Kyllä. Siitä toisesta vuodesta alkaen, jona erittäin suuriin verkkoalustoihin ja erittäin pieniin ja keskisuuriin yrityksiin sovelletaan digipalvelusäädöksen mukaisia velvoitteita, niiden tarjoajilla on velvollisuus julkaista vuosittain raportit kuluvan vuoden riskinarvioinneistaan, riskinhallintatoimenpiteistään sekä tarkastusraporteistaan ja tarkastusten täytäntöönpanokertomuksistaan.
Niiden on tarvittaessa myös julkaistava tiedot kuulemisista, joita ne ovat järjestäneet ulkopuolisten asiantuntijoiden kanssa riskinarviointien ja riskinhallintatoimenpiteiden suunnittelun tueksi.
Taustaa: Erittäin suurten verkkoalustojen ja erittäin suurten verkkoalustojen tarjoajien on arvioitava palveluistaan aiheutuvat järjestelmäriskit vähintään kerran vuodessa ja joka tapauksessa aina ennen sellaisten uusien toimintojen käyttöönottoa, jotka todennäköisesti vaikuttavat riskeihin, jotka niiden on digipalvelusäädöksen nojalla tunnistettava, ja niiden on otettava käyttöön riskinhallintatoimenpiteitä, jotka on räätälöity niiden riskinarvioinnissa tunnistamien riskien mukaan. Digipalvelusäädöksessä edellytetään myös, että erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat varmistavat, että niiden palveluille tehdään vaatimustenmukaisuuden tarkastus vähintään kerran vuodessa, minkä jälkeen riippumaton tarkastusorganisaatio laatii tarkastuskertomuksen. Palveluntarjoajien on toimitettava tarkastuskertomus komissiolle ja sijoittautumispaikan digitaalisten palvelujen koordinaattorille ilman aiheetonta viivytystä sen valmistuttua. Jos tarkastajat antavat digipalvelusäädöksen noudattamista koskevia suosituksia, palveluntarjoajien on esitettävä vastauksensa näihin suosituksiin tarkastuksen täytäntöönpanokertomuksessa.
Asiaankuuluvat artiklat: Asetuksen (EU) 2022/2065 34, 35 ja 37 artikla sekä 42 artiklan 4 kohta. Erittäin suuriin verkkoyhteyspisteisiin ja erittäin suuriin verkkoyhteyspisteisiin sovelletaan digipalvelusäädöksen 5 jakson III lukuun sisältyviä erityisiä digipalvelusäädöksen velvoitteita.
Julkaisemisen olisi tapahduttava viimeistään kolmen kuukauden kuluttua siitä, kun on vastaanotettu kertomus vuotuisesta säännönmukaisuuden tarkastuksesta, joka on tehtävä kullekin erittäin suurelle verkkoalustalle ja erittäin suurelle verkkoalustalle. Tämä tarkoittaa sitä, että kunkin palvelun julkaisupäivä riippuu siitä, milloin riippumattoman tarkastusorganisaation on lähetettävä tarkastusraporttinsa palveluntarjoajalle.
Digipalvelusäädöksessä edellytetään, että erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat varmistavat, että niiden palveluille tehdään vähintään kerran vuodessa riippumaton tarkastus, jonka tuloksena tarkastusorganisaatio laatii tarkastuskertomuksen. Komission huhtikuussa 2023 nimeämien 19 ensimmäisen erittäin suuren verkkoyhteyspisteen ja erittäin suuren verkkoyhteyspisteen osalta digipalvelusäädöksestä tuli
niitä sovellettiin elokuussa 2023, ja tarkastuskertomukset oli määrä toimittaa viimeistään 28. elokuuta ja 4. syyskuuta 2024 välisenä aikana riippuen päivästä, jona palveluntarjoaja ilmoitti vastaanottaneensa nimeämispäätöksen.
Erittäin suurten verkkoalustojen ja erittäin suurten verkkoalustojen tarjoajien on joka tapauksessa toimitettava riskinarviointiraportit (mukaan lukien tapauskohtaiset riskinarviointiraportit ennen uusien toimintojen käyttöönottoa), riskinhallintatoimenpiteet ja vaatimustenmukaisuuden tarkastukset sijoittautumispaikkansa digitaalisten palvelujen koordinaattorille ja komissiolle ilman aiheetonta viivytystä niiden valmistuttua.
Asiaankuuluvat artiklat: Taide. Asetuksen (EU) 2022/2065 34 ja 37 artikla sekä 42 artiklan 4 kohta
Digipalvelusäädöksellä pyritään laajaan avoimuuteen ja julkiseen valvontaan, kuten Euroopan unionin tuomioistuimen varapresidentti on vahvistanut asioissa C‐639/23 P(R), C-511/24 P(R) ja C-620/24 P(R) antamissaan määräyksissä, jotka koskevat digipalvelusäädöksen 39 artiklassa säädettyyn velvoitteeseen liittyviä haettuja välitoimia. Lisäksi digipalvelusäädöksen johdanto-osan 100 kappaleessa todetaan, että erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajien olisi raportoitava ”kattavasti” riskinarvioinnistaan.
