CZ. III • DZIAŁALNOŚĆ IAB POLSKA

Podsumowanie istotnych wydarzeń prawnych

  • 2022 r. obfitował w działania regulacyjne związane z dalszym porządkowaniem zasad funkcjonowania rynku cyfrowego w relacjach pomiędzy firmami, jak też poszerzaniem praw użytkowników usług cyfrowych i internetu. Wyraźnie wybrzmiewał wątek szeroko rozumianego bezpieczeństwa w internecie postrzeganego nie tylko w kategorii cyberbezpieczeństwa i ochrony przed treściami i produktami nielegalnymi, lecz także praw konsumenckich (w tym szczególnej ochrony danych dzieci), dostępności, ale też wolności słowa i mediów.

  • Unia Europejska poczyniła także ważny krok w sferze podatkowej poprzez przyjęcie przepisów zapewniających minimalny 15% poziom opodatkowania największych przedsiębiorstw. 

Lidia Zamecka

Cyfrowy Polsat,
Szefowa Grupy Roboczej
Prawo IAB Polska

Najważniejsze opublikowane akty prawne i projekty przepisów w 2022 r.

Rozporządzenie PE i Rady 2022/2065 z dnia 19.10.2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych, ang. Digital Services Act – DSA) może być uznane za najważniejszy od kilku lat akt prawny dla całej branży internetowej. Przepisy DSA odnoszą się do działalności i odpowiedzialności dostawców usług pośrednich (hostingu, zwykłego przekazu, cachingu) z dodatkowymi wymogami dla największych platform internetowych oraz wyszukiwarek internetowych. Regulują one zasady postępowania wobec nielegalnych treści, reklamy internetowej i systemów rekomendacji, precyzują prawa użytkowników serwisu (w tym małoletnich) i tzw. podmiotów zaufanych. Większość przepisów wchodzi w życie 17.02.2024 r., ale przedtem niezbędne będzie przyjęcie przepisów krajowych ustanawiających Koordynatora Usług Cyfrowych. W Polsce niekoniecznie będzie to nowy organ regulacyjny, część wynikających z DSA uprawnień i obowiązków kontrolnych może zostać przydzielona istniejącym już organom, np. UKE, UOKiK.

Rozporządzenie PE i Rady 2022/1925 z dnia 14.09.2022 r. w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym oraz zmiany dyrektyw (UE) 2019/1937 i (UE) 2020/1828 (akt o rynkach cyfrowych, ang. Digital Markets Act – DMA) obejmuje swym zakresem największe przedsiębiorstwa cyfrowe (m.in. wyszukiwarki, systemy operacyjne, serwisy społecznościowe, usługi platform udostępniania wideo) będące tzw. „strażnikami dostępu” i ma na celu zapobieganie nieuczciwym praktykom biznesowym w stosunku do przedsiębiorców i użytkowników oraz wzmocnienie konkurencji i praw użytkowników. Ustanawia szczegółowe zasady kwalifikacji podmiotów jako strażników dostępu, obowiązki i zakazy, a także nadzór Komisji Europejskiej. Przepisy będą stosowane od 2.05.2023 r.

Projekt rozporządzenia Europejski akt o wolności mediów (ang. European Media Freedom Act) jest częścią strategii UE w ramach europejskiego planu działań na rzecz demokracji. Ma na celu zharmonizowanie zasad ochrony wolności i pluralizmu mediów w UE, wzmocnienie niezależności dziennikarzy i ich ochronę przed inwigilacją, wprowadzenie transparentności własności i finansowania mediów (w tym poprzez przydział reklam państwowych) oraz stabilnego finansowania mediów, realizujących misję publiczną. Proponuje zastąpienie dotychczasowej Europejskiej Grupy Regulatorów ds. Audiowizualnych Usług Medialnych (ERGA) zbiorowym organem – Europejską Radą ds. Usług Medialnych, w praktyce częściowo zależnym od Komisji Europejskiej. Mimo wielu słusznych założeń projekt rozporządzenia wzbudza kontrowersje z uwagi na ogólnikowość tekstu, liczne niejasności interpretacyjne i wątpliwą skuteczność przepisów. Aktualnie jest procedowany na poziomie Rady i Parlamentu Europejskiego. 

