2 – Digital Services Act: Et tryggere digitalt rom

Forordningen har bestemmelser om internettjenester og onlineplattformer, og innebærer på enkelte punkter en oppdatering av direktivet om elektronisk handel fra 2000.

I denne artikkelen gir vi en oversikt over de viktigste bestemmelsene i Digital Services Act og viser hvordan tjenester og virksomheter kan påvirkes av forordningen.

Anvendelsesområdet til Digital Services Act

Alle virksomheter som tilbyr formidlingstjenester (intermediary services) til mottakere i EU omfattes av Digital Services Act, uavhengig av om virksomheten er etablert i EU eller ikke. Formidlingstjenester omfatter en rekke ulike onlineplattformer, blant annet lagringstjenester, nettbutikker, markedsplasser, sosiale medier, delingsplattformer, app-butikker og bookingplattformer.

De viktigste bestemmelsene i Digital Services Act

Ansvar for tilbydere av formidlingstjenester

Ansvaret for tilbydere av formidlingstjenester som i dag følger av artiklene 12 til 15 i direktivet om elektronisk handel erstattes av artiklene 4, 5, 6 og artikkel 8 i Digital Services Act. Disse regulerer ansvar for ren videreformidling (artikkel 4), mellomlagring/caching (artikkel 5), vertstjenester/hosting (artikkel 6) og regler om ingen generell overvåkingsplikt (artikkel 8).

Det rettslige innholdet forblir hovedsakelig det samme sammenlignet med artiklene 12-15 i direktivet om elektronisk handel. Imidlertid er det i artikkel 6 foreslått et unntak fra utgangspunktet om ansvarsfrihet for hosting for de tilfellene hvor onlineplattformene tillater forbrukere å inngå fjernsalgsavtaler med næringsdrivende. I disse tilfellene er onlineplattformene ansvarlige for informasjon på plattformen dersom en rimelig velinformert gjennomsnittsforbruker kan ledes til å tro at informasjonen er gitt av plattformen selv eller fra en mottaker som handler under plattformens myndighet eller kontroll.

Nye forpliktelser for internettbaserte formidlingstjenester

Digital Services Act pålegger tilbyderne omfattende forpliktelser. Forpliktelsene gjelder alle tilbydere av formidlingstjenester, og det gjelder i tillegg bestemte forpliktelser for (i) hostingtjenester, (ii) onlineplattformer og (iii) veldig store onlineplattformer ("very large online platforms"). Veldig store onlineplattformer er onlineplattformer som gjennomsnittlig har 45 millioner eller flere aktive brukere i EU pr måned.

Alle tilbydere av formidlingstjenester skal:

• etablere et kontaktpunkt og dersom tilbyderen ikke er etablert i EU - en rettslig representant innenfor EU
• informere i avtalevilkårene om retningslinjer, prosedyrer, tiltak og verktøy som brukes for å moderere innhold, blant annet om bruk av algoritmebaserte beslutninger og manuell overvåkning
• minst en gang i året publisere tydelige rapporter om foretatt moderering av innhold.

Alle hostingtjenester skal også:

• iverksette rutiner for at brukere skal kunne varsle om ulovlig innhold,
• dersom det besluttes å fjerne eller deaktivere tilgang til innhold, informere den som publisert innholdet om beslutningen og begrunnelsen for dette.

Onlineplattformer (med unntak av såkalte mikro og små virksomheter) må i tillegg:

• etablere en intern klagebehandlingsordning og adgang til utenrettslig tvisteløsning,
• iverksette nødvendige tekniske og organisatoriske tiltak for å sikre at henvendelser fra såkalte trusted flaggers* blir behandlet uten forsinkelse.

*Det er en nasjonal koordinator ("Digital Services Coordinator") som avgjør hvem som skal anses for å være "trusted flaggers". Slik status skal gis til noen med særlig ekspertise og kompetanse til å oppdage, identifisere og varsle om ulovlig innhold og som representerer fellesskapets interesser uavhengig av onlineplattformene.

