Implementacja DSA — krajobraz po wecie
Prezydent Rzeczypospolitej Polskiej Karol Nawrocki podjął decyzję o odmowie podpisania nowelizacji ustawy o świadczeniu usług drogą elektroniczną, mającej na celu implementację unijnego rozporządzenia o usługach cyfrowych (Digital Services Act – DSA). Według głowy państwa, zaproponowane przez parlament przepisy stwarzają realne zagrożenie dla wolności słowa w Polsce i wprowadzają do prawa mechanizmy o charakterze cenzorskim.
Prezydent w swoim wystąpieniu uzasadniającym weto wskazał na szereg wadliwych rozwiązań, które – jego zdaniem – uderzają w podstawowe prawa obywateli. Prezydent porównał zaproponowaną strukturę kontroli treści w Internecie do orwellowskiej wizji państwa. Podkreślił, że o tym, co jest prawdą, a co dezinformacją, decydować będą urzędnicy podlegli rządowi, a nie niezależne sądy. Prezydent za niemoralne uznał łączenie potrzebnych przepisów chroniących najmłodszych w sieci z rozwiązaniami ograniczającymi swobodę wypowiedzi. Prezydent powołał się na art. 54 Konstytucji RP, gwarantujący wolność słowa, wskazując, że państwo ma tę wolność chronić, a nie reglamentować.
Komentarz:
Prezydenckie weto wobec polskiej implementacji DSA dla każdego uważnego obserwatora sceny politycznej nie było szczególnym zaskoczeniem. Świadomość zagrożeń wynikających z wprowadzenia tej formy implementacji była dość powszechnie podnoszona, także na łamach Przeglądu legislacyjnego. Samo zaś Ministerstwo stwierdzało w projekcie ustawy (s. 440), że tak szerokie uprawnienia UKE nie są konieczne do spełnienia wymogu implementacji i stanowią one rządowy „bagaż” dodawany niepotrzebnie z perspektywy wymogów UE (ang. goldplating). Wiadomym było więc, że nie ma aż tak dalekiej konieczności ingerencji w prawa obywatelskie.
Może zaskakiwać szeroka i jasna argumentacja ze strony ośrodka prezydenckiego, nazywającego ustawę wprost mianem orwellowskiej i jaśnie odwołującej się do konstytucyjnej wolności słowa. Jest to rzadkie w dzisiejszej debacie publicznej, stawiającej częściej „bezpieczeństwo” wyżej niż wolność albo próbując je „wyważyć” – z negatywnymi skutkami i dla wolności, i dla bezpieczeństwa jednocześnie. Należy jednak zawsze pamiętać — o ile cieszy poparcie każdego polityka dla wolności obywatelskich, to prawdziwym testem jest sprzeciwienie się nie tylko ustawom swoich oponentów politycznych, ale także pomysłom ograniczających wolność, pochodzących ze środowisk temu politykowi bliskich.
