CZ. III • DZIAŁALNOŚĆ IAB POLSKA

Lidia Zamecka

Cyfrowy Polsat,
Szefowa Grupy Roboczej
Prawnej IAB Polska

Nowe przepisy mające największy wpływ na branżę internetową w roku 2023 oraz pierwszym kwartale roku 2024

O Akcie o usługach cyfrowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE, dalej AUC), który w pełni wszedł w życie 17 lutego 2024 r., napisano w poprzednich 2 raportach strategicznych IAB Polska. Warto jednak zwrócić uwagę na przepisy AUC, które weszły w życie w 2023 r. oraz opublikowane w 2023 r. i Q1 2024 akty oraz inne działania Komisji Europejskiej (dalej KE) i polskiego ustawodawcy związane z wdrażaniem AUC:

• W kwietniu 2023 r. KE wyznaczyła 18 podmiotów jako bardzo duże platformy internetowe (dalej VLOPs) i 2 podmioty jako bardzo duże wyszukiwarki internetowe (dalej VLSEs).

• Od 28 sierpnia 2023 r. VLOPs oraz VLSEs muszą stosować adresowane do nich przepisy AUC dotyczące m.in.: oceny ryzyka i przeciwdziałania ryzyku związanemu z rozpowszechnianiem nielegalnych treści online i negatywnym skutkom dla wolności słowa; zwiększenia praw użytkowników; wzmocnienia ochrony małoletnich; zasad moderowania treści i walki z dezinformacją; publikowania raportów przejrzystości; publikowania repozytoriów wyświetlanych reklam; zapewnienia naukowcom dostępu do danych; dokonywania audytu.

• We wrześniu 2023 r. KE uruchomiła dostępną publicznie i zanonimizowaną bazę danych (tzw. DSA Transparency Database) w celu zapewnienia kontroli nad decyzjami dotyczącymi moderowania treści, zwiększenia transparentności w tym zakresie, monitorowania rozpowszechniana nielegalnych treści. Początkowo obowiązek przekazywania do tej bazy informacji o decyzjach w zakresie moderowania treści ciążył jedynie na VLOPs, jednak od 17 lutego 2024 r. obowiązek ten został rozszerzony na wszystkich dostawców platform internetowych (poza MŚP i mikroprzedsiębiorcami).

• W październiku 2023 r. KE opublikowała akt delegowany w sprawie niezależnych audytów na podstawie AUC. Dokument zawiera wytyczne dla VLOPs i VLSEs oraz organizacji audytowych dotyczące przygotowania sprawozdań z audytu i jego przeprowadzania.

• W grudniu 2023 r. KE uruchomiła z własnej inicjatywy bazę danych dotyczących warunków świadczenia usług cyfrowych¹, ze szczególnym uwzględnieniem platform internetowych, takich jak media społecznościowe, sklepy z aplikacjami lub platformy handlowe. Ma ona być źródłem informacji dla regulatorów, konsumentów i innych zainteresowanych stron, w tym badaczy naukowych.  

• Na początku 2024 r. KE zakończyła konsultacje projektu rozporządzenia wykonawczego w sprawie wzorów sprawozdań, które dostawcy usług pośrednich będą musieli udostępniać publicznie co roku za poprzedni rok kalendarzowy, a VLOPs i VLSEs co 6 miesięcy. Dokument zawiera szczegółowy załącznik, w którym m.in. szeroko rozpisano kategorie nielegalnych treści mogących podlegać zgłoszeniu oraz przypisano obowiązki sprawozdawcze w zależności od kategorii dostawcy usług pośrednich. Finalna wersja nie została jeszcze opublikowana.

• W marcu 2024 r. Ministerstwo Cyfryzacji przeprowadziło konsultacje projektu nowelizacji ustawy o świadczeniu usług drogą elektroniczną mających na celu wdrożenie przepisów AUC w zakresie wyznaczenia właściwych krajowych organów nadzorczych, w tym Koordynatora usług cyfrowych. Zgodnie z założeniami, Koordynatorem tym ma być Prezes UKE, a drugim organem właściwym w zakresie AUC będzie Prezes UOKiK.

