logo-print

Ξεκίνησε η πλήρης εφαρμογή του Digital Services Act: Πότε μια ελληνική επιχείρηση πρέπει να λάβει μέτρα;

05/03/2024

21/04/2024

Η αντίστροφη μέτρηση τελείωσε. Από το Σάββατο 17 Φεβρουαρίου 2024 ο Ευρωπαϊκός Κανονισμός 2022/2065 σχετικά με την ενιαία αγορά ψηφιακών υπηρεσιών, ευρύτερα γνωστός ως Πράξη για τις Ψηφιακές Αγορές ή DSA, ετέθη σε πλήρη εφαρμογή σε όλες τις χώρες της Ένωσης.

Αυτό σημαίνει πως (και) οι ελληνικές επιχειρήσεις που εμπίπτουν στο πεδίο εφαρμογής του Κανονισμού θα πρέπει πλέον να συμμορφώνονται με τις διατάξεις του, τα πρόστιμα για την παραβίαση του οποίου μπορούν να ανέλθουν έως και ποσό ίσο με το 6% του παγκόσμιου ετήσιου κύκλου εργασιών.

Είναι γεγονός πως στην χώρα μας, τόσο στον νομικό όσο και στον επιχειρηματικό κόσμο δεν έχει αποκρυσταλλωθεί πλήρως και δεν έχει γίνει ευρύτερα σαφές το πεδίο εφαρμογής του (Κανονισμού) DSA. Συγκεκριμένα, ως αποτέλεσμα τόσο του τρόπου με τον οποίο προωθήθηκε επικοινωνιακά ο DSA όσο και της βασικής στόχευσης της εισαγωγής των διατάξεών του, φαίνεται πως επικρατεί η εσφαλμένη αντίληψη ότι οι υποχρεώσεις του DSA αφορούν αποκλειστικά τις πολύ μεγάλες διεθνείς επιγραμμικές πλατφόρμες (Very Large Online Platforms – VLOPs)[1], και όχι τις επιχειρήσεις που εδρεύουν στην χώρα μας.

Η πραγματικότητα όμως είναι διαφορετική, καθώς οι διατάξεις του DSA ακολουθούν μία κλιμακωτή προσέγγιση τόσο ως προς τις κατηγορίες επιχειρήσεων οι οποίες εμπίπτουν στο πεδίο εφαρμογής του όσο και ως προς τις έννομες υποχρεώσεις στις οποίες υπάγονται οι επιχειρήσεις αυτές. Παράλληλα, παρά το ότι ο Κανονισμός  περιέχει εξαιρέσεις από την εφαρμογή κάποιων εκ των διατάξεών του για τις μικρές και πολύ μικρές επιχειρήσεις, δεν προβλέπει αντίστοιχες εξαιρέσεις για τις «μεσαίες» επιχειρήσεις[2]. Συνεπώς, αρκετές ελληνικές επιχειρήσεις μεσαίου ή ακόμα και μικρού μεγέθους που δραστηριοποιούνται στην ψηφιακή αγορά ή/και παρέχουν ψηφιακά προϊόντα και υπηρεσίες μπορεί, υπό προϋποθέσεις, να πρέπει να συμμορφωθούν με κάποιες από τις διατάξεις του DSA. Το παρόν κείμενο θα προσπαθήσει να εξηγήσει, σε απλή γλώσσα, πότε μία ελληνική επιχείρηση εμπίπτει στο πεδίο εφαρμογής του DSA και, συνεπώς, θα πρέπει να λάβει μέτρα συμμόρφωσης.

Κατηγορίες ενδιάμεσων υπηρεσιών

Οι υποχρεώσεις του DSA εφαρμόζονται σε επιχειρήσεις που ενεργούν ως πάροχοι ενδιάμεσων ψηφιακών υπηρεσιών και είναι σταδιακά αυστηρότερες ανάλογα με την κατηγορία ενδιάμεσης υπηρεσίας που παρέχει η επιχείρηση.