Erittäin suurten verkkoalustojen ja erittäin suurten verkkoalustojen tarjoajien riskinarviointeja ja riskinvähentämistoimenpiteitä koskevien raporttien julkaiseminen ja niiden vuotuiset digipalvelusäädösten noudattamista koskevat tarkastukset ovat ratkaisevan tärkeitä, jotta voidaan tiedottaa yleisölle (mukaan lukien kansalaisjärjestöt, tiedotusvälineiden edustajat ja tutkijat) ja edistää yhteiskunnallista keskustelua erittäin suurista verkkoalustoista ja erittäin suurista verkkoalustoista johtuvista järjestelmäriskeistä ja niiden tarjoajien hyväksymistä riskinvähentämistoimenpiteistä.
Siksi palveluntarjoajien julkaisemien raporttien on oltava mahdollisimman täydellisiä. Samanaikaisesti erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat voivat poistaa raporteista tietoja, jotka niiden on julkaistava, jos tällaiset tiedot voivat
- johtaa palveluntarjoajan tai palvelun vastaanottajien luottamuksellisten tietojen paljastumiseen;
- aiheuttaa merkittäviä haavoittuvuuksia palvelun turvallisuudelle;
- heikentävät yleistä turvallisuutta; tai
- vahingoittaa palvelun vastaanottajia.
Erittäin suurten verkkoalustojen ja erittäin suurten verkkoalustojen tarjoajien on esitettävä sijoittautumispaikan digitaalisten palvelujen koordinaattorille ja komissiolle perustelut tietojen poistamiselle riskinarviointiraporttiensa julkisesta versiosta. Perusteluissa on perusteltava perusteellisesti jokainen tietojen poistaminen ja selitettävä erityisesti, miksi tietojen poistaminen on erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajan mielestä perusteltua digipalvelusäädöksen 42 artiklan 5 kohdan nojalla.
Digipalvelusäädöksen avoimuustavoitteet huomioon ottaen poistot voidaan tehdä vain poikkeuksellisesti, ja ne on perusteltava selkeillä perusteluilla, joissa selitetään kaikki digipalvelusäädöksen 42 artiklan 5 kohdassa säädetyt asiaankuuluvat edellytykset.
Asiaa koskeva artikla: Asetuksen (EU) 2022/2065 42 artiklan 5 kohta
Euroopan unionin tuomioistuimen oikeuskäytännön mukaan (ks. esim. Asia T-198/03, Bank Austria Creditanstalt) tietoja on pidettävä luottamuksellisina, jos ne täyttävät kumulatiivisesti seuraavat kolme suojan edellytystä:
- sen on oltava vain rajoitetun henkilömäärän tiedossa;
- tietojen ilmaisemisen on oltava omiaan aiheuttamaan vakavaa haittaa tiedot toimittaneelle henkilölle tai kolmansille osapuolille;
- niiden etujen, joita tietojen ilmaiseminen voi loukata, on oltava objektiivisesti arvioiden suojan arvoisia, mitä on arvioitava punnittaessa julkaisemista vastustavia etuja ja julkaisemiseen liittyvää yleistä etua.
Julkaisemisvelvollisuutta koskevia poikkeuksia on tulkittava suppeasti. Poistojen perustelujen on oltava selkeitä ja hyvin perusteltuja. Kutakin tietojen poistamista on arvioitava tapauskohtaisesti, ja tietojen poistamisen syistä on toimitettava selvitys digipalvelusäädöksen 42 artiklan 5 kohdassa esitetyt edellytykset huomioon ottaen. Jos erittäin suurten verkkoalustojen ja erittäin suurten hakukoneiden tarjoajat peittävät tietoja luottamuksellisuutta koskevien väitteiden perusteella, niiden on perusteltava sijoittautumispaikan digitaalisten palvelujen koordinaattorille ja komissiolle toimittamissaan perusteluissa väitteensä siitä, että tietoja voidaan pitää luottamuksellisina (eli että ne täyttävät kaikki edellä luetellut kolme edellytystä). Puutteellisten, perusteettomien, yleisluonteisten tai vain osittain perusteltujen väitteiden ei voida katsoa oikeuttavan tietojen poistamista. Erittäin suurten verkkoalustojen ja erittäin suurten verkkoalustojen tarjoajien on perusteltava raporteissaan tiettyjä tekstin osia koskevat luottamuksellisuusvaatimukset. Esimerkiksi riskinarviointiraporteissa kokonaisuudessaan ei voida vedota luottamuksellisuuteen.
