Za nieco ponad miesiąc prawo regulujące przestrzeń internetową w Unii Europejskiej przejdzie dużą zmianę. 17 lutego 2024 r. w całej UE zacznie obowiązywać Akt o Usługach Cyfrowych, czyli Digital Services Act. Jest to jedno, wspólne prawo, które będzie obowiązywało we wszystkich krajach Unii Europejskiej. Wprowadzi ono szereg zupełnie nowych obowiązków dla bardzo wielu serwisów internetowych. Nowe prawo nie ominie także branży marketingowej.
(Na potrzeby tekstu używamy skrótu „DSA” od „Digital Services Act”. Ilekroć go napotkasz, chodzi nam o Akt Usługach Cyfrowych.)
W tekście znajdziesz odpowiedź na następujące pytania:
- Kogo dokładnie obejmie DSA?
- Czy trzeba zmieniać regulaminy?
- Co będzie zakazane przy projektowaniu serwisu/aplikacji?
- Jakie funkcjonalności i procesy trzeba wdrożyć w serwisach/aplikacjach?
- Jakie wymogi będą musiały spełniać reklamy na platformach internetowych (np. w social mediach)?
- Jakie działania trzeba podjąć – checklista
- Co grozi za brak dostosowania się do przepisów?
1. Kogo dokładnie obejmie DSA?
DSA wprowadza nowe obowiązki prawne dla kilku grup podmiotów, którzy prowadzą serwisy internetowe lub świadczą usługi związane z internetem.
Po pierwsze, marketerzy powinni skupić się na tym, czego DSA wymaga od właścicieli serwisów internetowych, w których użytkownicy posiadają konta, na których mogą przesyłać i zapisywać jakiekolwiek dane lub treści. Wiele serwisów powiązanych z projektami marketingowymi będzie podlegać pod nowe regulacje. Przykłady? Chociażby platforma internetowa i/lub aplikacja mobilna przeznaczona dla uczestników programu lojalnościowego lub motywacyjnego z elementami grywalizacji. Co istotne – nie tylko w B2C, ale też w B2B.
Po drugie, bardzo ważne dla marketerów jest to, co DSA wprowadza dla platform internetowych, czyli takich serwisów, w których treści użytkowników są nie tylko zapisywane, ale i publikowane. Typowy przykład to media społecznościowe. Zmiany mogą bowiem oznaczać, że dotychczas realizowane procesy marketingowe będą utrudnione lub nawet całkowicie zabronione.
WAŻNE. W wielu kwestiach DSA jest rozsądnie zaprojektowane i zwalnia z wielu uciążliwych obowiązków serwisy prowadzone przez mikro- lub małe firmy (czyli takie, które zatrudniają średniorocznie mniej niż 50 osób i mają obroty/sumę bilansową poniżej 10 milionów euro). To odróżnia DSA od RODO, w którym nie ma praktycznie żadnych wyjątków dla mniejszych firm.
2. Czy trzeba zmieniać regulaminy serwisów i akcji marketingowych?
Trudno to z góry przesądzić. DSA nie wprowadza w zakresie regulaminów wielkiej rewolucji. Na pewno trzeba jednak gruntownie przeanalizować regulaminy serwisów/akcji i potwierdzić, czy spełniają wymogi DSA.
Zgodnie z nowym prawem regulamin serwisu:
- musi jasno określać, jakie dane/treści użytkownicy mogą przesyłać;
- musi opisywać warunki, na jakich odbywa się moderowanie treści i czy są do niego wykorzystywane algorytmy, które same analizują dane/treści;
- musi opisywać zasady rekomendowania treści, które widzi użytkownik (jeśli są stosowane systemy, które służą do proponowania treści użytkownikowi);
- musi być napisany prostym, czytelnym i przyjaznym dla użytkownika językiem;
- nie może być publikowany wyłącznie jako PDF – jego treść musi być „wpisana” w interfejs serwisu/strony/aplikacji.
3. Co będzie zakazane przy projektowaniu serwisu/aplikacji?
DSA wyraźnie zabroni, aby na platformach internetowych były stosowane tzw. dark patterns. Chodzi o projektowanie i stosowanie interfejsu użytkownika w taki sposób, który wprowadza w błąd użytkowników, manipuluje nimi lub w inny istotny sposób sprawia, że nie mogą oni podejmować swobodnych i świadomych decyzji.
Przykładowo:
- używanie celowo zaprojektowanej kolorystyki albo ułożenia przycisków w celu „wymuszenia” na użytkownikach określonych decyzji (np. wyrażania zgód marketingowych lub zgód na marketingowe pliki cookies)
- wielokrotne, uciążliwe pytanie użytkowników o wybór (po to, aby „dla świętego spokoju” zaakceptowali to, co im proponujemy);
- projektowanie ścieżki anulowania (np. rezygnacji z udziału w programie lojalnościowym) w taki sposób, aby była bardziej uciążliwa od ścieżki przystąpienia;
- stosowanie domyślnych ustawień, które są bardzo trudne do zmiany.
WAŻNE. DSA formalnie zabrania stosowania dark patterns na platformach i nic nie mówi o mniejszych serwisach. Nie można jednak wyciągać z tego uproszczonego wniosku, że w innych miejscach niż platformy internetowe można stosować dark patterns. Zakaz takich praktyk wynika również z przepisów o przeciwdziałaniu nieuczciwym praktykom rynkowym i jest intensywnie kontrolowane przez UOKiK. Ponadto, stosowanie dark patterns w kontekście marketingu opartego na danych osobowych (np. e-mail marketingu) będzie niezgodne z wymogami RODO i skutkować będzie tym, że pozyskiwane zgody marketingowe będą nieważne.
