Pewien czas temu na blogu „Prawo Biznesu” informowaliśmy o wejściu w życie i rozpoczęciu stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE[1] (nazywanego również Aktem o usługach cyfrowych – z ang. Digital Services Act – „DSA”), przedstawiając jego podstawowe założenia.
DSA to rozporządzenie unijne zawierające zharmonizowane regulacje dotyczące bezpiecznego, przewidywalnego i budzącego zaufanie środowiska internetowego, które ułatwia innowacje i w którym skutecznie chronione są prawa podstawowe zapisane w Karcie Praw Podstawowych UE, w tym zasada ochrony konsumentów. Wśród tych regulacji znajdują się m.in. unormowania określające szereg obowiązków dla adresatów rozporządzenia, którymi są dostawcy tzw. usług pośrednich (określonych przez przepisy DSA), w tym platformy internetowe i przeglądarki internetowe.
Zgodnie z art. 56 ust. 2 i 3 DSA organem odpowiedzialnym za nadzorowanie i egzekwowanie obowiązków z rozporządzenia w odniesieniu do bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych[2] (zdefiniowanych w art. 33 ust. 1 DSA) jest Komisja Europejska. W ramach swoich kompetencji może ona m.in. w drodze decyzji stwierdzić nieprzestrzeganie odpowiednich przepisów rozporządzenia (art. 73 DSA) oraz nałożyć na podmiot naruszający te przepisy grzywnę (art. 74 DSA).
W dniu 05.12.2025 r. Komisja Europejska po raz pierwszy skorzystała z przysługujących jej ww. kompetencji, wydając decyzję o stwierdzeniu naruszenia przepisów DSA przez zakwalifikowaną do bardzo dużych platform internetowych platformę X (d. Twitter) i nakładając na nią grzywnę. Decyzja ta jest efektem prowadzonego od 2023 r. formalnego postępowania, w toku którego w 2024 r. Komisja Europejska wydała wstępne ustalenia dotyczące naruszenia DSA przez platformę X.
Naruszenia przepisów DSA stwierdzone w decyzji Komisji Europejskiej
W wydanej decyzji Komisja Europejska stwierdziła, że platforma X dopuściła się naruszenia obowiązków wynikających z art. 25 ust. 1, art. 39 oraz art. 40 ust. 12 DSA.
Pierwszy z tych przepisów (art. 25 ust. 1 DSA) przewiduje, że dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji. Komisja Europejska uznała, że platforma X naruszyła ten przepis, ponieważ stosowanie przez platformę „niebieskiego znaku kontrolnego” w odniesieniu do „zweryfikowanych kont” wprowadzało użytkowników w błąd. Tymczasem na platformie X każdy mógł uzyskać status „zweryfikowanego konta” po wniesieniu stosownej opłaty abonamentowej, a przy tym sama platforma nie dokonywała weryfikacji tożsamości osoby prowadzącej dane konto. Zdaniem Komisji Europejskiej taki mechanizm znacząco utrudniał użytkownikom X ocenę autentyczności kont i rozpowszechnianych przez nie treści, a tym samym zwiększał możliwości podszywania się pod inne osoby czy dokonywania innego rodzaju manipulacji opinią publiczną. Co również istotne, Komisja Europejska interpretując tę regulację jednoznacznie stwierdziła, że DSA nie nakazuje platformom internetowym weryfikacji użytkowników. W tym przypadku miało jednak miejsce fałszywe twierdzenie, że użytkownicy zostali zweryfikowani, podczas gdy takiej weryfikacji nie było, a to – w świetle przepisów rozporządzenia – jest już niedopuszczalne.
Natomiast zgodnie z art. 39 DSA dostawca bardzo dużej platformy internetowej, który prezentuje reklamy na swoim interfejsie internetowym powinien zbierać i podawać do wiadomości publicznej w określonej sekcji interfejsu repozytorium zawierające wskazane w rozporządzeniu informacje o reklamie, dokładając przy tym starań, aby zapewnić prawdziwość i kompletność tych informacji. Takie repozytorium powinno zawierać m.in. następujące informacje o reklamie: treść reklamy (w tym nazwa produktu/usługi/marki) oraz przedmiot reklamy; osobę fizyczną lub prawną, w imieniu której reklama jest prezentowana, a jeżeli inna osoba zapłaciła za reklamę – również tę osobę; informację o tym, czy zamierzano prezentować reklamę konkretnie co najmniej jednej szczególnej grupie odbiorców usługi, a jeśli tak – główne parametry stosowane do tego celu. W tym zakresie Komisja Europejska stwierdziła, że repozytorium reklam na X nie spełnia wymogów przejrzystości i dostępności ustanowionych w DSA. Wskazano, że repozytorium to zawiera rozwiązania projektowe i bariery dostępu, które podważają cel repozytoriów reklam. Jednocześnie repozytorium reklam platformy nie zawiera kluczowych informacji, jak np. treść i przedmiot reklamy oraz podmiot, który za nią zapłacił. To wszystko – zdaniem Komisji Europejskiej – utrudnia badaczom i społeczeństwu obywatelskiemu niezależną kontrolę wszelkich potencjalnych zagrożeń, co jest niezwykle istotne w kontekście różnych niepożądanych zjawisk (oszustw, fałszywych reklam, kampanii hybrydowych czy skoordynowanych operacji informacyjnych).