• stanse tjenestene til mottakeren som jevnlig genererer åpenbart ulovlig innhold i en rimelig tidsperiode, forutsatt at tilbyderen varsler mottakeren på forhånd,
• (når en onlineplattform tillater forbrukere å inngå fjernsalgsavtaler med næringsdrivende) sikre at næringsdrivende kun kan bruke tjenestene dersom onlineplattformen på forhånd har innhentet informasjon om den næringsdrivendes navn, kontaktinformasjon og foretaksregistrering,
• varsle relevante myndigheter ved mistanke om straffbare forhold
• informere mottakere av reklame om innhold er reklame, hvilken fysisk eller juridisk person reklamen vises på vegne av og hvilke kriterier som er brukt for å velge ut hvem som mottar reklamen (transparent markedsføring),
• skal ikke vise reklame basert på profilering ved (i) bruk av personopplysninger om mindreårige dersom onlineplattformen er klar over at brukeren er mindreårig eller (ii) bruk av særlige kategorier av personopplysninger.
• skal ikke bruke såkalte "dark patterns" eller "mørke mønstre", det vil si designe, organisere eller drive sine brukergrensesnitt på en måte som villeder, manipulerer eller på annen måte gjør det vanskelig for mottakerne å ta frie og informerte valg.

"Veldig store onlineplattformer" skal i tillegg til alle de andre forpliktelsene:

• minst en gang i året identifisere, analysere og vurdere eventuell systemisk risiko forbundet med deres tjeneste og bruken av denne i EU, herunder risiko knyttet til spredning av ulovlig innhold og negativ innvirkning på personvern, ytringsfrihet og forbudet mot diskriminering,
• iverksette rimelige, forholdsmessige og effektive avbøtende tiltak tilpasset den identifiserte systemiske risikoen,
• gjennomføre uavhengige revisjoner av plattformens etterlevelse av forpliktelser og publisere disse, minst en gang i året
• dersom det brukes anbefalingssystemer, herunder algoritmer som foreslår relevant innhold for brukere, skal det fremgå i avtalevilkårene på en tydelig, tilgjengelig og lett forståelig måte hvilke hovedkriterier som brukes i anbefalingssystemene
• gi EU-kommisjonen og godkjente forskere tilgang til data, herunder beskrivelse av design, logikk, funksjonsmåte og testing av algoritmiske systemer, i den utstrekning det er nødvendig for å kontrollere og vurdere om Digital Services Act etterleves.

Når EU-kommisjonen krever tilgang til data, kan virksomheter be om at kravet om data endres dersom det kan lede til betydelige sårbarheter knyttet sikkerhet for tjenestene eller beskyttelse av konfidensiell informasjon, særlig forretningshemmeligheter (artikkel 31/6(b)). Det er forventet at de nye bestemmelsene om algoritmiske systemer vil reise utfordrende og interessante spørsmål fra et immaterialrettslig perspektiv.

Status på gjennomføring av Digital Services Act

Digital Services Act ble publisert i EUs "Official Journal" 27. oktober 2022 og vil tre i kraft 20 dager etter publisering.

I Norge, som part i EØS-avtalen, gjelder ikke Digital Services Act før den blir tatt inn i EØS-avtalen. Deretter må forordningen gjennomføres i norsk rett ved at Digital Services Act inkorporeres i norsk lovgivning. Det er forventet at det kan ta noe tid å gjennomføre forordningen fullt ut i Norge.

Digital lovpakke

Digital Services Act er en av to av EU-kommisjonens lovgivningsinitiativer som gjelder regulering av digitale tjenester i EU. Det andre initiativet fra EU-kommisjonen i denne sammenhengen er Digital Markets Act, som har til formål å bidra til innovasjon, vekst og konkurranse i det europeiske digitale markedet. Digital Services Act og Digital Markets Act utgjør ett sett av regler, omtalt som "Digital Services Act package".

Den neste artikkelen i Wikborg Rein's "A Europe Fit for the Digital Age"-artikkelserie vil handle om Digital Markets Act. I mellomtiden er vårt teknologi- og digitaliseringsteam klare til å bistå virksomheter med spørsmål om det nye rettslige rammeverket for digitale tjenester i Europa.