Cyfrowa rewolucja w ryzach regulacji
Komisja Europejska zdecydowała się na uregulowanie relacji biznesu, konsumentów i organów publicznych w internecie, opracowując pakiet czterech aktów prawnych. Przepisy te będą miały wpływ nie tylko na największe podmioty na rynku cyfrowym oraz na użytkowników ich usług, ale również na małych oraz średnich przedsiębiorców (MŚP).
Ochrona użytkowników
Akt o usługach cyfrowych (Digital Services Act – DSA) i Akt o rynkach cyfrowych (Digital Markets Act – DMA) to unijne rozporządzenia określające obowiązki i odpowiedzialność pośredników internetowych, którzy działają na jednolitym rynku UE. Chodzi o podmioty takie jak internetowe platformy handlowe, sklepy internetowe, sklepy z aplikacjami czy platformy serwisów społecznościowych.
– Kluczową motywacją stojącą za DSA, ale też do pewnego stopnia DMA, było wzmocnienie pozycji użytkowników, w szczególności względem największych platform internetowych, które dominują dziś na rynku. Jednocześnie – jak wielokrotnie udowadniano – z ich funkcjonowaniem wiąże się wiele szkodliwych skutków i zagrożeń, m.in. dla prywatności, zdrowia psychicznego, ochrony przed dyskryminacją czy demokracji. Wynikają one z modelu biznesowego tych podmiotów, który oparty jest na szerokim eksploatowaniu danych użytkowników, co sprzyja manipulacji i wykorzystywaniu naszych słabości. Użytkownicy dostaną więc sporo nowych uprawnień, które – miejmy nadzieję – ograniczą te niepokojące praktyki – wskazuje Dorota Głowacka, prawniczka z Fundacji Panoptykon, organizacji, której misją jest działanie na rzecz wolności i ochrony praw człowieka w społeczeństwie nadzorowanym.
Fundacja wskazuje przede wszystkim na przepisy, które dadzą nieco większą kontrolę nad obiegiem treści w sieci, czyli nad tym, do jakich treści możemy docierać w internecie i jakie materiały sami rozpowszechniać.
– Dziś dużą władzę mają w tym zakresie największe platformy internetowe, które wykonują ją w sposób mocno arbitralny i nieprzejrzysty. Po wejściu w życie DSA nasza sytuacja się poprawi, bo np. jeśli Facebook będzie chciał usunąć jakąś treść lub konto, użytkownik będzie musiał otrzymać stosowane uzasadnienie takiej decyzji oraz zyska możliwość bardziej skutecznego jej zakwestionowania. Najpierw w ramach wewnętrznej drogi odwoławczej, która będzie musiała spełniać wiele kryteriów sprawiedliwości proceduralnej, a potem ewentualnie przed zewnętrznym organem – tłumaczy Dorota Głowacka. Jak dodaje, użytkownik będzie też miał prawo dowiedzieć się więcej o zasadach działania algorytmów wykorzystywanych przez największe platformy do targetowania reklam i rekomendowania treści, czyli o systemach odpowiadających za określony sposób sugerowania, szeregowania i prezentowania poszczególnych materiałów dodawanych przez użytkowników, które ostatecznie widzimy w swoim strumieniu aktualności.
– Jest też szansa, że DSA wprowadzi bezwzględny zakaz wykorzystywania do celów reklamowych niektórych rodzajów danych, tj. danych dzieci i danych wrażliwych, takich jak dotyczące stanu zdrowia, poglądów politycznych czy wyznania, w tym zakaz stosowania mechanizmów pozwalających platformom na wywnioskowanie tych danych na podstawie np. aktywności w sieci – mówi prawniczka.
Ta kwestia wciąż jest przedmiotem negocjacji, ale jeśli uda się taki zakaz wprowadzić, mogłoby to ograniczyć najbardziej inwazyjne dla użytkowników mechanizmy reklamowe, wykorzystujące wrażliwe cechy. Potwierdził to np. eksperyment przeprowadzony w 2021 r. przez Fundację Panoptykon. Użytkowniczka Facebooka miała przekonanie, że ten, regularnie wyświetlając jej nieproporcjonalnie dużo reklam nawiązujących do poważnych chorób (co potwierdził później monitoring jej newsfeedu), eksploatuje i podsyca jej zaburzenia lękowe, związane z lękiem o zdrowie.
