Förra året vann nya EU-förordningar laga kraft. De heter Digital Markets Act (DMA) och Digital Services Act (DSA) och har mycket stora anspråk.
De begränsar, bland annat, hur stora teknikföretag som Apple, Amazon och Meta hanterar konkurrens och användardata.
Är det konkurrenslagstiftning, kanske du undrar då?
Det är en bra fråga.
DMA är det definitivt, medans DSA åtminstone är det indirekt.
De är på ett sätt en reaktion mot en saktfärdig tillämpningen av Dataskyddsförordningen/GDPR. Men också en kraftfull komplettering av GDPR där man sätter ned foten och säger:
Vi kan inte ha en situation där ett fåtal gigantiska techbolag sätter villkoren för webben som marknadsplats. Och också har mage att inte vara transparent med hur deras algoritmer styr vad vi ser, och när vi ser det.
Syftet är iallafall att skapa ett säkrare digitalt utrymme där användares grundläggande rättigheter skyddas – och främja etablerandet av en rättvis spelplan för företag inom EU:s inre marknad och globalt.
Så, hur påverkar dessa två lagar ditt företag och den digitala infrastruktur som många av oss tagit för given?
Innan vi kommer til det, ska vi först bena ut lite mer övergripande vad lagarna är för slags “väsen”, tillsammans och var för sig.
Ett lagpaket – två lagar
De två lagarna godkändes under ett gemensamt lagstiftningspaket – som heter Digital Services Act-paketet (DSA-paketet), men de fungerar som två separata lagar. De har, som nämnts, stor inverkan på de stora så kallade techbolagen.
DSA-paketet inför många nya krav på regelefterlevnad och transparens som dessa företag måste implementera.
Kort och förenklat kan man säga att:
- Digital Services Act hjälper till att göra internet säkrare och tydligare för alla.
- Digital Markets Act vill att stora teknikföretag spelar schysst på nätet.
Så bättre och säkrare för enskilda människor och rättvisare marknadsvillkor för alla företag.
Låt oss börja genom att kika närmare på Digital Services Act – DSA.
Digital Services Act – DSA
Digital Services Act är en förordning som tar sikte på att modernisera e-handelsdirektivet genom att sätta tydligare ramverk för online-aktörer som:
- marknadsplatser,
- sociala medier,
- innehållsdelningsplattformar och,
- app-stores
- samt onlineplattformar för resor och boende.
Lagen kräver, bland annat, att plattformarna moderera sitt innehåll samt är transparenta med hur de samlar in data.
Modereringskravet är kanske särdeles intressant eftersom det innebär att lagstiftarna sätter ett slags publicistiskt ansvar på plattformarna, vilket går emot den hållning som exempelvis Facebook haft där de hållit fast vid att man är en “neutral plattform” och inte en publicist.
I ett nötskal kan DSA beskrivas som en lag som vill värna dig och mig som enskilda användare genom att stärka vår rätt som individer i det digitala ekosystemet. Och det gör man genom att kräva öppenhet och ansvar för hur olika plattformar agerar online.
DSA trädde i kraft den 16 november 2022. Och eftersom det är en EU-förordning gäller den lika i hela EU.
DSA gäller för alla digitala mellanhänder, men särskilt så kalade very large online platforms (VLOPs) och very large online search engines (VLOSEs), från 45 miljoner användare per månader i EU.
Till att börja med fick de stora plattformarna därför apportera in hur många aktiva användare man har – eftersom deras omfång eller storlek är avgörande för om de ska regleras.
Baserat på dessa uppgifter avgör EU-kommissionen om en plattform ska klassas som en mycket stor online-plattform eller sökmotor. De plattformar som får en stämpel har sedan fyra månader på sig att bland annat lämna in sin första årliga riskbedömning.
Den 17 februari 2024 är DSA implementerat i fullo
Digital Markets Act – DMA
Det andra halvan av DSA-paketet är DMA – en konkurrenslagstiftning som riktar sig mot så kallade gatekeepers.
Denna lagstiftning definierar tio centrala plattformstjänster, inklusive sökmotorer, operativsystem, webbläsare, virtuella assistenter och sociala nätverk. Det innebär att lagen, även kommer att reglera teknikjättar agerande, såsom Meta, Google och Amazon.
