Ο Digital Services Act (DSA) ή Πράξη για τις Ψηφιακές Υπηρεσίες είναι ένας σημαντικός κανονισμός της Ευρωπαϊκής Ένωσης που στοχεύει στη ρύθμιση των ψηφιακών υπηρεσιών και την προστασία των χρηστών στο διαδίκτυο. Αποτελεί αδιαμφισβήτητα μια σημαντική νομοθετική πράξη της Ευρωπαϊκής Ένωσης που σκοπό έχει να ελέγξει και να προστατεύσει τους χρήστες των ψηφιακών υπηρεσιών, καθώς και να δημιουργήσει ένα πιο ασφαλές ψηφιακό περιβάλλον. Η Ευρωπαϊκή Ένωση έχει δημιουργήσει τον Ευρωπαϊκό Κεντρικό Οργανισμό Απεικόνισης (ECAT) για την ενίσχυση της εφαρμογής της DSA. Στην Ελλάδα, η εφαρμογή του DSA ρυθμίζεται από τον Ν. 5099/2024. Σύμφωνα με το άρθρο 2 του Ν. 5099/2024, ο νόμος αυτός στοχεύει στην εφαρμογή του Κανονισμού (ΕΕ) 2022/2065 (DSA) στην Ελλάδα. Συγκεκριμένα, ο νόμος ορίζει :α) Τον Συντονιστή Ψηφιακών Υπηρεσιών και τις αρμόδιες αρχές για την επίβλεψη των παρόχων ενδιάμεσων υπηρεσιών. β) Τη διασφάλιση ότι οι εντολές ανάληψης δράσης κατά παράνομου περιεχομένου και οι εντολές παροχής πληροφοριών πληρούν τις απαιτήσεις του DSA. γ) Τη σύσταση Συμβουλευτικής Επιτροπής για τις Ψηφιακές Υπηρεσίες. δ) Τον καθορισμό και τη διαδικασία επιβολής κυρώσεων. ε) Τη ρύθμιση ζητημάτων έννομης προστασίας. στ) Τη δημιουργία μητρώου παρόχων ενδιάμεσων υπηρεσιών.
Ο DSA εφαρμόζεται σε όλες τις ψηφιακές υπηρεσίες που προσφέρονται σε χρήστες της ΕΕ, ανεξάρτητα από την έδρα του παρόχου. Αυτό περιλαμβάνει κοινωνικά δίκτυα, διαδικτυακές αγορές, πλατφόρμες ανταλλαγής περιεχομένου και άλλες ψηφιακές υπηρεσίες.Οι πάροχοι ψηφιακών υπηρεσιών έχουν συγκεκριμένες υποχρεώσεις.Ενδεικτικά και όχι περιοριστικά αναφέρονται η διαφάνεια στη λειτουργία των αλγορίθμων τους ,η δημοσίευση ετήσιων επιθεωρήσεων για τη διαχείριση περιεχομένου και τη διαφήμιση και η ενημέρωση των χρηστών για τις αποφάσεις διαχείρισης περιεχομένου.Οι πλατφόρμες με περισσότερους από 45 εκατομμύρια μηνιαίους ενεργούς χρήστες στην ΕΕ υπόκεινται σε αυστηρότερες υποχρεώσεις.Το άρθρο 16 του Ν. 5099/2024 προβλέπει την επιβολή αναλογικών και αποτελεσματικών κυρώσεων σε παρόχους ενδιάμεσων υπηρεσιών για παραβάσεις του DSA και του εθνικού νόμου.
Συνοπτικά οι κύριες υποχρεώσεις των παρόχων ψηφιακών υπηρεσιών είναι οι εξής:
α) Διαφάνεια και λογοδοσία Σύμφωνα με το άρθρο 11 του Ν. 4577/2018, οι πάροχοι ψηφιακών υπηρεσιών υποχρεούνται να κοινοποιούν στην Εθνική Αρχή Κυβερνοασφάλειας και στην αρμόδια CSIRT, χωρίς αδικαιολόγητη καθυστέρηση, κάθε συμβάν που έχει σημαντικές επιπτώσεις στην παροχή των υπηρεσιών τους.
β) Ασφάλεια συστημάτων: Το άρθρο 11 του Ν. 4577/2018 επίσης ορίζει ότι οι πάροχοι πρέπει να λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν για την παροχή των υπηρεσιών τους.
γ) Συνεργασία με τις αρχές: Το άρθρο 12 του Ν. 4577/2018 προβλέπει ότι οι πάροχοι ψηφιακών υπηρεσιών πρέπει να παρέχουν στην Εθνική Αρχή Κυβερνοασφάλειας τις απαραίτητες πληροφορίες για την εκτίμηση της ασφάλειας των συστημάτων δικτύου και των πληροφοριών τους, συμπεριλαμβανομένων τεκμηριωμένων και εγκεκριμένων πολιτικών ασφάλειας.
δ) Διόρθωση παραβάσεων: Σύμφωνα με το άρθρο 12 του Ν. 4577/2018, οι πάροχοι υποχρεούνται να διορθώνουν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις ασφάλειας και κοινοποίησης συμβάντων.
ε) Ορισμός αντιπροσώπου: Το άρθρο 13 του Ν. 4577/2018 ορίζει ότι οι πάροχοι ψηφιακών υπηρεσιών που δεν είναι εγκατεστημένοι στην Ευρωπαϊκή Ένωση αλλά προσφέρουν υπηρεσίες εντός αυτής, πρέπει να ορίζουν αντιπρόσωπο σε ένα από τα κράτη μέλη στα οποία προσφέρονται οι υπηρεσίες.
