Wprowadzenie

Mimo tego, że w Unii Europejskiej działa ponad 10 000 platform internetowych, rynek cyfrowy wydaje się być kształtowany przez zaledwie kilka z nich. Budzi to pewne obawy w kontekście m.in. transparentności i uczciwej konkurencji. Digital Markets Act (DMA) , wraz z planowanym Digital Services Act (DSA), stanowi kluczowy element pakietu zaproponowanego przez Komisję Europejską w celu zaadresowania tych problemów poprzez nałożenie szczególnych obowiązków na cyfrowych gigantów, tzw. gatekeeperów. Zgodnie z DMA, gatekeeper to przedsiębiorstwo świadczące podstawowe usługi platformowe (ang: core platform services; takie jak: usługi pośrednictwa online, wyszukiwarki internetowe, serwisy społecznościowe, przeglądarki internetowe, systemy operacyjne etc.), które:

1. ma znaczący wpływ na rynek wewnętrzny;
2. świadczy podstawowe usługi platformowe, stanowiące dla użytkowników biznesowych ważny portal umożliwiający im dotarcie do użytkowników końcowych; oraz
3. korzysta z ugruntowanej i trwałej pozycji w swojej działalności lub prawdopodobnie osiągnie taką pozycję w najbliższej przyszłości.

Zgodnie z DMA, Komisja określi podmiot jako gatekeepera, jeśli spełnione zostaną powyższe kryteria; precyzując, Komisja rozważy, czy dany podmiot osiąga określony poziom rocznych obrotów w UE i minimalną liczbę aktywnych użytkowników przez określony czas. Natomiast, nawet jeśli progi te nie zostaną osiągnięte, Komisja będzie miała prawo uznać za gatekeepera podmiot, który ma wpływ na rynek m.in. ze względu na swoją przewagę opartą na danych (wynikającą w szczególności z dostępu do danych osobowych, możliwości analitycznych i struktury korporacyjnej).

Czy DMA wpłynie na Twoją działalność, jeśli Twoja firma nie kwalifikuje się jako gatekeeper?

Choć nie jesteśmy w stanie przewidzieć wszystkich konsekwencji nadchodzącego rozporządzenia DMA, które wpłynie na złożone i nie do końca przejrzyste ramy prawne, możemy spodziewać się co najmniej kilku konsekwencji dla podmiotów korzystających z digital marketingu (zarówno w celach zarobkowych, jak i promocyjnych).

1. Informacje o kosztach i wskaźnikach związanych z digital marketingiem

Warunki, na jakich gatekeeperzy świadczą usługi reklamowe użytkownikom biznesowym (zarówno reklamodawcom, jak i wydawcom) są często uważane przez komentatorów za nieprzejrzyste: reklamodawcy i wydawcy nie otrzymują pełnego obrazu warunków dostępu do usług reklamowych. Logika odesłań, czy kryteria monetyzacji, nie były (ani nie wydaje się, aby były obecnie) do dyspozycji użytkowników biznesowych (takich jak wydawcy i reklamodawcy). Gatekeeperzy stosują złożone algorytmy do obliczania wskaźników, co powoduje, że użytkownicy biznesowi nie są w stanie zrozumieć w jaki sposób obliczane są koszty, a ostatecznie nie są w stanie określić, czy dana usługa jest opłacalna. Wiele podmiotów zwróciło uwagę na ten problem. Warto przytoczyć m.in. badanie Online advertising: the impact of targeted advertising on advertisers, market access and consumer choice. W badaniu tym wskazano, że „reklamodawcy nie mogą zrozumieć dlaczego wygrywają lub przegrywają aukcje na określone słowa kluczowe i jak ustalana jest ostateczna cena za wyświetlenie lub konwersję. Wydawcy mają do czynienia z podobną niepewnością, ponieważ widzą tylko swoje osobiste przychody z reklam, ale nie wiedzą, ile zarabiają pośrednicy. To samo dotyczy danych o wynikach reklamy lub przestrzeni reklamowej” (“advertisers cannot understand why they win or lose auctions for specific keywords and how the final price for the impression or conversion is determined. Likewise, publishers face similar uncertainty since they observe only their personal ad revenue, but how much is pocketed by the intermediary remains unknown. The same applies to performance data of the advertisement or the ad-inventory").

