Pięć kwestii prawnych na rok 2024, o których musi wiedzieć każdy e-commerce manager

DSA, czyli nowe rozdanie w unijnym internecie

Już za chwilę, bo 17 lutego 2024 r., w całej Unii Europejskiej zacznie obowiązywać nowa regulacja, którą spokojnie możemy ustawić w jednym szeregu z RODO oraz wspomnianym już na wstępie Omnibusem. Tym razem magiczny skrót brzmi „DSA”, a kryją się za nim słowa „Digital Services Act” (w Polsce będzie się go zamiennie nazywało „aktem o usługach cyfrowych”). Celem nowych przepisów jest m.in. punktowe rozwiązanie kilku kluczowych problemów współczesnej rzeczywistości online. Nowe zakazy oraz nakazy sprawią, że niejeden e-commerce manager stanie przed wyzwaniem wdrożenia nowych procesów albo zmiany w dotychczasowych. Co zatem czeka branżę internetową?
Po pierwsze, zakaz stosowania dark patterns przez platformy internetowe. Wyraźnie zabronione będzie tworzenie i stosowanie interfejsów w taki sposób, który wprowadza użytkowników w błąd, manipuluje ich zachowaniem lub inaczej w istotny sposób zakłóca lub ogranicza ich zdolność do podejmowania wolnych i świadomych decyzji. Interfejsy serwisów online, w tym zwłaszcza platform zakupowych, będą musiały zostać gruntownie zweryfikowane pod kątem tego, czy nie są w nich stosowane wspomniane dark patterns. Przykładów takich metod budowania interfejsów oraz ścieżek użytkownika jest wiele, a Komisja Europejska ma określić oficjalną listę zakazanych praktyk.
Po drugie, platformy zakupowe dla konsumentów będą musiały stosować mechanizm know your business customer, czyli zbierać i weryfikować informacje o firmach oferujących swoje produkty lub usługi na platformie (w tym m.in. dane kontaktowe, kopię dokumentu tożsamości, dane rachunku płatniczego, numer z rejestru przedsiębiorców). Ponadto, będą musiały tak projektować swój interfejs, aby umożliwiać sprzedawcom podanie informacji na temat ich nazwy, adresu oraz danych kontaktowych. Chodzi tu o ochronę konsumentów przed oszustami. 
Po trzecie, platformy internetowe będą musiały mieć wdrożone mechanizmy pozwalające na zgłaszanie nielegalnych treści opublikowanych na platformie. Mechanizmy te będą musiały być łatwo dostępne, przyjazne dla użytkownika oraz pozwalać na to, by całe zgłoszenie odbywało się drogą elektroniczną. Oprócz takich mechanizmów na platformie będzie musiał funkcjonować system rozpatrywania skarg na decyzje podjęte przez dostawcę platformy w odpowiedzi na zgłoszenie nielegalnych treści (np. decyzję o ich usunięciu).

Po czwarte, wprowadzony zostanie zakaz kierowania reklamy profilowanej do dzieci oraz wykorzystywania na potrzeby takiej reklamy danych wrażliwych (m.in. informacji o stanie zdrowia, o światopoglądzie czy też seksualności). Tak czy inaczej, przy każdej sprofilowanej reklamie będzie musiała znajdować się informacja, że jest to treść sponsorowana, kto jest reklamodawcą oraz indywidualne (dostosowane do konkretnego użytkownika) wyjaśnienie, dlaczego widzi daną reklamę (np. do jakiego segmentu został przypisany i według jakich kryteriów).
Opisujemy powyżej kluczowe, nowe regulacje dla platform internetowych. To największa liczebnie grupa adresatów nowych przepisów. Celowo pomijamy tutaj szereg dodatkowych obowiązków prawnych, które DSA nakłada na tzw. bardzo duże platformy internetowe (VLOPs – Very Large Online Platforms; np. AliExpress, Zalando, Amazon, usługi Google, Instagram, LinkedIn, TikTok, X/Twitter, Wikipedia). Obowiązków tych jest bardzo wiele, ale jednocześnie nie mają one bezpośredniego przełożenia na nowe wyzwania dla większości e-commerce managerów. 
Warto też zaznaczyć, że w Polsce dopiero zostanie wyznaczony urząd, który będzie odpowiadał za egzekwowanie przepisów DSA. Będzie on miał jednak bardzo silne narzędzie do regulowania branży e-commerce. Nowe przepisy dają możliwość nakładania kar w wysokości nawet do 6% obrotu firmy naruszającej DSA.

