Uredba (EU) 2022/2065 (‚Akt o digitalnim uslugama’ ili ‚DSA’) usvojena je 19. listopada 2022., a u potpunosti se primjenjuje od 17. veljače 2024., iako su se pojedine odredbe DSA-a počele primjenjivati već 16. studenoga 2022.

Uloge prema GDPR-u

Pružatelji posredničkih usluga (internetske platforme), ako obrađuju osobne podatke, obično se prema GDPR-u kvalificiraju kao voditelji obrade ili izvršitelji obrade. To ovisi o tome određuju li svrhe i sredstva obrade (u tom slučaju kvalificiraju se kao voditelji obrade) ili podatke obrađuju samo u ime voditelja obrade i prema njegovim uputama (u tom slučaju kvalificiraju se kao izvršitelji obrade). Zbog toga i DSA i GDPR mogu obuhvatiti aktivnosti obrade istih ispitanika.

Obveze pružatelja posredničkih usluga prema DSA-u

DSA nameće obveze različitim vrstama pružatelja posredničkih usluga obuhvaćenih DSA-om (osobito pružateljima usluga prijenosa, predmemoriranja i hostinga), a te obveze zahtijevaju različite razine aktivnosti obrade osobnih podataka. U tom smislu, DSA podkategoriji pružatelja hostinga, osobito pružateljima internetskih platformi, nameće znatno veći broj obveza.

Ciljevi DSA-a i GDPR-a

Cilj GDPR-a jest zaštititi pojedince / ispitanike u vezi s obradom osobnih podataka, dok je cilj DSA-a doprinijeti pravilnom funkcioniranju unutarnjeg tržišta za posredničke usluge utvrđivanjem usklađenih pravila za sigurno, predvidljivo i pouzdano mrežno okruženje.

Koherentna primjena GDPR-a i DSA-a

DSA, kao lex specialis, ne derogira opća pravila o obradi osobnih podataka prema GDPR-u niti pravila koja dodatno razrađuju GDPR u području obrade osobnih podataka u sektoru elektroničkih komunikacija. Prema praksi Suda Europske unije, kada dva akta EU prava iste hijerarhijske razine (poput DSA-a i GDPR-a) ne propisuju prvenstvo jednog nad drugim, potrebno ih je primjenjivati na međusobno usklađen način koji omogućuje koherentnu primjenu. Takvo tumačenje ne smije dovesti do snižavanja razine zaštite temeljnih prava na privatnost i zaštitu osobnih podataka.

Pravne osnove za obradu u kontekstu članka 7. DSA-a

U kontekstu otkrivanja, identificiranja i rješavanja nezakonitog sadržaja koji se provode na vlastitu inicijativu prema članku 7. DSA-a1, internetske platforme (kao pružatelji posredničkih usluga) moraju osigurati odgovarajuću pravnu osnovu iz članka 6. stavka 1. GDPR-a. U pravilu, dvije su pravne osnove relevantne:

Pravna osnova – članak 6(1)(c) GDPR (zakonska osnova)

Članak 6. stavak 1. točka (c) GDPR-a (ispunjavanje pravne obveze) primjenjuje se kada nacionalno ili europsko pravo izričito propisuje obvezu uklanjanja određenih vrsta nezakonitog sadržaja. Pružatelji posredničkih usluga trebali bi utvrditi u kojoj je mjeri obrada osobnih podataka nužna za poštovanje njihovih postojećih pravnih obveza. Te pravne obveze trebaju biti jasne i precizne, a njihova primjena predvidiva za osobe na koje se odnose. Zakon mora naznačiti okolnosti i uvjete pod kojima se mjera kojom se predviđa obrada osobnih podataka može donijeti, čime se osigurava da je zadiranje ograničeno na ono što je strogo nužno. Osim toga, obrada temeljena na članku 6(1)(c) GDPR-a mora biti razmjerna legitimnom cilju, što znači da ne smije postojati drugo, manje nametljivo sredstvo koje bi istodobno bilo jednako učinkovito za postizanje tog cilja.

