Założenia projektu rozporządzenia Komisji Europejskiej o zapobieganiu rozpowszechnianiu treści terrorystycznych online (Regulation on preventing the dissemination of terrorist contenct online) są ambitne. Zasadniczym celem rozporządzenia miałoby być zapobieganie rozpowszechnianiu treści terrorystycznych w internecie poprzez ich jak najszybsze usuwanie i zapobieganie ponownemu umieszczeniu w sieci. O ile pojęcie przestępstw terrorystycznych zawarte w rozporządzeniu odwołuje się do istniejącego ustawodawstwa unijnego, to projekt precyzuje, że treściami terrorystycznymi mogą być zarówno treści pochwalające lub gloryfikujące taką aktywność, popierające aktywność terrorystyczną, jak i stanowiące instrukcje lub wskazówki dotyczące faktycznego podejmowania działań terrorystycznych.
Czytaj także: Ocena ryzyka naruszenia przepisów o przeciwdziałaniu praniu pieniędzy
Zaproponowany przez Komisję Europejską model opiera się na ścisłej współpracy pomiędzy właściwymi organami państwowymi a podmiotami świadczącymi usługi hostingu (hosting services providers), zdefiniowanymi jako podmioty świadczące usługi drogą elektroniczną, polegające na przechowywaniu informacji dostarczonych przez dostawcę treści oraz ich udostępnianiu osobom trzecim. Co istotne, ani rozmiar ani zasięg działania dostawcy usługi nie będzie miał znaczenia dla zastosowania rozporządzenia – podobnie jak jego ewentualna lokalizacja poza obszarem Unii Europejskiej.
Jaki zakres obowiązywania
Zgodnie z art. 1 projektowanego rozporządzenia, będzie miało ono zastosowanie do hosting providerów oferujących usługi w Unii, niezależnie od miejsca głównej działalności takiego podmiotu. Ocena, czy w danym przypadku usługi oferowane są w UE, będzie dokonywana – w szczególności – przy uwzględnieniu takich czynników, jak liczba użytkowników usługi w państwach Unii, a także jej nakierowanie (targeting of activities) na jedno lub więcej państw członkowskich. W konsekwencji regulacja ta znajdzie zastosowanie nie tylko do gigantów takich jak Facebook czy YouTube, ale także do wszystkich innych dostawców usług hostingu, o ile tylko oferują swoje działania w Unii Europejskiej. Warto dodać, że część obowiązków – wynikających z założeń projektu – wykonywana będzie w sposób proporcjonalny i odpowiedni do zidentyfikowanych ryzyk. To z kolei może przełożyć się na zmniejszenie ciężaru regulacyjnego w przypadku mniejszych podmiotów. W tym zakresie rozporządzenie zdaje się czerpać z zasady podejścia opartego na ryzyku, które w epoce RODO i dyrektywy NIS nie powinno nikogo zaskakiwać.
Co muszą podmioty zobowiązane
Kluczowym obowiązkiem przewidzianym w projekcie jest usuwanie lub uniemożliwianie dostępu do treści terrorystycznych w ciągu 1 godziny od momentu otrzymania stosownego nakazu (removal order) uprawnionego organu. Rozporządzenie przewiduje jednak możliwość odwołania się od takiej decyzji. Zapisane są w nim także wyjątkowe przypadki, w których jednogodzinny termin nie znajdzie zastosowania, np. w przypadku siły wyższej. Co do zasady natomiast, niezastosowanie się do nakazu usunięcia treści może wiązać się z sankcją finansową w wysokości nawet do 4 proc. rocznego obrotu podmiotu zobowiązanego.