Sztuczna inteligencja, czyli dobrodziejstwo, które wymaga kontroli 

Narzędzia oparte na sztucznej inteligencji (AI, artificial intelligence) stają się coraz popularniejsze. Mówi się, że sztuczna inteligencja ma być jedną z najważniejszych technologii przyszłości. Również w Polsce AI zyskuje popularność i to nie tylko w sferze prywatnej, ale również w szeroko pojętej sferze zawodowej. Nie powinno to dziwić, gdyż sztuczna inteligencja niesie wiele możliwości i korzyści. Wśród najważniejszych można wymienić, takie jak:

• zwiększenie efektywności: AI może przyczynić się do automatyzacji wielu rutynowych i powtarzalnych zadań, co pozwoli pracownikom skoncentrować się na bardziej kreatywnych i wartościowych zadaniach;
• poprawa precyzji: dzięki umiejętności AI do dokładnego analizowania dużych zbiorów danych, pracownicy mogą podejmować lepsze i szybsze decyzje. Może ona również pomóc w identyfikacji wzorców i trendów, które byłyby trudne lub niemożliwe do wykrycia dla człowieka;
• wspomaganie podejmowania decyzji: AI może służyć jako narzędzie do dostarczania danych i informacji, które mogą ułatwiać pracownikom codzienną pracę. Może również pomóc w prognozowaniu i przewidywaniu wyników, co może być niezwykle cenne dla wielu branż.
   

Istotnym problemem, z jakim mierzy się branża w kontekście sztucznej inteligencji, jest jednak brak regulacji prawnych. W czerwcu 2023 r. 
Parlament Europejski przyjął swoją wersję Aktu ws. sztucznej inteligencji (AI Act), ale to nie oznacza, że stał się on obowiązującym prawem. Unijny proces legislacyjny jeszcze trwa, a najbardziej prawdopodobny scenariusz zakłada, że zakończy się w ciągu najbliższych 12 miesięcy. Nowe przepisy ws. sztucznej inteligencji zaczną zatem obowiązywać pod koniec 2025 r. lub 2026 r. 
Zgodnie z założeniami unijnych przepisów systemy AI będą klasyfikowane według ryzyka, jakie mogą generować dla ludzi oraz ich praw. Niektóre systemy będą całkowicie zakazane (np. systemy wykorzystujące przekaz podprogowy lub systemy tzw. scoringu społecznego). Niektóre zaś będą uznawane za systemy wysokiego ryzyka (np. systemy przeznaczone do rekrutacji), których tworzenie i stosowanie związane będzie z obszernymi obowiązkami. Tak czy inaczej większość systemów opartych na AI będzie musiała spełniać wymagania w zakresie przejrzystości (np. w przypadku narzędzi z obszaru obsługi klienta obowiązek informowania klienta o tym, że prowadzi rozmowę z voicebotem).
Trzeba również zasygnalizować, że wykorzystanie systemów AI obok korzyści niesie też ryzyko już na gruncie obecnych przepisów. Wśród najpoważniejszych należy wymienić: 

• dane osobowe i tajemnica przedsiębiorstwa: przetwarzanie danych z wykorzystaniem AI może rodzić ryzyko naruszenia prywatności i bezpieczeństwa informacji, np. w związku z wprowadzaniem w ramach promptów danych pracowników, kontrahentów oraz informacji objętych tajemnicą przedsiębiorstwa; 
• błędy i nieprzewidywalność: mimo swojej zaawansowanej technologii, AI może nadal popełniać błędy. Informacje pozyskiwane z wykorzystaniem AI mogą być nieprawdziwe lub nieaktualne, w związku z czym ich zastosowanie może prowadzić do wytworzenia niskich jakościowo produktów czy treści.
   

Jak zatem jeszcze w 2024 r. poukładać kwestie korzystania ze sztucznej inteligencji w swojej organizacji? Pierwszym krokiem powinna być analiza, która da odpowiedź na następujące pytania: 

• Jakie zasady chcesz wdrożyć (całkowity zakaz, ograniczenie stosowania AI, dopuszczenie stosowania AI)?
• Do jakich czynności chcesz wykorzystywać narzędzia oparte na AI?
• Z jakich rozwiązań opartych na AI chcesz korzystać? 
   

Kolejnym krokiem powinno być opracowanie wewnętrznych reguł (np. procedur), które w przejrzysty sposób wskażą ramy korzystania z narzędzi AI. Bardzo ważnym elementem jest również przeszkolenie pracowników – tak, aby potrafili dostrzegać ryzyko związane z korzystaniem z takich narzędzi i działać w sposób, który pozwoli na jego minimalizację. Warto już teraz dobrze opracować wewnętrzne wytyczne dotyczące tego tematu, ponieważ iż brak może doprowadzić do niepożądanych zdarzeń (np. incydentu w obszarze ochrony danych osobowych) i skutkować nałożeniem kar. 

