Akt o rynkach cyfrowych (DMA) – rewolucja nie tylko dla strażników dostępu
Akt o rynkach cyfrowych (Digital Markets Act, dalej: DMA), który wszedł w życie 1 listopada 2022 r., przyniesie wiele nowych obowiązków dla przedsiębiorstw świadczących usługi w sektorze cyfrowym, w szczególności dla tzw. strażników dostępu (ang. gatekeepers).
Nowe przepisy wpłyną jednak na funkcjonowanie całego ekosystemu cyfrowego, nie tylko na wspomnianych strażników dostępu, lecz również na pozostałych uczestników rynków cyfrowych, w tym użytkowników biznesowych i użytkowników końcowych korzystających z podstawowych usług platformowych, konkurencyjnych dostawców podstawowych usług platformowych oraz dostawców innych usług cyfrowych.
Wynika to z tego, że obowiązki i zakazy nałożone na strażników dostępu przyznają – bezpośrednio lub pośrednio – szerokiej grupie ww. podmiotów uprawnienia, które mogą być dochodzone przed sądami krajowymi.
DMA w szerszym kontekście
Wraz z aktem o usługach cyfrowych (Digital Services Act, dalej: DSA), który również wszedł w życie w listopadzie 2022 r., DMA jest jednym z elementów kompleksowej europejskiej strategii cyfrowej. Ma on na celu zapewnienie kontestowalnych i uczciwych rynków w sektorze cyfrowym w ramach UE, z korzyścią dla użytkowników biznesowych i użytkowników końcowych. DMA oddziaływać będzie również na inne regulacje znajdujące zastosowanie do świadczenia usług na rynkach cyfrowych, w szczególności w zakresie ochrony danych i prywatności (RODO, dyrektywa ePrivacy), prawa konkurencji, ochrony konsumentów czy prawa autorskiego (zob. motyw 12).
Kogo dotyczą obowiązki i zakazy z DMA
Adresatami obowiązków i zakazów określonych w DMA są strażnicy dostępu, czyli dostawcy podstawowych usług platformowych, którzy spełnią kryteria z art. 3 DMA i zostaną wskazani przez Komisję Europejską zgodnie z określoną w tym przepisie procedurą.
Podstawowymi usługami platformowymi są:
- usługi pośrednictwa internetowego (np. platformy handlu elektronicznego, sklepy z aplikacjami)[1],
- wyszukiwarki internetowe,
- internetowe serwisy społecznościowe,
- usługi platformy udostępniania wideo,
- usługi łączności interpersonalnej niewykorzystujące numerów,
- systemy operacyjne,
- przeglądarki internetowe,
- wirtualni asystenci,
- usługi przetwarzania w chmurze,
- internetowe usługi reklamowe, w tym sieci reklamowe, giełdy reklamowe i inne usługi pośrednictwa w zakresie reklam, o ile świadczone są przez przedsiębiorstwo, które świadczy dowolne inne podstawowe usługi platformowe wymienione powyżej.
Domniemywa się, że przedsiębiorstwo spełnia odpowiednie wymogi wskazania jako strażnika dostępu, jeżeli:
- (i) uzyskało roczny obrót w UE wynoszący co najmniej 7,5 mld EUR w każdym z ostatnich trzech lat obrotowych lub jeżeli jego średnia kapitalizacja rynkowa lub równoważna rzeczywista wartość rynkowa wynosiła co najmniej 75 mld EUR w ostatnim roku obrotowym oraz (ii) świadczy tę samą podstawową usługę platformową w co najmniej trzech państwach członkowskich,
- świadczy podstawową usługę platformową, z której w ostatnim roku obrotowym korzystało co najmniej 45 mln aktywnych miesięcznie użytkowników końcowych oraz co najmniej 10 000 aktywnych rocznie użytkowników biznesowych z UE,
- powyższe progi ilościowe zostały osiągnięte w każdym z ostatnich trzech lat obrotowych.
