Digital Services Act (DSA), på svenska ”Rättsakten om digitala tjänster”, är ett lagpaket från EU-kommissionen. Målsättningen är att skapa nya förutsättningar för mellanhänder på internet, anpassade efter de senaste tjugo årens utveckling. Stora, viktiga frågor om mellanhänders juridiska ansvar för användares kommunikation, särskilda krav på dominerande plattformar och eventuella filter av allt på internet kommer avgöras i DSA.
Digital Services Act kommer vara en av de viktigaste, mest fundamentala lagpaketen för vår digitala framtid, med konsekvenser för internet och vårt samhälle i flera decennier framåt.
Här går vi ganska noggrant igenom vad kommissionens förslag till DSA innehåller, med reservation för att vi inte är jurister och säkert kan ha missförstått något här och var, och för att vi utelämnat vissa mindre intressanta delar. Vill du ha sammanfattningen kan du gå till vår översiktssida om DSA.
Här kan du läsa hela kommissionens förslag.
Vi återkommer med mer ingående analyser av vad som ingår i DSA-förslaget, men kanske framför allt vad som inte ingår i det, som till exempel rätt till anonymitet, skydd för kryptering och förbud mot uppladdningsfilter.
Inledande bestämmelser och definitioner
>DSA ska råda ”without prejudice to” bland annat TERREG och upphovsrättsdirektivet, vilket ska tolkas som att den inte retroaktivt överskrider dessa. Strider något i t.ex. TERREG mot DSA, så har alltså TERREG företräde.
Mellanhänder (”intermediary service”) definieras som antingen (i) en ”mere conduit” (en tjänst som består i att ge tillgång till eller utgöra ett kommunikationsnätverk), (ii) en ”caching service” (en tjänst som består i att lagra information åt användare i syfte att göra dennes kommunikation med tredje part effektivare), eller (iii) en ”hosting service” (en tjänst som lagrar information åt användare).
Dessa tre kategorier är samma tre som omfattas av e-handelsdirektivets paragraf om Safe Harbor, och omfattar ungefär (i) internetoperatörer, (ii) mailleverantörer och (iii) molntjänster.
Plattformar (”online platforms”) definieras som en ”hosting service” (se (iii) ovan), som åt sina användare lagrar och tillgängliggör information till allmänheten – så länge detta inte bara är en bieffekt av den tjänst som erbjuds. Att tillgängliggöra information för allmänheten (”dissemination to the public”) definieras som att göra det möjlighet för en potentiellt obegränsad mängd personer att komma åt informationen.
Reklam definieras som information som en naturlig eller juridisk person betalat för att sprida – oavsett syfte med denna information. Det omfattar alltså även propaganda för till exempel politiska åsikter.
Rekommendationssystem (”recommender system”) definieras som ett åtminstone delvis automatiserat system för att föreslå och ranka information till användare av en plattform – både vid sökningar och vid bläddring i någon form av feed.
Dessa tre kategorier är samma tre som omfattas av e-handelsdirektivets paragraf om Safe Harbor, och omfattar ungefär (i) internetoperatörer, (ii) mailleverantörer och (iii) molntjänster.
Plattformar (”online platforms”) definieras som en ”hosting service” (se (iii) ovan), som åt sina användare lagrar och tillgängliggör information till allmänheten – så länge detta inte bara är en bieffekt av den tjänst som erbjuds. Att tillgängliggöra information för allmänheten (”dissemination to the public”) definieras som att göra det möjlighet för en potentiellt obegränsad mängd personer att komma åt informationen.
Reklam definieras som information som en naturlig eller juridisk person betalat för att sprida – oavsett syfte med denna information. Det omfattar alltså även propaganda för till exempel politiska åsikter.
Rekommendationssystem (”recommender system”) definieras som ett åtminstone delvis automatiserat system för att föreslå och ranka information till användare av en plattform – både vid sökningar och vid bläddring i någon form av feed.
Budbärarimmunitet – nättjänsters ansvar för sina användares brott
>”Mere conduit”-tjänster är inte juridiskt ansvariga för sina användares ageranden, så länge mellanhanden inte: (i) initierade överföringen av information, (ii) valde ut mottagaren av informationen, eller (iii) valt ut eller modifierat informationen.