Pravna osnova – članak 6(1)(f) GDPR (legitimni interes)

Članak 6. stavak 1. točka (f) GDPR-a (legitimni interes) primjenjuje se kada pružatelj posredničkih usluga provodi dobrovoljne mjere otkrivanja i uklanjanja nezakonitog sadržaja kako bi zaštitio legitimne interese, primjerice sigurnost svoje usluge ili sprječavanje zloporaba, pod uvjetom da interesi ili temeljna prava ispitanika ne nadjačavaju legitimni interes. Kako bi se voditelji obrade mogli osloniti na pravnu osnovu legitimnog interesa, moraju ispuniti tri kumulativna uvjeta: interes mora biti legitiman; obrada osobnih podataka mora biti nužna za svrhe legitimnog interesa; te interesi ili temeljna prava i slobode ispitanika na koje se obrada odnosi ne smiju nadvladati legitimni interes. Pri provođenju testa ravnoteže između interesa, prava i sloboda ispitanika i interesa koji slijedi voditelj obrade, voditelji obrade trebali bi posebno obratiti pozornost na to bi li ispitanici takvu obradu razumno očekivali te odnosi li se obrada na djecu. Pružatelji posredničkih usluga (kao voditelji obrade) trebali bi poduzeti sve potrebne korake kako bi ispitanike informirali o konkretnom legitimnom interesu koji se prati obradom te o konkretnim mjerama koje voditelj obrade namjerava poduzeti radi otkrivanja, identificiranja i uklanjanja (ili onemogućavanja pristupa) nezakonitom sadržaju, u skladu s načelom smanjenja količine podataka.

Zabrana općeg nadzora prema DSA-u

Internetske platforme moraju posebno osigurati da dobrovoljne mjere za otkrivanje nezakonitog sadržaja ne rezultiraju općim nadzorom korisničkih aktivnosti, što bi bilo protivno članku 7. i 8. DSA-a. To znači da korištena tehnička rješenja moraju biti proporcionalna i usmjerena na konkretne vrste sadržaja, a ne na komunikaciju korisnika u cjelini.

Transparentnost prema ispitanicima

Internetske platforme moraju biti transparentne prema ispitanicima u vezi s obradom koju provode na temelju članka 7. DSA-a. To uključuje pružanje svih elemenata informacija koje zahtijevaju članci 13. i 14. GDPR-a, u skladu s člankom 12. GDPR-a. Ako se obrada kvalificira kao automatizirano donošenje odluka u smislu članka 22. stavka 1. GDPR-a, voditelj obrade mora ispitanike obavijestiti da se takva aktivnost provodi.

DPIA – procjena učinka

Dobrovoljne ili obvezne radnje koje pružatelji posredničkih usluga poduzimaju na temelju članka 7. DSA-a vjerojatno će ispuniti nekoliko kriterija koji upućuju na obvezu provođenja DPIA-e. Među tim kriterijima su procjenjivanje ili bodovanje, automatizirano donošenje odluka s pravnim ili sličnim značajnim učincima i sustavno praćenje.

Sustavi prijave i djelovanja te podnošenja prigovora

Internetske platforme imaju obvezu uspostaviti mehanizme „prijave i djelovanja” koji omogućuju pojedincima ili subjektima da elektroničkim putem obavijeste o prisutnosti određenih informacija za koje smatraju da predstavljaju nezakonit sadržaj. Nakon zaprimanja takve obavijesti, pružatelj usluge hostinga može procijeniti slaže li se s navedenom procjenom i odlučiti hoće li poduzeti neku radnju (npr. ograničiti vidljivost uklanjanjem sadržaja, snižavanjem ranga sadržaja, suspendiranjem ili ukidanjem računa, ili ograničavanjem novčanih plaćanja). Ovi sustavi, osobito kada ih pokreće pojedinac, mogu uključivati obradu osobnih podataka podnositelja obavijesti, kao i pogođenih primatelja usluge kada su oni također pojedinci.

