Zgodność Digital Services Act dla AI

Czym jest DSA?

Digital Services Act (Rozporządzenie 2022/2065) to ramy UE dla odpowiedzialności platform internetowych. Wszedł w życie w listopadzie 2022 r. i jest w pełni stosowany od 17 lutego 2024. Obowiązki VLOP/VLOSE stosowane od sierpnia 2023 r.

DSA obejmuje usługi pośrednictwa — platformy hostujące, transmitujące lub buforujące treści stron trzecich. Maksymalne kary: do 6% globalnego rocznego obrotu.

Obowiązki transparentności Digital Services Act Article 14

Article 14 wymaga od każdego dostawcy usługi pośrednictwa przedstawienia w jasnym i jednoznacznym języku wszelkich ograniczeń nakładanych na treści generowane przez użytkowników — w tym polityk moderacji treści, procedur, narzędzi i weryfikacji przez człowieka. Dla dostawców używających algorytmicznego podejmowania decyzji lub moderacji opartej na AI, warunki muszą wyraźnie opisywać parametry tych systemów. Informacje muszą być publicznie dostępne, odczytywalne maszynowo i aktualizowane przy każdej zmianie zasad.

W praktyce Article 14 podnosi poprzeczkę dowodową dla każdego stosu moderacji AI: firmy muszą być w stanie pokazać, po fakcie, jaka polityka była w mocy, jakie były parametry modelu i jak obsługiwano zaskarżone decyzje. Dzienniki zakotwitczone kryptograficznie szybko stają się de facto standardem dla spełnienia tego ciężaru.

VLOPs vs MŚP na podstawie Digital Services Act

DSA stosuje proporcjonalny reżim. Mikro i małe przedsiębiorstwa (poniżej 50 pracowników i €10M obrotu) są zwolnione z najcięższych obowiązków, w tym obowiązku publikowania raportów transparentności i przestrzegania procesu zaufanych flagujących. Platformy internetowe, które przekraczają te progi, mają obowiązki powiadamiania i działania, wewnętrznego rozpatrywania skarg i uzasadniania decyzji. Bardzo Duże Platformy Online — te z 45 milionami lub więcej średnimi miesięcznymi odbiorcami w UE — mają pełny reżim: roczne oceny ryzyka systemowego, niezależne audyty, dostęp do danych dla badaczy, protokoły kryzysowe i dedykowaną funkcję zgodności.

Co ważne, zwolnienie MŚP nie rozciąga się na transparentność AI Act: zwolnione MŚP prowadzące chatbot skierowany do klientów nadal musi uiścić ujawnienie Article 50. Odwrotnie, VLOP musi traktować treści generowane przez AI na podstawie obu reżimów DSA i AI Act — dwa reżimy nakładają się, nie zastępują.

DSA vs. EU AI Act — kluczowe rozróżnienie

Powszechne nieporozumienie: DSA nie zawiera konkretnego artykułu ujawnienia chatbota. Obowiązek informowania użytkowników, że wchodzą w interakcję z AI, pochodzi z EU AI Act Article 50 (obowiązuje od 2 sierpnia 2026 r.).

Dwa rozporządzenia są komplementarne:

• AI Act Article 50 = ujawnienie chatbota ("rozmawiasz z AI") — dotyczy wszystkich wdrożeniowców
• DSA = transparentność platformy, moderacja treści, ryzyko systemowe — dotyczy usług pośrednictwa i platform

Zgodność z jednym nie obejmuje drugiego.

VLOPs — Bardzo Duże Platformy Online

Komisja Europejska wyznaczyła wiele VLOP-ów w tym:

• WhatsApp (wyznaczony jako VLOP)
• Facebook, Instagram, YouTube, TikTok, X/Twitter
• LinkedIn, Snapchat, Amazon, Apple App Store
• Google Play, Google Maps, Google Shopping
• Booking.com, Pinterest, Zalando, Temu, Shein

ChatGPT NIE jest wyznaczony jako VLOP — Komisja nadal deliberuje, pomimo że ChatGPT ma 120M+ miesięcznych użytkowników UE (znacznie powyżej progu 45M).

Co to oznacza dla wdrożeniowców AI

Jeśli wdrażasz chatbot AI na własnej stronie generujący własne treści, DSA prawdopodobnie nie dotyczy Cię bezpośrednio (nie jesteś pośrednikiem hostującym treści stron trzecich). Twój obowiązek pochodzi z AI Act.

Jeśli wdrażasz chatbot AI na VLOP (WhatsApp, Instagram, Facebook Messenger), platforma ponosi obowiązki VLOP (oceny ryzyka systemowego, raporty transparentności). Musisz spełniać warunki platformy i obowiązujące regulacje sektorowe.

Egzekwowanie DSA i uprawnienia Koordynatorów

Egzekwowanie na podstawie DSA jest dwustronne. Komisja Europejska ma wyłączne uprawnienia nadzorcze nad wyznaczonymi VLOP-ami i VLOSE-ami, z możliwością wszczęcia dochodzeń z własnej inicjatywy, przeprowadzania inspekcji, żądania dokumentów wewnętrznych, przesłuchiwania pracowników, nakładania środków tymczasowych i ostatecznie karania do 6% globalnego rocznego obrotu. Okresowe kary do 5% średniego dziennego globalnego obrotu mogą być nakładane za ciągłą niezgodność.

Każde Państwo Członkowskie wyznaczyło krajowego Koordynatora Usług Cyfrowych (w Holandii: ACM; w Irlandii: Coimisiún na Meán) do nadzoru wszystkich innych pośredników ustanowionych na jego terytorium. KUD-y mogą nakazać usunięcie treści, zawiesić recydywistów, certyfikować zaufanych flagujących i kierować sprawy transgraniczne do Europejskiej Rady Usług Cyfrowych. Wdrożeniowcy AI powinni zmapować swój kraj ustanowienia i zidentyfikować odpowiedniego KUD przed nadejściem jakiegokolwiek pisma egzekucyjnego.

Egzekwowanie DSA w praktyce

• X/Twitter ukarany za naruszenia transparentności na podstawie DSA (2025)
• Incydent chatbota Grok (koniec 2025): AI generował nielegalne obrazy, uruchamiając pierwsze poważne postępowania egzekucyjne DSA związane z chatbotem
• Komisja nakazała X zachowanie wszystkich danych związanych z Grok do końca 2026 r.

Jak Audact pomaga

• Zgodność AI Act Article 50: Audact egzekwuje ujawnienie chatbota we wszystkich kanałach — główny obowiązek transparentności dla wdrożeniowców AI
• Zarządzanie zapośredniczone przez platformę: Gdy Twoje AI działa na VLOP-ach (WhatsApp, Messenger), Audact weryfikuje zgodność z politykami treści specyficznymi dla platformy (Patent P32)
• Dowody moderacji treści: Kryptograficzny ślad dowodowy dla każdej interakcji AI, wspierający wymogi transparentności DSA
• Weryfikacja znaku wodnego: Weryfikacja że treści generowane przez AI są poprawnie oznakowane zgodnie z wymogami Kodeksu Praktyk (Patent P39)

Często zadawane pytania

Porównaj prawa zgodności AI UE

Powiązane zasoby zgodności

• Przegląd zgodności EU AI Act Article 50
• Zgodność GDPR AI z Audact
• Zgodność ePrivacy AI dla komunikacji
• Cennik platformy zgodności Audact