebo marketplace?

Pokud provozujete online platformu nebo marketplace a nejste mikro nebo malý podnik, musíte splnit všechny povinnosti popsané pro kategorie zprostředkovatelských služeb a poskytovatele hostingových služeb. Výjimky pro mikro a malé podniky platí i pro tuto kategorii. Čekají vás ale i další povinnosti.

Online platformy musí zavést interní systém pro vyřizování stížností, který umožní uživatelům platformy odvolat se proti vašemu rozhodnutí o odstranění nějakého jejich obsahu z platformy. Proces bude třeba popsat ve vašich obchodních podmínkách.

Kromě toho musíte zavést i opatření proti zneužití vaší služby. To znamená, že musíte pozastavit poskytování služeb (třeba blokací účtu) osobám, které často nahrávají zjevně nezákonný obsah.

Oba tyto procesy je potřeba mít popsané v obchodních podmínkách.

Uživatelské prostředí a informace sdělované uživatelům

Vaše uživatelské prostředí musí být transparentní a nesmí upřednostňovat jednu volbu před jinou anebo k ní uživatele navádět. Například zrušení účtu tedy nemůže být složitější než jeho založení.

Musíte zveřejnit i informace týkající se doporučování obsahu uživatelům. Konkrétně je třeba informovat uživatele o hlavních parametrech pro doporučování obsahu a o tom, jak tyto parametry můžou změnit.

Mimosoudní řešení sporů

Musíte informovat vaše uživatele (ideálně ve vašich obchodních podmínkách), že v případě sporu s vámi mohou využít i mimosoudní řešení sporů u státních orgánů.

Transparentnost reklamy

Pokud jste malým nebo mikro podnikem, tato povinnost se na vás opět nevztáhne. Pokud se do kategorie mikro nebo malého podniku ale „nevejdete“, budete muset zajistit, aby se uživatelé u každé reklamy zobrazované na vaší platformě snadno dozvěděli tyto informace:

• že se jedná o reklamu,
• kdo za reklamu zaplatil a jméno (značku) toho, kdo ji prezentuje,
• na základě jakých parametrů se reklama uživateli zobrazila a jak je možné tyto parametry změnit.

Uživatelé také budou muset mít možnost jednoduše oznámit, že jejich obsah obsahuje obchodní sdělení.

DSA dále zakazuje cílit reklamu na základě profilování osobních údajů zvláštní kategorie (citlivých osobních údajů) jako jsou informace o zdravotním stavu, sexuální orientaci, politické příšlušnosti anebo náboženském vyznání. Nařízení DSA také zakazuje profilování, které by se týkalo osob mladších 18 let. Cílit reklamu na základě profilování tedy bude možné dál, ale ne na nezletilé a ne s využitím citlivých osobních údajů.

Rozšířená zpráva o transparentnosti

Pokud nejste malý nebo mikro podnik, vaše zpráva o transparentnosti musí obsahovat body popsané v kategorii výše, tedy:

• informace o obdržených příkazech od veřejných orgánů,
• informace o moderování obsahu z vašeho vlastního podnětu,
• informace o využívání automatizovaných nástrojů pro moderování obsahu,
• informace o stížnostech, které jste obdrželi prostřednictvím vašeho systému stížností,
• informace o oznámeních, které jste přijali prostřednictvím Notice and Action mechanismu

A kromě toho musí obsahovat i tyto body:

• informace o sporech, které byly předloženy subjektům mimosoudního řešení sporů,
• informace o tom, kolikrát a proč jste pozastavili poskytování vašich služeb nějakému uživateli.

Další povinnosti pro marketplace

Pokud provozujete marketplace a nejste mikro nebo malý podnik, připravilo si pro vás nařízení DSA další povinnosti.

Know your customer

Online tržiště budou muset nad rámec výše popsaných povinností uplatňovat i princip „know your customer“. To znamená, že budete muset znát konkrétní informace o podnikatelích, kteří u vás na platformě nabízí své služby nebo zboží, jinak jim nebudete moct využití vaší platformy povolit.