DMA stipulerar, till exempel, att dessa onlineplattformar måste inhämta användarnas samtycke innan de använder personuppgifter för riktad annonsering. Och ekar således de krav som Dataskyddsförordningen (GDPR) redan kräver av dem och alla andra stora som små sidor på nätet.
Lagen fastställer även tydliga regler kring hur onlineplattformar bör agera för att garantera användarnas säkerhet.
Lagen trädde i kraft den 2 maj 2023.
DSA-paketets "varför"
I grund botten skapades DSA och DMA för att göra nätet mer användarvänligt och företagsvänligt.
DSA-paketet vill begränsa tech-giganternas monopolitiska anspråk och samtidigt säkra en mer rättvis konkurrens mellan onlineföretag.
Lagarna har i sig förhållandevis tydliga riktlinjer som företag kan följa.
Värt att notera är hur lagpaketet också vill komma åt användarnas säkerhet och hälsa online, och hur de därför angriper hur plattformar kan generera ångest hos yngre människor, sprida missinformation och panik och främja beroendeframkallande innehåll.
Fokus på de "väldigt stora"
Very large eller väldigt stora …
… mycket stora plattformar
… online-plattformar
… hosting-tjänster
… mellanhänder
påverkas på olika sätt av DSA-paketet.
Hur de påverkas beror på vad för slags tjänster de erbjuder, deras storlek och deras “impact”.
Lagpaketet vill säkra att respektive tjänst inte missbrukas för olagliga aktiviteter, att de operera ansvarsfullt.
En del av kraven rör bara mycket stora online-plattformar, (Very Large Online Platforms = VLOP), som möjliggör offentlig debatt och ekonomiska transaktioner.
Mycket små plattformar behöver således inte följa majoriteten av dessa krav.
Hur stor är en jättestor plattform?
DSA-paketet klassificerar plattformar eller sökmotorer med fler än 45 miljoner användare per månad i EU som very large online platforms (VLOPs) eller very large online search engines (VLOSEs).
Plattformarna eller sökmotorerna måste deklarera hur många månads-användare de har var sjätte månad.
Vilka tjänster berörs av DSA-paketet?
- Mellanhänder som erbjuder nätverksinfrastruktur, internetleverantörer och domännamnsregistrarer.
- Hosting-tjänster såsom moln- och webbhotelltjänster.
- Onlineplattformar som online-marknadsplatser, appbutiker, plattformar för delningsekonomi, och sociala medieplattformar.
- Och de så kallade VLOP, det vill säga de mycket stora onlineplattformar som utgör en särskild risk när det gäller spridning av olagligt innehåll och skada för samhället. De är, som ovannämnt, förpliktigade att följa en specifik uppsättning regler eftersom de når minst 45 miljoner användare per månad inom EU.
Alla plattformar måste ...
De plattformar som har färre än femtio anställda och vars årliga inkomst inte överstiger tio miljoner euro är undantagna följande krav. Alla andra måste:
- Få upp en tjänst för klagomål som fungerar.
- Samarbeta med betrodda så kallade “flaggers”.
- Vidta åtgärder mot kränkande meddelanden.
- Hantera klagomål.
- Deklarera eller inkludera uppgifter om tredjepartsleverantörer.
- Erbjud användarvänliga och transparenta annonsering.
De första stora företagen
Den 24 april 2023 offentliggjorde EU-kommissionen de första företagen som omfattas av DSA-paketet.
Mycket stora online-plattformar (VLOPs):
Alibaba AliExpress,
Amazon Store,
Apple AppStore,
Booking.com,
Facebook,
Google Play,
Google Maps,
Google Shopping, I
nstagram, LinkedIn,
Pinterest, Snapchat,
TikTok,
Twitter,
Wikipedia,
YouTube,
Zalando
Mycket stora online-sökmotorer (VLOSEs):
Bing,
Google Search.
Dessa företag kommer att behöva följa DSA-paketet ur alla aspekter, såsom att ta bort olagligt innehåll, öka insynen i hur deras algoritmer fungerar, omforma sina system för att garantera en hög nivå av integritet, säkerhet, barns säkerhet med mera.
Därutöver – 6 gatekeepers
Vidare den 9 september utnämnde EU-kommissionen sex teknikföretag som gatekeepers enligt Digital Markets Act (DMA):
Alphabet,
Amazon,
Apple,
ByteDance,
Meta och,
Microsoft.
Utnämningen gäller 22 av deras kärntjänster.
