TL;DR: Europejska Rada Ochrony Danych (EROD) opublikowała długo oczekiwane wytyczne w sprawie relacji Aktu o Usługach Cyfrowych i RODO. Ten dokument kończy okres spekulacji, precyzując, jak dostawcy usług cyfrowych muszą pogodzić nowe obowiązki w zakresie moderacji treści, reklamy online i ochrony użytkowników z fundamentalnymi zasadami ochrony danych. Wytyczne EROD nr 3/2025 potwierdzają podstawową zasadę: DSA nie uchyla ani nie zastępuje RODO – oba akty prawne muszą być stosowane wspólnie. Zmusza to firmy do natychmiastowego przeglądu swoich procesów weryfikacji podstaw prawnych dla moderacji treści, wprowadzenia bezwzględnego zakazu wykorzystywania danych wrażliwych do profilowania w reklamach, nawet przy pozyskaniu zgody, oraz nałożenia nowych obowiązków na największe platformy. Pamiętajmy jednak, że to póki co jedynie wytyczne a diabeł, jak zwykle, tkwi w szczegółach.
Kluczowe pojęcia:
- DSA: Akt o Usługach Cyfrowych (Digital Services Act): rozporządzenie UE regulujące obowiązki dostawców usług cyfrowych, w tym platform internetowych.
- RODO (GDPR): Ogólne rozporządzenie o ochronie danych.
- VLOP/VLOSE: Bardzo duża platforma internetowa / Bardzo duża wyszukiwarka internetowa – podmioty o ponad 45 mln aktywnych użytkowników miesięcznie w UE, objęte najsurowszymi obowiązkami DSA.
- Koordynator ds. Usług Cyfrowych: Organ w każdym państwie członkowskim odpowiedzialny za nadzór nad stosowaniem DSA.
- Deceptive pattern (zwodniczy wzorzec): Interfejs użytkownika celowo zaprojektowany tak, by nakłonić go do podjęcia niezamierzonych i często niekorzystnych decyzji.
Jak EROD definiuje relację DSA i RODO?
Wytyczne kategorycznie stwierdzają, że DSA nie ma automatycznego pierwszeństwa wobec RODO. Zamiast tego, oba akty należy interpretować w sposób, który zapewnia ich spójne i komplementarne stosowanie. W praktyce, każdy obowiązek wynikający z DSA, który wymaga przetwarzania danych osobowych, musi znaleźć swoją podstawę i być realizowany w pełnej zgodności z reżimem RODO.
Ta zasada rodzi poważne konsekwencje dla organów nadzorczych i samego biznesu, zwłaszcza w kontekście zasady zakazu podwójnego karania za ten sam czyn. EROD podkreśla konieczność ścisłej i lojalnej współpracy między krajowymi Koordynatorami ds. Usług Cyfrowych a organami ochrony danych, takimi jak polski Prezes UODO. Trybunał Sprawiedliwości UE, m.in. w sprawie C-117/20 bpost, wielokrotnie potwierdzał, że aby uniknąć naruszenia tej fundamentalnej zasady, działania różnych organów muszą być przewidywalne i skoordynowane.
Dla firm oznacza to potencjalne ryzyko bycia podmiotem dochodzeń prowadzonych przez dwa różne organy w sprawie jednego, złożonego incydentu.
Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych (IOD) do naszej kancelarii. Sprawdź, jak możemy Ci pomóc!
Moderacja treści – obowiązki wynikające z DSA a rozporządzenie RODO
DSA nakłada na platformy obowiązki związane z mechanizmami zgłaszania i usuwania nielegalnych treści („notice and action”). Realizacja tych zadań nieuchronnie wiąże się z przetwarzaniem danych osobowych – zarówno osoby zgłaszającej, jak i twórcy treści. Wytyczne EROD precyzują, że podstawa prawna dla tych działań musi być starannie dobrana. Firmy stają przed wyborem między powołaniem się na obowiązek prawny (art. 6 ust. 1 lit. c RODO), gdy wynika on z konkretnej ustawy, a prawnie uzasadnionym interesem (art. 6 ust. 1 lit. f RODO), który wymaga przeprowadzenia rygorystycznego testu równowagi.