Od 2 maja 2023 r. (z pewnymi wyjątkami) stosuje się przepisy Aktu o rynkach cyfrowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/1925 z dnia 14 września 2022 r. w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym oraz zmiany dyrektyw (UE) 2019/1937 i (UE) 2020/1828 – dalej ARC). Mimo że jego przepisy obejmują tzw. „strażników dostępu” w internecie, czyli największe firmy oferujące tzw. usługi podstawowe (ang. core services), akt ten przekłada się na cały ekosystem firm prowadzących biznes w sieci. Jest jeszcze zbyt wcześnie, aby oceniać efektywność ARC w przeciwdziałaniu nieuczciwym praktykom biznesowym (np. faworyzującym własne usługi), zwiększaniu interoperacyjności usług czy pobudzaniu konkurencji i innowacyjności mniejszych firm działających w internecie i często współpracujących ze strażnikami dostępu. Z pewnością jednak, przynajmniej w założeniach,  ARC jest milowym krokiem dla branży online w Unii Europejskiej, stanowiącym uzupełnienie dotychczasowych przepisów dotyczących ochrony konkurencji.

Od 1 stycznia 2023 r zaczęły obowiązywać istotne dla branży e‑handlu przepisy 3 unijnych dyrektyw (omnibus, cyfrowej i towarowej), które zostały zaimplementowane w ustawie z dnia 4 listopada 2022 r. o zmianie ustawy o prawach konsumenta, ustawy – Kodeks cywilny oraz ustawy – Prawo prywatne międzynarodowe oraz w ustawie z dnia 1 grudnia 2022 r. o zmianie ustawy o prawach konsumenta oraz niektórych innych ustaw. Głównym celem przepisów jest zapewnienie transparentności i rzetelności działania sklepów internetowych, wzmocnienie praw konsumentów w internecie oraz ich ochrony przed nieuczciwymi praktykami rynkowymi i handlowymi, np. wprowadzaniem w błąd co do ceny lub opinii użytkowników, stosowaniem botów. I tak np. sprzedawcy mogą publikować jedynie zweryfikowane opinie klientów (nie ukrywając tych negatywnych); każdej  informacji o obniżce ceny za produkt lub usługę musi towarzyszyć informacja o najniższej cenie w ciągu ostatnich 30 dni od oferowanej obniżki; poszerzono obwiązki informacyjne dla sprzedawców. Wprowadzono nowe przepisy w zakresie odpowiedzialności w przypadku niezgodności towaru/usługi z umową lub opisem; w przypadku umów o sprzedaży usług i treści cyfrowych istnieje m.in. obowiązek powiadamiania klienta o aktualizacjach i dostarczania tych aktualizacji, wzmocniono przepisy dotyczące gwarancji i rękojmi, wprowadzono przepisy dotyczące oferowania treści lub usług cyfrowych w zamian za dane osobowe.

W marcu 2024 r. opublikowano rozporządzenie Parlamentu Europejskiego (dalej PE) i Rady w sprawie przejrzystości i targetowania reklamy politycznej, które ma na celu zwiększenie transparentności reklamy politycznej, przeciwdziałanie dezinformacji i niepożądanego wpływu państw trzecich na proces wyborczy w UE. Przepisy zakładają m.in. obowiązek oznakowania reklamy politycznej; łatwy dostęp do informacji o źródle finansowania danej kampanii reklamowej i przeznaczonej na to kwoty; zakaz targetowania z użyciem szczególnych kategorii danych osobowych (w rozumieniu RODO – np. poglądy religijne i polityczne, rasa, orientacja seksualna); konieczność uzyskania odrębnej i wyraźnej zgody na wykorzystywanie danych osobowych do celów targetowania reklam politycznych online;  zakaz sponsorowania przez podmioty spoza UE reklam politycznych w UE na 3 miesiące przed terminem wyborów lub referendum; stworzenie przez KE rejestru reklamy politycznej.