Οι ψηφιακές ενδιάμεσες υπηρεσίες ταξινομούνται σε τρεις κατηγορίες σύμφωνα με τον DSA, στις υπηρεσίες «απλής μετάδοσης» (mere conduit), στις υπηρεσίες «προσωρινής αποθήκευσης» (caching), και στις υπηρεσίες «φιλοξενίας» (hosting). Επιπλέον υποχρεώσεις προβλέπονται για τις «επιγραμμικές πλατφόρμες», οι οποίες αποτελούν υποκατηγορία των υπηρεσιών φιλοξενίας.

Οι παραπάνω κατηγορίες υπηρεσιών, ορίζονται ως εξής εντός του DSA:

α) «απλή μετάδοση»: συνίσταται στη μετάδοση, σε δίκτυο επικοινωνιών, πληροφοριών που παρέχει αποδέκτης της υπηρεσίας, ή στην παροχή πρόσβασης σε δίκτυο επικοινωνιών· (π.χ. wireless access points, VPN services, DNS Services).

β) «προσωρινή αποθήκευση»: συνίσταται στη μετάδοση, σε δίκτυο επικοινωνιών, πληροφοριών που παρέχει αποδέκτης της υπηρεσίας, και περιλαμβάνει την αυτόματη, ενδιάμεση και προσωρινή αποθήκευση των εν λόγω πληροφοριών, η οποία πραγματοποιείται με αποκλειστικό σκοπό να καταστεί αποτελεσματικότερη η μεταγενέστερη μετάδοση των πληροφοριών σε άλλους αποδέκτες κατόπιν αιτήματός τους· (π.χ. Content Delivery Networks).

γ) «φιλοξενία»: συνίσταται στην αποθήκευση πληροφοριών που παρέχει αποδέκτης της υπηρεσίας, κατόπιν αιτήματός του· (π.χ. Hosting Services, Colocation services).

δ) «πλατφόρμα»: Υποκατηγορία των υπηρεσιών φιλοξενίας, η οποία επιτρέπει τόσο την αποθήκευση των πληροφοριών που παρέχει ο αποδέκτης της υπηρεσίας/χρήστης όσο και την διάδοση των πληροφοριών αυτών στο κοινό, κατόπιν αιτήματος του χρήστη.

Επιπλέον Κριτήρια και Κρίσιμοι Παράγοντες

Όταν μια επιχείρηση εξετάζει το αν εμπίπτει στις διατάξεις του Κανονισμού θα πρέπει να λάβει υπόψη τόσο τους παραπάνω ορισμούς όσο και τα εξής:

  • Για τους σκοπούς του DSA, ο αποδέκτης της υπηρεσίας μπορεί να είναι τόσο φυσικό όσο και νομικό πρόσωπο. Επίσης, ως αποδέκτης της υπηρεσίας δεν νοείται μόνο ο τελικός χρήστης της υπηρεσίας/εφαρμογής/πλατφόρμας, αλλά και οι επαγγελματικοί χρήστες που χρησιμοποιούν την υπηρεσία για να παρέχουν πρόσβαση σε δικές τους πληροφορίες ή/και περιεχόμενο.
  • Αν έστω και μία από τις ψηφιακές υπηρεσίες που παρέχει η επιχείρηση πληροί τα κριτήρια να χαρακτηριστεί ως μία από τις παραπάνω κατηγορίες ενδιάμεσων υπηρεσιών, τότε η επιχείρηση θεωρείται πάροχος ενδιάμεσων υπηρεσιών και οφείλει να εξασφαλίσει πως η συγκεκριμένη υπηρεσία/ες συμμορφώνεται με τις διατάξεις του DSA, ανεξαρτήτως του αν η υπηρεσία αυτή συνδέεται με την βασική δραστηριότητα της επιχείρησης ή αν αποτελεί απλώς δευτερεύουσα/παρεμπίπτουσα δραστηριότητα.
  • Όταν μια επιχείρηση εξετάζει το αν εμπίπτει σε κάποια από τις εξαιρέσεις εφαρμογής συγκεκριμένων διατάξεων λόγω του μεγέθους της, θα πρέπει να λαμβάνει υπόψη ότι το μέγεθος της επιχείρησης κρίνεται βάσει του κύκλου εργασιών και των εργαζομένων του συνόλου της επιχείρησης/νομικού προσώπου και όχι βάσει του κύκλου εργασιών μόνο της ενδιάμεσης υπηρεσίας/υπηρεσιών που προσφέρει.