”Caching”-tjänster är inte juridiskt ansvariga för sina användares kommunikation, så länge: (i) de inte modifierar informationen, (ii) de följer villkor för tillgång till informationen, (iii) de följer regler gällande uppdatering av informationen, (iv) de inte stoppar laglig användning av teknik för att få tillgång till data om informationen, (v) de snabbt (”expeditiously”) tar bort eller stänger av tillgång till informationen om de får kännedom (”actual knowledge”) om att informationen tagits bort från källan, eller att domstol/”administrative authority” beordrat borttagande.
”Hosting”-tjänster är inte juridiskt ansvariga för lagring av sina användares information, så länge de: (i) inte har kännedom (”actual knowledge”) om illegal aktivitet eller illegalt innehåll, (ii) snabbt tar bort sådant material när de väl får kännedom om dess illegalitet.
Detta undantag från juridiskt ansvar gäller inte när användaren av tjänsten styrs (”is acting under the authority of or the control”) av den som äger tjänsten.
Ett andra undantag finns gällande konsumentskyddslagar, där plattformar (en delmängd av ”hosting”-tjänster) som tillåter konsumenter att sluta kontrakt med tredje parter, ifall en rimligt insatt konsument har svårt att skilja den tredje parten från plattformen själv.
Detta undantag från juridiskt ansvar gäller inte när användaren av tjänsten styrs (”is acting under the authority of or the control”) av den som äger tjänsten.
Ett andra undantag finns gällande konsumentskyddslagar, där plattformar (en delmängd av ”hosting”-tjänster) som tillåter konsumenter att sluta kontrakt med tredje parter, ifall en rimligt insatt konsument har svårt att skilja den tredje parten från plattformen själv.
Tjänster blir inte av med sitt undantag från juridiskt ansvar ifall de på egen hand undersöker information de hanterar för att se ifall den är olaglig.
Myndigheters möjlighet att begära borttagande av information
>Ingen tjänst kan tvingas av medlemsstater eller EU att införa ”general monitoring obligations” i syfte att upptäcka illegal aktivitet.
Med andra ord kan inte stater kräva att tjänsteleverantörer kontinuerligt granskar ifall någon användare begår ett brott. Intressant nog kan artikel 1 tolkas så att undantag från denna regel gäller för TERREG och upphovsrättsdirektivet.
Med andra ord kan inte stater kräva att tjänsteleverantörer kontinuerligt granskar ifall någon användare begår ett brott. Intressant nog kan artikel 1 tolkas så att undantag från denna regel gäller för TERREG och upphovsrättsdirektivet.
Ifall relevanta myndigheter beordrar en mellanhand att ta bort information ska denne agera utan onödiga förseningar och informera myndigheten om vidtagna åtgärder.
Myndigheternas order måste innehålla belägg för att informationen är illegal, med hänvisning till lagrum.
Myndigheternas order måste innehålla belägg för att informationen är illegal, med hänvisning till lagrum.
På liknande sätt som i artikel 8 ska mellanhänder bistå med information om användare till myndigheter, så länge myndigheterna bifogar till ordern: (i) varför man begär ut informationen, och (ii) varför informationen är nödvändig och proportionerlig för att avgöra ifall användaren begått brott.
Dessutom får ordern bara begära sådan information som mellanhanden redan samlat in för andra syften.
Dessutom får ordern bara begära sådan information som mellanhanden redan samlat in för andra syften.
Due diligence-krav på mellanhänder
>Mellanhänder ska ha en offentlig kontaktmetod som myndigheter kan använda.
Mellanhänder ska ha en juridisk företrädare (”legal representative”) i EU.
Mellanhänder ska inkludera alla begränsningar i användarnas frihet att använda deras tjänst i sina användaravtal. Detta inkluderar all form av moderering (”content modertion”), både algoritmiskt och mänskligt utförd. Detta ska gå att förstå och vara tydligt skrivet.
Mellanhänder får inte upprätthålla dessa avtal hur som helst, utan måste agera ”diligent, objective and proportionate” i sin tillämpning av avtalstexten. Dessutom måste de ta användarnas rättigheter i åtanke.
Mellanhänder får inte upprätthålla dessa avtal hur som helst, utan måste agera ”diligent, objective and proportionate” i sin tillämpning av avtalstexten. Dessutom måste de ta användarnas rättigheter i åtanke.
En gång om året ska mellanhänder publicera en transparensrapport om moderering de utfört under året, inklusive hur många ordrar man tagit emot från myndigheter (se artiklarna 8-9) och privata aktörer (se artikel 14); i de senare fallen ska man även berätta grunden för moderering, ifall materialet bröt mot användaravtal eller lagen.