UOKiK kontroluje przestrzeganie obowiązku zapewniania kontaktu telefonicznego

We wstępie wspomnieliśmy już o dyrektywie Omnibus, która wstrząsnęła branżą e-commerce na początku 2023 r. W tym kontekście dużo mówi się o obowiązkach związanych z informowaniem o obniżkach cen oraz o weryfikowaniu opinii konsumentów. Zdecydowanie mniej mówi się o wprowadzonym (również na początku tego roku) obowiązku, zgodnie z którym każdy sprzedawca lub dostawca usług online musi posiadać numer telefonu, pod którym konsument może się z nim szybko i efektywnie skontaktować. Menedżerowie e-commerce’ów nie mogą lekceważyć tego obowiązku, ponieważ Prezes Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) oficjalnie zapowiedział na obecne i najbliższe miesiące kontrole w zakresie jego wypełniania. 
Zadajesz sobie pewnie pytanie: „Ale co oznacza «szybki i efektywny kontakt»?” To pytanie jest bardzo na miejscu. Niestety, nowe przepisy nie dają na nie jednoznacznej odpowiedzi. Czy 10 minut oczekiwania na infolinii można jeszcze uznać za „szybki i efektywny kontakt”? Czy sklep internetowy ma obowiązek wdrożenia „kolejkowania” na infolinii? Takich i podobnych pytań jest więcej. Odpowiedź na nie poznamy najpewniej w 2024 r. wraz z pierwszymi wystąpieniami lub decyzjami Prezesa UOKiK o karach dla konkretnych podmiotów naruszających obowiązujące przepisy ustawy o prawach konsumenta. 
Oznacza to, że wielu sprzedawców i usługodawców online będzie musiało w przyszłym roku podjąć działania podnoszące dostępność oraz jakość obsługi telefonicznej. W naszej ocenie samo podanie numeru telefonu na stronie internetowej to zdecydowanie za mało, aby móc powiedzieć, że sklep lub platforma zapewnia szybki i efektywny kontakt. Istotne jest też m.in. w jakich godzinach infolinia jest w ogóle dostępna oraz czy standardy obsługi klienta na infolinii nie prowadzą notorycznie do niepożądanych sytuacji (brak realnej możliwości rozwiązania problemów klienta). 

Koniec epoki bezpłatnego internetu, czyli płatna subskrypcja mediów społecznościowych

Od listopada 2023 r. Meta zaczęła wdrażać na swoich platformach (Instagram, Facebook) mechanizm uzyskiwania wyraźnej zgody użytkowników na prezentowanie im sprofilowanej reklamy. Alternatywą jest wykupienie subskrypcji, której miesięczny koszt jest dość wysoki (kilkadziesiąt złotych). Skąd taka decyzja?
Dotychczas Meta opierała swoje działania na zasadzie, że personalizowana reklama jest elementem usługi: korzystasz za darmo, ale w zamian za reklamy. Jednak ostatnie 12 miesięcy było dla Meta niezwykle trudne na odcinku prawnym. Cztery instytucje odpowiedzialne za przestrzeganie prawa w Unii Europejskiej w różnych kontekstach uznały, że model działania Meta nie spełnia wymagań regulacji o ochronie danych osobowych. Był to irlandzki oraz norweski odpowiednik naszego Urzędu Ochrony Danych Osobowych, Europejska Rada Ochrony Danych, a także Trybunał Sprawiedliwości Unii Europejskiej. Z ich decyzji i wyroków płynie jednoznaczna konkluzja: platformy należące do Meta muszą uzyskiwać wyraźną zgodę swoich użytkowników na prezentowanie im sprofilowanych reklam. Według TSUE Meta, z uwagi na swoją dominującą pozycję rynkową, musi zapewniać użytkownikom możliwość wyrażenia dobrowolnej zgody na śledzenie do celów reklamowych. „Dobrowolnej”, a więc z alternatywną opcją płacenia za dostęp do platformy.
Kolejny rok będzie czasem weryfikacji, czy sytuacja dotycząca platform Meta wywoła lawinę i upowszechni się model, w którym dotychczas „darmowe” platformy internetowe będą musiały oferować użytkownikom realną, alternatywę wobec „bezpłatnego” dostępu. Celowo używamy tutaj cudzysłowu, bo dostęp „bezpłatny” oznacza po prostu monetyzację danych użytkownika.

Kolejny pakiet uszczelniający VAT i e-faktury

Na koniec o tym, co nieodzowne w każdym biznesie, czyli o pieniądzach i podatkach. Od 2024 r. wchodzi w życie kolejna ustawa uszczelniająca VAT w sektorze e-commerce. Zgodnie z nią banki i inne instytucje finansowe będą przesyłać do Krajowej Administracji Skarbowej ewidencję płatności transgranicznych, jeżeli dostawca usług płatniczych zrealizuje w ciągu kwartału więcej niż 25 płatności na rzecz tego samego odbiorcy. Dojdzie zatem do zacieśnienia współpracy między dostawcami usług płatniczych a administracją skarbową. Powstanie kompleksowa baza danych o płatnościach transgranicznych, dzięki czemu możliwe będzie wykrywanie nieprawidłowości, co w efekcie przekłada się na uszczelnienie poboru VAT, szczególnie w sektorze e-commerce.
Nadchodzący rok to także zmiany w zakresie fakturowania. 
Od 1 lipca 2024 r. podatnicy muszą być gotowi na obowiązkowe e-faktury oraz Krajowy System e-Faktur (KSeF) dla wszystkich transakcji B2B, czyli dokonywanych między podmiotami prowadzącymi działalność gospodarczą. Nowe obowiązki będą wymagać zaangażowania na etapie wprowadzania zmian w organizacji (m.in. spięcia systemów CMS z KSeF), w tym procesów zawierania umów dotyczących przetwarzania danych z dostawcami systemów do rozliczeń.