– Nawet jednak, gdy usunęła przypisane jej przez platformę „zainteresowania” odnoszące się do kwestii zdrowia (np. „nowotwór”, „szpital”, „choroba genetyczna”), których sama oczywiście nigdy świadomie nie „zdradziła” w sieci, w dłuższej perspektywie jej doświadczenie – charakter wyświetlanych reklam – nie uległo zmianie – opowiada Dorota Głowacka.
Jeśli chodzi o systemy rekomendacyjne, użytkownicy otrzymają opcję wyboru przynajmniej jednego, który nie będzie oparty na profilowaniu.
– To krok w dobrą stronę z punktu widzenia ochrony prywatności. Natomiast w praktyce może oznaczać, że jedyną alternatywą będzie np. chronologiczny układ strumienia aktualności, co może być lekko „niestrawne” dla użytkowników, zasadnie oczekujących jednak pewnej selekcji informacji– przewiduje Dorota Głowacka.
DSA nie zmusi jednak platform do zapewniania użytkownikom możliwości wyboru np. systemu rekomendacyjnego, który promowałby informacje według kryterium ich wiarygodności czy jakości. Nie wymusi też dopuszczenia do rynku zewnętrznych podmiotów, które mogłyby taki system zaoferować. Poza tym, aby „przełączyć” się na gwarantowany w DSA system rekomendacyjny nieoparty na profilowaniu, użytkownik będzie musiał taką opcję aktywnie wybrać. Można się więc spodziewać, że większość osób pozostanie przy domyślnych ustawieniach.
„Strażnicy dostępu” w odwrocie?
Akt o rynkach cyfrowych, czyli drugi element reformy rynku usług cyfrowych, reguluje odpowiedzialność wybranej kategorii pośredników internetowych o dominującej pozycji rynkowej, określanych jako „strażnicy dostępu” (ang. gatekeepers), takich jak Google, Apple, Facebook czy Amazon. DMA ma przede wszystkim zapewnić większą konkurencję na rynku, a przy tym chronić też konsumentów przed szkodliwymi i nieuczciwymi praktykami narzucanymi przez największych graczy.
Prawnicza Fundacji Panoptykon wskazuje, że DMA wprowadzi m.in. zakaz łączenia danych osobowych z różnych serwisów i źródeł bez zgody użytkownika. Na przykład Google nie będzie mógł połączyć danych użytkowników pochodzących z YouTube’a i z wyszukiwarki Google Search, a Facebook nie będzie mógł tworzyć jednego profilu dla osoby korzystającej zarówno z Facebooka i Instagrama, nie wzbogaci też tego profilu o dane zebrane z innych stron internetowych. Daje to realną możliwość ograniczenie głębokości profilowania użytkowników i – w efekcie – może utrudnić pewne niepokojące praktyki, takie jak inwazyjne targetowanie reklam.
Kolejny element DMA to wymóg interoperacyjności dla komunikatorów internetowych umożliwiający wymianę komunikatów, np. pomiędzy Messengerem a Signalem.
– Oznacza to bardziej swobody wybór usług dla użytkowników: mając Signala, nie trzeba będzie być użytkownikiem Messengera, aby – korzystając z wyższego standardu bezpieczeństwa komunikacji – rozmawiać z osobami używającymi tego drugiego komunikatora – podaje przykład Dorota Głowacka.
Akt o rynkach cyfrowych to także koniec zmuszania użytkowników do korzystania z różnych usług tej samej platformy. Przykładowo telefon z Androidem nie będzie wymagał od użytkownika założenia konta Google. Gatekeeperzy nie będą mogli ponadto „preferować” własnych usług, np. Apple nie będzie mógł narzucić użytkownikom swoich urządzeń korzystania z przeglądarki Safari.
Zarówno DSA i DMA wprowadzą również nowy instytucjonalny systemu nadzoru nad realizacją nowych regulacji przez usługodawców internetowych. W ramach DSA powstanie na przykład nowy organ krajowy, koordynator ds. usług cyfrowych, uprawniony m.in. do rozpatrywania skarg użytkowników dotyczących zgodności działań usługodawców z wymogami rozporządzenia.
Reklama targetowana z ograniczeniami
Choć nowe przepisy są korzystne z punktu widzenia użytkowników, to pojawia się pytanie o ich wpływ na biznes, w tym na małe i średnie firmy, które dzięki dostępowi do narzędzi oferowanych przez cyfrowych gigantów zyskały nowe możliwości rozwoju. Nałożenie nowych obowiązków na pośredników internetowych i strażników dostępu nie pozostanie bez wpływu na takie podmioty.