Pozwolę sobie odnieść się do kilku częstych opinii i skonfrontować je z materią prawną. Ostatnie tygodnie po publikacji pierwotnej analizy przyniosły bowiem tak wzrost temperatury debaty jak i nowe argumenty za tą regulacją. Tym bardziej warto je omówić, gdyż temat na pewno powróci — jak wiemy już teraz, Ministerstwo Cyfryzacji przygotowało dwa „zastępcze” projekty, stanowiące w istocie podział poprzedniej ustawy na dwie, z czego mechanizm usuwania treści zawarty został w jednej owych „połówek”. Przejdźmy więc przez niektóre z nich:
-
Wg. implementacji DSA usuwane będą wyłącznie treści z zamkniętego katalogu najcięższych przestępstw — Zagadnienie jest bardziej złożone. Katalog zawiera 28 pozycji, część z opisanych przestępstw faktycznie dotyczy kwestii płciowych oraz np. handlu ludźmi, ale jest tam też np. łamanie majątkowych praw autorskich (116 art. Prawa autorskiego), oszustwa podatkowe i celne (56, 87 KKS), propagowanie faszyzmu i komunizmu (art. 256 KK). Katalog zawiera faktycznie przestępstwa najcięższe, ale do nich się nie ogranicza. Ale to początek problemów — niektóre z nich — art. 116 Prawa autorskiego, art. 256 KK, to przestępstwa opisane w aktach prawnych ogólnie albo niejaśnie, często wymagające kontekstu i badania za pomocą opinii biegłych. Istnieje więc uzasadniona wątpliwość, czy urzędnik UKE jest w stanie wykazać się wyższym znawstwem tych materii aniżeli sąd, który i tak prosi o opinię odpowiedniego biegłego. Prosimy się więc tu o efekt mrożący, wynikający z obaw co do tego jak naszą wypowiedź zinterpretuje urzędnik. I ostatecznie, bardzo trudno uznać część z wymienionych przestępstw, np. dot. prawa autorskiego, za przestępstwa „najcięższe”. Stwierdzenie więc, że katalog dotyczy tylko „najcięższych przestępstw”, to w najlepszym przypadku znaczące uproszczenie.
-
Brak DSA uniemożliwia/utrudnia dowiedzenie się, za co usunięto konto oraz jego późniejsze przywrócenie — Niewątpliwie, w ciągu ostatniej dekady wzrósł zakres usuwania treści i rygoryzm zasad na platformach społecznościowych, co zwiększa niepewność. Użytkownik może zapytać o przyczynę usunięcia treści platformę już dziś i w związku z tym najczęściej otrzyma jakąś odpowiedź. Zgodzę się z tym, że ów stan rzeczy nie satysfakcjonuje. Problem jest jednak głębszy i warto zapytać, skąd wynika owy wzrost. I odpowiedź jest tutaj nietypowa — coraz więcej okoliczności wskazuje na to że reżim nadmiernego usuwania treści w internecie — niekoniecznie nielegalnych — to mrożący efekt dostosowywania się przedsiębiorstw technologicznych do wymogów prawnych pochodzących z UE. Tak więc niewykluczone, że to państwa — po części, przez swoją presję i grożenie karami — odpowiadają za nad-usuwanie przez platformy społecznościowe treści, chcące uniknąć potencjalnych kar.
-
Brak DSA nie pozwoli na usuwanie nielegalnych treści — argument ten zdaje się być ostatnimi czasy szczególnie silny w kontekście „ochrony dzieci”. Na tyle, by uruchomić debatę o potencjalnym zakazie korzystania osób pon. 15 r.ż. z mediów społecznościowych. Implementacja DSA, poprzez usuwanie treści nielegalnych, ma chronić nieletnich przed ich złym wpływem. Warto przypomnieć jednak, że treści w sposób oczywisty nielegalne (np. treści przedstawiające wykorzystywanie nieletnich itp.) muszą być usuwane i dziś. Wedle zasad hostingu panujących w UE (potem implementowanych do polskiego prawa), dostawcy hostingu nie ponoszą odpowiedzialności (w tym karnej) za treści przechowywane na wniosek osób korzystających z ich usług, jeżeli nie mają o niej wiedzy oraz jeżeli mając już tą wiedzę, podejmą niezwłoczne czynności w celu usunięcia treści (art. 14 ustawy o świadczeniu usług drogą elektroniczną). Przechowując ją po uzyskaniu żądania usunięcia i po upływie rozsądnego czasu, dostawcy ryzykują poniesienie odpowiedzialności karnej.
„Publikacja” kodu mObywatela a prawo do informacji publicznej
29 grudnia 2025 r. Ministerstwo Cyfryzacji zadeklarowało zrealizowanie ustawowego obowiązku publikacji kodu źródłowego aplikacji mobilnej mObywatel. Proces ten został przeprowadzony zgodnie z rekomendacjami CSIRT GOV, CSIRT MON oraz CSIRT NASK.