Οι πάροχοι ενδιάμεσων υπηρεσιών απλής μετάδοσης ή προσωρινής αποθήκευσης, λόγω της τεχνικής και ιδιαίτερης φύσης των υπηρεσιών αυτών, είναι συνήθως πιο εύκολο να αναγνωρίσουν ότι τις παρέχουν και πως εμπίπτουν στις σχετικές υποχρεώσεις του DSA. (VPN services, Content Delivery Networks κ.λπ.)

Αντιθέτως, η κατηγορία των υπηρεσιών φιλοξενίας είναι πολύ ευρύτερη και αφορά πολύ περισσότερες επιχειρήσεις από όσες φαίνεται αρχικά να αφορά. Στην κατηγορία αυτή εμπίπτουν σίγουρα επιχειρήσεις που παρέχουν υπηρεσίες όπως website hosting, data centers, ή υπηρεσίες colocation. Όμως, λαμβάνοντας υπόψιν τα ανωτέρω, γίνεται σαφές πως στην κατηγορία αυτή εμπίπτει οποιαδήποτε ψηφιακή υπηρεσία ή εφαρμογή παρέχεται από μια επιχείρηση είτε σε καταναλωτές είτε σε εταιρικούς πελάτες/χρήστες, η οποία εκ φύσεως απαιτεί την μόνιμη αποθήκευση των δεδομένων ή του περιεχομένου των χρηστών της υπηρεσίας/εφαρμογής από την επιχείρηση που την παρέχει. Έτσι, σε αυτή την κατηγορία μπορούν να εμπίπτουν η εφαρμογή εταιρικών software με το μοντέλο Software as a Service (π.χ. πάροχοι software CRM, ERPs κ.λπ.), καθώς και εφαρμογές που απευθύνονται σε τελικούς χρήστες και αποθηκεύουν τα δεδομένα τους σε αποθηκευτικούς χώρους/servers/data centers υπό την ευθύνη της επιχείρησης που παρέχει την εφαρμογή (π.χ. εφαρμογές ημερολογίου ή εφαρμογές εισαγωγής/παρακολούθησης ιατρικών συμπτωμάτων κ.λπ.).

Επιπλέον, αν η ίδια υπηρεσία επιτρέπει την διάδοση/διαβίβαση των πληροφοριών του χρήστη, κατ’ επιλογήν του, σε τρίτους χρήστες της υπηρεσίας, τότε η υπηρεσία αποτελεί πλατφόρμα και εφαρμόζονται σε αυτή οι αυξημένες υποχρεώσεις του DSA που αφορούν τις πλατφόρμες.

Υπηρεσίες Φιλοξενίας (Hosting) και Επιγραμμικές Πλατφόρμες

Βάσει των παραπάνω, κάθε επιχείρηση μπορεί να απαντήσει στις παρακάτω ερωτήσεις για να εξετάσει αν κάποια υπηρεσία της μπορεί να θεωρηθεί υπηρεσία φιλοξενίας ή/και επιγραμμική πλατφόρμα:

α) Η υπηρεσία/εφαρμογή χρησιμοποιεί, αποθηκεύει, ή παρέχει περιεχόμενο που παράγεται ή παρέχεται από τους αποδέκτες της υπηρεσίας/χρήστες («User Generated Content»);