– Ograniczenia budzące najwięcej emocji wśród MŚP dotyczą m.in. reklamowania ich produktów i usług w sieci. Akt o usługach cyfrowych będący u kresu prac legislacyjnych zawiera przepisy, które mogą być interpretowane jako generalny zakaz stosowania reklamy ukierunkowanej, obejmujący wszystkich użytkowników, a nie tylko osoby nieletnie – komentuje Michał Kanownik, prezes Związku Importerów i Producentów Sprzętu Elektrycznego i Elektronicznego Cyfrowa Polska. Jak dodaje, takie reklamy to podstawowe narzędzie marketingowe dla wielu MŚP, ze względu na relację kosztów do skuteczności. Zakaz stosowania ich oznaczałby koniec przede wszystkim mocno wyspecjalizowanych, niszowych małych i średnich firm. Sprawiłby również, że do konsumentów nie dotrą np. trafione ogłoszenia o pracy.
Obawy związane z wpływem cyfrowych regulacji na sektor MŚP podziela również Kamila Sotomska, główny ekspert ds. gospodarki cyfrowej i zastępca dyrektora departamentu prawa i legislacji w Związku Przedsiębiorców i Pracodawców.
– Od początku prac nad DMA podkreślaliśmy, że wiele europejskich MŚP korzysta z usług strażników dostępu, by prowadzić swój biznes. Niestety niektóre przepisy doprowadzą do pogorszenia jakości tych usług, co niechybnie negatywnie odbije się również na przedsiębiorstwach, które polegają na nich w swojej działalności. Przykładem może być zakaz łączenia danych z art. 5(a) DMA, który doprowadzi do pogorszenia jakości reklamy targetowanej, podstawy modelu biznesowego wielu przedsiębiorców – wskazuje.
– W związku z trwającą rosyjską inwazją na Ukrainę proponuje się również uzupełnienie DSA o przepisy uprawniające krajowych koordynatorów do nałożenia na mniejsze platformy obowiązków, które na ogół dotyczyć mają jedynie największych graczy na rynku cyfrowym. Możliwość sprostania tym wymogom i proporcjonalność takiego rozwiązania są dyskusyjne – ocenia Michał Kanownik.
Z aktualnych niejednoznacznych zapisów DSA – dodaje prezes Cyfrowej Polski – wynika również, że obowiązki mające w zamyśle dotyczyć platform typu marketplace, takie jak zapewnienie procedur weryfikacji sprzedawców i ścieżki reklamacyjnej, obejmą nie tylko sklepy internetowe, ale również każdą stronę, na której wyświetlana będzie reklama sklepu czy produktów w nim dostępnych.
– Co do zasady pakiet miał szansę, by zbudować ramy sprzyjające maksymalnemu wykorzystaniu potencjału cyfrowej gospodarki. Niestety powstające w jego ramach przepisy często budowane są w oparciu o zestaw zakazów, gróźb sankcji i ograniczeń, a nie poprzez oferowanie narzędzi wsparcia dla innowacji, wzrostu firm (również w sektorze MŚP) i bodźców dla rozwoju rynku. Stymulacja taka jest szczególnie potrzebna, ponieważ – poza przepisami – barierami na drodze wejścia MŚP na rynek cyfrowy są wciąż w Polsce i naszym regionie mentalność oraz braki w świadomości i umiejętnościach przedsiębiorców – zauważa Michał Kanownik.
Zaznacza, że firmy liczą się z wprowadzaniem nowych regulacji. Problem jego zdaniem polega na tym, że chcąc wzmocnić pozycję mniejszych graczy, UE proponuje rozwiązania mogące skutkować odwrotnym efektem i komplikować funkcjonowanie na unijnym rynku cyfrowym dla wszystkich jego uczestników.
W ocenie Doroty Głowackiej nowe przepisy nie wpłyną negatywnie na mały biznes, który partycypuje w rynku cyfrowym za pośrednictwem platform internetowych.
– Wierzę, że stanie się wręcz przeciwnie – podkreśla.
DSA i DMA wprowadzą większą równowagę na rynku, korzystną z punktu widzenia mniejszych firm internetowych, a użytkownicy biznesowi największych platform staną się realnymi beneficjentami wielu z nowych uprawnień.
Prawniczka zwraca uwagę na pojawiający się zarzut dotyczący braku sprawiedliwych, niedyskryminujących warunków dostępu dla użytkowników biznesowych do wszystkich typów usług oferowanych przez strażników dostępu i objętych rozporządzeniem. Pierwotnie miał on dotyczyć tylko sklepów z aplikacjami, ostatecznie obejmie też prawdopodobnie wyszukiwarki i media społecznościowe.
