Digital Services Act (DSA, Uredba 2022/2065) je EU okvir koji je stupio na snagu za sve online platforme od 17. veljače 2024. Za velike platforme (VLOP — Very Large Online Platforms s preko 45 milijuna EU korisnika) već se primjenjuje od 25. kolovoza 2023. Za sve ostale online services — od malih web shopova s recenzijama do hosting providera — obveze su aktivne sada.
Većina malih EU tvrtki još uvijek misli da "DSA je za Google i Facebook". To je djelomično točno za najteže zahtjeve, ali postoje obveze za sve, i regulatori EU sve više prelaze s edukacije na izricanje kazni. Ovaj vodič kratko pokazuje na koga se odnosi, što morate napraviti, i kako se WMD pristup hostingu uklapa u DSA compliance.
Što DSA zapravo regulira
DSA je sukcesor klasične e-commerce direktive iz 2000. Cilj: harmonizirati pravila za posrednike u digitalnom prostoru — od hosting providera, preko online platformi, do social media i marketplace-a. Glavna područja:
- Transparentnost — korisnik mora razumjeti zašto vidi reklamu, kako algoritam preporučuje sadržaj, tko su trgovci.
- Modeacija sadržaja — jasna pravila kad i kako se uklanja sadržaj, mehanizam za žalbu.
- Zaštita maloljetnika — zabrana targeted oglašavanja djeci, dodatne sigurnosne mjere.
- Borba protiv ilegalnog sadržaja — notice-and-action procedure, koordinacija s nacionalnim regulatorima.
- Trgovac (KYC) provjera za online marketplace-e.
- Pristup podacima istraživačima i regulatorima (za VLOP-ove).
Koje su 4 razine obaveza i kome se odnose
Razina 1 — Intermediary services (svi)
Bilo tko tko pruža posredničku digitalnu uslugu — hosting, internet pristup, search, cloud storage. Obveze:
- Identificirati kontakt točku za regulatore i korisnike.
- Imati Terms of Service na razumljivom jeziku.
- Godišnje izvješće o moderaciji sadržaja (ako se vrši).
- Bez obveze proaktivnog monitoringa ("safe harbor" ostaje).
Razina 2 — Hosting services (svi koji hostaju user-generated content)
Hosting providers, cloud storage, forumi, blog komentari, recenzijski sustavi, social media. Dodatne obveze:
- Notice-and-action mehanizam za prijavu ilegalnog sadržaja (obrazac za prijavu, vrijeme odgovora).
- Obrazloženje korisniku kad uklonite njegov sadržaj.
- Prijavu kriminalnih radnji (npr. sumnja na trgovinu ljudima, child abuse).
Za male hostere ovo znači: postaviti email abuse@tvojhosting.hr ili formu, voditi log prijava i odgovora.
Razina 3 — Online platforms (Hosting + javno objavljivanje)
Platforme koje hostaju i javno prikazuju sadržaj korisnika trećim stranama: e-commerce marketplace-i, app store-ovi, social media, ad networks. Manje od 50 zaposlenih i <€10M prometa = izuzeti od nekih dodatnih obaveza. Glavne dodatne obveze:
- Interna procedura za žalbe (90 dana free za korisnika).
- Out-of-court dispute settlement opcija.
- Trusted flaggers — prioritetna obrada prijava certificiranih organizacija.
- Mjere protiv zloupotrebe platforme (suspendiranje ponovljenih prekršitelja).
- Transparency report o moderaciji (godišnje, JSON format).
- Dark patterns zabrana (UI koji zavarava korisnika).
- Algorithm explanation — "zašto vidim ovo".
Razina 4 — VLOPs i VLOSEs
Very Large Online Platforms / Search Engines s preko 45 milijuna EU korisnika. Trenutno označeni: Meta (FB, IG), TikTok, X, YouTube, Amazon, Google Search, Booking.com, AliExpress, Wikipedia, Pornhub i drugi. Dodatne obveze:
- Systemic risk assessment godišnje.