Σύμφωνα με το άρθρο 128 του Π.Δ. 80/2022, οι ψηφιακές πλατφόρμες οφείλουν να λαμβάνουν μέτρα προστασίας των δεδομένων προσωπικού χαρακτήρα των παρόχων υπηρεσιών.Με το ίδιο άρθρο προβλέπεται ότι οι ψηφιακές πλατφόρμες οφείλουν να παραδίδουν στους παρόχους των υπηρεσιών, πριν από την έναρξη της παροχής των υπηρεσιών, αντίγραφο της μεταξύ τους σύμβασης, η οποία περιέχει πληροφορίες για τα χαρακτηριστικά των υπηρεσιών, τα δικαιώματα συλλογικής οργάνωσης και τις υποχρεώσεις για την υγιεινή και ασφάλεια.Αυτές οι υποχρεώσεις στοχεύουν στη διασφάλιση της ασφάλειας, της διαφάνειας και της προστασίας των δικαιωμάτων τόσο των παρόχων υπηρεσιών όσο και των χρηστών στο ψηφιακό περιβάλλον.Σύμφωνα με την ελληνική νομοθεσία που ενσωματώνει τον Digital Services Act (DSA), οι συνέπειες για τους παρόχους ψηφιακών υπηρεσιών που δεν συμμορφώνονται με τις υποχρεώσεις του DSA είναι οι εξής:
Διοικητικές κυρώσεις:
Σύμφωνα με το άρθρο 15 του Ν. 4577/2018, ο Διοικητής της Εθνικής Αρχής Κυβερνοασφάλειας μπορεί να επιβάλει τις ακόλουθες κυρώσεις:
α) Σε περίπτωση μη κοινοποίησης ή καθυστερημένης κοινοποίησης συμβάντος με σοβαρό αντίκτυπο:Πρόστιμο έως 15.000 ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων.Σε περίπτωση υποτροπής, πρόστιμο έως 200.000 ευρώ.
β) Σε περίπτωση μη λήψης κατάλληλων μέτρων ασφαλείας:Πρόστιμο έως 50.000 ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων.Σε περίπτωση υποτροπής, πρόστιμο έως 200.000 ευρώ.
γ) Σε περίπτωση μη παροχής ή καθυστερημένης παροχής πληροφοριών κατά τη διενέργεια ελέγχου:Πρόστιμο έως 50.000 ευρώ με σύσταση για συμμόρφωση και προειδοποίηση επιβολής περαιτέρω κυρώσεων.
Σε περίπτωση υποτροπής, πρόστιμο έως 200.000 ευρώ.
Αναστολή ή διακοπή υπηρεσιών:
Το άρθρο 36 του Ν. 4779/2021 προβλέπει τη δυνατότητα επιβολής προσωρινής διακοπής της λειτουργίας της πλατφόρμας για χρονικό διάστημα από μία (1) ημέρα έως τρεις (3) μήνες, ή ακόμη και οριστική διακοπή της λειτουργίας της σε περιπτώσεις σοβαρών παραβιάσεων.
Υποχρέωση συμμόρφωσης:
Σύμφωνα με το άρθρο 12 του Ν. 4577/2018, η Εθνική Αρχή Κυβερνοασφάλειας μπορεί να απαιτήσει από τους παρόχους ψηφιακών υπηρεσιών να διορθώσουν οποιαδήποτε παράλειψη συμμόρφωσης προς τις απαιτήσεις που ορίζονται στο νόμο.
Δημοσιοποίηση παραβάσεων:
Το άρθρο 15 του Ν. 4577/2018 προβλέπει ότι οι αποφάσεις επιβολής των διοικητικών κυρώσεων δημοσιεύονται στην ιστοσελίδα της Εθνικής Αρχής Κυβερνοασφάλειας, εφόσον έχουν καταστεί τελεσίδικες.
Αστική ευθύνη:
Σύμφωνα με το άρθρο 8 του Ν. 2251/1994, όπως τροποποιήθηκε, οι πάροχοι υπηρεσιών ευθύνονται για κάθε περιουσιακή ζημία ή ηθική βλάβη που προκάλεσαν παράνομα και υπαίτια κατά την παροχή των υπηρεσιών τους στον καταναλωτή.
Είναι σημαντικό να σημειωθεί ότι η επιλογή και η επιμέτρηση των διοικητικών κυρώσεων γίνονται ανάλογα με τη βαρύτητα της παραβίασης, τον βαθμό υπαιτιότητας, την οικονομική κατάσταση του παρόχου, καθώς και την ύπαρξη υποτροπής.
Εν κατακλείδι , η μεγάλη καινοτομία του νέου νόμου αποτελεί η διαβάθμιση των υποχρεώσεων δέουσας επιμέλειας ανάλογα με τη φύση ,τη λειτουργεία και την <<απήχηση>> κάθε ενδιάμεσου. Θα μπορούσαν βέβαια όλα τα ζητήματα να είχαν προβλεφθεί κατά τη ρύθμιση των υποχρεώσεων των εταιρειών που πηγάζουν από τον GDPR.Παρόλαυτα ,έστω και όψιμα ,η υιοθέτηση κανονιστικής λογικής και λήψη μέτρων μόνο θετικά μπορεί να εκτιμηθεί ,αφού είναι βέβαιο ότι στην πράξη θα αναδειχθούν ποικίλα θέματα καθιστώντας αναγκαία την ερμηνεία θετικών διατάξεων από Αρχές και δικαιοδοτικά όργανα .