Ostatnim z przepisów, których naruszenie przez X stwierdziła Komisja Europejska jest art. 40 ust. 12 DSA. W myśl tej regulacji dostawca bardzo dużej platformy internetowej powinien udzielać bez zbędnej zwłoki dostępu do danych dla badaczy, w tym osób powiązanych z organizacjami non-profit, spełniających warunki określone w rozporządzeniu, którzy wykorzystują dane wyłącznie do badań przyczyniających się do wykrywania, identyfikacji i zrozumienia ryzyka systemowego w UE. W odniesieniu do tego obowiązku zostało uznane, że platforma X nie zapewniała badaczom odpowiedniego dostępu do danych platformy. Warunki świadczenia usług przez X zabraniają uprawnionym badaczom niezależnego dostępu do danych publicznych, w tym poprzez tzw. scrapowanie. Dodatkowo procedury platformy dotyczące dostępu badaczy do danych nakładają niepotrzebne bariery, co prowadzi do skutecznego podważenia możliwości prowadzenia badań nad różnymi rodzajami ryzyka systemowego w UE.
Rozstrzygnięcia zawarte w decyzji Komisji Europejskiej
Jak już zostało wskazane powyżej, Komisja Europejska jako organ odpowiedzialny za nadzorowanie i egzekwowanie obowiązków z rozporządzenia w odniesieniu do bardzo dużych platform internetowych, wydając decyzję o stwierdzeniu nieprzestrzegania przepisów rozporządzenia (stosownie do art. 73 DSA), była również uprawniona do nałożenia na platformę X grzywny. Zgodnie z art. 74 ust. 1 DSA wysokość grzywny nie może przekraczać 6% łącznego światowego rocznego obrotu uzyskanego w poprzednim roku obrotowym przez danego dostawcę bardzo dużej platformy internetowej. Kierując się tymi unormowaniami, a także uwzględniając charakter naruszeń, ich wagę w odniesieniu do użytkowników z UE oraz czas ich trwania, Komisja Europejska nałożyła na X grzywnę w wysokości 120 mln euro.
Na podstawie art. 73 ust. 3 DSA, w decyzji o stwierdzeniu nieprzestrzegania przepisów rozporządzenia, Komisja Europejska nakazuje danemu dostawcy przyjęcie środków niezbędnych do zapewnienia wykonania decyzji w określonym rozsądnym terminie oraz udzielenie informacji na temat środków, które dostawca ten zamierza przyjąć w celu wykonania decyzji. Mając to na uwadze Komisja Europejska wyznaczyła termin 60 dni roboczych na poinformowanie jej przez platformę X o konkretnych środkach, które X zamierza podjąć w celu zaprzestania naruszenia art. 25 ust. 1 DSA dotyczącego „niebieskiego znaku kontrolnego”.
Stosownie do art. 75 ust. 2 DSA, w decyzji o stwierdzeniu nieprzestrzegania przepisów rozporządzenia, Komisja Europejska zobowiązuje dostawcę bardzo dużej platformy internetowej do porządzenia i przekazania, w rozsądnym terminie określonym w decyzji, koordynatorom ds. usług cyfrowych, Komisji i Radzie Usług Cyfrowych planu działania określającego niezbędne środki, które są wystarczające do zaprzestania lub usunięcia naruszenia. W tym kontekście Komisja Europejska wyznaczyła termin 90 dni roboczych na przedłożenie jej przez platformę X planu działania określającego niezbędne środki w celu przeciwdziałania naruszeniom art. 39 i art. 40 ust. 12 DSA w odniesieniu do repozytorium reklam i dostępu badaczy do danych. W ciągu miesiąca od otrzymania planu działania X Rada ds. Usług Cyfrowych wyda opinię w jego przedmiocie, po czym Komisja Europejska będzie miała kolejny miesiąc na wydanie ostatecznej decyzji i ustalenie rozsądnego terminu wdrożenia planu. Wydając decyzję, Komisja Europejska zastrzegła, że jej nieprzestrzeganie może prowadzić do nałożenia na X okresowych kar pieniężnych, o których mowa w art. 76 DSA.