Mest intressant är kanske kravet på att vara transparenta i vilken moderering man själva gjort. Mellanhänder ska berätta ”the number and type of measures taken that affect the availability, visibility and accessibility of information” som användare lagt ut.
Ett undantag införs här för mellanhänder som kvalificerar sig som mikro- eller småföretag enligt 2003/361/EC (färre än 50 anställda och mindre än tio miljoner euro i omsättning eller tillgångar).
Mest intressant är kanske kravet på att vara transparenta i vilken moderering man själva gjort. Mellanhänder ska berätta ”the number and type of measures taken that affect the availability, visibility and accessibility of information” som användare lagt ut.
Ett undantag införs här för mellanhänder som kvalificerar sig som mikro- eller småföretag enligt 2003/361/EC (färre än 50 anställda och mindre än tio miljoner euro i omsättning eller tillgångar).
Due diligence-krav på ”hosting”-tjänster (inklusive plattformar)
>Vem som helst ska kunna informera en mellanhand om information som informatören anser vara olaglig. Detta ska vara enkelt att göra.
Följande ska inkluderas: (i) en förklaring av varför informationen anses vara illegal, (ii) URL till informationen, (iii) identifierande information om informatören, och (iv) försäkran om att man lämnat korrekt och fullständig information.
Den mellanhand som mottar en sådan information ska anses ha kännedom om brott enligt artikel 5.
Mellanhänder ska processa sådana krav snabbt och grundligt. Om de gör detta på automatisk väg ska information om detta framgå i meddelande till berörda parter.
Följande ska inkluderas: (i) en förklaring av varför informationen anses vara illegal, (ii) URL till informationen, (iii) identifierande information om informatören, och (iv) försäkran om att man lämnat korrekt och fullständig information.
Den mellanhand som mottar en sådan information ska anses ha kännedom om brott enligt artikel 5.
Mellanhänder ska processa sådana krav snabbt och grundligt. Om de gör detta på automatisk väg ska information om detta framgå i meddelande till berörda parter.
Mellanhänder som tar bort eller förhindrar tillgång till information ska omgående informera den berörda uppladdaren med ”clear and specific statement of reasons”, vilket måste inkludera bland annat vilken grund (”facts and circumstances”) man tagit beslutet på, om beslutet tagits automatiskt och förklaring av varför materialet anses vara illegalt eller bryter mot användaravtalet (om någotdera är tillämpligt.
Due diligence-krav på plattformar (men inte andra ”hosting”-tjänster)
>Undantag görs för mikro- och småföretag igen, för artiklarna 17-24.
I minst sex månader efter att beslut om att ta bort eller förhindra tillgång till information tagits ska plattformar ha en intern överklagningsmekanism som är tillgänglig för berörd användare.
Om överklagan innehåller information som gör att tidigare beslut framstår som felaktigt, ska plattformen backa från sitt tidigare beslut.
Beslut om överklagan får inte tas på (helt) automatisk väg.
Om överklagan innehåller information som gör att tidigare beslut framstår som felaktigt, ska plattformen backa från sitt tidigare beslut.
Beslut om överklagan får inte tas på (helt) automatisk väg.
Utomrättsliga organisationer för tvistelösning gällande information på plattformar ska kunna finnas. För att få verka ska de certifieras av nationell Digital Services Coordinator. Certifieringen kräver att organisationen är opartisk, oberoende, har nödvändig kunskap, är tillgänglig, effektiv och följer normerad ordning (”clear and fair rules of procedure”).
Användare som påverkats av plattformars beslut att ta bort/förhindra tillgång till information ska kunna välja vilken sådan utomrättslig organisation som helst, vilken är certifierad, för att hantera dispyter.
Organisationen får maximalt ta så mycket betalt som proceduren kostat. Om plattformen vinner dispyten behöver inte användaren betala plattformens kostnader, men vice versa gäller inte.
Användare som påverkats av plattformars beslut att ta bort/förhindra tillgång till information ska kunna välja vilken sådan utomrättslig organisation som helst, vilken är certifierad, för att hantera dispyter.
Organisationen får maximalt ta så mycket betalt som proceduren kostat. Om plattformen vinner dispyten behöver inte användaren betala plattformens kostnader, men vice versa gäller inte.
En medlemsstats Digital Services Coordinator ska kunna utse ”trusted flaggers”, ifall dessa visat sig ha nödvändig kunskap för att hitta och identifiera illegalt innehåll och representera kollektiva intressen separat från någon plattform.
