Не встиг бізнес оговтатись від абревіатури GDPR (General Data Protection Regulation), яка внесла значні зміни в регулювання збору та обміну персональними даними та змусила переглянути процеси їх обробки, як Європейський Союз прийняв нові нормативно-правові акти, які значно змінять правила гри для великих технологічних брендів. Вони створені з метою реформування захисту прав споживачів, зокрема щодо несправедливих умов контрактів, нечесної комерційної практики, зазначення ціни, а також зменшення антиконкурентної поведінки в галузях цифрової реклами та маркетингу. Ці два Акти відомі як Акт про цифрові ринки (Digital Markets Act) і Акт про цифрові послуги (Digital Services Act).
Наскільки жорсткими будуть нові європейські Акти, кого вони стосуватимуться та як можуть вплинути на український ринок ми розберемо у цій статті.
У чому ж різниця?
Акт про цифрові ринки (DMA) - розроблений для того, щоб покращити конкуренцію в цифровій індустрії, а також краще захистити основні права споживачів.
DMA має на меті зробити це шляхом врегулювання поведінки великих технологічних платформ, серед яких потенційно можуть бути Amazon, Meta і інші компанії, які визначені в рамках Акту як «гейткіпери»
Акт про цифрові послуги (DSA) розроблений для того, щоб посилити конкурентоспроможність компаній будь-якого розміру на онлайн-платформах і забезпечити регулювання контенту та прозорості на цих платформах.
Як бачимо, DSA також має на меті забезпечити рівні умови для компаній, що працюють в індустрії цифрового ринку, але більше уваги приділяє захисту прав споживачів шляхом забезпечення прозорості, захисту користувачів від незаконного контенту та притягнення до відповідальності за це онлайн-платформ.
Ключова різниця між Актами полягає в тому, що DMA створений для регулювання питань, пов'язаних із конкуренцією на цифровому ринку, натомість основною метою DSA має стати захист користувачів інтернету.
Обидва Акти і DMA, і DSA будуть застосовні до компаній в усіх країнах Європейського Союзу , включно з компаніями, які не розташовані в регіоні. Тобто, українські компанії, які діють на ринку ЄС, також підпадають під вказані Акти.
З'ясувавши природу актів, необхідно зазначити, що обидва Акти були ухвалені ще восени 2022 року, однак з метою надання підготовчого періоду впровадження нового регулювання у діяльність компаній Європейський Союз відтермінував застосування деяких положень Актів.
Так, окремі статі DSA вступили в силу 16 листопада 2022 року, однак повне застосування було відтерміновано до 17 лютого 2024 року. Натомість, застосування деяких норм DMA розпочалось у травні 2023 року, а в червні вступило в повну силу, і ми можемо прослідкувати це з новин на прикладі компанії Apple, яка дозволила установку сторонніх додатків на iPhone в країнах ЄС.
Хто такі «гейткіпери»?
Тож виникає питання, як визначити, чи є ваша компанія «гейткіпером», і чи існують критерії віднесення компанії до категорії «гейткіперів».
Згідно з DSA, ЄС розробив три тести для визнання компанії «гейткіпером», у разі відповідності хоча б одному з них компанія буде вважатись таким.
Тест 1: Компанія має значний вплив на внутрішній ринок
За принципом першого тесту компанія має перевірити, чи має вона значний вплив на ринок шляхом перевірки наступних порогових показників:
Компанія має річний оборот понад 7,5 мільярдів євро за кожний з останніх трьох фінансових років
Компанія має ринкову капіталізацію або еквівалентну справедливу ринкову вартість вище 75 мільярдів євро за останній фінансовий рік
Компанія здійснює свою діяльність принаймні у трьох державах-членах Європейського Союзу.
Тест 2: Компанія надає послуги, які дають доступ для бізнес-користувачів, щоб досягти кінцевих користувачів
Компанія має принаймні 45 мільйонів активних кінцевих користувачів щомісяця та принаймні 10 000 активних бізнес-користувачів, розташованих або зареєстрованих у ЄС
Тест 3: Компанія має значний вплив на ринку користувачів та займає провідне місце на такому ринку
Компанія вважається такою, якщо поріг встановлений у тесті 2 досягався в кожному з останніх трьох фінансових років.
Які обмеження та вимоги встановлює DMA?