Szczególne wyzwanie stanowi automatyzacja decyzji o usunięciu treści. Wytyczne przypominają o art. 22 RODO, a wyrok TSUE w sprawie C-634/21 OQ (SCHUFA Holding) znacząco rozszerzył definicję „decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu”. Oznacza to, że nawet jeśli formalnie ostateczną decyzję podejmuje człowiek, ale w praktyce jego rola jest iluzoryczna i opiera się on w pełni na rekomendacji algorytmu, taki proces może podlegać pod surowe ograniczenia art. 22 RODO. Platformy muszą więc zapewnić realny i znaczący nadzór ludzki nad swoimi systemami moderacji.
Sprawdź również: Brak odpowiedzi na pismo z UODO. Co za to grozi i jakie są konsekwencje?
Rewolucja w reklamie online, profilowaniu i systemach rekomendacji
Wytyczne EROD wprowadzają zmiany w ekosystemie reklamy online. Najważniejszą z nich jest interpretacja art. 26 ust. 3 DSA, który ustanawia bezwzględny zakaz prezentowania reklam opartych na profilowaniu z wykorzystaniem szczególnych kategorii danych osobowych (danych wrażliwych z art. 9 RODO). Co kluczowe, zakaz ten obowiązuje nawet wtedy, gdy użytkownik wyraził na to wyraźną zgodę zgodnie z wymogami RODO. W praktyce oznacza to koniec możliwości targetowania reklam na podstawie danych (również tych wywiedzionych) dotyczących zdrowia, poglądów politycznych, orientacji seksualnej czy przekonań religijnych.
Dla największych graczy (VLOP i VLOSE) dochodzi kolejny obowiązek: muszą oni zaoferować użytkownikom co najmniej jedną opcję swojego systemu rekomendacji, która nie jest oparta na profilowaniu. Wybór ten musi być przedstawiony w sposób neutralny, bez stosowania zwodniczych wzorców (deceptive patterns) nakłaniających do wyboru opcji spersonalizowanej. Sam temat „deceptive patterns” leży na styku kompetencji organów. Jeśli zwodniczy interfejs ma na celu wyłącznie nakłonienie do zakupu, sprawą zajmie się organ ds. DSA. Jeśli jednak jego celem jest wyłudzenie zgody na przetwarzanie danych, właściwy będzie organ ochrony danych.
DSA a RODO. Diabeł jak zawsze tkwi w szczegółach
Złożoność relacji DSA i RODO najlepiej widać w skomplikowanych scenariuszach biznesowych. Wytyczne zmuszają do refleksji nad odpowiedzialnością w całym łańcuchu reklamowym. Nie tylko platforma, ale również reklamodawca zlecający kampanię i agencja mediowa ją realizująca muszą upewnić się, że kryteria targetowania nie opierają się na danych wrażliwych. Równie problematyczne stają się spory transgraniczne. Skarga polskiego użytkownika na platformę z siedzibą w Irlandii może uruchomić skomplikowany dialog między polskim Koordynatorem ds. Usług Cyfrowych a irlandzkim organem ochrony danych, testując w praktyce mechanizmy współpracy przewidziane w obu rozporządzeniach.
Najtrudniejszy test dla platform stanowi jednak sytuacja, gdy „nielegalna treść” to dane osobowe innej osoby – na przykład zdjęcie opublikowane bez zgody. Platforma staje wówczas w centrum konfliktu między prawem do prywatności osoby ze zdjęcia (RODO) a prawem do wolności wypowiedzi autora treści. Wytyczne nie dają prostej odpowiedzi, wskazując, że każdy taki przypadek wymaga starannej, indywidualnej oceny i wyważenia konkurujących ze sobą praw podstawowych.