W marcu 2024 r. Parlament Europejski przyjął Europejski akt o wolności mediów, jego publikacji możemy spodziewać się w najbliższym czasie. W założeniu ma on chronić unijny rynek medialny, wspierać wolność i pluralizm mediów oraz transparentność ich finansowania (w tym mediów publicznych), zapewnić przejrzystość przydzielania reklam przez podmioty państwowe (np. spółki skarbu państwa), niezależność redakcji wszelkich mediów od wpływów politycznych oraz chronić dziennikarzy (m.in. poprzez ograniczenie możliwości stosowania oprogramowania szpiegującego). Przepisy odnoszą się także do kwestii koncentracji mediów, ochrony treści medialnych przed nieuzasadnionym usuwaniem przez platformy internetowe poprzez stworzenie odpowiedniego mechanizmu. Ponadto powołują  nowy organ – Europejską Radę ds. Usług Medialnych, który ma zastąpić ERGA (Europejska Grupa Regulatorów Audiowizualnych Usług Medialnych).

W marcu br. zakończyły się także prace nad projektem rozporządzenia dotyczącego sztucznej inteligencji (tzw. AI Act). Jego głównym celem jest ustanowienie bezpiecznych zasad wdrażania i wykorzystywania systemów sztucznej inteligencji (dalej AI). Zawiera on m.in. definicję systemów sztucznej inteligencji, które dzieli następnie na: zakazane systemy niedopuszczalnego ryzyka (np. identyfikacja biometryczna i kategoryzacja osób fizycznych), systemy wysokiego ryzyka,  systemy AI ogólnego przeznaczenia i generatywne oraz systemy ograniczonego ryzyka, przypisując zróżnicowane obowiązki w zależności od stopnia ryzyka danego systemu. Systemy ograniczonego ryzyka oraz generatywne systemy AI podlegać będą obowiązkom transparentności. Systemy AI ogólnego przeznaczenia, które mają silne oddziaływania i mogą stwarzać ryzyko systemowe podlegać będą szczegółowej ocenie, a przypadki poważnych incydentów z nimi związanych muszą być zgłaszane do KE. Z kolei systemy AI wysokiego ryzyka muszą być oceniane przed wprowadzeniem na rynek i w trakcie ich funkcjonowania. Wśród systemów tego typu wskazano 8 obszarów podlegających rejestracji w unijnej bazie danych (np. zarządzanie migracją, azylem i kontrolą granic), jak też kategorię systemów sztucznej inteligencji stosowane w produktach objętych unijnymi przepisami dotyczącymi bezpieczeństwa produktów. Co istotne, przepisy dotyczące systemów zakazanych mają być ograniczone w obszarze obronności i bezpieczeństwa narodowego. W akcie przewidziano także przepisy dotyczące nadzoru regulacyjnego i kar. W kwietniu br. Ministerstwo Cyfryzacji prowadziło prekonsultacje dotyczące wdrożenia przepisów aktu odnoszących się do właściwego organu nadzorującego i organu notyfikującego.

Opóźniona transpozycja przepisów unijnych 

W 2023 r. nie udało się zakończyć prac nad projektami ustaw Prawo komunikacji elektronicznej (dalej PKE) oraz Ustawy wprowadzającej prawo komunikacji elektronicznej (dalej uwPKE), które w założeniu miały wdrażać przepisy Europejskiego kodeksu łączności elektronicznej (dalej EKŁE). W ogromnej mierze przyczyniły się do tego bulwersujące projektowane przepisy zwane „lex pilot”, które do uwPKE miały wprowadzić zmiany w zakresie świadczenia usług płatnej telewizji, polegające m.in. na obowiązku umieszczania kanałów telewizji publicznej na pierwszych pozycjach na pilocie oraz na wprowadzeniu hurtowej i detalicznej możliwości zakupu poszczególnych kanałów telewizyjnych w modelu à la carte. Finalnie propozycje te nie zostały przyjęte i projekty PKE oraz uwPKE zostały odrzucone. Na początku 2024 r. nowy rząd podjął prace nad projektami PKE i uwPKE, ale nie jest znany termin ich zakończenia, mimo ponad trzyletniego opóźnienia Polski we wdrożeniu EKŁE. Nowe przepisy nałożą na branżę internetową obowiązki w zakresie usług komunikacji interpersonalnej niewykorzystującej numerów, czyli poczty elektronicznej, czatów, komunikatorów internetowych. Opóźnienie wdrożenia projektu PKE wpływało też na zwłokę w przyjęciu nowelizacji ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (dalej uksc), jako że planowane przepisy PKE i uksc były ze sobą powiązane poprzez odesłania i miały wejść w życie w jednym terminie. W kwietniu 2024 r. pojawił się projekt nowelizacji uksc implementujący Dyrektywę NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniający rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylający dyrektywę (UE) 2016/1148). Wprowadza on istotne zmiany, m.in. w odniesieniu do dostawców usług cyfrowych.