– To wciąż za mało zdaniem wielu przedsiębiorców – wskazuje. Podkreśla też, że proponowane ograniczenia nie oznaczają końca personalizowanej reklamy. Targetowanie będzie nadal dozwolone, tyle że na podstawie innych typów danych niż dane dzieci i wrażliwe.
– Chciałabym podkreślić, że wydaje mi się, iż zadbano o to, aby zwłaszcza mniejsi przedsiębiorcy nie ponieśli nieproporcjonalnych obciążeń. Jak wspominałam, DMA odnosi się tylko do strażników dostępu, a cała logika DSA opiera się właśnie na tym, żeby najdalej idące obowiązki dotyczyły tylko największych platform, czyli posiadających co najmniej 45 mln (10 proc.) użytkowników w UE. Mniejsi usługodawcy, świadczący np. tylko usługi hostingu, którzy mają dużo mniejszy wpływ na naszą cyfrową rzeczywistość, będą znacznie mniej obciążeni – ocenia Dorota Głowacka i wskazuje, że
zgodnie z założeniem zakres obowiązków przewidziany w DSA jest uzależniony od wielkości i charakteru świadczonych przez określonych przedsiębiorców usług i ma korelować ze skalą ryzyk i charakterystyką zagrożeń generowanych przez dany typ działalności. Dodatkowo przewidziano pewne specjalne wyłączenia dla najmniejszych przedsiębiorców, np. będą oni zwolnieni z dodatkowych wymogów przewidzianych dla platform, nawet jeśli świadczą ten typ usługi.
Niewykorzystany potencjał danych
Unia Europejska podkreśla, że dane to dobro nierywalizacyjne, tak samo jak przykładowo oświetlenie uliczne – wiele osób ma do niego dostęp w tym samym czasie i może być konsumowane stale bez uszczerbku dla jakości i bez ryzyka, że zostanie wyczerpane. Według szacunków Komisji Europejskiej wolumen wytwarzanych danych może wzrosnąć z 33 zettabajtów w 2018 r. do nawet 175 zettabajtów w 2025 r. Przy czym obecnie 80 proc. danych przemysłowych nigdy nie jest wykorzystywane. To ogromny potencjał, który można zagospodarować. Pomóc w tym mają rozporządzenia regulujące kwestie korzystania z danych w Unii Europejskiej: Akt w sprawie danych (Data Act) oraz Akt w sprawie zarządzania danymi (Data Governance Act). Obie propozycje wynikają z europejskiej strategii w zakresie danych z lutego 2020 r.
– Ułatwienie obrotu danymi uwolni ogromny potencjał w zakresie m.in. innowacji technologicznych wykorzystujących dane. Nowe przepisy mają więc na celu poprawę dostępności wysokiej jakości danych, umożliwienie sprawniejszej wymiany i łączenia danych, a także lepszą interoperacyjność – wyjaśnia dr hab. Arwid Mednis z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, wspólnik w kancelarii Kobylańska Lewoszewski Mednis.
Jak wskazuje, Data Act, realizując te cele, ingeruje przede wszystkim w relacje horyzontalne. W pewnym uproszczeniu: chodzi o relacje pomiędzy posiadaczem danych (np. producentem urządzenia generującego dane), jego użytkownikiem (np. konsumentem korzystającym z urządzenia) i odbiorcą danych (podmiotem trzecim, który chciałby z tych danych skorzystać).
– W projekcie przewidziano szerokie obowiązki informacyjne, które posiadacz danych ma spełnić wobec użytkownika w zakresie, w jakim ten ostatni mógłby wykorzystać dane generowane przez urządzenie. Jeśli dodać do tego obowiązki z RODO – bo urządzenie będzie często generować dane, które będzie można powiązać z konkretnym konsumentem – to producentów urządzeń czeka rozszerzenie dokumentów związanych ze sprzedażą urządzenia. Aby posiadacz danych, np. producent urządzenia, mógł wykorzystać dane nieosobowe, będzie musiał zawrzeć z użytkownikiem stosowną umowę, a przy tym nie będzie mógł wykorzystać danych w sposób szkodzący użytkownikowi – tłumaczy dr hab. Arwid Mednis.