Znaczenie decyzji Komisji Europejskiej w kontekście egzekwowania obowiązków z DSA w przyszłości
Omawiana decyzja Komisji Europejskiej ma tak istotne znaczenie, ponieważ jest to pierwszy przypadek zastosowania mechanizmów nadzorczych i egzekwujących realizację obowiązków wynikających z DSA – po raz pierwszy zostało przeprowadzone formalne postępowanie obejmujące ustalenia wstępne i zakończone stwierdzeniem naruszenia przepisów rozporządzenia oraz nałożeniem grzywny. Co równie istotne decyzja ta pozwala na wyciągnięcie pierwszych wniosków co do wykładni poszczególnych przepisów DSA przez właściwe organy w kolejnych postępowaniach, czego najlepszym przykładem jest stanowisko Komisji Europejskiej, że rozporządzenie nie nakazuje platformom internetowym weryfikacji użytkowników. Jest bowiem wielce prawdopodobne, że w nieodległej przyszłości Komisja Europejska podejmie kolejne kroki w związku z działaniem bardzo dużych platform internetowych, na co wskazują choćby zarzuty dotyczące funkcjonowania dostępnego na X modelu sztucznej inteligencji Grok.
W kontekście stosowania DSA w przyszłości należy również pamiętać, że zobowiązanymi do realizacji obowiązków wynikających z tego rozporządzenia są nie tylko tak potężne marki jak X, Facebook czy YouTube. Adresatami DSA mogą być zdecydowanie mniejsze podmioty, jeśli tylko są dostawcami usług pośrednich. W odniesieniu do nadzorowania i egzekwowania realizacji obowiązków przez takie podmioty, organem odpowiedzialnym nie będzie jednak Komisja Europejska, ale właściwe organy Państw Członkowskich UE, w szczególności krajowi koordynatorzy ds. usług cyfrowych. Pomimo że DSA jest rozporządzeniem unijnym, którego przepisy już stanowią część porządku prawnego poszczególnych Państw Członkowskich UE, to w celu zapewnienia pełnej skuteczności regulacji, powinny one przyjąć odpowiednie przepisy krajowe, których rolą jest dookreślenie pewnych kwestii objętych unijnym rozporządzeniem (np. określenie sankcji mających zastosowanie w przypadku naruszeń DSA przez podmioty podlegające kompetencji organów krajowych) czy też wskazanie właściwych organów (np. koordynatora ds. usług cyfrowych).
W przypadku Polski tymi przepisami miały być regulacje ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną oraz niektórych innych ustaw[3]. Ustawa ta przewiduje, że polskimi organami właściwymi są Przewodniczący Krajowej Rady Radiofonii i Telewizji, Prezes Urzędu Ochrony Konkurencji i Konsumentów oraz Prezes Urzędu Komunikacji Elektronicznej, przy czym ten ostatni pełni funkcję koordynatora ds. usług cyfrowych. Jednocześnie w ustawie tej sprecyzowano zakres właściwości każdego z tych organów. Dodatkowo ustawa ta określa m.in. aspekty proceduralne związane z nakazami podjęcia działań przeciwko nielegalnym treściom czy usunięcia ograniczeń nałożonych przez dostawcę usługi hostingu, a także zasady certyfikacji organów pozasądowego rozstrzygania sporów dotyczących decyzji dostawców platform internetowych. Na chwilę obecną ustawa ta w kształcie przyjętym przez Sejm z uwzględnieniem poprawek Senatu nie weszła jednak w życie z uwagi na weto Prezydenta RP. Dopiero wejście w życie regulacji w tym przedmiocie zapoczątkuje egzekwowanie mechanizmów DSA w Polsce w pełnym zakresie.
Autorami wpisu są:
Kamil Kaczmarek – Junior Associate, aplikant adwokacki
Katarzyna Sieliwonik – Senior Associate, adwokat
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz. U. UE L 277 z 27.10.2022 r., s. 1).
[2] Bardzo duże platformy internetowe i bardzo duże wyszukiwarki internetowe wskazane na podstawie art. 33 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) (Dz. U. UE C 1320 z 05.02.2024 r.). Na tej liście prowadzonej przez Komisję Europejską znajdują się m.in. Facebook, Instagram, TikTok i YouTube (jako bardzo duże platformy internetowe) oraz Bing i Google Search (jako bardzo duże przeglądarki internetowe).
[3] Ustawa z dnia 18 grudnia 2025 r. o zmianie ustawy o świadczeniu usług drogą elektroniczną oraz niektórych innych ustaw. Informacje o przebiegu prac legislacyjnych nad ustawą, uzasadnienie do projektu ustawy oraz tekst ustawy ustalony ostatecznie po rozpatrzeniu poprawek Senatu dostępne na stronie internetowej Sejmu RP: https://www.sejm.gov.pl/sejm10.nsf/PrzebiegProc.xsp?nr=1757