4. Jakie funkcjonalności i procesy trzeba wdrożyć w serwisach/aplikacjach?
Zgodnie z DSA każdy serwis internetowy/aplikacja, w ramach których użytkownicy mogą przesyłać i przechowywać treści, musi wdrożyć mechanizm notice and action. Chodzi o to, aby w serwisie były dostępne funkcjonalności pozwalające użytkownikom i podmiotom trzecim na zgłaszanie dostawcy serwisu, że znajdują się w nim treści nielegalne (np. naruszające prawa autorskie, obraźliwe albo po prostu przestępcze). Mechanizm musi być tak zbudowany, aby w ramach zgłoszenia zawsze zbierać kluczowe informacje (m.in. dlaczego zgłaszane treści są nielegalne, gdzie się znajdują i kto zgłasza).
WAŻNE. Właściciel serwisu/aplikacji musi reagować na takie zgłoszenia. Jeśli dane/treści przesłane przez użytkownika rzeczywiście są nielegalne, a właściciel serwisu/aplikacji nic z nimi nie zrobi, to ponosi współodpowiedzialność za te dane/treści.
Jeśli właściciel serwisu/aplikacji podejmuje określona działania związane z moderowaniem treści (np. usuwa treści, blokuje użytkownikowi konto), to musi o tym poinformować użytkownika, którego takie działanie dotyczy. Powiadomienie musi być rzetelnie uzasadnione.
Na platformach internetowych konieczne jest wdrożenie wewnętrznego mechanizmu przyjmowania i rozpatrywania skarg na decyzje związane z moderowaniem treściami, a także procesu automatycznego blokowania dostępu do serwisu/aplikacji użytkownikom, którzy często przesyłają oczywiście nielegalne treści.
Serwisy internetowe będą także musiały co najmniej raz w roku publikować sprawozdania dotyczące wszelkiego moderowania treści, które dokonali w danym okresie.
5. Jakie wymogi będą musiały spełniać reklamy na platformach internetowych (np. w social mediach)?
DSA w istotny sposób ułoży na nowo procesy marketingowe w social mediach i wyszukiwarkach. Zgodnie bowiem z nowymi regulacjami, zabronione będzie:
- realizowanie kampanii, w których personalizacja oparta jest na danych wrażliwych – takimi danymi są m.in. informacje o stanie zdrowia, co w praktyce może oznaczać wyeliminowanie reklam personalizowanych dla szeroko pojętych produktów zdrowotnych (wyrobów medycznych, suplementów diety);
- kierowanie kampanii z personalizacją do dzieci – co może w praktyce oznaczać zakaz takich kampanii dla produktów, które są przeznaczone dla dzieci oraz na platformach przeznaczonych dla dzieci.
Zakazy to jednak nie wszystko. DSA będzie wymagało, aby przy każdej reklamie personalizowanej, która wyświetla się użytkownikowi, dostępne były następujące informacje:
- kto jest reklamodawcą (kto zlecił realizację kampanii)
- kto zapłacił za kampanię (jeśli jest to ktoś inny niż reklamodawca)
- jakie główne parametry decydowały o wyświetleniu danej reklamy (np. wiek, lokalizacja) i jak można je zmienić.
W przypadku reklam na bardzo dużych platformach internetowych (największe social media, w tym Instagram, TikTok, YouTube), platformy te będą musiały dodatkowo prowadzić publicznie dostępną bazę reklam, które były w nich prezentowane. Dla każdej reklamy będą musiały być w niej widoczne ww. informacje, ale też dodatkowo:
- okres, w którym reklama była prezentowana;
- informację o tym, czy reklamę była kierowana konkretnie do jednej, szczególnej grupy użytkowników i jeśli tak, to jak ją skonfigurowano, aby to osiągnąć;
- do ilu użytkowników dotarła reklama.
Taki wysoki poziom transparentności oznaczać może w wielu przypadkach ujawnienie istotnych elementów składających się na know-how osób odpowiedzialnych za realizację kampanii.
6. Jakie działania trzeba podjąć – checklista
- Weryfikacja regulaminów i dostosowanie ich do wymogów DSA (jeśli tego wymagają)
- Audyt interfejsu użytkownika pod kątem tego, czy nie występują w nim tzw. dark patterns, opracowanie niezbędnych poprawek i ich wdrożenie
- Zaprojektowanie i zaimplementowanie systemu do zgłaszania nielegalnych treści oraz wyznaczenie wewnętrznie osób odpowiedzialnych za rozpatrywanie zgłoszeń i podejmowania decyzji.
- Zaprojektowanie i zaimplementowanie systemu do powiadamiania użytkowników o działaniach podjętych wobec treści nielegalnych lub niezgodnych z regulaminem (np. usunięcie treści, zawieszenia konta).
- Weryfikacja, jaki wpływ na realizowane procesy marketingowe będą miały nowe zakazy w zakresie reklamy personalizowanej na platformach
7. Co grozi za brak dostosowania się do przepisów?
W każdym państwie UE musi być wyznaczony organ lub organy odpowiedzialne za egzekwowanie przepisów DSA. Obecnie w Polsce toczą się dopiero prace przygotowawcze. Większość obowiązków w zakresie egzekwowanie DSA przypadnie na 99% Urzędowi Komunikacji Elektronicznej. Część jednak przypadnie najpewniej Urzędowi Ochrony Konkurencji i Konsumentów (np. egzekwowanie zakazu stosowania dark patterns).
Zgodnie z DSA kary finansowe za naruszenia mogą wynieść maksymalnie aż do 6 % rocznego światowego obrotu w poprzednim roku.
Użytkownicy będą mogli składać skargi na serwisy internetowe do ww. Urzędów, a także domagać się odszkodowania za szkody poniesione w związku z naruszeniem DSA przez właścicieli serwisów.