Przepisy rodo i DSA podkreślają znaczenie przeprowadzenia kompleksowej analizy ryzyka jako środka zapewniającego wysoki poziom ochrony danych osobowych i prywatności użytkowników. Mimo że oba dokumenty nakreślają ramy dla analizy ryzyka, różnią się zakresem i szczegółami implementacyjnymi.

Akt o usługach cyfrowych (dalej: DSA) nałożył szereg nowych obowiązków na określone kategorie przedsiębiorców działających w przestrzeni internetowej. Nadzór nad przestrzeganiem postanowień DSA został powierzony Komisji Europejskiej, a także nowo utworzonym organom krajowym oraz europejskim, w tym organom właściwym i koordynatorom ds. usług cyfrowych oraz Radzie ds. Usług Cyfrowych. Jest to znaczące rozszerzenie mechanizmów nadzorczych, kontrolnych oraz koordynacyjnych na poziomie Unii Europejskiej.

W tym kontekście kluczowego znaczenia nabiera kwestia zapewnienia dostępu do danych niezbędnych dla efektywnego monitorowania i oceny zgodności z regulacjami DSA, zwłaszcza w obszarze ochrony danych osobowych. Prawodawca unijny w art. 40 ust. 1 DSA stwierdza, że na podstawie uzasadnionego wniosku właściwego koordynatora ds. usług cyfrowych lub Komisji Europejskiej operatorzy bardzo dużych platform internetowych i bardzo dużych wyszukiwarek są zobowiązani, w wyznaczonym rozsądnym terminie, udostępnić dane niezbędne do przeprowadzenia wymienionych działań nadzorczych.

Nowe obowiązki – dla kogo?

Akt o usługach cyfrowych, którego celem jest regulacja cyfrowego rynku wewnątrz Unii Europejskiej, ustanawia szereg obowiązków dla usług pośrednich, w tym platform internetowych i wyszukiwarek internetowych, niezależnie od miejsca ich siedziby, pod warunkiem że ich usługi są kierowane do użytkowników znajdujących się w Unii. Zgodnie z art. 2 ust. 1 DSA zasięg tych regulacji obejmuje szerokie spektrum działalności internetowej, podkreślając globalny charakter i transgraniczną naturę współczesnej cyberprzestrzeni. Definicje kluczowych terminów, takich jak platforma internetowa i wyszukiwarka internetowa, określone w art. 3 DSA, wskazują na złożoność i różnorodność funkcji, jakie te cyfrowe narzędzia pełnią, jednocześnie nakreślając ramy prawne ich działalności w kontekście usług pośrednich oraz hostingu.

Analiza zapisów DSA ukazuje także gradację w regulacji usług pośrednich, uwzględniając specyficzne rodzaje działalności, takie jak usługa zwykłego przekazu czy cachingu, co świadczy o dążeniu do zapewnienia adekwatnych ram prawnych dla różnorodnych aspektów działalności internetowej. Dodatkowo wprowadzenie kategorii bardzo dużych platform internetowych i wyszukiwarek internetowych, opartych na kryterium liczby użytkowników, wskazuje na szczególną rolę, jaką te podmioty pełnią w ekosystemie cyfrowym. Podlegają bowiem dodatkowym obowiązkom, których wypełnianie ma zapewnić wyższy poziom odpowiedzialności i transparentności.

Rozważając standardy DSA w kontekście ogólniejszych ram prawnych, takich jak rodo, które również wymaga przeprowadzenia szczegółowej analizy ryzyka, staje się jasne, że zarówno DSA, jak i rodo tworzą komplementarny system ochrony danych i prywatności w Unii Europejskiej. Chociaż oba akty prawne mają różne punkty ciężkości – DSA koncentruje się na regulacji usług cyfrowych, a rodo na ochronie danych osobowych – wspólnie stanowią one fundament dla bezpiecznego i odpowiedzialnego środowiska cyfrowego, w którym prawa użytkowników są chronione na wielu poziomach. Rozbudowa analizy ryzyka, zgodnie z wymogami rodo, w kontekście usług pośrednich i hostingu opisanych w DSA, podkreśla złożoność wyzwań stojących przed dostawcami usług cyfrowych oraz potrzebę ciągłej adaptacji do dynamicznie zmieniającego się krajobrazu cyfrowego.

Usługa pośrednia

Mimo że DSA i rodo koncentrują się na różnych aspektach działalności cyfrowej, mają pewne punkty styczne, zwłaszcza w kontekście usług pośrednich.

