Jak nařízení DSA ovlivní zpracování osobních údajů?

Nařízení o jednotném trhu digitálních služeb (Digital Services Act, DSA) je účinné už od února 2024. DSA zasáhne do podnikatelského života nejednoho poskytovatele zprostředkovatelských služeb, online tržišť či online platforem. 

Článků věnovaných tomu, jaké povinnosti DSA přináší, je na internetu mnoho. Rozebírají se také možné sankce a další dopady nové regulace. DSA však přináší i jeden dopad skrytý „mezi řádky“, a to změnu v postupu při zpracování osobních údajů při poskytování některých online služeb.

Co to vlastně DSA je a na koho dopadá?

Cílem nařízení DSA je nastavit férové a jasné prostředí pro uživatele zprostředkovatelských služeb, online tržišť a dalších online platforem.  

V čem může být online prostor rizikový či problematický? 

Představuje místo, kde může kdokoliv sdílet jakýkoliv obsah a komunikovat s dalšími subjekty. Představte si například Facebook, kde jednotliví uživatelé sdílí tuny obsahu denně. Tento obsah nevytvořil Facebook. Vytvořili ho samotní uživatelé. A nařízení DSA řeší právě otázku toho, kdo za takový obsah nese odpovědnost. Nastavuje koncepce moderace obsahu, způsoby nahlašování „závadného“ obsahu a procesy vyřizování podnětů a stížností vůči takovému nezákonnému obsahu.

Nařízení DSA dopadá na poskytovatele online zprostředkovatelských služeb, tedy subjekty, které poskytují přenos informací, služby ukládání do mezipaměti nebo hostingové služby. Typicky mezi ně můžeme zařadit cloudové poskytovatele, provozovatel SaaS aplikací (online aplikací a nástrojů poskytovaných jako služba), které umožňuji ukládání uživatelského obsahu a jeho sdílení s ostatními uživateli, poskytovatele webhostingu.

DSA dopadá také na online platformy. 

Co je tímto pojmem myšleno? Jedná se o specifickou kategorii zprostředkovatelské služby, do které spadají hostingové služby, jež umožňují veřejně šířit informace. Typickým příkladem jsou právě sociální sítě, ubytovací portály apod. Další specifickou kategorií jsou poté také online tržiště, tedy platforma, která umožňuje spotřebitelům uzavírat s obchodníky smlouvy na dálku (například takové Aukro).

Na každou z těchto kategorií dopadají různě široké povinnosti. Pro některé je moderace obsahu jednodušší (prostý přenos), pro jiné jsou mechanismy vyžadované DSA dost složité (online platformy a tržiště). Každý, kdo podniká v digitálu a pracuje při tom s cizím obsahem, který buď ukládá nebo jej dále sdílí, by proto měl toto nařízení držet v patrnosti a zkontrolovat, jaké povinnosti na něj dopadají.

A v čem taková moderace obsahu spočívá? 

DSA nastavuje pro výše uvedené subjekty povinnost zavést systémy, prostřednictvím kterých mohou lidé, jež se cítí být obsahem jakýmkoliv způsobem dotčeni, nahlásit nezákonný obsah. Podle stupně dopadu DSA na subjekt poté musí takový „oznamovací“ a „moderační“ systém splňovat mnohé podmínky. Jedno však mají společné. Dochází při nich ke zpracování osobních údajů.

Dopady GDPR

Součástí obsahu, který je na platformách a u poskytovatelů sdílen, mohou být bezesporu také osobní údaje. Současně při nahlášení nezákonného obsahu musí být sbírány osobní údaje od osob, které takový nezákonný obsah nahlásily.

Jednou ze základních zásad zpracování osobních údajů je princip zákonnosti. Každý poskytovatel online služeb, který je v režimu DSA, tak musí určit, na základě jakého právního titulu bude zpracování nezbytné pro dodržení nařízení DSA probíhat.

Odpovědnost za cizí obsah přenášený či ukládaný online dosud řešil zákon o některých službách informační společnosti. Ten však nestanovoval žádné konkrétní mechanismy a postupy, které musí poskytovatele dodržovat. Většina poskytovatelů se tak pro související zpracování osobních údajů spoléhala na oprávněný zájem. Ať už šlo o zpracování osobních údajů od osob, které obsah sdílejí, tak i od případných „stěžovatelů“.