2023 i 2024 r. przyniosły kolejne wersje projektu ustawy o prawie autorskim i prawach pokrewnych oraz niektórych innych ustaw, stanowiących w założeniu implementację dyrektywy 2019/790 (tzw. „prawno-autorskiej”) i dyrektywy 2019/789 (tzw. „satelitarno-kablowej”), których termin na transpozycję minął w połowie 2021 r. Główne założenia dyrektywy 2019/790 zostały przedstawione w poprzednim raporcie strategicznym IAB Polska. Obecnie warto zwrócić uwagę, iż w trakcie konsultacji ostatnich projektów ustawy bardzo duże kontrowersje wzbudziła propozycja wprowadzenia dodatkowego uprawnienia dla twórców i wykonawców z tytułu publicznego udostępniania utworu audiowizualnego na żądanie, jak też nowe niezbywalne prawo do wynagrodzenia dla wykonawców utworów muzycznych i słowno-muzycznych. W ocenie wielu organizacji branżowych propozycje te wykraczają poza zakres dyrektywy 2019/790  i nie były poprzedzone analizą skutków regulacji.

Inicjatywy Parlamentu Europejskiego istotne dla branży internetowej

W listopadzie 2023 r. IMCO (Komisja Rynku Wewnętrznego i Ochrony Konsumenta) przyjęła w ramach procedury sprawozdania z własnej inicjatywy Sprawozdanie w sprawie uzależniającej koncepcji usług online i ochrony konsumentów na jednolitym rynku UE. Mimo iż formalnie dokument tego typu nie obliguje KE do podjęcia działań legislacyjnych, warto zwrócić uwagę na to sprawozdanie, gdyż wpisuje się ono niejako w działania KE w zakresie oceny potrzeby aktualizacji unijnych przepisów konsumenckich celem zapewnienia wysokiego poziomu ochrony w środowisku cyfrowym. Sprawozdanie IMCO wskazuje na niebezpieczny uzależniający i manipulacyjny charakter wielu usług cyfrowych, które przyciągają i utrzymują uwagę użytkownika w celu monetyzacji jego danych, podkreśla jednocześnie szczególnie negatywny wpływ takich praktyk na dzieci i młodzież, na wykorzystywanie  wrażliwości, potrzeb psychologicznych i obaw użytkowników oraz zachęcanie ich do jak najdłuższego pozostania na stronach danego serwisu. Za uzależniające uznano m.in.: nieskończone przewijanie, ponowne ładowanie strony poprzez mechanizm pull to refresh, domyślne automatyczne przewijanie treści wideo, mechanizmy polubień oraz push, spersonalizowane rekomendacje. IMCO wzywa KE do wprowadzenia przepisów zapewniających „cyfrowe prawo do niezakłócania spokoju” poprzez dopuszczenie mechanizmów służących przyciąganiu uwagi wyłącznie na zasadzie opt-in przez użytkownika, czemu miałoby obowiązkowo towarzyszyć ostrzeżenie o szkodliwości takich mechanizmów, szczególną ochronę małoletnich, wspieranie domyślnego etycznego projektowania usług internetowych, stworzenie listy dobrych praktyk projektowania usług, które nie uzależniają i nie manipulują.