β) Η υπηρεσία/εφαρμογή παρέχει την δυνατότητα αποθήκευσης του User Generated Content;

γ) Η υπηρεσία/εφαρμογή επιτρέπει την διάδοση του User Generated Content σε τρίτους;

δ) Η διάδοση των παραπάνω πληροφοριών στους τρίτους αποτελεί ουσιαστική λειτουργικότητα της υπηρεσίας ή απλά ήσσονος σημασίας/επικουρικό χαρακτηριστικό;

Η απάντηση στις παραπάνω ερωτήσεις, μπορεί να οδηγήσει στα εξής συμπεράσματα για την κάθε υπηρεσία που εξετάζεται από την επιχείρηση:

  • Αν στην πρώτη ερώτηση η απάντηση είναι πως η υπηρεσία χρησιμοποιεί (και) User Generated Content, τότε η υπηρεσία σίγουρα εμπίπτει σε κάποια από τις κατηγορίες υπηρεσιών που υπάγονται στον DSA.
  • Αν η απάντηση στην δεύτερη ερώτηση είναι καταφατική, τότε η υπηρεσία είναι, τουλάχιστον, υπηρεσία hosting/φιλοξενίας.
  • Αν η απάντηση στην τρίτη ερώτηση είναι καταφατική, υπάρχει αυξημένη πιθανότητα η υπηρεσία να μπορεί να θεωρηθεί πλατφόρμα. Αν όμως ταυτόχρονα, στα πλαίσια της τέταρτης ερώτησης, η απάντηση είναι ότι η διάδοση πληροφοριών στην υπηρεσία αποτελεί ήσσονος σημασίας χαρακτηριστικό, τότε η υπηρεσία δεν είναι πλατφόρμα αλλά θεωρείται απλά υπηρεσία φιλοξενίας/hosting.

Οι Επιπλέον Υποχρεώσεις του Εθνικού Νόμου

Όπως προαναφέρθηκε οι διατάξεις του DSA, που αποτελεί Ευρωπαϊκό Κανονισμό με απευθείας εφαρμογή στην Ελλάδα, εφαρμόζονται πλήρως σε όλες τις επιχειρήσεις της χώρας μας ήδη από τις 17 Φεβρουαρίου.

Ταυτόχρονα, βρίσκεται στο στάδιο της ανοιχτής διαβούλευσης, το νομοσχέδιο του Υπουργείο Ψηφιακής Διακυβέρνησης για την λήψη συγκεκριμένων μέτρων εφαρμογής του DSA στην Ελλάδα. Το νομοσχέδιο, το οποίο τιτλοφορείται «Λήψη μέτρων για την εφαρμογή του Κανονισμού (ΕΕ) 2022/2065 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 19ης Οκτωβρίου 2022 σχετικά με την ενιαία αγορά ψηφιακών υπηρεσιών και την τροποποίηση της οδηγίας 2000/31/ΕΚ («Πράξη για τις ψηφιακές υπηρεσίες»)», περιέχει, σε σχέση με τον DSA, και κάποιες επιπλέον εθνικές καινοτομίες και υποχρεώσεις.

Ενδεικτικά, οι ελληνικές επιχειρήσεις που εμπίπτουν στο πεδίο εφαρμογής του DSA θα πρέπει, πέραν της συμμόρφωσης με τις διατάξεις του DSA, να εγγραφούν και στο Μητρώο Παρόχων Ενδιάμεσων Υπηρεσιών που θα συσταθεί και θα τεθεί σε λειτουργία από την Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων (ΕΕΤΤ).

