Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Akt o digitalnih storitvah

+ -

Akt o digitalnih storitvah (Uredba (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES) je bil sprejet 19. 10. 2022, uporabljati pa se je pričel 17. 2. 2024. Njegov namen je prispevati k pravilnem delovanju notranjega trga posredniških storitev s tem, ko določa harmonizirana pravila za varno, predvidljivo in zaupanja vredno spletno okolje, ki spodbuja inovacije in v katerem so učinkovito zaščitene pravice iz Listine EU o temeljnih pravicah, vključno z načelom varstva potrošnikov. Akt o digitalnih storitvah zlasti določa:

- okvir za pogojno izjemo od odgovornosti ponudnikov posredniških storitev,

- pravila o specifičnih obveznostih zagotavljanja potrebne skrbnosti določenih kategorij ponudnikov posredniških storitev (npr. za ponudnike storitev gostovanja, za ponudnike spletnih platform, za ponudnike spletnih platform, ki potrošnikom omogočajo sklepanje pogodb na daljavo, za ponudnike zelo velikih spletnih platform in zelo velikih spletnih iskalnikov) ter

- pravila o izvajanju in izvrševanju uredbe, vključno s pravili glede sodelovanja pristojnih organov.

Za izvajanje akta je bil sprejet Zakon o izvajanju Uredbe (EU) o enotnem trgu digitalnih storitev (ZIUETDS), ki je začel veljati 13. 4. 2024. Za nadzor nad določbami Akta o digitalnih storitvah je pretežno pristojna Agencija za komunikacijska omrežja in storitve RS (AKOS), ki je hkrati tudi koordinator digitalnih storitev. V delu, kjer se nadzor nad izvajanjem akta nanaša tudi na varstvo osebnih podatkov, se agencija posvetuje z IP. Za nadzor nad določbami prvega in tretjega odstavka 26. člena ter 28. člena Akta o digitalnih storitvah pa je pristojen IP.

Skladno s prvim odstavkom 26. člena ZIUETDS morajo ponudniki spletnih platform, ki na svojih spletnih vmesnikih prikazujejo oglase zagotoviti, da lahko prejemniki storitve za vsak posamezen oglas, jasno, jedrnato, nedvoumno in v realnem času prepoznajo naslednje:

-          da je informacija oglas (vključno s pomočjo vidnih označb, pri čemer upoštevajo standarde na podlagi 44. člena Akta o digitalnih storitvah),

-          fizično ali pravno osebo, v imenu katere je oglas predstavljen,

-          fizično ali pravno osebo, ki je plačala oglas (če ne gre za osebo iz prejšnje alineje),

-          smiselne informacije, ki so neposredno in preprosto dostopne preko oglasa glede glavnih parametrov, uporabljenih za določitev prejemnika, ki mu je oglas predstavljen in po potrebi, kako te parametre spremeniti.

Tretji odstavek 26. člena ZIUETDS nadalje določa, da ponudniki spletnih platform prejemnikom storitev ne smejo predstavljati oglasov na podlagi oblikovanja profilov, pri čemer bi uporabljali posebne vrste osebnih podatkov. Pri tem se uporablja opredelitev oblikovanja profilov in posebnih vrst osebnih podatkov skladno s Splošno uredbo.

Profiliranje je definirano v 4. točki člena 4 Splošne uredbe in sicer pomeni „oblikovanje profilov“ vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika. Avtomatizirano odločanje oziroma profiliranje po Splošni uredbi je dopustno skladno s pogoji, kot so določeno v 22. členu Splošne uredbe. Več o tem lahko preberete v Smernicah o avtomatiziranem sprejemanju posameznih odločitev in oblikovanju profilov za namene Uredbe (EU) 2016/679, ki so dostopne na povezavi: https://ec.europa.eu/newsroom/article29/items/612053/en.

Med posebne vrste osebnih podatkov (oz. t.i. občutljivi osebni podatki) štejemo osebne podatke, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, genske podatke, biometrične podatke za namene edinstvene identifikacije posameznika, podatke v zvezi z zdravjem ali podatke v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo. Njihova obdelava je načeloma prepovedana, razen če velja ena od izjem, ki so navedene v drugem odstavku 9. člena Splošne uredbe (npr. če je posameznik, na katerega se nanašajo osebni podatki, dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi obdelave).

IP je pristojen tudi za nadzor nad določbo 28. člena Akta o digitalnih storitvah, ki določa, da morajo ponudniki spletnih platform, ki so dostopne mladoletnikom, sprejeti ustrezne in sorazmerne ukrepe za zagotovitev visoke ravni zasebnosti, varnosti in varstva mladoletnikov pri njihovih storitvah.

Ponudniki spletnih platform na svojem vmesniku ne smejo prikazovati oglasov na podlagi oblikovanja profilov z uporabo osebnih podatkov prejemnika storitve, ko z razumno gotovostjo vedo, da je prejemnik storitve mladoleten. Navedeno pa ne pomeni, da bi morali ponudniki spletnih platform obdelovati dodatne osebne podatke, da bi ocenili, ali je prejemnik storitve mladoleten. Ponudniki spletnih platform morajo namreč upoštevati načelo najmanjšega obsega podatkov iz točke (c) prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki  ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Upravljavec mora torej za določen namen obdelovati zgolj tiste osebne podatke, ki so za dosego cilja nujno potrebni.