Najpoważniejsze zastrzeżenia budzi fakt, że „udostępnienie” nie odbyło się w serwisie GitHub, lecz w formie przeglądarkowej galerii na stronie gov.pl, która... blokuje możliwość zaznaczania i kopiowania tekstu. Co więcej, do wglądu w kod (wedle rekomendacji CSIRT MON) niezbędne jest zalogowanie się przez Profil Zaufany, co wyklucza anonimowy audyt.
Specjaliści podkreślają również, że opublikowano jedynie fragmenty i tak możliwego do kompilacji w własnym zakresie kodu frontendu (odpowiadającego za UI, user interface), pomijając kluczowy kod odpowiedzialny za backend, bez którego to rzetelna analiza bezpieczeństwa algorytmu jest niemożliwa – duża część ewentualnych błędów czy podatności znajduje się bowiem nie po stronie urządzenia użytkownika, a kolokwialnie mówiąc, po stronie „serwerów” Centralnego Ośrodka Informatyki.
Brak choćby częściowego dostępu do tej części kodu źródłowego uniemożliwia rzetelne badanie podatności aplikacji mObywatel i stoi w sprzeczności z powszechnie uznawanymi standardami transparentności, sama zaś publikacja kodu frontendu wnosi relatywnie niewiele. Pozwoliłaby też rozwiać różne obawy dot. prywatności użytkowników.
Komentarz:
Temat niniejszy nie należy do typowej materii Przeglądów i jest nieco na pograniczu analizy projektów prawnych. Jest jednak na tyle znaczący z perspektywy przyszłej cyfryzacji państwa i potencjalnego wprowadzania obowiązków realizowanych przez mObywatel, jak weryfikacja wieku czy tożsamości, że warto jest przyjrzeć się jej bliżej.
Zgodnie z art. 81a ustawy o zmiany ustawy o zmianie ustawy o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa oraz niektórych innych ustaw, nałożono na ministra właściwego ds. informatyzacji (minister cyfryzacji), po uzyskaniu opinii trzech CSIRTów: MON, GOV i NASK, obowiązek publikacji kodu źródłowego aplikacji „w zakresie niezagrażającym bezpieczeństwu tej aplikacji oraz jej użytkowników lub systemu mObywatel”. Opinie te nie mają charakteru wiążącego, wiążące jest natomiast dla ministra ich uzyskanie.
Tylko jedna z opinii — opinia CSIRT MON — jest jawna. Rekomenduje ona wprowadzenie nieznanego w polskim prawie wymogu rozliczalności użytkowników sięgających po kod i ograniczenia osób przeglądający tejże tylko do obywateli RP.
I tu pojawiają się poważne wątpliwości. Oczywista wątpliwość ma charakter natury technicznej — kod mObywatela pomimo „zabezpieczeń” został skopiowany i zamieszczony w publicznie dostępnym repozytorium GitHub. Co ciekawe — w sposób jasny pozwala na to pochodząca z MIT licencja kodu (o charakterze otwartoźródłowym), nie jest więc to naruszenie prawa własności intelektualnej. Dość stwierdzić, że bardziej siermiężnej decyzji resortu odpowiedzialnego za cyfryzację chyba trudno sobie wyobrazić.