Ustawa z dnia 4.11.2022 r. o zmianie ustawy o prawach konsumenta, ustawy – Kodeks cywilny oraz ustawy – Prawo prywatne międzynarodowe; ustawa z dnia 1.12.2022 r. o zmianie ustawy o prawach konsumenta oraz niektórych innych ustaw. W obszarze handlu elektronicznego i prawa konsumenckiego 1.01.2023 r. nastąpiło wdrożenie spóźnionej transpozycji trzech ważnych aktów: dyrektywy Omnibus, dyrektywy cyfrowej oraz dyrektywy towarowej. Wprowadzono istotne zasady przejrzystości działań przedsiębiorców z obszaru e‑commerce, w tym obowiązki informacyjne przed zawarciem umowy; konieczność informowania: o najniższej cenie usługi lub towaru obowiązującej w okresie 30 dni od wprowadzenia obniżki ceny;  o stosowanych parametrach plasowania; o tym, czy i w jaki sposób sprzedawca zapewnił, aby publikowane opinie pochodziły od konsumentów, którzy używali danego produktu lub go nabyli; o indywidualnym dopasowywaniu cen na podstawie zautomatyzowanego mechanizmu podejmowania decyzji. Nowe przepisy także istotnie wzmacniają prawa konsumentów m.in. poprzez: objęcie usług i treści cyfrowych oraz towarów z elementami cyfrowymi rękojmią i prawem do odstąpienia od umowy; odpowiedzialność dostawcy za niezgodność z umową i prawem konsumenta do żądania doprowadzenia usługi lub treści do takiej zgodności; obowiązki informacyjne dostawców, skrócenie czasu odpowiedzi dostawcy na reklamację do 14 dni.

Zwróć uwagę

Mimo tak dużego poszerzenia praw konsumentów poprzez przyjęte w ostatnim czasie przepisy, Komisja Europejska wciąż pracuje nad tym tematem i zakończyła w lutym 2023 r. konsultacje publiczne dotyczące potrzeb wzmocnienia prawa konsumenckiego w sferze cyfrowej (m.in. w zakresie działań marketingowych, personalizacji, tzw. dark patterns, aplikacji finansowych). Można się zatem spodziewać dalszych działań Komisji, co najmniej na poziomie zaleceń i tzw. soft law.

Projekt ustawy o zapewnianiu spełniania wymogów dostępności niektórych produktów i usług przez podmioty gospodarcze ma na celu wdrożenie wymogów Europejskiego Aktu o Dostępności (EEA). Zgodnie z EEA określenie dostępności rozumiane jest szeroko i odnosi się nie tylko do potrzeb osób z niepełnosprawnościami, lecz także osób starszych, o ograniczonych możliwościach percepcyjnych, z czasowymi dysfunkcjami ruchowymi itp. Oprócz pewnych produktów, projekt obejmuje m.in. świadczone na rzecz konsumentów usługi dostępu do audiowizualnych usług medialnych, handel elektroniczny, strony internetowe. Przepisy mają zapewnić, aby wprowadzone do obrotu produkty i usługi, jak też informacje o nich, spełniały szczegółowe określone wymogi dostępności i kryteria funkcjonalne. Nakładają one zróżnicowane obowiązki na producentów, upoważnionych przedstawicieli, importerów, dystrybutorów, usługodawców. Projekt poddawany był szerokim konsultacjom społecznym, dalsze prace trwają.

Dyrektywa NIS 21 oraz projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) – dyrektywa jest poszerzeniem dyrektywy NIS 1, a jej przepisy mają zostać wdrożone do 17.10.2024 r. Celem poprawy współpracy międzynarodowej ustanawia on Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni. Nowe przepisy usuwają dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne, wprowadzając w to miejsce kategorie podmiotów kluczowych i ważnych przy uwzględnieniu kategorii wielkości do kwalifikacji regulowanych podmiotów. Zakres podmiotowy przepisów jest szeroki, dotyczy podmiotów publicznych i prywatnych. Dyrektywa zaostrza obowiązki w zakresie cyberbezpieczeństwa, zobowiązując podmioty do oceny ryzyka związanego z cyberbezpieczeństwem, podejmowania działań celem przeciwdziałania zagrożeniom, powiadamiania odpowiednich organów o wszelkich incydentach. Sankcje za nieprzestrzeganie przepisów mogą sięgać do 10 mln euro lub do 2% globalnych obrotów firmy. 