Stwierdzenie to skłoniło ustawodawcę do opracowania szeregu przepisów w ramach DMA, mających na celu zapewnienie większej przejrzystości i skorygowanie nierównowagi na rynku. W szczególności, ustawodawca kładzie nacisk na wymóg dostarczania wydawcom i reklamodawcom szczegółowych informacji na temat kosztów związanych z poszczególnymi usługami reklamowymi. Zasada ta jest wyraźnie wyjaśniona w motywie 45 preambuły DMA, gdzie ustawodawca wprowadza konieczność zapewnienia, aby: (i) wydawcy i reklamodawcy byli informowani o kosztach związanych z daną reklamą (w tym poprzez ujawnienie wynagrodzenia otrzymywanego przez wydawcę - lub średniego wynagrodzenia), oraz (ii) było dla nich jasne, jakie kryterium jest stosowane do obliczania modelu cenowego (np. cena za odsłonę). Zgodnie z art. 5 ust. 9 i 10 DMA, informacje te powinny być przekazywane nieodpłatnie.

Bardzo podobne podejście proponuje się w odniesieniu do obliczania wskaźników. W szczególności, w motywie 58 podkreśla się znaczenie zapewnienia wydawcom i reklamodawcom bezpłatnego dostępu do narzędzi pomiaru wyników usług świadczonych przez gatekeeperów, tak aby mogli oni przeprowadzić własną ocenę tych usług (te same obowiązki wyjaśniono w art. 6 ust. 8 DMA).

2. Przewidywane ograniczenia w targetowaniu

W celu świadczenia usług reklamowych gatekeeperzy często gromadzą bezpośrednio dane osobowe użytkowników końcowych, gdy ci użytkownicy końcowi korzystają ze stron internetowych i aplikacji stron trzecich. Otrzymują oni również ogromną ilość danych od użytkowników biznesowych, którzy korzystają z ich usług. Biorąc też pod uwagę, że niektórzy gatekeeperzy świadczą jednocześnie różne usługi, mają oni możliwość łączenia i wzajemnego wykorzystywania danych osobowych pochodzących z różnych źródeł, co daje im ogromną przewagę rynkową. Z tego powodu art. 5 ust. 2 DMA nakłada pewne ograniczenia na możliwość przetwarzania danych osobowych przez gatekeeperów. W szczególności, gatekeeperom nie wolno: (i) przetwarzać danych osobowych użytkowników końcowych w celu świadczenia usług reklamowych, jeśli takie dane są pozyskiwane w wyniku korzystania z usług oferowanych przez osoby trzecie korzystające z podstawowych usług platformowych gatekeepera, (ii) łączyć danych osobowych pochodzących z różnych usług oferowanych przez gatekeepera lub osoby trzecie, (iii) wykorzystywać danych osobowych pochodzących z podstawowych usług platformowych w innych usługach oferowanych przez gatekeepera i odwrotnie oraz (iv) logować użytkowników końcowych do innych usług gatekeepera w celu łączenia ich danych osobowych. Ograniczenia te nie obowiązują jednak, jeśli użytkownik końcowy wyrazi zgodę spełniającą wymogi RODO.

Główne konsekwencje powyższego podejścia są następujące:

• Gatekeeperzy będą ograniczeni w świadczeniu swoich usług reklamowych w takim zakresie, w jakim robili to do tej pory, z uwagi na fakt, że ich możliwości tworzenia złożonych profili reklamowych użytkowników końcowych będą ograniczone. Będzie to miało prawdopodobnie wpływ na skuteczność reklamy mającej na celu wywarcie wpływu na określonych konsumentów, a tym samym na rentowność reklamy.
• Wydaje się, na podstawie faktycznego brzmienia użytego w art. 5 ust. 2 akapit drugi, że gatekeeperzy będą mogli opierać się na jednej zgodzie w celu dokonania wszystkich powyższych czynności związanych z łączeniem / wzajemnym wykorzystywaniem danych. Chociaż wielu komentatorów twierdzi, że takie łączenie wymagałoby wielu zgód (biorąc pod uwagę, że można określić wiele celów przetwarzania), ostateczna decyzja podjęta w ramach negocjacji trójstronnych (pomiędzy Komisją, Parlamentem oraz Radą) wydaje się ułatwiać działalność gatekeeperów. Ważność takiej zgody na "wiele czynności przetwarzania" będzie zależała od interpretacji, jakiej dokona Komisja: z jednej strony, należy przypomnieć, że art. 13 DMA wprowadza przepis zapobiegający obchodzeniu przepisów przez gatekeeperów, jednak z drugiej można stwierdzić, że motyw 32 RODO nie wymaga, by zgoda na wiele czynności przetwarzania była uzyskiwana w drodze odrębnych oświadczeń. A zatem najlepsze dopiero przed nami!