Co najmniej równie ciekawe są wątpliwości prawne. Z perspektywy konstytucyjnego prawa do informacji oraz orzecznictwa Naczelnego Sądu Administracyjnego (casus Systemu Losowego Przydziału Spraw, III OSK 1189/21), kod źródłowy programu jest informacją publiczną, jako że jest informacją o sprawach publicznych. Katalog informacji publicznej, określony w ustawie o dostępie do informacji publicznej (art. 1, 6, 7) nie ma charakteru zamkniętego. Wyjątkami są tylko dane osobowe (problem nie zachodzi), tajemnica przedsiębiorstwa (nie zachodzi) i charakter tajemnicy prawnie chronionej (również nie zachodzi, skoro jest opublikowany w BIP). Zgodnie z art. 2 ustawy, jako że dostęp do informacji publicznej ma charakter prawa konstytucyjnego, przysługuje on każdemu (bez względu na narodowość), a władze publiczne nie mogą wymagać przedstawienia interesu prawnego czy faktycznego podmiotu dążącego do uzyskania takowej informacji. Prowadzi to do wniosku, że sposób udostępnienia kodu źródłowego w zakresie w jakim ogranicza on podmiotowo dostęp do informacji publicznej tylko przez obywateli polskich i tylko poprzez wykorzystanie aplikacji mObywatel (której obowiązku nie mamy zresztą stosować), najprawdopodobniej narusza owe prawo konstytucyjne oraz ustawę.
Kończąc rozważania prawne, pozwolę sobie na komentarz z perspektywy filozofii politycznej. W ciągu najbliższych lat państwo polskie będzie najprawdopodobniej dążyć do rozszerzenia stosowania aplikacji mObywatel poprzez implementację wymogów i rozwiązań EIDAS2, a także rozszerzenie funkcjonalności na m.in. weryfikację wieku i tożsamości przy odwiedzaniu czy to pewnych treści (czemu poświęcono piąty przegląd legislacyjny), czy to serwisów społecznościowych (co stanowi w styczniu 2026 r. przedmiot debaty publicznej i parlamentarnej). Brak transparentności władz w zakresie, co znajduje się w kodzie mObywatela powinna niepokoić każdego obywatela, któremu cenne są jego prawa obywatelskie, zwłaszcza do prywatności, oraz konstytucyjny zakaz nadmiernego przetwarzania informacji przez państwo. Istotne pytanie, jakie nasuwa się po powyższej analizie, dotyczy tego, gdzie leży przyczyna swoistego „uporu” władz. Oficjalna przyczyna takiego stanu rzeczy, podawana przez ministra, a mianowicie „zagrożenie zewnętrzne”, budzi bowiem wątpliwości, zwłaszcza że na braku naprawy luk i podatności zyskać mogą właśnie siły zewnętrzne, a brak transparentności temu nie pomaga.
Podatek cyfrowy — konsultacje nad projektem ustawy przed nami
Ministerstwo Cyfryzacji złożyło wniosek o wpis do wykazu prac legislacyjnych projektu ustawy o podatku rekompensującym od niektórych usług cyfrowych. Celem inicjatywy jest, wedle deklaracji ministra Gawkowskiego, „przywrócenie uczciwej konkurencji między krajowymi podmiotami a globalnymi gigantami technologicznymi”.
Zgodnie z założeniami, nowa danina ma objąć firmy, których globalne przychody przekraczają 1 mld euro, a przychody na rynku polskim wynikające ze świadczenia określonych usług cyfrowych są znaczące. Projekt przewiduje stawkę podatku na poziomie nie wyższym niż 3%. Mechanizm zakłada możliwość pomniejszenia nowej daniny o zapłacony w Polsce podatek CIT, co w założeniu ma chronić firmy krajowe.
Konsultacje publiczne projektu z organizacjami zrzeszającymi podmioty objęte ustawą przewidziano na 2 lutego 2026.
Komentarz: Ministerstwo kontynuuje prace nad projektem, który był tematem poruszanym w ramach trzeciego przeglądu, poświęconemu dokładnie temu zagadnieniu. Pomimo doprecyzowania projektu, analiza poczyniona we wrześniu 2025 nie stała się nieaktualna. Polecam ją zatem uwadze Szanownych Czytelników, tym bardziej że projekt na pewno będzie przedmiotem debaty publicznej w ciągu kilku następnych miesięcy.
Stan prawny na 29 stycznia 2026.
Źródło ilustracji: pixabay.