Враховуючи попередні практики та випадки недобросовісної конкуренції, ЄС заборонив «гейткіперам» вчиняти, зокрема такі дії:
Ставитись до послуг і продуктів, які пропонує сам «гейткіпер», більш сприятливо в рейтингу, ніж до подібних послуг або продуктів, які пропонують треті сторони на платформі «гейткіпера».
Перешкоджати підключенню споживачів до компанії поза межами її платформ.
Забороняти користувачам видаляти будь-яке попередньо встановлене програмне забезпечення або програму, якщо вони бажають це зробити.
Відстежувати кінцевих користувачів за межами основної служби платформи «гейткіперів» з метою цільової реклами без отримання фактичної згоди.
Нав'язувати лише власні технічні продукти на своїх платформах.
Вимагати від розробників додатків використання певних послуг, які надає «гейткіпер», наприклад платіжних систем, щоб їх програмне забезпечення з'явилося в магазині додатків «гейткіпера».
Однак, окрім обмежень, DMA також передбачає і певні вимоги для впровадження на платформах «гейткіперів». Серед ключових ми виділили такі вимоги:
Дозволяти користувачам легко видаляти попередньо встановлені програми або змінювати параметри за замовчуванням в операційних системах, віртуальних помічниках і веб-браузерах, які спрямовують їх до власних продуктів і послуг «гейткіпера».
Дозволяти компаніям, які використовують платформу «гейткіпера», просувати зовнішні пропозиції та укладати контракти з клієнтами за межами платформи.
Дозволяти користувачам встановлювати сторонні додатки або магазини додатків, які використовують або взаємодіють з операційною системою «гейткіпера».
Надавати більш детальні дані про результати рекламних кампаній (у тому числі про ціни та методологію, за якою вони вираховуються).
DSA або захист споживачів в інтернеті
Паралельно з DMA, який спрямований на зменшення монополії глобальних корпорацій в інтернеті, Європейський Союз прийняв DSA, який має на меті захистити права кінцевих користувачів.
На кого розповсюджуються дія DSA?
DSA поширюється на посередницькі послуги, які надаються або пропонуються користувачам в країнах ЄС, до яких належить послуги «кешування», «простого каналу» та «хостингу», а також «онлайн-пошукових систем». DSA накладає додаткові зобов'язання на «онлайн-платформи», які надають посередницькі послуги.
Звучить складно, але насправді до онлайн-платформ, які надають посередницькі послуги, належать будь-які онлайн-сервіси, які дозволяють завантажувати, переглядати або обмінюватись повідомленнями, інформацією тощо (тобто це можуть бути будь-які соціальні мережі, месенджери, маркетплейси, хмарні сервіси).
Крім того, DSA має своїх «гейткіперів», але з іншою назвою. Акт визначає два види онлайн-платформ, які не є стандартними платформ, а є «дуже великими онлайн-платформи» (VLOP) або «дуже великими онлайн-пошукові системи» (VLOS). Такими платформами вважаються платформи які мають щонайменше 45 мільйонів активних користувачів щомісяця в ЄС.
Зобов'язання є сукупними і найбільш обтяжливі зобов'язання стосуються лише VLOP та VLOS.
Які обмеження та вимоги встановлює DSA?
Відповідно до DSA постачальники послуг хостингу мають:
надати механізм електронного звітування, який дозволяє будь-якій особі чи організації легко повідомляти про певні елементи незаконного вмісту. Постачальники повинні розглянути ці звіти та вжити відповідних заходів без зайвої затримки, а також, якщо це можливо, негайно видалити будь-який незаконний вміст, про який повідомляється;
надавати користувачам, зокрема фізичним та юридичним особам, які повідомляють про ймовірно незаконний вміст за допомогою механізму повідомлень і вжиття заходів, доступ до ефективного електронного внутрішнього механізму подання скарг для оскарження певних рішень щодо повідомленого вмісту та облікових записів
встановити нові вимоги щодо збору інформації та перевірки для онлайн-платформ, які дозволяють продавцям використовувати їхні послуги для укладення дистанційних контрактів зі споживачами. Зокрема, онлайн-платформи повинні отримати та докласти розумних зусиль для перевірки певної інформації про продавця перш ніж дозволити їм використовувати свої платформи
встановити вимоги щодо прозорості для посередників щодо модерації вмісту та онлайн-реклами з додатковими вимогами до VLOP і певними зобов'язаннями, які також застосовуються до VLOS. Зокрема, щодо забезпечення прозорості реклами - гарантувати, що для кожної конкретної реклами одержувач може ідентифікувати (1) що інформація, що відображається, є рекламою; (2) особу, від імені якої відображається реклама, (3) змістовну інформацію про основні параметри, що використовуються для визначення одержувача реклами;
проводити оцінку системних ризиків і вживати розумні, пропорційні та ефективні заходи пом'якшення для VLOP і VLOS. Усі онлайн-платформи також зобов'язані вживати певних заходів для забезпечення високого рівня конфіденційності, безпеки та безпеки неповнолітніх при наданні своїх послуг;.