Företagen fick sex månader på sig att säkerställa att de följer DMA:s skyldigheter. Om de inte uppfyller kraven kan kommissionen bötfälla dem med 10% av företagets globala omsättning och upp till 20%, om överträdelserna upprepas.
Kommissionen kan också införa ytterligare åtgärder relaterade till icke-efterlevnad, såsom att kräva försäljning av vissa affärsdelar eller förbjuda företag från att utveckla ytterligare tjänster.
Hur skyddar DSA-paketet dig på nätet?
För det första vill jag understryka att båda lagarna är helt i enighet med internationella krav på personlig integritet och dataskydd – särskilt rörande hur man skyddar konsumenter.
Därutöver fokuserar de på hur man kan skydda barn online och begränsa datainsamling utan ordentligt samtycke.
Vad betyder det i praktiken då?
Det finns ett antal stadganden i lagpaketet som lyfter detta. Och de är:
1. Transparent innehållsmoderering
2. Slut på online-manipulation
3. Restriktiv annons-tracking
4. Transparenta algoritmer
5. Riskbedömning
6. Säkra e-handelsplattformar
Här nedan går vi igenom varje stadgande.
1. Transparent innehållsmoderering
Det här är något varje traditionellt nyhetsmedia i Sverige med utgivningsbevis är mer än väl införstådd i. Du kan inte publicera vad som helst hur som helst. Du har ansvar som utgivare.
Även om DSA-paketet inte gör de stora plattformarna till traditionella publicister i den meningen, så pushar kravet på innehållsmoderering dem åt det hållet.
Kravet betyder att varje plattform måste förklara exakt varför ett visst innehåll är förbjudet genom att förklara det utförligt i deras villkor. Dessa restriktioner får däremot inte begränsa de mänskliga rättigheterna. Dessutom måste webbplatserna regelbundet publicera så kallade transparency-rapporter där de bland annat avslöjar data om borttaget innehåll
Därutöver måste varje användare bli informerad i alla EU-språken genom ett enkelt formulär kring hur reglerna för moderering fungerar. De måste få vet vilka algoritmer som används och syftet med dessa algoritmer.
DSA-paketet reglerar också hur användarkonton får blockeras och tas bort. Varje användare måste få en detaljerad beskrivning av ett sådant beslut, som informerar exakt vilken regel som hen brutit mot med möjlighet att överklaga beslutet.
Rörande kravet på att ha ordentlig content-moderation på alla EU-språk, så måste moderatorerna också hantera olagligt innehållsdistribution och överklaganden.
2. Slut på online-manipulation
Det är vanligt med manipulativ design på online-plattformar. Så kallade “dark patterns” lurar användare att agera på ett sätt som gagnar ett företags affärs-mål. Detta är något som DSA-paketet förbjuder.
Webbplatser får inte lov att designa deras tjänster på ett sätt som lurar eller begränsar användares val. Detta gäller till exempel pop-ups som tvingar besökaren att säga ja till persondata-insamling, eller applikationer som är enkla att komma igång med, men svåra att komma ur och avsluta.
3. Restriktiv riktad annonsering
Datainsamling om användare är ett av de mest lönsamma marknadsförings-aktiviteterna som finns, men samtidigt också en form av manipulation. Problem uppstår särskilt när marknadsföringen utnyttjar sårbarheter hos sina besökare, som mental hälsa, beroende, eller särskilda livsfaser.
Med DSA blir det stopp för det.
Online-plattformar får inte längre använda känslig data eller data från barn i marknadsföringssyfte. Det är fortfarande tillåtet att använda sig av riktad annonsering – men BARA om det grundas på icke-känsliga data-typer och användaren godkänt det. #samtycke
Dessutom måste varje annons innehålla klar och tydlig information om att annonsen är sponsrad – och vem sponsorn är, och varför den visas för en specifik användare.
4. Transparenta algoritmer
Algoritmer bestämmer vad som ska visas till en användare, vilket vi idag är så vana vid att vi inte lägger märke till det. DSA förser oss nu med riktlinjer för hur det får ske.
Det betyder att varje online-plattform måste förklara:
- Hur varje content-del väljs för användare.
- Vilka parametrar och data som används.
- Vad det huvudsakliga syftet med algoritmerna är.
Användare måste få lov att välja åtminstone ett system för content-urval som inte innebär tracking eller spårning. Till exempel valet att inte få sin data nyttjad för profilerat innehåll.