Usługa pośrednia na gruncie DSA odnosi się do szerokiej kategorii usług cyfrowych, które ułatwiają użytkownikom internetu dostęp do sieci lub publikowanie w niej treści bez bezpośredniego nadzoru nad samą treścią.

W kontekście rodo podmioty świadczące usługi pośrednie mogą być traktowane jako podmioty przetwarzające dane osobowe, w zależności od tego, jak zarządzają informacjami użytkowników. DSA skupia się przede wszystkim na regulacji sposobu dostępu do treści i ich dystrybucji w internecie. Wymaga jednak od usług pośrednich, aby te stosowały pewne standardy ochrony danych osobowych, choć jest to bardziej pośrednie nawiązanie do standardów określonych w rodo.

Połączenie DSA i rodo polega na tym, że oba te akty prawne zobowiązują usługi pośrednie do przyjęcia odpowiednich środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo danych osobowych użytkowników. Przykładowo, DSA wymaga od platform cyfrowych, aby wdrażały mechanizmy umożliwiające użytkownikom zgłaszanie nielegalnych treści lub działalności, co może obejmować przetwarzanie danych osobowych w celu identyfikacji i reakcji na takie zgłoszenia. Jednocześnie rodo nakłada na te platformy obowiązek ochrony tych danych przed nieuprawnionym dostępem czy przetwarzaniem.

Niezmiernie istotne jest zrozumienie różnorodności ról i odpowiedzialności, które mogą być przypisane użytkownikom tych usług. Specyfika rodo sprawia, że na podmioty zostają nałożone różne obowiązki, zależnie od charakteru ich interakcji z danymi osobowymi. Stanowi to kluczowy aspekt analizy w kontekście zapewnienia ochrony danych osobowych w środowisku cyfrowym.

Konsumenci usług cyfrowych mogą być identyfikowani przede wszystkim jako podmioty danych. Ma to miejsce, gdy ich dane osobowe podlegają przetwarzaniu przez dostawców usług lub innych użytkowników tych usług. Ta wyjątkowa rola podkreśla bezpośredni wpływ na prawa jednostki, zwłaszcza w zakresie dostępu do informacji o sobie i kontroli nad tymi danymi.

W dalszej kolejności użytkownicy mogą występować jako źródło danych osobowych innych osób, działając tym samym jako podmioty podające dane. Przykładowo, sytuacja ta ma miejsce w mediach społecznościowych, gdzie informacje o innych osobach mogą być udostępniane bez ich bezpośredniego zaangażowania. Taka aktywność niesie za sobą zobowiązania dotyczące odpowiedzialności za przetwarzane dane, nakreślając ramy prawne zarówno dla źródła, jak i odbiorcy tych informacji.

Ponadto, w kontekście usług typu hosting, użytkownicy mogą pełnić funkcję podmiotu przetwarzającego, co jest związane z przypadkami, w których świadczą usługi na rzecz swoich klientów, przetwarzając dane w ich imieniu. Taki układ wymaga od podmiotu przetwarzającego wdrożenia odpowiednich środków ochrony danych, zgodnie z wymogami rodo.

Kolejną istotną kwestią jest rola administratora lub współadministratora danych, która obejmuje zarządzanie danymi osobowymi w różnych kontekstach. W zależności od okoliczności odbiorcy usług mogą przetwarzać dane dostawców usług, innych użytkowników, a także osób, na rzecz których są świadczone usługi. Takie pozycje wymagają szczegółowej analizy zakresu odpowiedzialności i stosowania się do zasad ochrony danych osobowych określonych w rodo.

W praktyce dla usług pośrednich oznacza to konieczność zapewnienia zgodności z wymogami DSA i rodo. Może to wymagać wdrożenia kompleksowych systemów zarządzania danymi i treściami, które będą równocześnie chronić prawa użytkowników do prywatności oraz oferować narzędzia do moderowania treści zgodnie z prawem. Rozumienie i stosowanie się do rodo w kontekście usług cyfrowych zobowiązuje użytkowników i dostawców do głębokiej analizy i zastosowania środków ochrony danych. Podkreśla to interdyscyplinarny charakter tej problematyki.