Na początku 2023 r. pojawiła się już trzecia wersja projektu ustawy o KSC, w którą m.in. włączono przepisy EKŁE związane z cyberbezpieczeństwem poprzez nałożenie na wszystkich przedsiębiorców komunikacji elektronicznej obowiązków z tego zakresu. Warto odnotować, że zmieniona została definicja cyberbezpieczeństwa, dodano przepisy o krajowym systemie certyfikacji cyberbezpieczeństwa i o zasadach wyznaczania Operatora Strategicznej Sieci Bezpieczeństwa. 

Opóźniona transpozycja przepisów unijnych i przepisy w toku prac

Projekt ustawy Prawo komunikacji elektronicznej (PKE) oraz projekt ustawy wprowadzającej PKE mają stanowić wdrożenie dyrektywy 2018/1972 ustanawiającej Europejski Kodeks Łączności Elektronicznej, której termin na transpozycję minął w grudniu 2020 r. Są to przepisy o kluczowym znaczeniu dla rynku usług łączności elektronicznej, w tym nowej kategorii usług komunikacji interpersonalnej niewykorzystującej numerów. Mimo że prace nad projektem trwają prawie od 3 lat i wiele przepisów było szeroko konsultowanych, na etapie przed skierowaniem obydwu projektów do Sejmu wprowadzone zostały niekonsultowane i wykraczające poza zakres dyrektywy propozycje zmian, które poważnie zagrażałyby rynkowi usług telewizyjnych. Przepisom tym,  powszechnie określanym jako „lex pilot”, zarzucano nieproporcjonalność oraz nadmierną ingerencję w swobodę prowadzenia działalności gospodarczej. Modyfikowałyby one  dotychczasową zasadę must carry/must offer (dalej MC/MO) poprzez: zmianę listy programów i rodzaju podmiotów objętych MC/MO oraz nadanie Krajowej Radzie Radiofonii i Telewizji uprawnienia do wyznaczania w drodze rozporządzenia dodatkowych programów, których zasada ta ma dotyczyć; gwarantowałyby programom telewizji publicznej 5 pierwszych pozycji na EPG (pilocie), nakazywałyby rozprowadzanie wszystkich 16 programów regionalnych telewizji publicznej bez względu na stosowaną przez operatora technologię i na jego koszt. Dodatkowo zakazywałyby sprzedaży usług telewizyjnych w pakiecie z innymi usługami  lub urządzeniami; zobowiązywałyby operatorów do umożliwienia klientom nabywania pojedynczych kanałów; ingerowałyby w umowy nadawców z operatorami. Wskutek silnego oporu przedstawicieli rynku i strony społecznej oraz decyzji komisji sejmowej o odrzuceniu obydwu projektów ustaw, projektodawca zdecydował się na wycofanie projektów z prac sejmowych i obecnie pracuje nad ich nową wersją. 

Projekt ustawy o prawie autorskim i prawach pokrewnych oraz niektórych innych ustaw stanowiący w założeniu implementację dyrektywy 2019/790 i 2019/789 był w 2022 r. publikowany w dwóch wersjach i poddany konsultacjom. Termin na transpozycję dyrektyw minął w połowie 2021 r. Przepisy kompleksowo regulują wiele aspektów prawa autorskiego. Z punktu widzenia branży internetowej szczególnie istotne jest m.in. wskazanie odpowiedzialności i obowiązków dostawcy platformy udostępniania treści online, gdy udziela on publicznego dostępu do chronionych prawem autorskich utworów lub innych przedmiotów objętych ochroną zamieszczanych przez jego użytkowników. Przełomowe jest także prawo do wynagrodzenia dla wydawców prasowych z tytułu nowego prawa pokrewnego; wzmocniono prawo dla twórców do odpowiedniego i proporcjonalnego wynagrodzenia wraz obowiązkiem informacyjnym dotyczącym eksploatacji ich utworów.  Przepisy odnoszą się także do transgranicznych transmisji online i tzw. „wprowadzania bezpośredniego” sygnału telewizyjnego. Oprócz stosunkowo wiernej transpozycji przepisów obydwu dyrektyw proponowany projekt wychodzi poza zakres dyrektywy prawno-autorskiej, wprowadzając dodatkowe uprawnienie do wynagrodzenia dla twórców i wykonawców w zakresie publicznego udostępniania utworu audiowizualnego na żądanie, jak też nieznane dotychczas w prawie polskim i większości innych systemów prawnych niezbywalne prawo do wynagrodzenia dla wykonawców utworów muzycznych lub słowno-muzycznych z tytułu publicznego udostępniania utrwalenia artystycznego wykonania na żądanie. Ten nadmiarowy zakres jest przedmiotem dyskusji i powoduje odwlekanie wdrożenia projektu. Pewne kontrowersje wzbudza także propozycja przyznania twórcy publikacji prasowej prawa do aż 50% wynagrodzenia należnego wydawcy z tytułu korzystania z prawa pokrewnego wprowadzanego nowymi przepisami. Prace nad projektem ustawy wciąż trwają na poziomie Rady Ministrów.