Główna idea rozporządzenia DMA jest jednak jasna: ustawodawca stara się ograniczyć władzę gatekeeperów w skupianiu danych w rękach kilku podmiotów. To samo podejście wydaje się być przyjmowane przez organy ochrony danych: poza ramami DMA widzimy inne próby podejmowane przez lokalne organy, mające na celu ograniczenie możliwości targetowania użytkowników i wzbogacania danych. Na przykład, włoski organ ochrony danych Garante per la protezione dei dati personali (Garante) w swoich Wytycznych dotyczących plików cookie i innych narzędzi śledzenia wprowadza wymóg uzyskania zgody zalogowanych użytkowników na wszelkie działania, które łączą różne zbiory danych, niezależnie od używanego urządzenia, co wydaje się być bardzo zbliżone do punktu (iv) ograniczeń wynikających z DMA opisanych powyżej (chociaż wymóg Garante wydaje się jeszcze bardziej rygorystyczny niż obowiązek wprowadzony przez prawodawcę unijnego). Z tego powodu platformy szukają alternatywnych rozwiązań, które oferują możliwość dostarczania użytkownikom niespersonalizowanych reklam, czy które nie opierają się na śledzeniu użytkowników, wykorzystaniu plików cookie lub podobnych technologii itp.

3. Ograniczenia targetowania osób niepełnoletnich i profilowania na podstawie danych wrażliwych

Zakazy dotyczące targetowania osób niepełnoletnich i innych osób wymagających szczególnej opieki (które pierwotnie miały zostać uwzględnione w DMA, a następnie zostały przeniesione do DSA) stają się rzeczywistością. Art. 24 ust. 1b DSA, które ma zacząć obowiązywać od 2024 roku, zabrania kierowania reklam do osób niepełnoletnich lub opierania się na danych osobowych wrażliwych w celach reklamowych. Choć na razie nie jest jasne, jakie progi wiekowe są rozważane i czy państwa członkowskie będą miały jakąkolwiek autonomię w ich ustalaniu, jest to kluczowe zagadnienie dla wielu podmiotów.

Takie regulacje powinny zapewnić większe bezpieczeństwo w przestrzeni cyfrowej, biorąc pod uwagę, że obecnie profile reklamowe zawierają wszelkiego rodzaju dane wrażliwe. Jak wynika z ustaleń kilku zainteresowanych stron i komentatorów, reklamy opierają się (również) na szczególnych kategoriach danych.

Zgłębienie tu tego tematu nie jest możliwe, gdyż uzyskanie jasnego obrazu skali tego zjawiska wymagałoby przeprowadzenia dodatkowych badań. Jednak nawet gdyby DSA nie wprowadziło ograniczenia w zakresie targetowania osób niepełnoletnich i profilowania w oparciu o dane wrażliwe, uzasadnienie takiego zakresu wykorzystania danych może nie być łatwe: przede wszystkim zgoda uzyskana od użytkownika mogłaby zastać uznana za nieważną, a ponadto ocena ryzyka mogłaby prowadzić do wniosku, że należy ograniczyć zakres danych.

Wnioski

Wydaje się, że ustawodawca zdecydował się na wprowadzenie do DMA szeregu zasad, których celem jest zapewnienie większej przejrzystości i wyrównanie tego, co zostało uznane za brak równowagi na rynku. Przepisy te zawierają postanowienia mające na celu wzmocnienie pozycji wydawców i reklamodawców.

Ponadto DMA wydaje się uzupełniać wymogi RODO, mając na celu wzmocnienie ochrony danych osobowych i uniemożliwienie dokonywania niektórych czynności przetwarzania (np. łączenia danych osobowych pozyskanych z różnych źródeł).

Cel DMA jest jasny, wiele będzie jednak zależeć od tego, jak będzie ono interpretowane i stosowane przez odpowiednie organy. DMA nie zakończy debaty: będziemy informować Państwa na bieżąco!

1. Artykuł ten oparty jest na finalnej wersji DMA (opublikowanej 11 maja 2022 r.).
2. W każdym z ostatnich trzech lat obrotowych roczny obrót w Europejskim Obszarze Gospodarczym (EOG) na poziomie co najmniej 7,5 mld euro lub jeśli średnia kapitalizacja rynkowa przedsiębiorstwa lub równoważna godziwa wartość rynkowa wyniosła w ostatnim roku obrotowym co najmniej 75 mld euro oraz gdy przedsiębiorstwo to świadczy podstawową usługę platformową w co najmniej trzech państwach członkowskich.
3. W ostatnim roku finansowym z podstawowej usługę platformowej przedsiębiorstwa korzystało miesięcznie ponad 45 mln użytkowników końcowych mających siedzibę lub zlokalizowanych w UE oraz ponad 10 000 aktywnych użytkowników biznesowych mających siedzibę w UE.
4. W każdym z ostatnich trzech lat obrotowych.
5. Badanie zostało opublikowane przez Departament Tematyczny ds. Polityki Gospodarczej, Naukowej i Jakości Życia Parlamentu Europejskiego.
6. Linee guida cookie e altri strumenti di tracciamento - 10 giugno 2021... - Garante Privacy