Rejestr czynności przetwarzania

Nowe obowiązki administratora widać głównie w kontekście analizy ryzyka i rejestru czynności przetwarzania. W przypadku tego drugiego elementu zmiany są związane ze spoczywającym na administratorze obowiązku uzupełnienia rejestru o nowe czynności z DSA, wymaganego art. 30 rodo. Przykładowo, cel w postaci realizacji prawa do monitorowania treści nielegalnych wymagany z DSA należy skonfrontować z art. 6 ust. 1 lit. f rodo. Kategorie osób dla tego celu nie są ograniczone, choć głównie będą dotyczyły odbiorców usług. Kategorie danych, choć nie ogranicza ich DSA, należy przeanalizować pod kątem zasad minimalizacji danych z rodo. Tak samo ważnymi celami, które powinny znaleźć się w rejestrze, są monitoring w ramach realizacji obowiązków bądź realizacja obowiązku przekazania danych, które należy zestawić z art. 6 ust. 1 lit. c rodo.

Szacowanie ryzyka na gruncie DSA

Analiza ryzyka jest podstawą dla oceny tego, jak działania podejmowane przez organizacje mogą wpływać na prywatność użytkowników oraz bezpieczeństwo przetwarzanych danych. Proces analizy ryzyka obejmuje identyfikację potencjalnych zagrożeń dla danych osobowych, które mogą pochodzić z różnorodnych źródeł, włączając w to:

• procedury operacyjne wewnętrzne;
• stosowane technologie przetwarzania danych;
• czynniki zewnętrzne, takie jak cyberataki, katastrofy naturalne, pożary czy inne zdarzenia losowe.

Istotnym elementem tej analizy jest ocena prawdopodobieństwa wystąpienia tych zagrożeń oraz potencjalnych konsekwencji dla prywatności użytkowników. W tym kontekście kluczowe staje się uwzględnienie nie tylko bezpośrednich skutków naruszenia danych, ale również długoterminowych implikacji dla reputacji i poziomu zaufania do danej instytucji lub firmy.

Po dokonaniu szczegółowej analizy ryzyka niezbędne są opracowanie oraz implementacja procedur weryfikacyjnych. Zadaniem tych procedur jest nie tylko monitorowanie i przeciwdziałanie zidentyfikowanym zagrożeniom, ale również regularna ocena efektywności zaimplementowanych środków ochrony danych. Proces weryfikacji może obejmować zarówno audyty wewnętrzne, jak i zewnętrzne, przeprowadzane przez niezależne organy. Fundamentalnym założeniem jest zapewnienie, aby praktyki związane z ochroną danych były nie tylko zgodne z obowiązującymi przepisami, ale również aby efektywnie minimalizowały ryzyko wystąpienia naruszeń danych osobowych. Warto podkreślić, że procedury weryfikacyjne powinny charakteryzować się elastycznością. W dynamicznym środowisku cyfrowym, charakteryzującym się ciągłą ewolucją technologii i metod ataków cybernetycznych, konieczne są regularne przeglądy i aktualizacje procedur weryfikacyjnych, co pozwala na szybką adaptację do nowych zagrożeń i zapewnienie stałej ochrony danych osobowych.

W ramach DSA analiza ryzyka i procedury weryfikacyjne stanowią nie tylko wymogi regulacyjne, ale także kluczowe elementy budowania zaufania oraz odpowiedzialności w obrębie cyfrowego ekosystemu. Poprzez skuteczne zarządzanie ryzykiem i ciągłą weryfikację organizacje mogą nie tylko osiągnąć zgodność z przepisami prawnymi, ale zyskać przewagę na rynku jako podmioty odpowiedzialne i godne zaufania w obszarze ochrony danych osobowych.

Wymagana przez rodo analiza ryzyka koncentruje się przede wszystkim na identyfikacji i ocenie zagrożeń dla praw i wolności naturalnych osób, ze szczególnym uwzględnieniem ochrony danych osobowych. Ten proces wymaga od organizacji zrozumienia, jak dane osobowe są przetwarzane, przechowywane i transmitowane, a następnie zidentyfikowania potencjalnych zagrożeń oraz oceny prawdopodobieństwa i wagi potencjalnych skutków naruszenia danych. W efekcie organizacje są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, których celem jest minimalizacja tego ryzyka i ochrona danych osobowych.

W kontekście DSA analiza ryzyka rozszerza zakres oceny o potencjalne wpływy działalności organizacji na bezpieczeństwo i prywatność cyfrowego ekosystemu. Chociaż zarówno rodo, jak i DSA dzielą podobne założenia dotyczące potrzeby analizy ryzyka, DSA wprowadza dodatkowe wymogi, takie jak ocena wpływu na ochronę danych osobowych (DPIA) w kontekście usług cyfrowych, uwzględniając specyfikę ryzyka, związane z szeroko pojętymi usługami cyfrowymi.