Zwróć uwagę

Mimo że w przyszłości wejście w życie przepisów aktu o usługach cyfrowych oraz transponowanej do prawa krajowego dyrektywy w sprawie praw autorskich na jednolitym rynku cyfrowym powinno co do zasady przyczynić się do zauważalnego zmniejszenia się skali nielegalnych treści i naruszeń praw autorskich w internecie, obydwa te akty prawne nie rozwiązują problemu piractwa treści nadawanych na żywo, takich jak np. transmisje sportowe. W przypadku tego typu treści konieczna jest natychmiastowa reakcja hostingodawcy lub dostawcy internetu polegająca na ich zablokowaniu zaraz po otrzymaniu zgłoszenia, w przeciwnym razie straty finansowe właściciela praw czy licencjobiorcy są ogromne. Parlament Europejski słusznie zauważył ten problem i wezwał Komisję Europejską do podjęcia stosownych działań, obecnie jednak Komisja nie zaproponowała legislacji w tym obszarze, ograniczyła się tylko do zaleceń.2 

Projekt rozporządzenia PE i Rady w sprawie przejrzystości i targetowania reklamy politycznej z 2022 r. powstał po ujawnieniu licznych przypadków wpływania państw obcych na procesy wyborcze w państwach członkowskich Unii i ma na celu zharmonizowanie przepisów celem osiągniecia wysokiego poziomu transparentności reklamy politycznej i usług powiązanych jeszcze przed wyborami do Parlamentu Europejskiego w 2024 r. Przede wszystkim nakłada na dostawców usług reklamy obowiązek identyfikacji reklamy politycznej, a na dostawców takiej reklamy – nakaz etykietowania reklamy politycznej, przekazywania informacji o reklamodawcy, prowadzenia rejestrów takiej reklamy, a także obowiązki sprawozdawcze i informacyjne, w tym w zakresie finansowania reklam. Przepisy mają także chronić dane osobowe osób fizycznych poprzez wymogi dotyczące technik targetowania i amplifikacji oraz wykorzystywania danych wrażliwych. Obecnie jest procedowany w Parlamencie Europejskim i w Radzie, jego przyjęcie jest planowane w tym roku.

Ważne wydarzenia

RODO – wytyczne i opinie – w 2022 r. Europejska Rada Ochrony Danych opublikowała kolejne wytyczne i zalecenia oraz otworzyła konsultacje dokumentów w zakresie stosowania RODO3. Dotyczą one m.in. zgłaszania naruszeń ochrony danych osobowych; realizacji prawa podmiotu danych do dostępu do danych; dark patterns w serwisach mediów społecznościowych; stosowania technik rozpoznawania twarzy przez organy ścigania. Warto także zwrócić uwagę na decyzję irlandzkiego organu ochrony danych osobowych z początku 2023 r. w sprawie Facebooka i Instagrama dotyczącą wpływu wykorzystywania danych osobowych w reklamie behawioralnej4.