När ”trusted flaggers” begär att material tas ned i enlighet med artikel 14 ska deras krav hanteras skyndsamt och före andras krav.
Kommissionen ska ha en offentlig och uppdaterad databas av alla ”trusted flaggers”.
Om en plattform upptäcker att en ”trusted flagger” upprepat har lämnat felaktiga begäranden ska den informera berörd Digital Services Coordinator, vilken ska undersöka ifall licensen ska dras in.
När ”trusted flaggers” begär att material tas ned i enlighet med artikel 14 ska deras krav hanteras skyndsamt och före andras krav.
Kommissionen ska ha en offentlig och uppdaterad databas av alla ”trusted flaggers”.
Om en plattform upptäcker att en ”trusted flagger” upprepat har lämnat felaktiga begäranden ska den informera berörd Digital Services Coordinator, vilken ska undersöka ifall licensen ska dras in.
Användare som upprepat laddar upp illegal information ska stängas av av plattformen, men de måste först ha mottagit en varning.
Personer/organisationer som upprepat skickar ogrundade krav enligt artiklarna 14/17 ska också kunna stängas av på liknande sätt.
Vid avstängning ska plattformen ta hänsyn till hur allvarligt missbruket av tjänsten är, hur många gånger missbruk skett, andel missbruk till normalt bruk och uppsåt.
Personer/organisationer som upprepat skickar ogrundade krav enligt artiklarna 14/17 ska också kunna stängas av på liknande sätt.
Vid avstängning ska plattformen ta hänsyn till hur allvarligt missbruket av tjänsten är, hur många gånger missbruk skett, andel missbruk till normalt bruk och uppsåt.
Om en plattform har kännedom om information som väcker misstanke att allvarligt brott (risk för liv och individuell säkerhet) har begåtts, pågår eller kommer begås, ska den informera myndigheter.
Plattformar som tillåter tredjepartsförsäljare ska samla in information om dessa, inklusive personligt identifierande information, kopia av ID, bankuppgifter, med mera.
Plattformen ska göra rimliga ansträngningar för att kontrollera så att lämnad information är pålitlig.
Informationen ska tas bort när försäljaren slutar använda plattformen.
Plattformen ska göra rimliga ansträngningar för att kontrollera så att lämnad information är pålitlig.
Informationen ska tas bort när försäljaren slutar använda plattformen.
Utöver kraven på transparensrapport som finns i artikel 13 ska plattformar också delge statistik om utomrättsliga organisationer för tvistlösning (artikel 18), avstängda användare/”notifiers” (artikel 20), och användning av automatiserad moderering – inklusive syfte och träffsäkerhet.
Plattformar som visar reklam ska säkerställa att användare kan enkelt identifiera att visad information är reklam, vem som står bakom den och varför den visas för just denne användare.
Due diligence-krav på plattformsjättar (men inte andra plattformar)
>Plattformar räknas som jättar ifall de har genomsnittligen fler än 45 miljoner europeiska användare per månad (justeras för demografisk förändring).
Plattformsjättar ska årligen göra en riskanalys av sina tjänster, bland annat av spridning av illegalt innehåll, negativa effekter på medborgerliga rättigheter till privatliv, informationsfrihet och yttrandefrihet (bland annat) och manipulering av deras tjänster med negativa konsekvenser för hälsa, barn, det offentliga samtalet, allmänna val eller allmän säkerhet.
Särskild hänsyn ska tas till deras system för moderering, rekommendationer och reklamvisning.
Särskild hänsyn ska tas till deras system för moderering, rekommendationer och reklamvisning.
Plattformsjättar ska sedan implementera åtgärder för att motverka riskerna de identifierat genom artikel 26.
Plattformsjättar ska på egen bekostnad minst en gång om året granskas för att säkerställa efterlevnad av sina skyldigheter enligt DSA. Granskning ska göras av oberoende, kompetenta och objektiva organisationer.
Granskningsrapporter ska publiceras med slutsatser, metodologi och avgörande om huruvida jätten följt kraven i DSA.
Om granskningen kommer fram till att jätten inte följt kraven ska den lämna rekommendationer, som jätten ska ta hänsyn till inom en månad, varefter rapport ska lämnas om vad de gjort och varför.
Granskningsrapporter ska publiceras med slutsatser, metodologi och avgörande om huruvida jätten följt kraven i DSA.
