Warszawa, 16 kwietnia 2024 r.
Stanowisko ZPP ws. projektu ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną oraz niektórych innych ustaw
Związek Przedsiębiorców i Pracodawców z zadowoleniem przyjmuje rozpoczęcie konsultacji dotyczących długo wyczekiwanego projektu nowelizacji ustawy o świadczeniu usług drogą elektroniczną, który ma wdrożyć przepisy unijnego Aktu o usługach cyfrowych (DSA). Od samego początku byliśmy aktywnym uczestnikiem procesu legislacyjnego, mającego na celu kształtowanie ostatecznej wersji DSA. Cieszymy się z decyzji o przeprowadzeniu szerokich konsultacji oraz wdrażania tych przepisów w Polsce. Poniżej przedstawiamy uwagi do wybranych przepisów, które wpłyną w naszej opiniii wpłyną na jakość egzekwowania obowiązków wynikających z DSA.
ZAKRES EGZEKWOWANIA OBOWIĄZKÓW
Zgodnie z rozdziałem 4e Projektu regulującego odpowiedzialność dostawców usług pośrednich, Prezes UKE będzie samodzielnie wszczynał postępowania dotyczące naruszeń przepisów DSA bez konieczności przeprowadzania wstępnej kontroli. Ustawodawca używa w art. 22zc Projektu nieprecyzyjnego sformułowania „naruszenia obowiązków wynikających z rozporządzenia 2022/2065”, które wymaga dodatkowego wyjaśnienia ze względu na istotne znaczenie dla interpretacji tych przepisów. W naszej ocenie, odpowiedzialność związana z DSA nie powinna opierać się na pojedynczych działaniach merytorycznych, takich jak decyzje podejmowane przez platformy wobec użytkowników w kontekście nadzoru nad treściami, lecz na naruszeniach związanych z nieprawidłowym wdrożeniem systemowych rozwiązań określonych przez DSA.
Celem DSA jest utworzenie efektywnego systemu, który zapobiega indywidualnym naruszeniom zasad i unika potrzeby długotrwałych i kosztownych procesów sądowych, gdzie duże platformy często mają przewagę. DSA wprowadza narzędzia umożliwiające rozwiązywanie indywidualnych sporów bez angażowania sądów, takie jak wewnętrzne procedury skargowe i alternatywne metody rozwiązywania konfliktów. Przykładem są regulacje zawarte w art. 20 DSA, które zobowiązują dostawców do utworzenia wewnętrznych systemów rozpatrywania skarg, oraz mechanizmy pozasądowego rozstrzygania sporów wprowadzone w art. 21. Sądowa odpowiedzialność jest zarezerwowana dla przypadków zaniedbań w adaptacji dostawców do wymogów DSA oraz w utrzymaniu odpowiedniej infrastruktury usług.
Arbitralne decyzje Prezesa UKE dotyczące wszczęcia postępowań ograniczają swobodę wyboru konsumentów, zwłaszcza w sprawach indywidualnych, gdzie powinni oni mieć możliwość decydowania o najbardziej odpowiednich środkach. Ponadto, bezkosztowe korzystanie z wewnętrznych systemów ma wpływ na sytuację finansową podmiotów. W związku z tym, ograniczenie mechanizmów ustawowego egzekwowania odpowiedzialności za naruszenia DSA jest w interesie konsumentów.