створити незалежну функцію відповідності, яка підпорядковується безпосередньо керівному органу постачальника та може висловлювати занепокоєння та попереджати керівний орган про ризики невідповідності для кожного VLOP і VLOS;
публікувати середньомісячну кількість активних одержувачів за останні шість місяців у своєму онлайн-інтерфейсі;
подавати пояснення до загальнодоступної бази даних Європейської комісії.
Які санкції за порушення умов Актів?
Для DMA:
Для гейткіперів штрафи за порушення DSA можуть досягати 10% від загального обороту за попередній фінансовий рік, а при повторних порушеннях - 20% від обороту.
Для DSA:
Сума штрафної санкції залежить від суб'єкта та типу порушення, наприклад для VLOP і VLOS штраф може досягати 6% від загального обороту за попередній фінансовий рік.
Що робити далі?
Якщо ви вважаєтесь «гейткіпером» (за DMA), посередником, хостингом, онлайн-платформою, великою або дуже великою онлайн-платформою (VLOP чи VLOS) (за DSA), на вас чекають зміни. Що саме зміниться, залежить від виду послуг, які ви пропонуєте, або типу платформи, якою ви керуєте. Як служба вебхостингу ви матимете інші зобов'язання, ніж провайдер інтернет-мережі або торговельний майданчик. Не слід шукати універсального рішення.
На інших суб'єктів нове законодавство не матиме прямого впливу, але, безсумнівно, вони зіткнуться з непрямими наслідками.
Немає сумнівів, що прийняття Актів здійснить значний вплив на європейський цифровий ринок та визначить стандарти регулювання ІТ-гігантів, встановлюючи вищі стандарти для онлайн-платформ і зменшуючи домінування великих корпорацій на ринку. Світові компанії на власній практиці побачили, який значний вплив мав GDPR щодо захисту персональних даних, натомість, запровадження DMA та DSA розкриває ширші обмеження для великих гравців та надасть можливість для меншого онлайн-бізнесу, передбачаючи чіткий регуляторний моніторинг та надаючи можливість розширювати ваш бізнес без ризику иску з боку великих онлайн-платформ та «гейткіперів». Натомість, великим гравцям слід замислитись, чи вплине DSA та DMA на їхню бізнес-модель, чи потрібно вести бізнес по-іншому, чи потрібно буде вносити зміни в існуючі контракти та інші глобальні питання.
Наслідки для України
Хоча наслідки нового законодавства найсильніше відчують на собі технологічні гіганти в країнах ЄС, хвильові ефекти, безсумнівно, відчують усі організації, що використовують їхні платформи. Крім того, майже очевидним є той факт, що врегулювавши діяльність великих гравців та впровадивши справедливі умови, ЄС сприятиме змінам правил на ринку малих платформ. Саме тому досліджуючи приклади ІТ- гігантів, малим платформам слід розпочати вивчення потенційних можливих обмежень, які стосуватимуться і їхнього бізнесу.
Оскільки Україна перебуває в процесі поступової інтеграції в Європейський Союз, пріоритетним завданням нашої країни є гармонізація нашого законодавства з правом ЄС, і галузь ІТ не є виключенням. Так, зокрема за сприяння Міністерства цифрової трансформації України були прийняті Закони України «Про хмарні послуги», «Про стимулювання розвитку цифрової економіки в Україні», не припиняються дебати щодо необхідності оновити Закон України «Про персональні дані».
Виходячи з цього, стає очевидним, що сфера впливу DMA і DSA спочатку торкнеться українських компаній, які розпочали роботу в Європі, а в подальшому стосуватиметься і українського ринку ІТ- технологій.
Артем Бойко, юрист, KPMG в Україні
Богдан Скоропад, старший юридичний радник, KPMG в Україні
Спробуйте перше рішення для комплаєнс-контролю в Україні. LIGA360:Compliance надає повноту інформації для AML/KYC перевірок та процедури due dilligence. Верифікуйте контрагентів, оцінюйте санкційні та корупційні ризики щодо них. Замовте за посиланням.