RODO a międzynarodowy transfer danych osobowych – w związku z wyrokiem TSUE z 16 lipca 2020 r. (C‑311/18) w sprawie Schrems II, który unieważnił Tarczę Prywatności pomiędzy UE i USA i podważył legalność standardowych klauzul umownych jako podstawy do przekazywania danych osobowych poza UE, 27.12.2022 r. minął termin na aktualizację wszystkich umów zawartych na standardowych klauzulach umownych do nowego ich wzoru wydanego przez Komisję Europejską. Obecnie zawarcie takiej umowy musi być poprzedzone badaniem skutku transferu dla ochrony danych osobowych. Jednocześnie 13.12.2022 r. Komisja Europejska rozpoczęła proces przyjmowania decyzji adekwatności dla EU-US Data Privacy Framework, który wzbudza jednak kontrowersje wśród niektórych interesariuszy, w tym komisji LIBE Parlamentu Europejskiego.

Skarga na IAB Europe w sprawie TCF – w następstwie decyzji belgijskiego organu ochrony danych osobowych APD z lutego 2022 r. o uznaniu IAB Europe za administratora danych w narzędziu Transparency and Consent Framework (TCF) i nałożeniu środków zaradczych, IAB Europe odwołał się do sądu, mimo że ADP nie zakazał stosowania TCF. W kwietniu 2022 r. IAB Europe złożył do APD naprawczy plan działania, który organ zatwierdził. W planie zaproponowano jednak środki, które wciąż czekają na zatwierdzenie przez Trybunał Sprawiedliwości Unii Europejskiej, dlatego też w lutym 2023 r.  IAB Europe złożył do sądu belgijskiego wniosek o środki tymczasowe celem zapobieżenia egzekwowaniu przez APD wykonania modyfikacji TCF, które mogą okazać się nieuzasadnione po wyroku TSUE i wymagać będą cofnięcia. W efekcie tego wniosku APD zdecydował o dobrowolnym zawieszeniu okresu realizacji planu działania, który był wcześniej wyznaczony na 11 lipca 2023 r. Orzeczenie sądu belgijskiego w tej sprawie spodziewane jest w połowie 2023 r.  

KOMENTARZ EKSPERTA

Agnieszka Wnuk

doradca podatkowy, QUIDEA

15 grudnia 2022 r. państwa członkowskie Unii Europejskiej porozumiały się co do dyrektywy Rady (UE) 2022/2523 w sprawie zapewnienia globalnego minimalnego poziomu opodatkowania międzynarodowych grup przedsiębiorstw oraz grup krajowych w Unii (Dyrektywa). Dyrektywa stanowi europejską odpowiedź na wyniki prac OECD, w ramach działania dotyczącego wyzwań podatkowych wynikających z digitalizacji i globalizacji, mającego zapewnić, aby zyski przedsiębiorstw były opodatkowywane tam, gdzie prowadzona jest działalność generująca te zyski. W grudniu 2021 r. OECD opublikowało zasady modelowe (model rules) w ramach tzw. Filaru Drugiego wprowadzające globalny podatek minimalny na poziomie 15%. 

Podstawowym założeniem Dyrektywy jest więc zapewnienie minimalnego 15% poziomu opodatkowania największych przedsiębiorstw (z globalnym przychodem minimum 750 mln euro). W przypadku braku takiego opodatkowania przedsiębiorstw z grupy w danej jurysdykcji konieczna może się okazać zapłata tzw. podatku wyrównawczego, zwykle na poziomie jednostki dominującej (zgodnie z zasadą włączenia dochodu do opodatkowania), lub też – w odpowiedniej proporcji – na poziomie spółki wchodzącej w skład grupy (zgodnie z zasadą niedostatecznie opodatkowanych zysków). 

Termin na transpozycję Dyrektywy upływa 31 grudnia 2023 r. Polskie Ministerstwo Finansów deklaruje, że trwają już intensywne prace nad projektem ustawy i prawdopodobnie zostanie on opublikowany jeszcze przed wakacjami. Największe korporacje powinny zbadać konsekwencje wprowadzania Dyrektywy dla ich biznesu.

1 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148
2 Komisja Europejska, Przedstawicielstwo w Polsce, Piraci internetowi na celowniku KE
3 RODO: wytyczne, zalecenia, najlepsze praktyki
4 Facebook and Instagram decisions, Important impact on use of personal data for behavioural advertising