Nowa regulacja znajduje zastosowanie do podstawowych usług platformowych świadczonych lub oferowanych przez strażników dostępu użytkownikom biznesowym lub użytkownikom końcowym, którzy mają siedzibę lub miejsce pobytu w UE, niezależnie od siedziby lub miejsca pobytu strażników dostępu.
DMA nakłada na strażników dostępu szereg obowiązków i zakazów, których bezpośrednimi lub pośrednimi beneficjentami są:
- użytkownicy biznesowi, czyli osoby fizyczne lub prawne działające w celach handlowych lub zawodowych, które korzystają z podstawowych usług platformowych do celów związanych z dostarczaniem towarów użytkownikom końcowym lub świadczeniem usług na rzecz użytkowników końcowych lub w toku dostarczania towarów takim użytkownikom lub świadczenia usług na ich rzecz (art. 2 pkt 21) (np. reklamodawcy, wydawcy, deweloperzy aplikacji, sprzedawcy, którzy oferują swoje produkty lub usługi online),
- użytkownicy końcowi, czyli osoby fizyczne lub prawne, które korzystają z podstawowych usług platformowych w charakterze innym niż użytkownicy biznesowi – art. 2 pkt 20),
- konkurencyjni dostawcy podstawowych usług platformowych (zob. np. art. 7),
- dostawcy treści i usług cyfrowych[2].
DMA przyznaje tym podmiotom – bezpośrednio lub pośrednio – określone uprawnienia, które mogą być dochodzone przed sądami krajowymi (art. 39), na podstawie przepisów krajowych.
Nowe obowiązki
Obowiązki i zakazy nałożone na strażników dostępu wymienione są w art. 5, 6 i 7 DMA. W dużej mierze stanowią one odzwierciedlenie spraw z zakresu prawa konkurencji dotyczących praktyk dużych platform internetowych, które były rozpatrywane przez Komisję i krajowe organy ochrony konkurencji w ostatnich latach[3].
Obowiązki i zakazy w zakresie dostępu, wykorzystywania i zarządzania danymi
Do obowiązków i zakazów w zakresie dostępu i wykorzystywania danych należą:
- Zakaz przetwarzania, łączenia lub wykorzystywania danych osobowych użytkowników końcowych z wielu źródeł, w tym z podstawowych usług platformowych strażnika dostępu bez odpowiedniej podstawy prawnej (de facto wyłącznie zgody użytkownika końcowego z RODO) (art. 5 ust. 2).
- Zakaz wykorzystywania niedostępnych publicznie danych użytkowników biznesowych, wygenerowanych lub dostarczonych przez nich w ramach korzystania z odpowiednich podstawowych usług platformowych strażnika dostępu lub usług powiązanych, jeżeli strażnik dostępu konkuruje z tymi użytkownikami biznesowymi (art. 6 ust. 2).
- Obowiązek nieodpłatnego zapewnienia użytkownikom końcowym skutecznej możliwości przenoszenia danych dostarczonych lub wygenerowanych w ramach korzystania z podstawowych usług platformowych, m.in. poprzez nieodpłatne narzędzia ułatwiające skuteczne korzystanie z takiej możliwości przenoszenia danych, w tym poprzez zapewnianie stałej możliwości uzyskania dostępu do takich danych w czasie rzeczywistym (art. 6 ust. 9).
- Obowiązek nieodpłatnego zapewnienia użytkownikom biznesowym skutecznego, wysokiej jakości i stałego dostępu w czasie rzeczywistym do danych dostarczanych lub generowanych w ramach korzystania z podstawowej usługi platformowej lub usług powiązanych przez użytkowników biznesowych i ich użytkowników końcowych (art. 6 ust. 10).
- Obowiązek zapewnienia dostawcom wyszukiwarek internetowych dostępu, na sprawiedliwych, rozsądnych i niedyskryminujących warunkach, do danych dotyczących plasowania, zapytań, kliknięć i wyświetleń związanych z wyszukiwaniem, wygenerowanych przez użytkowników końcowych przy wykorzystaniu wyszukiwarek internetowych strażnika dostępu (danych dotyczących wyszukiwania). Jeżeli takie dane stanowią dane osobowe, strażnik dostępu musi poddać je wcześniej anonimizacji (art. 6 ust. 11).