Konkrétně půjde o tyto informace:

• kontaktní informace, IČO a informace o zápisu v obchodním nebo živnostenském rejstříku,
• kopie dokladu nebo jiná elektronická identifikace třeba prostřednictvím bankovní identity – v souvislosti s tím budete muset aktualizovat i své GDPR dokumenty,
• údaje o platebním účtu,
• případně podrobnosti k autocertifikaci obchodníka (jako je označení CE na hračkách apod.).

Uživatelské prostředí

Vaše uživatelské prostředí bude třeba případně upravit tak, aby podnikatelé, kteří na vaší platformě prodávají své služby nebo zboží, mohli snadno zveřejňovat informace o identifikaci svých produktů anebo aby mohli na vaší platformě použít i své logo nebo ochrannou známku.

Náhodné kontroly produktů a služeb

Budete také muset provádět náhodné kontroly zboží nebo služeb, které na vaší platformě podnikatelé nabízí, abyste zjistili, jestli nejsou nabízené produkty nezákonné. To vše s využitím volně dostupných informací jako je seznam nebezpečných výrobků vydávaný ČOI anebo informační systém RAPEX.

Pokud zjistíte, že někdo přes vaši platformu nelegální zboží nebo služby prodal, budete o tom muset informovat kupujícího.

A co musí navíc řešit onlinoví obři?

Velmi velké vyhledávače a velmi velké platformy, tedy ty s s více než 45 mil. aktivních uživatelů z EU měsíčně, musí kromě všech výše uvedených povinností splnit ještě další.

Jejich zpráva o transparentnosti se navíc rozšíří o dalších pár bodů, a to:

• informace o průměrném měsíčním počtu aktivních uživatelů služby celkově i v každém členském státě EU,
• informace o personálních kapacitách, které se věnují moderování obsahu,
• informace o přesnosti a ukazatelích přesnosti automatizovaných postupů využívaných pro moderování obsahu.

Analýza systémových rizik a jejich zmírnění

Velmi velké platformy budou povinně analyzovat všechna rizika plynoucí z fungování jejich služby a budou muset zavést přiměřená opatření ke zmírnění takových rizik. Mezi taková rizika patří třeba porušování soukromí, zveřejnění nelegálního obsahu anebo nenávistné a diskriminační projevy či manipulace s volbami, jejich definice je tedy velmi široká.

Se zmírněním rizik souvisí i to, že v krizových situacích může Evropská komise požádat tyto velké platformy o to, aby zanalyzovaly, zda jejich služby krizi nějak přispívají a učinily případně nutná opatření k tomu, aby došlo k omezení nebo zmírnění takového přispívání krizi.

Externí a nezávislé audity

Jednou za rok budou také velmi velké platformy a velmi velké vyhledávače muset projít externím a nezávislým auditem, v rámci kterého proběhne kontrola splnění povinností podle nařízení DSA.

Zřízení funkce interního „DSA Officera“

Internetoví obři budou také muset zavést interní funkci, která bude mít za úkol kontrolovat soulad s nařízením DSA, bude přímo podřízená vedení a bude muset být nezávislá na dalších provozních funkcích.

Archivace reklam a sdílení informací

Vyhledávače a platformy z kategorie velmi velké budou muset zřídit archiv reklam, které zobrazovaly, jejich obsah a další podrobnosti o reklamách.

Velké platformy budou také muset poskytnout přístup k informacím, které jsou nezbytné pro to, aby u nich mohli státní orgány provést kontrolu souladu s nařízením DSA.

Umožnění neprofilování

Velmi velké platformy a vyhledávače také budou muset svým uživatelům umožnit alespoň jeden doporučovací systém, který nebude založený na tzv. profilování. Jednoduše řečeno budou muset třeba umožnit to, aby se reklamy uživatelům nezobrazovaly na základě dat získaných o uživateli.

 Rádi vám s úpravou obchodních podmínek i vašich procesů pomůžeme. Neváhejte se nám ozvat na napistenam@elegal.cz nebo nám zavolejte na 255 785 595.