Założenia projektu rozporządzenia Komisji Europejskiej o zapobieganiu rozpowszechnianiu treści terrorystycznych online (Regulation on preventing the dissemination of terrorist contenct online) są ambitne. Zasadniczym celem rozporządzenia miałoby być zapobieganie rozpowszechnianiu treści terrorystycznych w internecie poprzez ich jak najszybsze usuwanie i zapobieganie ponownemu umieszczeniu w sieci. O ile pojęcie przestępstw terrorystycznych zawarte w rozporządzeniu odwołuje się do istniejącego ustawodawstwa unijnego, to projekt precyzuje, że treściami terrorystycznymi mogą być zarówno treści pochwalające lub gloryfikujące taką aktywność, popierające aktywność terrorystyczną, jak i stanowiące instrukcje lub wskazówki dotyczące faktycznego podejmowania działań terrorystycznych.

Czytaj także: Ocena ryzyka naruszenia przepisów o przeciwdziałaniu praniu pieniędzy

Zaproponowany przez Komisję Europejską model opiera się na ścisłej współpracy pomiędzy właściwymi organami państwowymi a podmiotami świadczącymi usługi hostingu (hosting services providers), zdefiniowanymi jako podmioty świadczące usługi drogą elektroniczną, polegające na przechowywaniu informacji dostarczonych przez dostawcę treści oraz ich udostępnianiu osobom trzecim. Co istotne, ani rozmiar ani zasięg działania dostawcy usługi nie będzie miał znaczenia dla zastosowania rozporządzenia – podobnie jak jego ewentualna lokalizacja poza obszarem Unii Europejskiej.

Jaki zakres obowiązywania

Zgodnie z art. 1 projektowanego rozporządzenia, będzie miało ono zastosowanie do hosting providerów oferujących usługi w Unii, niezależnie od miejsca głównej działalności takiego podmiotu. Ocena, czy w danym przypadku usługi oferowane są w UE, będzie dokonywana – w szczególności – przy uwzględnieniu takich czynników, jak liczba użytkowników usługi w państwach Unii, a także jej nakierowanie (targeting of activities) na jedno lub więcej państw członkowskich. W konsekwencji regulacja ta znajdzie zastosowanie nie tylko do gigantów takich jak Facebook czy YouTube, ale także do wszystkich innych dostawców usług hostingu, o ile tylko oferują swoje działania w Unii Europejskiej. Warto dodać, że część obowiązków – wynikających z założeń projektu – wykonywana będzie w sposób proporcjonalny i odpowiedni do zidentyfikowanych ryzyk. To z kolei może przełożyć się na zmniejszenie ciężaru regulacyjnego w przypadku mniejszych podmiotów. W tym zakresie rozporządzenie zdaje się czerpać z zasady podejścia opartego na ryzyku, które w epoce RODO i dyrektywy NIS nie powinno nikogo zaskakiwać.

Co muszą podmioty zobowiązane

Kluczowym obowiązkiem przewidzianym w projekcie jest usuwanie lub uniemożliwianie dostępu do treści terrorystycznych w ciągu 1 godziny od momentu otrzymania stosownego nakazu (removal order) uprawnionego organu. Rozporządzenie przewiduje jednak możliwość odwołania się od takiej decyzji. Zapisane są w nim także wyjątkowe przypadki, w których jednogodzinny termin nie znajdzie zastosowania, np. w przypadku siły wyższej. Co do zasady natomiast, niezastosowanie się do nakazu usunięcia treści może wiązać się z sankcją finansową w wysokości nawet do 4 proc. rocznego obrotu podmiotu zobowiązanego.

Rozporządzenie przewiduje także utworzenie instytucji powiadomienia (referral) – niewiążącej notyfikacji kierowanej przez organ państwowy do dostawcy usługi hostingu. W oparciu o otrzymane powiadomienie, to dostawca usługi będzie mógł podjąć decyzje, czy dany komunikat stanowi treść terrorystyczną i powinien zostać usunięty. Tego typu treści powinny być przechowywane przez hosting providera z zachowaniem odpowiednich zabezpieczeń przez okres kolejnych 6 miesięcy na potrzeby ewentualnego postępowania wyjaśniającego, prowadzonego przez właściwe organy. Te same organy będą miały również możliwość nakazania dłuższego przechowywania wspomnianych wyżej informacji.

Na dostawcę usługi hostingu mają zostać nałożone także obowiązki związane z proaktywnym działaniem zapobiegającym rozpowszechnianiu treści terrorystycznych (proactive measures). Do takich rozwiązań projekt rozporządzenia zalicza m.in. mechanizmy automatycznie, analizujące treści w celu uniemożliwienia ponownego opublikowania informacji już raz usuniętych, a także wykrywania, identyfikacji i sprawnego usuwania pojawiających się nowych treści terrorystycznych.

Do dodatkowych obowiązków usługodawców świadczących usługi hostingu należeć będą również m.in:

- Zawarcie w warunkach korzystania z usługi informacji o wdrożonej polityce zapobiegania rozpowszechnianiu treści terrorystycznych, w tym informacji o stosowanych narzędziach służących ich automatycznemu wykrywaniu

- Powołanie punktu kontaktowego, dostępnego w trybie 24/7, zapewniającego ciągłą możliwość sprawnego kontaktu z właściwym organem państwowym

- Komunikacja z dostawcami treści (content providers) w zakresie podejmowanych działań, w tym w zakresie przypadków usunięcia lub uniemożliwienia dostępu do informacji publikowanych przez dostawcę treści

- Ustanowienie procedury rozpatrywania skarg, składanych przez dostawców treści, w przypadku usunięcia informacji terrorystycznych na skutek otrzymanego powiadomienia (referral) lub na skutek samodzielnie zastosowanych środków wykrywających treści o potencjalnie terrorystycznym charakterze

- Sporządzanie rocznych raportów dotyczących działań przedsięwziętych przez usługodawcę w zakresie przeciwdziałania terroryzmowi

Na tak wczesnym etapie legislacyjnym trudno wyrokować na temat zasadności i prawidłowości planowanych rozwiązań – projekt będzie przedmiotem prac i negocjacji w ramach Parlamentu Europejskiego i Rady, a więc ostateczny kształt regulacji może istotnie odbiegać od materiału opublikowanego 12 września. Jego założenia wydają się jednak ambitne. Za trafne należy uznać spostrzeżenia zawarte w uzasadnieniu propozycji Komisji Europejskiej, wskazujące na kluczowe znaczenie szybkiej i zdecydowanej reakcji w czasie następującym bezpośrednio po zamieszczeniu treści terrorystycznych online – z uwagi na ich tempo rozprzestrzeniania w cyfrowej rzeczywistości. Z drugiej strony niebezpodstawne mogą okazać się także obawy wskazujące na ryzyko cenzury treści publikowanych w internecie, czy wręcz autocenzury, wprowadzanej przez usługodawców z obawy przed potężnymi sankcjami finansowymi. Z pewnością jednak dalszej analizy wymagać będzie również kwestia relacji projektowanych regulacji i obecnych uwarunkowań prawnych, w szczególności wynikających z dyrektywy o handlu elektronicznym (2000/31/WE), w Polsce implementowanej w ramach ustawy o świadczeniu usług drogą elektroniczną.

Projekt Rozporządzenia z 12 września dostępny jest na stronie: https://ec.europa.eu/commission/sites/beta-political/files/soteu2018-preventing-terrorist-content-online-regulation-640_en.pdf

Małgorzata Kurowska Kancelaria Maruta Wachta