- Risk mitigation measures.
- Crisis response protocols (npr. izborna interferencija).
- Independent audits.
- Data sharing s istraživačima.
- Plačanje supervisory fee EU komisiji.
Tipičan EU web shop — što stvarno mora napraviti
Većina malih i srednjih EU web shopova spada u Razinu 2 (hostaju recenzije korisnika) ili Razinu 3 (ako su mali ali daju marketplace funkcionalnost):
- Kontakt točka — vidljiv email info@, kontakt forma, fizička adresa.
- Notice-and-action forma za prijavu problematičnog sadržaja (recenzije, komentari, listing-i).
- Terms of Service ažurirani da odražavaju DSA terminologiju (moderation policy, žalbe).
- Reklame oznake — ako prikazujete sponzorirani sadržaj ili oglase, mora biti jasno označeno.
- Maloljetnici — ako platforma može imati korisnike <17, dodatne mjere.
- Logiranje moderacijskih radnji — što je uklonjeno, zašto, tko je odlučio.
Croatian context — što HAKOM i AZOP gledaju
HAKOM (Hrvatska regulatorna agencija za mrežne djelatnosti) je imenovan kao Digital Services Coordinator za HR. AZOP nastavlja s GDPR. Ako ti AZOP pošalje upit o moderacijskim radnjama na web shopu — to je tipično DSA × GDPR križanje. Spremnost na to znači:
- Log svake recenzije/komentara koji ste uklonili (sadržaj, datum, razlog, korisnik koji je prijavio).
- Pravila moderacije objavljena (npr. u footer-u kao "Moderation Policy" link).
- Mehanizam korisniku da zatraži vraćanje uklonjenog sadržaja.
Što WMD pruža za DSA compliance
Naš hosting i AI Website Layer paket uključuju:
- Abuse contact endpoint automatski postavljen na svakom domain-u.
- Logging svake moderacijske radnje kroz CMS (Craft, WordPress) ako koristite naše instalacije.
- Notice-and-action template kao dio Terms of Service paketa za nove klijente.
- JetBackup retention koji omogućava 14-30 dana audit trail-a uklonjenog sadržaja.
- Konzultacija oko klasifikacije servisa pod DSA — javljaš se, prošetamo te kroz Razinu 1-4.
Kazne — što stvarno staje
DSA dozvoljava nacionalnim regulatorima izricanje kazni do 6% globalnog godišnjeg prometa tvrtke. Trenutni VLOP istražni postupci (Meta, TikTok, X) još nisu zaključeni novčano, ali svi pripremaju ozbiljne fondove. Za male i srednje tvrtke koje primanje DSA u potpunosti — kazne tipično u rangu €5k-100k za prvi prekršaj, eskalira ako se ignorira.
Najčešća pitanja
Imam blog s komentarima — jesam li "hosting service" prema DSA?
Tehnički da, ako primaš UGC i hostaš ga javno. Praktično — Razina 2 obveze (notice-and-action, ToS) primjenjive su. Dostavi kontakt formu za prijave, zapisuj uklonjene komentare. To je 80% compliance-a za mali blog.
Što je s web shopovima koji nemaju recenzije, samo katalog?
Čisto e-commerce bez UGC-a većinom izvan strožih obaveza. Ali ako koristiš trusted third party recenzije (Trustpilot embed, Google Reviews), one se gledaju kao tvoja platforma — pa primjenjive obveze.
Da li mi WMD može napraviti DSA audit?
Možemo savjetovati tehnički dio (logiranje, kontakt formu, terms šabloni). Za pravni audit suradimo s odvjetničkim uredima koji prate EU digital compliance.
Što ako klijent objavi ilegalan sadržaj na sajtu koji ja vodim?
Klasičan DSA case. Ako imaš notice-and-action proceduru i brzo ukloniš nakon prijave ("diligent action upon obtaining actual knowledge"), zaštićen si "safe harbor" pravilima. Bez procedure — odgovoran.