| Rodzaj naruszenia |
Organ właściwy (prawdopodobnie) |
Podstawa prawna |
Przykład |
| Wyciek danych z platformy |
Prezes UODO |
RODO |
Haker kradnie bazę danych użytkowników. |
| Zwodniczy interfejs (dark pattern) |
Koordynator ds. Usług Cyfrowych (KKE) |
DSA |
Platforma utrudnia usunięcie konta. |
| Naruszenie „na styku” |
Współpraca KKE i PUODO |
DSA + RODO |
Zwodniczy interfejs skłaniający do nieświadomej zgody na nadmierne przetwarzanie danych. |
Ochrona małoletnich i ocena ryzyka
DSA, poprzez art. 28, nakłada na platformy dostępne dla nieletnich obowiązek zapewnienia „wysokiego poziomu prywatności, bezpieczeństwa i ochrony”. Jest to standard wykraczający poza podstawowe wymogi RODO, wymagający proaktywnego projektowania usług z myślą o szczególnych zagrożeniach dla tej grupy użytkowników. Obejmuje to m.in. całkowity zakaz profilowania reklamowego wobec osób, co do których platforma wie z rozsądną pewnością, że są nieletnie.
W przypadku VLOP i VLOSE, obowiązek przeprowadzania oceny ryzyka systemowego z art. 34 DSA musi być zintegrowany z procesem Oceny Skutków dla Ochrony Danych (DPIA) wymaganym przez RODO. Analiza ryzyka dla praw podstawowych, w tym prawa do prywatności, staje się zatem integralną częścią zarządzania zgodnością, a wyniki obu tych ocen powinny być spójne i wzajemnie się uzupełniać.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Najczęściej zadawane pytania (FAQ)
Jakie są 3 najpilniejsze zmiany, które musimy wdrożyć po publikacji tych wytycznych, aby uniknąć kar?
Należy przeprowadzić natychmiastowy audyt prawny, skupiając się na trzech obszarach najwyższego ryzyka. Po pierwsze, zweryfikuj wszystkie kampanie reklamowe pod kątem wykorzystywania danych wrażliwych (art. 9 RODO) do profilowania – ten mechanizm, nawet oparty na zgodzie, jest już nielegalny i wymaga wyłączenia. Po drugie, przeanalizuj podstawę prawną dla procesów moderacji treści; jeśli opierasz się na „prawnie uzasadnionym interesie”, upewnij się, że posiadasz solidny test równowagi. Po trzecie, jeśli Twoja usługa jest dostępna dla nieletnich, sprawdź, czy wdrożone środki ochrony prywatności są wystarczająco „wysokie” w rozumieniu DSA.
Prowadzimy kampanie reklamowe na Facebooku/Google. Czy musimy je natychmiast zatrzymać?
Niekoniecznie, ale wymaga to natychmiastowego audytu i prawdopodobnie rekonfiguracji targetowania. Nie możesz już polegać na zgodzie użytkownika jako podstawie do profilowania reklam z użyciem danych wrażliwych. Musisz dokładnie sprawdzić, czy kryteria targetowania dostarczane przez Ciebie lub Twoją agencję, a także dane gromadzone przez same platformy, nie prowadzą do niedozwolonego profilowania. Kluczowe jest zrozumienie całego łańcucha danych – od Twojej firmy, przez agencję, po platformę reklamową.
Czy moja mała platforma e-commerce/SaaS również musi stosować te zasady?
Tak, zdecydowana większość obowiązków dotyczy wszystkich dostawców usług pośrednich, w tym małych i średnich przedsiębiorstw. Obowiązki takie jak posiadanie mechanizmów „notice and action”, transparentność reklamy czy zakaz „deceptive patterns” mają zastosowanie uniwersalne. Najbardziej rygorystyczne wymogi, jak oferowanie systemów rekomendacji bez profilowania, dotyczą tylko bardzo dużych platform (VLOPs), ale fundamenty prawne i zakazy profilowania na danych wrażliwych obowiązują każdego.
Nasz interfejs ma opcję „Zapisz się i kontynuuj” podświetloną na zielono, a „Kontynuuj bez zapisu” na szaro. Czy to już jest „deceptive pattern”?
To klasyczny przykład tzw. „szarej strefy”, który wymaga indywidualnej analizy prawnej. Sama kolorystyka nie przesądza o naruszeniu, ale jest jednym z sygnałów. Ocena zależy od całego kontekstu: czy interfejs wprowadza użytkownika w błąd, czy wywiera na nim nienależytą presję, czy utrudnia podjęcie świadomej i swobodnej decyzji. Taka ocena ryzyka powinna być elementem audytu interfejsu pod kątem zgodności z DSA i RODO.