Posljedično i ovisno o poduzetim mjerama članak 20. DSA predviđa postojanje internog sustava za rješavanje pritužbi, u kojemu također dolazi do obrade osobnih podataka. Internetske platforme moraju osigurati pojedincima ili subjektima koji su podnijeli obavijest, u razdoblju od najmanje šest mjeseci od primitka odluke, pristup djelotvornom internom sustavu za rješavanje pritužbi koji im omogućuje elektroničko i besplatno podnošenje pritužbi protiv odluke koju pružatelj internetske platforme donese po primitku obavijesti uslijed postojanja nezakonitog sadržaja ili zbog kršenja uvjeta poslovanja. Tom prilikom obrađuju se isti podaci koje se pojedinci i/ili subjekti već iznijeli prilikom podnošenja prijave.

Obvezni podaci u prijavi

Kako bi se olakšalo podnošenje dovoljno preciznih i potkrijepljenih obavijesti, članak 16. stavak 2. DSA-a predviđa da pružatelji hostinga moraju „omogućiti” i „olakšati” podnošenje putem elektroničkih sredstava, uključujući, uz informacije o nezakonitom sadržaju, ime i e-adresu podnositelja obavijesti.

Otkrivanje identiteta podnositelja obavijesti

Voditelj obrade treba unaprijed jasno utvrditi slučajeve u kojima bi, prema članku 17. stavku 3. točki (b) DSA-a, bilo nužno i razmjerno otkriti identitet podnositelja obavijesti pogođenim primateljima usluge internetske platforme. Takvi slučajevi nastupaju kada su potrebne informacije nužne za utvrđivanje nezakonitosti sadržaja, primjerice u slučaju povrede prava intelektualnog vlasništva. U takvim se slučajevima mora osigurati da se pogođenom primatelju usluge otkrivaju samo strogo nužni podaci podnositelja obavijesti te da je ispitanik (tj. podnositelj obavijesti) uredno informiran, u skladu s člankom 13. GDPR-a, da se takva obrada može provoditi.

Otkrivanje postojanja kaznenog djela koje uključuje prijetnju životu ili sigurnosti osobe ili osoba

U slučaju kada internetska platforma sazna za bilo koju informaciju koja dovodi do sumnje da je počinjeno ili da je vjerojatno da će biti počinjeno kazneno djelo ili da je u tijeku počinjenje kaznenog djela koje uključuje prijetnju životu ili sigurnosti osobe ili osoba, on o svojoj sumnji odmah obavješćuje tijela za izvršavanje zakonodavstva ili pravosudna tijela dotične države članice ili dotičnih država članica i dostavlja sve dostupne relevantne informacije. U takvim slučajevima najčešće ne dolazi do primjene obavijesti prema članku 7. i 17. DSA, već se obrada podataka ograničava sukladno zakonskim uvjetima i okolnostima.

Ovaj članak među ostalim razrađuje i shvaćanja EDPB-a izražena u Smjernicama o međudjelovanju Akta o digitalnim uslugama i Opće uredbe o zaštiti podataka.

Odvjetnik Igor Dlačić, 21.11.2025.

[1] Članak 7.

Dobrovoljne istrage na vlastitu inicijativu i pravna usklađenost

Pružatelji usluga posredovanja ne smatraju se neprihvatljivima za izuzeća od odgovornosti iz članaka 4., 5. i 6. samo zato što u dobroj vjeri i savjesno provode dobrovoljne istrage na vlastitu inicijativu ili poduzimaju druge mjere kojima je cilj otkrivanje, identificiranje i uklanjanje nezakonitog sadržaja ili onemogućavanje pristupa tom sadržaju ili poduzimaju potrebne mjere za usklađivanje sa zahtjevima iz prava Unije i nacionalnog prava koje je u skladu s pravom Unije, uključujući zahtjeve utvrđene u ovoj Uredbi.