5. Riskbedömning
Med DSA tvingas stora plattformar att ta ett socialt ansvar.
Det betyder att online-plattformar regelbundet måste utföra så kallade risk-assessments kring:
- System för innehållsmoderering
- Hur algoritmerna fungerar
- Hur gränssnitten är byggda
- Webbplatsens grundinställningar
6. Säkra e-handelsplattformar
E-handelsplattformar tvingas med DSA-paketet identifiera säljarna och utföra regelbundna kontroller av deras produkter för att skydda konsumenter från bedragare. Användare kan också förvänta sig information om varje produkts funktioner och var den tillverkades.
Hur påverkar DSA-paketet tech-giganterna?
Medans DSA försäkrar transparens, användarsäkerhet och accountability för online-plattformar etablerar DMA mycket tydliga regler för hur stora online-plattformar #gatekeepers får agera.
Både DMA och DSA kommer att påverka företag över hela Europa. Men också stora tech-bolag utanför Europa som erbjuder tjänster för européer. DSA-paketet sätter därmed en ny gränsöverskridande standard för vad som är rätt och rimligt online.
Med det sagt.
Hur exakt kommer paketet reglerar tech-giganternas förehavanden online?
- Totalt förbud att insamla persondata utan samtycke
- Slut på monopoliserandet
- Enkelt att avsluta prenumeration och avinstallera
1. Totalförbud att samla in personuppgifter utan samtycke
Att samla in personuppgifter är redan strikt reglerat genom GDPR. Samtycke är ofta den enda, av sex, lagliga grunder i GDPR som är mest gångbar på nätsidor. Även DSA-paketet lutar sig mot samtyckes-konceptet för insamling av data. Inte minst när data kan kombineras från flera externa och interna källor och på så vis bli persondata.
Totalförbjudet omfattar, till exempel, att integrera användardata från webbplatser som använder Google Analytics eller genom att kombinera data från Facebook, Instagram och WhatsApp till en profil.
Då DSA och DMA överlappar med GDPR på samtyckes-kravet kan plattformar som bryter mot detta krav bli bötfällda flera gånger.
DMA säger alltså att användare utanför respektive plattform endast kan bli spårade om de samtyckt till det.
2. Slut på monopoliserandet
Då DSA-paketet med DMA i spetsen ställt in siktet att reducera tech-jättarnas monopolistiska ställning kommer deras tjänster att bli begränsade.
- Användare ska inte längre tvingas att koppla upp eller logga in till olika tjänster genom ett kontot man har hos tech-jätten.
- Interoperabilitet. Lagen gör det möjligt att skicka meddelanden på alla meddelande-tjänster. Det vill säga om du skickar ett meddelande på Facebook Messenger kommer det att kunna bli läst på Signal eller WhatsApp – eller vice verse. Under det första året kommer det endast gäller text-, video-, och röstmeddelanden – men sedan kommer det också omfatta grupp-chattar och röstsamtal.
- Cross-selling och cross-annonsering av tjänster blir inte tillåtet. Det betyder att användare inte blir uppmuntrade att använda en tjänst hos en tech-giganters erbjudande. Någon som, exempelvis använder iOS, blir inte rekommenderad att installera Safari på sin browser.
3. Enkelt att avsluta prenumeration och avinstallera
Och slutligen, reglerna gör det möjligt för användare att avprenumerera och avinstallera tjänster på ett enkelt sätt. Till exempel ska varje app ha ett intuitivt gränssnitt som möjliggör detta.
Hur påverkar DSA-paketet "vanliga" företag?
DSA och DMA har spetsen riktad mot tech-giganterna. Men de kommer också att påverka andra företag. I huvudsak företag som använder cookies, samlar in med hjälp av och delar persondata med med stora ekosystemtjänster som tillhör boag som Google/Alphabet.
Hur du påverkas beror, bland annat, på vad du är för slags verksamhet och storleken på din verksamhet.
Men tre saker sticker ut:
- Förbudet mot riktad annonsering baserad på känslig persondata
DSA-paketet stärker användares rättigheter vid annonsering, genom att förbjuda riktad annonsering baserad på känsliga personuppgifter. Det är inte heller tillåtet att rikta annonsering mot yngre målgrupper som barn. Sedan tillkommer förbudet för stora gatekeepers att spåra användare utanför deras kärntjänst i syfte att rikta personlig annonsering om användarna inte givit samtycke till det.Om du som företag förlitat dig på och dragit nytta av de stora plattformstjänsternas förmåga att rikta annonsering baserad på de villkor som nu inte längre är tillåtna, behöver du bland annat lägga om din digitala marknadsföringsstrategi.