Nařízení DSA tuto koncepci zpracování zásadně mění! Ke zpracování osobních údajů v rámci přijímání oznámení o výskytu nezákonného obsahu dochází v souladu s čl. 16 odst. 1, 2 a 5 DSA. Toto nařízení konkrétně uvádí, že při řešení oznámení bude poskytovatel zpracovávat také identifikační údaje, e-mailovou adresu a další informace související s oznámením. Zde se tak poskytovatel již může spoléhat na právní důvod plnění právních povinností ve smyslu čl. 6 odst. 1 písm. c) GDPR.

DSA zároveň obsahuje také pravidla pro hlášení informací justičním orgánům (čl. 18 odst. 1 DSA) či zveřejnění identity oznamovatele (čl. 17 odst. 3 DSA). Poskytovatel pro taková zpracování nebude muset provádět balanční testy, protože zpracování nebude založeno na oprávněném zájmu. Dotčené subjekty údajů rovněž nebudou moci uplatnit námitku proti zpracování ve smyslu čl. 21 GDPR.

Samozřejmě není vyloučeno, že si poskytovatel bude chtít o řešení oznámení uchovávat více informací pro následnou ochranu vlastních právních nároků. Poté již oprávněný zájem může být potřeba.

Specifika u online tržišť

Pořídit kopii občanky je možná jen se souhlasem jejího držitele. Tak zní zajetý standard mnoha advokátů a poradenských společností. Ano, ve své podstatě to je správná koncepce. Mimo jiné vyplývá také z § 39 zákona č. 269/2021 Sb., o občanských průkazech, který výslovně říká, že se zakazuje pořizovat kopie občanského průkazu bez souhlasu držitele občanského průkazu.

Jenže DSA je speciální předpis a obsahuje odchylky od obecných pravidel. Konkrétně je DSA v tomto ohledu důležité pro poskytovatele online tržišť. V čl. 30 nařízení DSA jsou totiž stanovena pravidla, jakým způsobem musí provozovatel tržiště kontrolovat obchodníky, kteří na tržišti prodávají. Takže pokud například někdo provozuje platformu, která umožňuje prodávat řemeslníkům své služby, musí si platforma být jistá, koho na takovou platformu pouští nabízet služby.

A právě z toho důvodu DSA stanovuje mimo jiné povinnost(pokud je to relevantní) zajistit kopii dokladu totožnosti obchodníka či jinou elektronickou identifikaci. V DSA je tak jasně zákonem stanovená povinnost pořídit kopii dokladu totožnosti. To fakticky znamená, že pro takové zpracování určitě nebude potřeba souhlasu s pořízením kopie dokladu ani se zpracováním osobních údajů. Související zpracování bude založeno na základě plnění zákonných povinností dle čl. 6 odst. 1 písm. c) GDPR.

Bezpečnost v online prostředí

Nařízení DSA přináší významný posun v pravidlech pro zpracování osobních údajů při správě uživatelského obsahu na online platformách. Nový rámec je založen na principu zajištění bezpečnosti a důvěryhodnosti online prostředí, zejména prostřednictvím posílení právní jistoty všech uživatelů.

DSA vytváří jasný právní rámec, který ukládá poskytovatelům online služeb povinnost zpracovávat osobní údaje v souvislosti s odhalováním nezákonného obsahu, a tím eliminuje potřebu složitých právních analýz oprávněného zájmu v případě zpracování osobních údajů za tímto účelem.

Díky výjimce, kterou DSA zavádí pro poskytovatele online tržišť v souvislosti s ověřováním totožnosti uživatelů, mohou tito provozovatelé zpracovávat osobní údaje, včetně kopií identifikačních dokladů, na základě jasně uložené právní povinnosti. K tomuto zpracování tak nebudou potřebovat výslovný souhlas uživatelů, což jim přináší větší právní jistotu a usnadnění jejich činnosti.

Článek je publikován tak na doméně GDPR.cz