Jos se on ehdottoman välttämätöntä luottamuksellisiksi katsottujen tietojen suojaamiseksi, tietojen toimittajat voivat muotoilla kyseessä olevan tekstin uudelleen raporttien julkisissa versioissa.
Asiaa koskeva artikla: Asetuksen (EU) 2022/2065 42 artiklan 5 kohta
Jos komissio katsoo, että tietojen poistaminen on perusteetonta ja että näin ollen erittäin suuren verkkoyhteyspisteen tai erittäin suuren verkkoyhteyspisteen tarjoaja ei ole noudattanut täysimääräisesti avoimuusvelvoitteitaan, se voi katsoa tällaisen toimen rikkovan asetusta.
Asiaa koskeva artikla: Asetuksen (EU) 2022/2065 42 artikla
Digipalvelusäädöksen 42 artiklan 4 kohdassa säädetään kertomusten julkaisemisesta vuosittain avoimuuden varmistamiseksi. Tämän julkaisusyklin tarkoituksena on antaa yleisölle mahdollisuus verrata digipalvelusäädöksen 34 artiklassa tarkoitettuja erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden riskinarviointiraportteja digipalvelusäädöksen 37 artiklan 4 kohdassa tarkoitettuihin erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden riippumattomiin tarkastusraportteihin.
Lisäksi digipalvelusäädöksen 37 artiklassa edellytetään, että erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat varmistavat, että niiden palveluille tehdään vähintään kerran vuodessa auditointeja, jotka johtavat pakollisiin auditointikertomuksiin. Ensimmäinen vuotuinen tarkastuskertomus on toimitettava vuoden kuluttua siitä, kun erittäin suuria verkkoyhteyspisteitä ja erittäin suuria verkkoyhteyspisteitä koskevia sääntöjä alettiin soveltaa kyseiseen yksikköön. Digipalvelusäädöksen 42 artiklan 4 kohdassa edellytetään, että erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat julkaisevat tarkastuskertomuksensa viimeistään kolmen kuukauden kuluttua siitä, kun ne on vastaanotettu tarkastusorganisaatiolta. Kolmen kuukauden kuluttua tarkastuskertomuksen vastaanottamisesta erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajan on julkaistava myös muut digipalvelusäädöksen 42 artiklan 4 kohdassa luetellut kertomukset, mukaan lukien ”kertomus, jossa esitetään 34 artiklan mukainen riskinarviointi”. Sekä tarkastuskertomus että muut digipalvelusäädöksen 42 artiklan 4 kohdassa mainitut kertomukset, jotka erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajien on julkaistava, riskinarviointiraportti mukaan lukien, ovat kuluvan vuoden kertomuksia.
Koska tarkastuskertomus on laadittava ja julkaistava vasta yhden kokonaisen vuoden kuluttua siitä, kun erittäin suuria verkkoyhteyspisteitä ja erittäin suuria verkkoyhteyspisteitä koskevia sääntöjä aletaan soveltaa nimettyyn yksikköön, digipalvelusäädöksen 42 artiklan 4 kohdan mukaista velvoitetta julkaista riskinarviointiraportti sovelletaan myös vasta vuoden kuluttua kyseisestä päivästä. Näin ollen vaikka huhtikuussa 2023 erittäin suuriksi verkkoyhteyspisteiksi ja erittäin suuriksi verkkoyhteyspisteiksi nimettyjen palvelujen tarjoajien oli laadittava ensimmäiset riskinarviointiraporttinsa elo-syyskuussa 2023, digipalvelusäädöksen 42 artiklan 4 kohdassa edellytetään, että kyseiset palveluntarjoajat julkaisevat vuotta 2024 koskevat riskinarviointiraporttinsa vuotta 2024 koskevien tarkastusraporttiensa ohella. Komissio kannustaa kuitenkin erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajia julkaisemaan riskinarviointiraporttinsa myös ensimmäiseltä vuodelta, jona erittäin suuria verkkoalustoja ja erittäin suuria verkossa toimivia hakukoneita koskevia sääntöjä sovelletaan niiden palveluihin, vaikka niiden vuotuinen tarkastuskertomus ei olisi vielä valmistunut.
Asiaankuuluvat artiklat: Taide. asetuksen (EU) 2022/2065, jäljempänä ’digipalvelusäädös’, 37 artiklan 4 kohta ja 42 artiklan 4 kohta. Erittäin suuriin verkkoyhteyspisteisiin ja erittäin suuriin verkkoyhteyspisteisiin sovelletaan digipalvelusäädöksen 5 jakson III lukuun sisältyviä erityisiä digipalvelusäädöksen velvoitteita.
Related content
Digipalvelusäädöksessä esitetään useita toimia, joilla edistetään verkkopalvelujen avoimuutta ja vastuuvelvollisuutta haittaamatta innovointia ja kilpailukykyä.