Spis treści:
1. Akt o usługach cyfrowych – zakres zastosowania
3. Wdrożenie DSA – nowe obowiązki
17.02.2024 r. rozpoczął obowiązywanie tzw. Akt o Usługach Cyfrowych (Digital Services Act – DSA). Wdrażając wynikające z niego obowiązki w życie administratorzy dokonują nowych czynności przetwarzania danych osobowych, zatem powinni oni zadbać o aktualizację procesów i dokumentacji RODO.
Akt o usługach cyfrowych – zakres zastosowania
Mówiąc o DSA mamy na myśli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z 19.10.2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE). Wbrew powszechnemu przekonaniu nie dotyczy on jedynie internetowych gigantów takich jak Google czy Facebook, ale także mniejsze podmioty kwalifikowane jako dostawców „usług pośrednich”.
Kto musi wdrożyć DSA?
Aby odpowiedzieć na to pytanie należy wyjaśnić, kim jest dostawca usług pośrednich. Rozporządzenie precyzuje, usługą pośrednią jest „usługa zwykłego przekazu”, „usługa cachingu” oraz „usługa hostingu”. Istotne przy tym jest szerokie rozumienie tej ostatniej, czyli usługi hostingu – jako przechowywanie informacji przekazanych przez odbiorcę usługi oraz na jego żądanie. W tym znaczeniu, dostawcą usług hostingu będą nie tylko dostawcy usług chmurowych i platformy hostingowe, ale także media społecznościowe, platformy internetowe i wyszukiwarki, sklepy internetowe oraz podmioty, które w ramach swojej działalności udostępniają fora internetowe czy blogi z możliwością komentowania.
Wdrożenie DSA – nowe obowiązki
Podmiot zobligowany do stosowania DSA musi m.in. wyznaczyć punkt kontaktowy oraz zapewnić mechanizmy moderacji publikowanych treści. Należy również wprowadzić procedurę reagowania na naruszenia i publikację nielegalnych treści, a dalej procedurę odwoławczą dla użytkownika. Warto opracować także zasady współpracy z organami ścigania. To tylko nieliczne zmiany przewidziane przepisami DSA. Część spośród tych niewskazanych powyżej nie będzie jednak miała zastosowania do kategorii mikro i małych przedsiębiorców w rozumieniu unijnego zalecenia 2003/361/WE.
DSA a obowiązki RODO
Warto zwrócić uwagę, że nowe obowiązki w zakresie DSA determinują nowe czynności przetwarzania w zakresie RODO, a to wpływa na aktualność stosowanych dokumentów i zabezpieczeń. Nowe czynności przetwarzania należy uwzględnić w rejestrze czynności przetwarzania prowadzonym na podstawie art. 30 ust. 1 RODO. W odniesieniu do tych nowych czynności należy również wykonać analizę ryzyka, która wskaże na potencjalne możliwości naruszenia praw i wolności osób, których dane dotyczą. Z analizy może też wynikać potrzeba przeprowadzenia oceny skutków dla ochrony danych.