Zgodnie z projektem regulacji użytkownik urządzeń podłączonych do internetu uzyska dostęp do generowanych przez nie danych, które często są gromadzone wyłącznie przez producentów. Chodzi o produkty takie jak samochody, sprzęty domowe, wyroby konsumpcyjne, maszyny rolnicze i przemysłowe, wyroby medyczne, czyli szeroko rozumiany internet rzeczy. Produkty mają być projektowane i wytwarzane w taki sposób, aby dane generowane podczas korzystania z nich były domyślnie łatwo, bezpiecznie, a w razie potrzeby bezpośrednio dostępne dla użytkownika. Jak wskazuje dr hab. Arwid Mednis, projekt określa również warunki udostępniania danych generowanych przez produkt osobom trzecim. Generalnie ma się to odbywać na wniosek użytkownika.
W przypadku wyjątkowej potrzeby może pojawić się również obowiązek przekazania danych zgromadzonych przez sektor prywatny organom lub instytucjom sektora publicznego. Chodzi na przykład o możliwość zareagowania przez państwo na niebezpieczeństwo publiczne. W tej definicji mieszczą się sytuacje nadzwyczajne takie jak pandemia, wojna, powódź czy pożar lasów, w których dane zgromadzone przez sektor prywatny mogą okazać się przydatne do zwalczenia zagrożenia.
Unia Europejska liczy, że dane, które trafią do swobodniejszego obiegu wygenerują dla PKB wspólnoty nawet 270 mld euro do 2028 r.
– Cel regulacji, jakim jest upowszechnienie dostępu do danych generowanych przez użytkowników i biznes w sieci w celu maksymalizacji pożytku z wartości danych, jest oczywiście słuszny – ocenia Michał Kanownik.
Rzecz w tym – tłumaczy – że europejski Akt w sprawie danych zdaje się podążać ścieżką DMA. Regulacje te, stawiając za cel wyrównanie szans na rynku cyfrowym, w części swoich przepisów obierają kurs na efekt odwrotny i niosą ryzyko szkody dla MŚP przy okazji nakładania zobowiązań i ograniczeń na większe firmy.
Podkreśla, że zwiększenie kosztów działalności jest nieuniknionym skutkiem regulacji, z tym biznes się liczy. Poza naturalnym kosztem adaptacji do ram prawnych nie należy jednak obciążać MŚP skutkami przepisów, które miały w założeniu pobudzać rozwój ich sektora w Europie.
– Małe i średnie firmy mogą w ramach Data Act zostać pokrzywdzone w wyniku wprowadzenia wymogów dotyczących umów biznesowych o wykorzystaniu danych i wprowadzenia schematów takich umów. Ograniczenie wolności firm do konstruowania kontraktów oraz w zakresie dobrowolności ich zawierania może nieść skutek odwrotny od zamierzonego pobudzenia obiegu danych. Rodzi ono również obawy o to, czy propozycje UE będą możliwe do zrealizowania w warunkach rynkowych – komentuje Michał Kanownik.
Jego zdaniem sektor MŚP powinien zwrócić uwagę, że w stosunku do relacji biznes–biznes oraz biznes–konsument proponuje się jednolite przepisy w obszarze dostępu do danych i współdzielenia ich, a także jednakowe wymogi umowne. Dynamika i zasady tych relacji są jednak odmienne, próba ustanowienia uniwersalnych reguł może się okazać niekorzystna dla konsumentów i użytkowników biznesowych.
– Zapisy Data Act dotykają kwestii ograniczania międzynarodowego transferu danych, wykraczając poza postanowienia RODO, co grozi spowolnieniem wzrostu gospodarki cyfrowej wraz z jej sektorem MŚP – ostrzega Michał Kanownik. I podkreśla, że Europa dzięki międzynarodowemu transferowi danych może zyskać nawet 2 bln euro i utworzyć 2 mln miejsc pracy do końca dekady.
Etap legislacyjny
Fot. Shutterstock x2
Akt o usługach cyfrowych i Akt o rynkach cyfrowych znajdują się na ostatniej prostej w procesie legislacyjnym. Ostateczny ich kształt powinien być wkrótce znany, pozostanie jeszcze zatwierdzenie przez Radę UE i Parlament Europejski. – Oznacza to, że najprawdopodobniej DSA zacznie obowiązywać jeszcze w tym roku, a DMA w pierwszej połowie 2023 r. (ma nieco dłuższe vacatio legis).
Akt w sprawie zarządzania danymi został przedstawiony w listopadzie 2020 r. Negocjacje trójstronne projektu (trialog) dobiegły końca w listopadzie 2021 r., a na początku kwietnia odbyło się pierwsze czytanie projektu w Parlamencie Europejskim. W przypadku Aktu w sprawie danych prace legislacyjne dopiero ruszyły. Komisja Europejska złożyła wniosek dotyczący Data Act 23 lutego. Interesariusze mogą składać swoje uwagi do tekstu do 13 maja.