Obowiązki względem reklamodawców i wydawców w zakresie świadczonych usług reklamowych
Do obowiązków w tym zakresie należą:
- Obowiązek codziennego nieodpłatnego udzielania reklamodawcom informacji o uiszczonych cenach i pobranych opłatach, wynagrodzeniu wydawców (za ich zgodą) oraz związanych z nimi miernikach, na podstawie których obliczane są poszczególne ceny, opłaty i wynagrodzenia (art. 5 ust. 9).
- Obowiązek codziennego nieodpłatnego udzielania wydawcom informacji o otrzymywanych wynagrodzeniach i pobranych opłatach, cenach płaconych przez reklamodawców (za ich zgodą) oraz związanych z nimi miernikach, na podstawie których obliczane są poszczególne ceny i wynagrodzenia (art. 5 ust. 10).
- Obowiązek nieodpłatnego udostępnienia reklamodawcom i wydawcom narzędzi pomiaru wyników oraz danych potrzebnych reklamodawcom i wydawcom do przeprowadzenia samodzielnie niezależnej weryfikacji zasobów reklamowych (art. 6 ust. 8).
Obowiązki w zakresie interoperacyjności
DMA definiuje interoperacyjność jako zdolność w zakresie wymiany informacji i wzajemnego korzystania z informacji, których wymiany dokonano za pośrednictwem interfejsów lub innych rozwiązań, pozwalającą zapewnić, by wszystkie elementy sprzętu lub oprogramowania współdziałały z innym sprzętem i oprogramowaniem oraz z użytkownikami we wszelkich formach działania, do jakich są przeznaczone. Interoperacyjność może być pionowa (art. 6 ust. 4 i 7) lub pozioma (art. 7). Do obowiązków w zakresie interoperacyjności należą:
- Obowiązek zapewnienia interoperacyjności podstawowych funkcjonalności usług łączności interpersonalnej niewykorzystujących numerów strażnika dostępu z tego rodzaju usługami świadczonymi przez innego dostawcę oferującego lub zamierzającego oferować takie usługi w UE, poprzez nieodpłatne dostarczenie niezbędnych interfejsów technicznych lub podobnych rozwiązań ułatwiających interoperacyjność (art. 7).
- Obowiązek nieodpłatnego umożliwienia skutecznej interoperacyjności ze sprzętem, oprogramowaniem i systemem operacyjnym strażnika dostępu i dostępu do tych samych funkcji co usługi i sprzęt strażnika dostępu (art. 6 ust. 7).
- Obowiązek umożliwienia instalacji i skutecznego korzystania z oferowanych przez osoby trzecie aplikacji lub sklepów z aplikacjami korzystających z systemu operacyjnego strażnika dostępu, oraz zapewnienia dostępu do tych aplikacji lub sklepów z aplikacjami w inny sposób niż za pośrednictwem odpowiednich podstawowych usług platformowych tego strażnika dostępu (tj. bezpośrednie pobieranie aplikacji, tzw. sideloading) (art. 6 ust. 4).
Obowiązki i zakazy dotyczące wiązania i sposobu dystrybucji usług i produktów
Do takich obowiązków należą:
- Zakaz stosowania klauzul najwyższego uprzywilejowania, tj. uniemożliwiania użytkownikom biznesowym oferowania tych samych produktów lub usług użytkownikom końcowym po innych cenach lub na innych warunkach w innych kanałach dystrybucji (przy wykorzystaniu konkurencyjnych usług pośrednictwa internetowego świadczonych przez osobę trzecią lub za pomocą własnych kanałów bezpośredniej sprzedaży internetowej, np. w ramach własnego sklepu internetowego) (art. 5 ust. 3).
- Obowiązek nieodpłatnego zezwalania użytkownikom biznesowych na przedstawienie i promowanie ofert oraz zawieranie umów z użytkownikami końcowymi pozyskanymi za pośrednictwem podstawowej usługi platformowej strażnika dostępu (art. 5 ust. 4).