Σημειώνεται επίσης πως, σύμφωνα με το νομοσχέδιο, ως Συντονιστής Ψηφιακών Υπηρεσιών και αρμόδια για την επίβλεψη της συνολικής εφαρμογής του DSA στην χώρα μας ορίζεται η ΕΕΤΤ. Ταυτόχρονα, για την εφαρμογή συγκεκριμένων διατάξεων του DSA παρέχεται αρμοδιότητα και στο Εθνικό Συμβούλιο Ραδιοτηλεόρασης (ΕΣΡ) αλλά και στην Αρχή Προστασίας Δεδομένων (ΑΠΔ πρώην ΑΠΔΠΧ).

Τι Πρέπει να Εξετάσουν οι Ελληνικές Επιχειρήσεις;

Οι ελληνικές επιχειρήσεις που παρέχουν ψηφιακές υπηρεσίες στο κοινό ή τους εταιρικούς τους πελάτες θα πρέπει άμεσα να προχωρήσουν σε μία αρχική χαρτογράφηση των υπηρεσιών τους και να εκτιμήσουν, για κάθε μία από αυτές, αν εμπίπτουν σε κάποια από τις παραπάνω κατηγορίες ενδιάμεσων υπηρεσιών βάσει του DSA και αν, συνεπώς, θα πρέπει να ληφθούν μέτρα συμμόρφωσης των συγκεκριμένων υπηρεσιών με τις διατάξεις του DSA.

Αυτή η διαδικασία/εκτίμηση υπαγωγής στις διατάξεις του DSA/Scoping είναι πολύ σημαντική ιδίως για τις επιχειρήσεις οι οποίες είναι μεσαίες ή μεγαλύτερες, δηλαδή τις εταιρείες που απασχολούν πάνω από 50 εργαζομένους ή έχουν ετήσιο κύκλο εργασιών ή σύνολο ετήσιου ισολογισμού που υπερβαίνει τα 10 εκατομμύρια ευρώ, καθώς οι επιχειρήσεις αυτές δεν μπορούν να επωφεληθούν από τις εξαιρέσεις που προβλέπονται, για μικρότερου μεγέθους επιχειρήσεις, ως προς κάποιες από τις υποχρεώσεις του DSA.

Ευχαριστώ για την συνεισφορά στην συγγραφή του παρόντος τον Φίλιππο Αλεξανδράκη, Δικηγόρο, Associate, Σκόπα -–Ζαγγανάς & Συνεργάτες Δικηγορική Εταιρεία

[1] Η λίστα με τις επιχειρήσεις που έχουν καθοριστεί ως πάροχοι Πολύ Μεγάλων Επιγραμμικών Πλαρφορμών από την Ευρωπαϊκή Επιτροπή: https://digital-strategy.ec.europa.eu/en/policies/list-designated-vlops-and-vloses

[2] Για τον καθορισμό του μεγέθους της επιχείρησης, ακολουθούνται οι ορισμοί της Σύστασης 2003/361/ΕΚ της Επιτροπής (https://eur-lex.europa.eu/legal-content/EL/TXT/?uri=CElEX%3A32003H0361 )

Χρήστος Ζαγγανάς

Ο Χρήστος Ζαγγανάς είναι Δικηγόρος και Eταίρος της δικηγορικής εταιρείας "Σκόπα - Ζαγγανάς και Συνεργάτες".

Έχει ειδίκευση στο Εμπορικό Δίκαιο, το Δίκαιο νέων Τεχνολογιών, και το Δίκαιο Προστασίας Προσωπικών Δεδομένων.

Είναι...

Τεχνητή νοημοσύνη, μεταφορές & ευθύνη των μεταφορέων στο Ελληνικό Δίκαιο
Ερμηνεία Υπαλληλικού Κώδικα - Κατ

ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΥΠΑΛΛΗΛΙΚΟ ΔΙΚΑΙΟ

ΒΑΣΙΛΕΙΟΣ ΑΝΔΡΟΝΟΠΟΥΛΟΣ
ΜΑΡΙΑ ΑΝΔΡΟΝΟΠΟΥΛΟΥ