- Förbud mot dark patterns hos små företag
DSA-paketet förbjuder även små företag från att använda så kallade dark patterns. Det måste till exempel vara lika enkelt att säga nej till spårning och personalisering som det är att säga ja.Läs också: Så här förändrar DSA cookie-bannern.
Bygg lösningar som är transparenta och går att verifiera
Mindre företag eller plattformar måste också se till att de designar gränssnitten och använder användarvänliga mekanismer för att följa den nya lagarna. Nyckelord är enkelt att granska och transparens.Även om det innebär regulatoriska krav på företag att göra rätt från början, vilket kan vara kostsamt, innebär det nya lagpaketet också en möjlighet för små företag att dra nytta av en säkrare och mer pålitlig digital miljö – vilket kan öka förtroendet och bidra till positiv affärsutveckling.
Företag som använder externa, stora som små, plattformar för att sälja sina produkter får en bättre och mer rättvisa villkor – eftersom dessa plattformar nu är skyldiga att till exempel ha enkla och effektiva verktyg för att flagga olagliga aktiviteter som skadar deras handel, liksom interna och externa kompensations-mekanismer vilket ger dig som företag bättre skydd mot till exempel felaktiga borttagningar.
Här blir det tydligt hur lagpaketet strävar efter rättvisa marknadsplatser på nätet.
Hur kan ditt företag följa DMA och DSA?
Förordningarna riktar sig huvudsakligen mot teknikjättarna, men om du som “vanligt” företag eller organisation använder deras plattformar för marknadsföring kommer du också att känna av deras inverkan. Samtidigt är du även som mindre företag eller plattform skyldig att beakta dessa lagar.
Att vidta åtgärder så tidigt som möjligt förbereder dig för de kommande kraven och förändringarna.
Vad ska du göra då?
1. Först och främst, förstå vilken data din organisation samlar in, hur de inhämtas, delas och används.
Vilka tjänster rullar på din webbplats, till exempel? Skickar de persondata från dina besökare till tredjeparter? Hur ser ditt avtal med dem ut?
Läs också: Hur får man alla rätt i GDPR?
2. Bestäm sedan vilka slags plattformar och tjänster du vill använda. Finns det bättre alternativ som utgår ifrån ett privacy-first-tänk, ger dig kontroll över vem du delar data med och förenklar för dig att vara transparent mot kunder och användare och inte minst tillsynsmyndigheter, och samla in laglig grund för behandling av personuppgifter?
3. Börja sedan med att få på plats en samtyckes-plattform på din webbplats och app – så du försäkrar dig om att du samlar in giltiga samtycken på ett korrekt sätt.
Detta är ett av det mest grundläggande kraven i din digitala compliance-resa vilket hjälper dig att klara viktiga krav kring online-spårning från såväl Lagen om elektronisk kommunikation (LEK), och GDPR. Samtidigt möter det nu också upp kraven som DMA ställer.
Ett lösning är Cookie Informations Consent Management Platform (CMP), respektive Mobile APP SDK.
Dessa lösningar medför en rad fördelar:
- Du kan samla in samtycken till cookies säkert
- Du respekterar användarnas integritet och personuppgifter
- Du får data för samtyckes-preferenser så du kan optimera opt-in-talen.
- Du kan följa och leva upp till viktiga delar i GDPR, LEK och även DMA. Inte minst dokumentations-kravet.
Cookie Informations CMP uppdateras kontinuerligt och automatiseras för att uppfylla alla krav från DMA och DSA. Och den hjälper, givetvis, också din organisation att följa GDPR i EU samt andra kontinenters dataskyddslagar.
Sammanfattningsvis
Att förstå DMA och DSA kan kännas överväldigande, men det behöver det inte vara. Det är det första steget mot rättvis konkurrens, innovation och tillväxt.
I takt med att regelverken förändras kommer även vår samtyckeslösning och hela vår produktkatalog att utvecklas.
Jag och mina kollegor på Cookie Information hjälper dig mer än gärna att navigera i detta landskap så att du kan fokusera på det som verkligen spelar roll – att öka tillväxten i ditt företag och bygga meningsfulla kundrelationer.