Jakie są realne ryzyka finansowe zignorowania tych wytycznych? Czy grożą nam kary od UODO, Koordynatora ds. Usług Cyfrowych, czy obu naraz?
Ryzyko jest podwójne i znaczące. Zignorowanie aspektów związanych z RODO (np. niewłaściwa podstawa prawna, przetwarzanie danych wrażliwych) naraża firmę na kary od Prezesa UODO, sięgające do 4% rocznego światowego obrotu. Jednocześnie, naruszenie obowiązków z DSA (np. brak transparentności, zwodnicze wzorce) podlega karom od Koordynatora ds. Usług Cyfrowych, które mogą wynieść do 6% rocznego światowego obrotu. W przypadku naruszeń „na styku” obu aktów istnieje ryzyko prowadzenia dwóch postępowań i nałożenia dwóch odrębnych sankcji, choć organy są zobowiązane do współpracy, by unikać naruszenia zasady ne bis in idem.
Jak w praktyce wygląda audyt zgodności z DSA/RODO i od czego zacząć?
Profesjonalny audyt to ustrukturyzowany proces, który zwykle obejmuje cztery etapy. Zaczyna się od mapowania procesów – identyfikacji wszystkich operacji w firmie, gdzie dochodzi do moderacji treści, reklamy, profilowania czy interakcji z użytkownikiem. Następnie przeprowadzana jest analiza luk (gap analysis), czyli porównanie obecnych praktyk z nowymi wymogami z wytycznych EROD. Trzecim krokiem jest ocena ryzyka prawnego i przygotowanie rekomendacji. Proces kończy się stworzeniem praktycznego planu wdrożeniowego (remediation plan), który określa konkretne zadania, odpowiedzialne osoby i harmonogram działań.
Przeczytałem artykuł, ale nadal nie jestem pewien wszystkich procesów. Kiedy powinienem zgłosić się po profesjonalną pomoc prawną?
Najlepszy moment jest teraz, zanim potencjalne problemy zostaną zidentyfikowane przez organy nadzorcze. Zewnętrzna pomoc prawna jest szczególnie wskazana, jeśli:
- Twoja działalność opiera się na profilowaniu reklamowym lub zautomatyzowanej moderacji.
- Nie jesteś pewien, czy stosowane przez Ciebie wzorce interfejsu nie noszą znamion „deceptive patterns”.
- Planujesz wdrożenie nowego produktu lub usługi cyfrowej i chcesz ją zaprojektować zgodnie z zasadą privacy by design.
- Chcesz uzyskać formalną opinię prawną, która stanowi udokumentowanie należytej staranności w działaniach compliance.
Kancelaria After Legal specjalizuje się w prawie nowych technologii i ochronie danych osobowych. Dla naszych klientów przeprowadzamy audyty zgodności z RODO i DSA, opracowujemy niezbędną dokumentację i wdrażamy zmiany organizacyjne oraz prawne. Zapewniamy wsparcie doświadczonych profesjonalistów, którzy nie tylko doskonale znają obowiązujące przepisy, ale także rekomendacje organów nadzorczych i dobre praktyki. Zabezpieczymy Twój biznes!
Sprawdź również: Czy prezes firmy może być jednocześnie Inspektorem Ochrony Danych (IOD)?
Podsumowanie
Wdrożenie tych wytycznych wymaga od organizacji podjęcia natychmiastowych, skoordynowanych działań. Należy rozpocząć od kompleksowego audytu, który zidentyfikuje wszystkie procesy, gdzie obowiązki z DSA i RODO się przenikają, zwłaszcza w obszarach moderacji, reklamy i projektowania interfejsów. Następnie, kluczowa staje się dogłębna weryfikacja podstaw prawnych przetwarzania danych i aktualizacja umów z partnerami w łańcuchu reklamowym. Równolegle, działy technologiczne muszą przystąpić do technicznego dostosowania systemów, aby wyłączyć zakazane formy profilowania i, w przypadku VLOP, wdrożyć opcjonalne systemy rekomendacji bez personalizacji. Cały proces musi być zwieńczony aktualizacją transparentności – od polityk prywatności po informacje wyświetlane użytkownikom w czasie rzeczywistym. To nie jest jednorazowy projekt, lecz stały element nowej cyfrowej rzeczywistości prawnej.