Organizacje muszą nie tylko dokładnie rozumieć wymogi każdego z tych aktów prawnych, ale także efektywnie stosować różnorodne metody analizy ryzyka, aby zapewnić zgodność z obowiązującymi przepisami i ochronę danych osobowych w dynamicznym środowisku cyfrowym.

Ochrona danych osobowych małoletnich a rodo

Na mocy art. 28 ust. 1 DSA od dostawców platform internetowych, których oferta usługowa jest adresowana do użytkowników niepełnoletnich, wymaga się implementacji środków, które są adekwatne i proporcjonalne do poziomu ochrony prywatności, bezpieczeństwa oraz ochrony nieletnich korzystających z ich serwisów. Celem tych działań jest minimalizacja ryzyka wystąpienia zagrożeń związanych z dostępem dzieci do treści w internecie. Zgodnie z motywem 71 DSA platforma internetowa jest rozumiana jako dostępna dla małoletnich, pod warunkiem że:

• warunki jej użytkowania pozwalają na korzystanie z niej przez osoby niepełnoletnie;
• jest ona kierowana do tej grupy wiekowej;
• dostawca ma świadomość obecności nieletnich wśród swoich użytkowników, np. poprzez wcześniejsze przetwarzanie danych osobowych wskazujących na ich wiek.

W kontekście tego wymogu dostawcy platform internetowych powinni włączyć ochronę danych osobowych i bezpieczeństwo w cyklu życia swoich usług cyfrowych na etapie projektowania (privacy by design) i domyślnie (privacy by default) poprzez stosowanie odpowiednich środków technicznych i organizacyjnych. Wymaga to od nich dokładnego rozważenia ilości zbieranych danych osobowych, zakresu ich przetwarzania, a także okresu przechowywania tych danych. W tym celu dostawcy platform powinni przeanalizować ustawienia prywatności i bezpieczeństwa, funkcje, a także sposoby interakcji użytkowników z oferowanymi usługami, aby ocenić ich wpływ na prywatność i bezpieczeństwo użytkowników niepełnoletnich. Dodatkowo w podejmowaniu decyzji dotyczących usług skierowanych do nieletnich dostawcy powinni kierować się zasadą najlepszego interesu dziecka, która ma przeważać nad celami biznesowymi.

Wytyczne dotyczące zapewnienia ochrony prywatności i danych osobowych małoletnich użytkowników można znaleźć w decyzjach wiążących Europejskiej Rady Ochrony Danych (EROD), wydanych w ramach mechanizmu rozstrzygania sporów określonego w art. 65 rodo, a także w decyzjach innych organów nadzorczych Unii Europejskiej. Przykładem jest wiążąca decyzja EROD 2/2022 oraz wynikająca z niej decyzja administracyjna irlandzkiego urzędu ochrony danych osobowych, która nałożyła na Instagram (Meta Platforms Ireland Limited, Meta IE) karę w wysokości 450 mln euro za naruszenie zasad ochrony danych, w tym zasady privacy by design i privacy by default. Instagram został skrytykowany za domyślne ustawienia prywatności dla nowych kont społecznościowych, które obejmowały także konta utworzone przez dzieci, co stwarzało wysokie ryzyko związane z domyślnym upublicznianiem ich danych.

Podobne problemy związane z domyślnymi ustawieniami prywatności, które negatywnie wpływały na prawa i wolności małoletnich użytkowników, zostały zidentyfikowane w wiążącej decyzji EROD 2/2023 dotyczącej platformy TikTok. Wskazano tam na nieprawidłowości w implementacji domyślnej ochrony prywatności podczas procesu tworzenia konta, co postrzegano jako niewystarczający mechanizm ochrony nieletnich użytkowników.

Te przykłady podkreślają znaczenie zapewnienia wysokiego poziomu ochrony prywatności i danych osobowych w kontekście usług cyfrowych skierowanych do małoletnich. Aby zabezpieczyć nieletnich użytkowników przed niechcianymi treściami i ryzykami online, należy wprowadzić zakaz stosowania zwodniczych interfejsów, zakaz kierowania reklam bezpośrednio do małoletnich oraz weryfikację wieku.

---

Autorzy

Mateusz Jakubik

Autor jest Compliance Officer w Bonnier Business Polska Sp. z o.o. / CTO w Szostek_Digital; prawnikiem i doktorantem na WPiA UJ, audytorem wewnętrznym systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001:2017; członkiem zarządu SABI.

Rafał Prabucki

Autor jest COO w Szostek_Digital oraz członkiem Cyber Science; adiunktem na Uniwersytecie Śląskim i audytorem wiodącym ISO27001.