Foto af Kvinde køber mad online ved hjælp af tablet

Digital Services Act – nye regler for udbydere af digitale tjenester

Relaterede emner

Digital Services Act (DSA) trådte i kraft den 25. august 2023.


Opsummering

  • Formålet med forordningen er at stramme op på kontrollen med digitale formidlingstjenesters brug af data, deres algoritmer og håndtering af ulovligt indhold. 
  • Forordningens grundlæggende princip er således, at dét, der er ulovligt offline, også skal være ulovligt online.

Hvis du er udbyder af en digital formidlingstjeneste, der forbinder forbrugere med varer, services eller information fx gennem en digital markedsplads, et socialt medie eller en mere teknisk præget infrastrukturtjeneste, bør du forholde dig til DSA.

Hvordan er samspillet mellem GDPR og DSA?

Både GDPR og DSA bestræber sig grundlæggende på at sikre personers fundamentale rettigheder. Når man som udbyder af en digital formidlingstjeneste skal sikre compliance i forhold til behandlingen af personoplysninger, så er det vigtigt at have for øje, at man nu - udover GDPR – også bør forholde sig til DSA, idet der er en række overlap mellem de to regelsæt, særligt i forhold til:

  • ”Dark patterns”
  • Profilering og målrettet markedsføring (børn og følsomme oplysninger)
  • Gennemsigtighed.

”Dark patterns”

Både DSA og GDPR indeholder, enten direkte eller indirekte, et forbud mod brugen af vildledende designmønstre (”dark patterns” eller ”deceptive design patterns”), dvs. en teknisk praksis, som har til formål at styre brugerens adfærd online. Dette kan fx forekomme i forbindelse med accept af cookies eller onlinekøb.
 
GDPR indeholder et mere indirekte forbud mod brugen af ”dark patterns”, mens der med DSA nu indføres et direkte forbud mod brug af ”dark patterns”.
 
På GDPR’s anvendelsesområde vil GDPR have forrang for DSA, og DSA’s forbud mod ”dark patterns” er derfor relativt snævert. Det er således vigtigt at holde tungen lige i munden i forhold til, om man som udbyder af en digital formidlingstjeneste er omfattet af både GDPR og DSA - eller blot ét af de to regelsæt.

Profilering og målrettet markedsføring

DSA læner sig op ad GDPR’s definition af profilering. Begrebet spiller en central rolle i DSA, idet der med DSA nu indføres et reelt forbud mod at vise reklamer, der er baseret på profilering ved brug af følsomme personoplysninger eller mindreåriges personoplysninger.
 
Dette er en ændring i forhold til den nuværende retsstilling, idet GDPR i sig selv ikke udelukker en sådan behandling, forudsat at behandlingsgrundlaget er på plads og at der er taget højde for reglerne om profilering.
 
Forbuddet skal således læses i samspil med GDPR’s regler om behandling af følsomme personoplysninger, behandling af personoplysninger om børn og om profilering generelt.

Gennemsigtighed

Et af DSA’s hovedformål er at øge den overordnede gennemsigtighed vedrørende digitale formidlingstjenester. Dette taler ind i et af de grundlæggende principper i GDPR – nemlig gennemsigtighed i forhold til behandlingen af personoplysninger.

DSA pålægger udbydere af digitale formidlingstjenester at være mere gennemsigtige i forhold til anbefalet indhold og målrettet markedsføring, idet der nu indføres krav om at give brugeren yderligere oplysning om de parametre, som er brugt til at beslutte, at en bestemt anbefaling/reklame vises for en bruger. Dette betyder bl.a. større krav til transparens omkring algoritmer og rangering af indhold.

Hvem er omfattet af reglerne?

DSA gælder bl.a. for forskellige udbydere af hosting-services eller formidlingstjenester, der forbinder sælgere og forbrugere online, dvs. online-markedspladser, app-butikker, platforme for fælles økonomi og sociale medieplatforme m.v. Alt afhængig af udbydernes rolle og størrelse, bliver disse med DSA pålagt en række due-diligence forpligtelser.

 

I perioden fra 25. august 2023 og frem til 17. februar 2024 er det alene de største virksomheder, der er omfattet af reglerne. Disse defineres som Very Large Online Platforms eller Very Large Online Search Engines og som havende 45+ millioner månedlige aktive bruger. Definitionen omfatter bl.a. Amazon, App Store, Zalando, Google og Spotify.

Reglerne er designet således, at de har til hensigt at ramme de største virksomheder hårdest. Dette betyder dog ikke, at man som mindre virksomhed slet ikke er omfattet af reglerne.

Fra 17. februar 2024 vil reglerne også omfatte øvrige udbydere af online platforme. Det vil derfor være oplagt, at man som udbyder af en online platform bruger efteråret på at genbesøge de databeskyttelsesretlige tiltag, der påvirkes af DSA.

Undtagelser for ”helt små platforme”

Helt små platforme, dvs. platforme med færre end 50 ansatte og en årsomsætning på under 10 millioner EUR, vil være undtaget fra en række af forpligtelserne i DSA. Det er dog vigtigt at huske, at hvor DSA ikke finder anvendelse, vil de databeskyttelsesretlige regler naturligvis fortsat være gældende.

Sanktionsniveau

Hvis man som udbyder af en digital formidlingstjeneste handler i strid med reglerne, vil man i yderste konsekvens kunne blive straffet med en bøde på op mod seks procent af den globale omsætning – eller i yderste konsekvens blive pålagt forbud mod at drive virksomhed. 

EY anbefaler

Vi anbefaler, at man som udbyder af en digital formidlingstjeneste genbesøger sit website og sine markedsføringsaktiviteter for at sikre, at der ved disse er taget højde for konsekvenserne af de nye krav i DSA.

Det er i den forbindelse særligt vigtigt at genbesøge cookie-setup, anbefalingssystemer og målrettede markedsføringsaktiviteter for at sikre, at disse lever op til de nye, mere udtalte krav i DSA. Herudover vil det være særligt vigtigt også at genbesøge den bagvedliggende, databeskyttelsesretlige dokumentation i form af samtykkeerklæringer og privatlivspolitikker for at sikre, at disse ligeledes er tilpasset de nye krav.

Sammendrag

DSA trådte i kraft for de største virksomheder den 25. august 2023. Fra den 17. februar 2024 vil reglerne også omfatte en række øvrige udbydere af digitale formidlingstjenester. Hvis man er udbyder af en sådan digital formidlingstjeneste, er det derfor relevant at forholde sig til regelsættet og ikke mindst de overlap, der er mellem dette og GDPR.

Om denne artikel