UWZGLĘDNIENIE ORGANÓW W RAMACH PROCEDURY STATUSU ZAUFANEGO PODMIOTU SYGNALIZUJĄCEGO
Obecna procedura przyznawania statusu zaufanego podmiotu sygnalizującego, opisana w rozdziale 4c Projektu, umożliwia Prezesowi UKE konsultacje z Prezesem UODO lub innymi odpowiednimi organami administracji w zależności od działalności podmiotu starającego się o status. To pozwala Prezesowi UKE podejmować decyzje o przyznaniu statusu prawie arbitralnie, bez dodatkowej kontroli. Zgodnie z DSA, podmioty sygnalizujące nie powinny budzić wątpliwości co do ich bezstronności i ekspertyzy, ale Projekt nie zapewnia tego na wstępnym etapie przyznawania statusu, co zwiększa ryzyko naruszeń, wpływając na treści publikowane przez platformy, co może prowadzić do rozprzestrzeniania dezinformacji i ograniczania wolności słowa. Obecny mechanizm kontroli po przyznaniu statusu i możliwość jego cofnięcia mogą okazać się niewystarczające wobec potencjalnych negatywnych konsekwencji. Te systemy mogą być nieskuteczne, ponieważ wymagają od Prezesa UKE dodatkowego zaangażowania w weryfikację, czy podmiot nadal spełnia warunki DSA. Aby zmniejszyć obciążenie organu i zapewnić bezpieczeństwo użytkowników, proponujemy wprowadzenie bardziej rygorystycznych przepisów regulujących proces przyznawania statusu.
Postulujemy, by Prezes UKE, nie posiadając dostępnych informacji z urzędu, był zobowiązany do zasięgnięcia opinii innych odpowiednich organów administracji publicznej, a nawet służb specjalnych w trakcie procedury przyznawania statusu. To zwiększyłoby bezpieczeństwo i umożliwiłoby eliminację podmiotów, które mogą być przedmiotem niejawnych działań. Dodatkowo proces przyznawania statusu zaufanego podmiotu sygnalizującego powinien obejmować możliwość konsultacji międzynarodowych oraz wymianę informacji z organami, takimi jak Europejskie Obserwatorium Mediów Cyfrowych (EDMO), w celu zapewnienia, że podmioty niepożądane nie będą mogły uzyskać statusu w innym państwie członkowskim po odrzuceniu w jednym. W naszej opinii należy dokonać usprawnienia przepływu informacji między państwami członkowskimi oraz zwiększyć przejrzystość procesów decyzyjnych.
OCHRONA DANYCH
Zgodnie z art. 22u ust. 4 Projektu, przed przyznaniem statusu zweryfikowanego badacza Prezes UKE będzie konsultował się z Prezesem UODO lub innymi odpowiednimi organami administracji publicznej, zależnie od zakresu działalności ubiegającego się o status. W uzasadnieniu podkreślono, że konsultacje te są niezbędne z powodu ryzyka naruszenia prywatności danych podczas udzielania badaczom dostępu do informacji, co wymaga szczegółowej oceny każdego wniosku. Jednak brak opinii od Prezesa UODO w ciągu 14 dni nie zatrzyma procedury przyznawania statusu, co oznacza, że status może być przyznany, nawet jeśli odpowiedź UODO nie zostanie uzyskana na czas.
Podnosimy obawy, że obecne przepisy nie gwarantują realnego wzrostu bezpieczeństwa przekazywanych danych. Zgodnie z art. 40 ust. 8 pkt d DSA, badacze powinni spełniać określone standardy bezpieczeństwa i poufności danych dla każdego wniosku i zapewniać ochronę danych osobowych. Uważamy, że projekt powinien wyraźnie zapewnić, że dostawcy usług pośrednich będą chronić dane, a aplikujące o status jednostki muszą wykazać, że posiadają odpowiednie środki organizacyjne i techniczne do ochrony danych. Obecne regulacje mogą prowadzić do nadużyć i zwiększać ryzyko incydentów związanych z danymi.
Proces składania wniosków o dostęp do danych powinien obejmować test proporcjonalności, który potwierdzi, że żądane dane są niezbędne i proporcjonalne do celów badawczych, zwłaszcza gdy dotyczy to danych wrażliwych. Badacze muszą zobowiązać się do przestrzegania standardów ochrony danych zawartych we wnioskach. Wszelkie szkodliwe działania wobec użytkowników lub dostawców powinny podlegać sankcjom. Dodatkowo, zwracamy uwagę na potrzebę zwiększonego bezpieczeństwa danych w kontekście zaufanych podmiotów sygnalizujących, jak wskazano w punkcie drugim.