W grudniu 2023 r. PE przyjął także w ramach procedury sprawozdania z własnej inicjatywy Sprawozdanie dot. wdrożenia na jednolitym rynku cyfrowym rozporządzenia o zakazie geoblokowania. Zawiera ono m.in. postulaty zharmonizowanego i  właściwego egzekwowania przepisów przez państwa członkowskie; poprawę metod rejestracji i płatności online; podjęcia przez KE działań celem poprawy dostępu do transgranicznych usług dostawy paczek oraz poszukiwania rozwiązań w celu obniżenia kosztów wysyłki transgranicznej; edukowania konsumentów; analizy wpływu sztucznej inteligencji na funkcjonowanie przepisów rozporządzenia. Mimo iż wiele wskazywało na to, że eurodeputowani przegłosują także postulat poszerzenia zakazu geoblokowania o utwory audiowizualne chronione prawem autorskim, tak się nie stało. Sprawozdanie zawiera wyraźne stwierdzenie, że poszerzenie zakazu geoblokowania o utwory audiowizualne skutkowałoby istotną utratą przychodów w sektorze; stworzyłoby ryzyko dla inwestycji w nowe treści, naruszając jednocześnie swobodę zawierania umów i ograniczając różnorodność kulturową w zakresie produkcji, dystrybucji, promocji i dostępności treści.  Podkreślono także, iż takie włączenie przyniosłoby zmniejszenie liczby kanałów dystrybucji i ostatecznie zwyżkę cen dla konsumentów. Jednocześnie europosłowie wezwali KE i państwa członkowskie do poszukiwania rozwiązań ułatwiających mniejszościom językowym i osobom mieszkającym na terenach przygranicznych legalny dostęp do zagranicznych katalogów; ułatwiających łatwiejsze wyszukiwanie i zwiększenie dostępu do treści audiowizualnych w UE i transmisji na żywo z wydarzeń sportowych, z uwzględnieniem opłacalności biznesowej i wysokich kosztów finansowania takich treści. Zachęcili do wspierania europejskich koprodukcji, dubbingu i napisów w 24 językach UE, zapewnienia dostępności w całej UE do nagradzanych filmów europejskich i filmów stanowiących europejskie dziedzictwo kultury. Skierowali też do KE prośbę o ocenę ewentualnej możliwości zastosowania  do treści audiowizualnych zasady tzw. „fikcji prawnej” znanej z rozporządzenia w sprawie transgranicznego przenoszenia na rynku wewnętrznym usług online w zakresie treści.

Ochrona danych osobowych

Spór pomiędzy ADP a IAB Europe w sprawie TCF (Transparency & Consent Framework)

Decyzja belgijskiego organu ochrony danych osobowych ADP z 2022 r. wydana wobec IAB Europe w sprawie naruszenia przepisów RODO (w odniesieniu do TCF) została przez IAB Europe zaskarżona do belgijskiego sądu gospodarczego, który następnie skierował do Trybunału Sprawiedliwości Unii Europejskiej (TSUE) dwa pytania dotyczące interpretacji RODO przez ADP. W marcu 2024 r. TSUE wydał wyrok i sprawa wróciła do sądu belgijskiego. TSUE stwierdził, że TC String stanowi dane osobowe w rozumieniu RODO w sytuacji, gdy w zestawieniu z dodatkowymi danymi można zidentyfikować taką osobę oraz że IAB Europe w niektórych sytuacjach będzie współadmnistratorem danych przetwarzanych przez członków IAB. W międzyczasie ADP zatwierdził przedstawiony przez IAB Europe plan działania, ale zawiesił jego wykonanie do czasu wydania decyzji przez sąd. Jednocześnie IAB Europe postanowił rozszerzyć wydaną w maju 2023 r. wersję 2.2. TCF. Wprowadzone zmiany są zgodne z najnowszym orzecznictwem i wytycznymi organów ochrony danych osobowych.

Ocena stosowania RODO

W 2024 r. KE planuje ocenę przepisów RODO pod katem ich ewentualnej rewizji. Jesienią 2023 r. KE skierowała do podmiotów zaangażowanych w prace tzw. eksperckiej grupy interesariuszy ds. RODO kwestionariusz z pytaniami, które dotyczyły m.in. stosowania wytycznych EROD i organów krajowych, ewentualnych problemów z legislacją krajową, efektywności stosowania kodeksów postępowania. W kolejnym kroku KE zamierz przeprowadzić konsultacje publiczne.