- Obowiązek zezwalania użytkownikom końcowym na dostęp i korzystanie, za pośrednictwem podstawowych usług platformowych strażnika dostępu, z treści, subskrypcji, funkcji lub innych elementów użytkownika biznesowego (art. 5 ust. 5).
- Zakaz wiązania podstawowej usługi platformowej z usługami dodatkowymi strażnika dostępu (usługą identyfikacyjną, silnikiem przeglądarki internetowej, usługą płatniczą lub usługą techniczną wspierającą świadczenie usług płatniczych, takimi jak systemy płatności za zakupy wewnątrz aplikacji) (art. 5 ust. 7).
- Zakaz nakładania obowiązku subskrypcji lub zarejestrowania się jako użytkownik innych podstawowych usług platformowych jako warunku, którego spełnienie umożliwia korzystanie z podstawowych usług platformowych (art. 5 ust. 8).
- Obowiązek zapewnienia możliwości łatwego odinstalowania preinstalowanych aplikacji oraz łatwej zmiany ustawień domyślnych (art. 6 ust. 3).
- Zakaz ograniczania możliwości korzystania przez użytkowników końcowych z różnych aplikacji i usług, do których uzyskuje się dostęp przy użyciu podstawowych usług platformowych strażnika dostępu, oraz możliwości subskrypcji takich różnych aplikacji i usług, w tym również w zakresie wyboru usług dostępu do internetu (art. 6 ust. 6).
Pozostałe obowiązki i zakazy
Do pozostałych obowiązków i zakazów należą:
- Zakaz uniemożliwiania lub utrudniania zgłoszeń do organów publicznych dotyczących naruszeń prawa w odniesieniu do praktyk stosowanych przez strażnika dostępu (art. 5 ust. 6).
- Zakaz traktowania – w ramach plasowania oraz związanego z nim indeksowania i badania (crawlingu) – własnych usług i produktów strażnika dostępu na korzystniejszych zasadach niż podobne usługi lub produkty oferowane przez osobę trzecią. Strażnik dostępu zobowiązany jest do dokonywania takiego plasowania na przejrzystych, sprawiedliwych i niedyskryminujących warunkach (art. 6 ust. 5).
- Obowiązek stosowania sprawiedliwych, rozsądnych i niedyskryminujących ogólnych warunków dostępu użytkowników biznesowych do sklepów z aplikacjami, wyszukiwarek internetowych i internetowych serwisów społecznościowych strażnika dostępu (art. 6 ust. 12).
- Zakaz stosowania nieproporcjonalnych i powodujących nadmierne trudności warunków rezygnacji z podstawowych usług platformowych (art. 6 ust. 13).
Konsekwencje nieprzestrzegania przepisów
W przypadku nieprzestrzegania obowiązków ustanowionych w art. 5, 6 i 7 DMA Komisja może nałożyć na strażnika dostępu grzywnę do wysokości 10% jego łącznego światowego obrotu uzyskanego w poprzednim roku obrotowym.
Jeżeli strażnik dostępu w taki sam lub podobny sposób naruszył obowiązek ustanowiony w art. 5, 6 lub 7 w odniesieniu do tej samej podstawowej usługi platformowej w ciągu poprzednich 8 lat, Komisja może nałożyć grzywnę w wysokości do 20% jego łącznego światowego obrotu uzyskanego w poprzednim roku obrotowym (art. 30 DMA).