Om granskningen kommer fram till att jätten inte följt kraven ska den lämna rekommendationer, som jätten ska ta hänsyn till inom en månad, varefter rapport ska lämnas om vad de gjort och varför.
Om plattformsjättar använder rekommendationssystem ska användaravtalen tydligt kommunicera grunderna för rekommendationssystemet och vilka möjligheter man som användare har för att influera det.
Användaren ska ha minst ett alternativ till rekommendationssystem som inte grundas på profilering.
Finns mer än ett alternativ till rekommendationssystem ska det vara enkelt för användare att byta mellan dem.
Användaren ska ha minst ett alternativ till rekommendationssystem som inte grundas på profilering.
Finns mer än ett alternativ till rekommendationssystem ska det vara enkelt för användare att byta mellan dem.
Plattformsjättar som visar reklam på sina plattformar ska ha API-er med information om innehåll i reklam, vem som står bakom den, när den visades, om och hur annonsen riktats och hur många som sett reklamen.
Plattformsjättar ska överlämna sådan information som behövs för att kontrollera att de efterlever DSA till Digital Services Coordinator, när de ombeds att göra detta.
Jättar ska också överlämna information till forskare på systemiska risker (artikel 26), när Digital Services Coordinator ber om det.
Jättar ska också överlämna information till forskare på systemiska risker (artikel 26), när Digital Services Coordinator ber om det.
Plattformsjättar ska ha minst en ansvarig person för efterlevnad av DSA.
Plattformsjättar ska i sina transparensrapporter (artikel 13) dessutom bifoga riskanalyser (artikel 26) och åtgärder (artikel 27) och granskningar (artikel 28).
Lite allmän byråkrati
>Kommissionen ska stödja utvecklingen av frivillig industripraxis och standarder för systemen som behövs för att skicka begäranden enligt artiklarna 14 och 19 och att göra granskningar enligt artikel 28, för API-er som ger möjlighet att granska efterlevnad av artiklarna 30 och 31, för interoperabilitet av reklam-databaserna i artikel 30, för överföring av information mellan reklam-mellanhänder i syfte att efterleva artikel 24.
Kommissionen och Digital Services Coordinators ska ta fram uppförandekoder i syfte att efterleva DSA, när det är relevant i samarbete med jättar, civilsamhället och plattformar.
Liknande uppförandekoder ska arbetas med för att stärka transparensen inom digital marknadsföring.
Krisplaner för extraordinära omständigheter ska kunna skapas av kommissionen tillsammans med jättar och andra plattformar.
Digital Services Coordinators (DSC)
>Medlemsstater ska skapa/utse myndigheter som agerar som DSC, vilka är ansvariga för tillämpning av DSA inom den medlemsstaten.
Digital Services Coordinator ska vara opartiska och transparenta, men också helt oberoende från yttre inflytande.
Digital Services Coordinator ges lite särskilda befogenheter. De ska kunna begära ut information som behövs för att avgöra om aktörer följer DSA, göra fysiska utredningar av t.ex. plattformars kontor där de kan beslagta information som behövs för utredning, och fråga ut anställda/representanter.
De ska också kunna dela ut böter i enlighet med artikel 42 och utfärda order om att avbryta brott mot DSA.
De ska kunna – vid särskilda omständigheter – begära av domstol att beordra blockering av tillgång till tjänster som bryter mot DSA.
De ska också kunna dela ut böter i enlighet med artikel 42 och utfärda order om att avbryta brott mot DSA.
De ska kunna – vid särskilda omständigheter – begära av domstol att beordra blockering av tillgång till tjänster som bryter mot DSA.
Maxböter för brott mot DSA är 6% av årlig inkomst eller omsättning.
Användare av tjänster ska kunna anmäla dessas brott mot DSA till sin Digital Services Coordinator.
Kommissionens tillämpningsmandat
>Om nationella Digital Services Coordinators inte tillämpar delar av DSA kan kommissionen gå in och öppna ”proceedings” mot plattformsjättar.
Kommissionen kan efter utredning (artikel 51) besluta att plattformsjättar bryter mot DSA.
Om kommissionen beslutar att plattformsjättar inte följer DSA kan de utdela böter på maximalt 6% av årlig omsättning.
Användarorganisationer
>Användare av mellanhandstjänster ska kunna skapa en organisation som företräder deras rättigheter enligt artiklarna 17-19. Sådana organisationer måste vara ideella och ha i sina stadgar att de har ett intresse av att se till att DSA efterlevs.