Ponadto, jak wspominano powyżej, użytkownicy biznesowi, użytkownicy końcowi i konkurencyjni dostawcy niektórych podstawowych usług platformowych mogą dochodzić swoich uprawnień wynikających z DMA przed sądami krajowymi (zob. art. 39 i motyw 42). Jeżeli w wyniku naruszenia przez strażnika dostępu obowiązków lub zakazów z art. 5-7 DMA powyższe podmioty poniosły szkodę, mogą one również dochodzić roszczeń odszkodowawczych. Dochodzenie takich roszczeń odbywa się na zasadach określonych w prawie krajowym – DMA nie reguluje kwestii dochodzenia roszczeń przez te podmioty[4]. W postępowaniach dotyczących stosowania DMA sądy krajowe mogą zwrócić się do Komisji o przekazanie informacji będących w jej posiadaniu lub opinii Komisji na temat kwestii dotyczących stosowania DMA, a Komisja może przedstawić sądom krajowym ustne lub pisemne uwagi (art. 39).
Dodatkowo, zgodnie z art. 27, każda osoba trzecia, w tym użytkownicy biznesowi, konkurenci lub użytkownicy końcowi podstawowych usług platformowych, jak również ich przedstawiciele, mogą informować właściwy krajowy organ ochrony konkurencji państwa członkowskiego lub bezpośrednio Komisję o wszelkich praktykach lub zachowaniach strażników dostępu, które są objęte zakresem stosowania DMA.
Kiedy nowe obowiązki zaczną obowiązywać?
Choć DMA stosuje się od 2 maja 2023 r., to większość obowiązków zacznie obowiązywać najpewniej dopiero z początkiem 2024 r. (marzec 2024 r.). Wynika to ze wieloetapowej procedury wskazywania strażników dostępu i terminów przewidzianych w DMA na każdy z etapów.
W przypadku gdy przedsiębiorstwo świadczące podstawowe usługi platformowe osiągnie wszystkie progi ustanowione w art. 3 ust. 2, powiadamia o tym Komisję bezzwłocznie, a w każdym razie w terminie dwóch miesięcy od dnia osiągnięcia tych progów, i przedstawia jej stosowne informacje (najpóźniej 3 lipca 2023 r.) (art. 3 ust. 3). Komisja – bez zbędnej zwłoki i najpóźniej w terminie 45 dni roboczych od dnia otrzymania kompletnych informacji – wskazuje jako strażnika dostępu przedsiębiorstwo świadczące podstawowe usługi platformowe, które osiągnęło wszystkie progi ustanowione w ust. 2 (najpóźniej 6 września 2023 r.) (art. 3 ust. 4).
Od momentu podjęcia decyzji o wskazaniu strażników dostępu przez Komisję wyznaczeni strażnicy dostępu mają maksymalnie sześć miesięcy na zapewnienie zgodności z obowiązkami przewidzianymi w DMA (art. 3 ust. 10) (tj. najpóźniej marzec 2024 r.).
DMA jako rozporządzenie unijne będzie bezpośrednio stosowane i nie będzie konieczne przyjmowanie żadnych krajowych aktów implementujących.
Iga Małobęcka-Szwast
[1] Zob. art. 2 pkt 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/1150 z dnia 20 czerwca 2019 r. w sprawie propagowania sprawiedliwości i przejrzystości dla użytkowników biznesowych korzystających z usług pośrednictwa internetowego.
[2] Zgodnie z definicjami zawartymi w art. 2 pkt 1 i 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych.
[3] Zob. Table 2: List of obligations with examples and underlying evidence, Commission Staff Working Document Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on contestable and fair markets in the digital sector (Digital Markets Act), SWD/2020/363 final, Part 1/2, s. 53 i n.
[4] Inaczej niż w przypadku dochodzenia roszczeń odszkodowawczych z tytułu naruszenia prawa konkurencji państw członkowskich i Unii Europejskiej, która to kwestia uregulowana jest w dyrektywie Parlamentu Europejskiego i Rady 2014/104/UE z dnia 26 listopada 2014 r. w sprawie niektórych przepisów regulujących dochodzenie roszczeń odszkodowawczych z tytułu naruszenia prawa konkurencji państw członkowskich i Unii Europejskiej, objęte przepisami prawa krajowego (tzw. dyrektywa private enforcement) implementowanej w drodze ustawy z dnia 21 kwietnia 2017 r. o roszczeniach o naprawienie szkody wyrządzonej przez naruszenie prawa konkurencji.