Какво е Digital Services Act
Digital Services Act (DSA) е Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета от 19 октомври 2022 г. относно единен пазар на цифровите услуги и за изменение на Директива 2000/31/ЕО (Директивата за електронната търговия). Регламентът е обнародван в Официалния вестник на ЕС на 27 октомври 2022 г. и влезе в сила на 16 ноември 2022 г.
DSA е директно приложим във всички държави членки, без необходимост от транспониране в националното законодателство, макар че държавите членки са длъжни да определят компетентни органи и да уредят процедурни въпроси. Регламентът установява унифицирани правила за онлайн посредниците в целия Европейски съюз и надгражда либералния режим за отговорност на посредниците, установен с Директивата за електронната търговия през 2000 г.
Прилагането на DSA е двуетапно. За много големите онлайн платформи и търсачки (VLOPs/VLOSEs) задълженията са в сила от 25 август 2023 г. — четири месеца след формалното им определяне от Европейската комисия. За всички останали категории посреднически услуги — от хостинг провайдърите до МСП платформите — пълното прилагане започна на 17 февруари 2024 г.
България прие своя имплементационен закон през ноември 2025 г., с който определи националния координатор за цифровите услуги и разпредели функциите между компетентните органи. Законът не създава нови материалноправни задължения, а организира прилагането на регламента.
Обхват — кой е засегнат
DSA има пирамидална структура: всички посреднически услуги имат базови задължения, а към всяко следващо ниво се добавят допълнителни изисквания съобразно ролята, мащаба и рисковия профил на доставчика. Регламентът разграничава четири нива:
- Ниво 1 — Посреднически услуги (intermediary services): най-широката категория, включваща услуги по обикновено пренасяне (mere conduit), кеширане (caching) и съхранение (hosting) по смисъла на Директивата за електронната търговия. Примери: доставчици на интернет достъп, DNS услуги, CDN мрежи, VPN доставчици.
- Ниво 2 — Хостинг услуги: услуги, състоящи се в съхраняване на информация, предоставена от получателя на услугата. Примери: cloud storage, уеб хостинг провайдъри, file-sharing услуги.
- Ниво 3 — Онлайн платформи: хостинг услуги, които по искане на получател съхраняват и разпространяват информация до обществеността. Примери: социални мрежи, marketplaces, платформи за отзиви, app stores.
- Ниво 4 — VLOPs и VLOSEs: много големи онлайн платформи (Very Large Online Platforms) и много големи онлайн търсачки (Very Large Online Search Engines), които имат средно над 45 милиона активни месечни получатели в ЕС. Този праг отговаря на приблизително 10% от населението на Съюза. Статутът се определя формално с решение на Европейската комисия.
DSA има екстратериториално приложение: регламентът се прилага за всички посреднически услуги, предлагани на получатели, установени в Съюза, независимо от мястото на установяване на доставчика на услугата. Следователно доставчиците от трети държави (САЩ, Великобритания, Швейцария и др.), които обслужват потребители от ЕС, попадат в обхвата на задълженията и трябва да определят правен представител в Съюза.
Базови задължения за всички посреднически услуги (чл. 11–15)
Всички посреднически услуги, независимо от вида и размера, са длъжни да спазват следните базови задължения, установени в Глава III, Раздел 1 от DSA:
- Единна точка за контакт с органите (чл. 11) — доставчикът трябва да определи единна точка за контакт, която позволява директна комуникация по електронен път с органите на държавите членки, Комисията и Европейския съвет за цифрови услуги. Данните за контакт трябва да бъдат публично достъпни.
- Единна точка за контакт с потребителите (чл. 12) — отделна точка за контакт за получателите на услугата, която трябва да позволява бърза, директна и ефективна комуникация. Допустима е употребата на автоматизирани средства, но не изключително на такива.
- Правен представител (чл. 13) — доставчиците, които нямат място на установяване в Съюза, но предлагат услуги в ЕС, са длъжни да определят в писмен вид физическо или юридическо лице за свой правен представител в една от държавите членки, в които предлагат услуги. Представителят носи отговорност за спазването на регламента.
- Прозрачни общи условия (чл. 14) — общите условия трябва да включват информация за всички ограничения, които доставчикът налага по отношение на използването на услугата, включително политики за модерация на съдържанието, алгоритмичното вземане на решения и правилата за прекратяване на услугата. Езикът трябва да е ясен, разбираем и лесно достъпен.
- Годишни доклади за прозрачност (чл. 15) — ежегодно публикуване на доклади в машинночетим формат, съдържащи информация за модерацията на съдържанието, включително разпореждания от органи, уведомления, действия, предприети по собствена инициатива, жалби и средни срокове за реакция. МСП са освободени от това задължение.
Допълнителни задължения за хостинг услуги (чл. 16–18)
За доставчиците на хостинг услуги, които съхраняват информация, предоставена от получателите, DSA добавя три специфични задължения:
- Механизъм за уведомление и действие (чл. 16) — хостинг доставчиците са длъжни да въведат лесно достъпни и лесно използваеми електронни механизми, чрез които всяко физическо или юридическо лице може да подава уведомления за предполагаемо незаконно съдържание. Надлежно обоснованите уведомления водят до възникване на знание за незаконния характер на съдържанието по смисъла на режима за отговорност на посредниците.
- Мотивиране на решенията за модерация (чл. 17) — при всяко ограничение, наложено върху съдържанието (премахване, ограничаване на видимостта, прекратяване или спиране на услугата, ограничаване на монетизацията), доставчикът е длъжен да предостави ясно и конкретно изложение на мотивите на засегнатия получател. Всички тези решения се регистрират в публичната База данни за прозрачност на DSA, поддържана от Комисията.
- Уведомяване за съмнения за тежки престъпления (чл. 18) — при наличие на информация, която поражда съмнения, че е било или е в ход тежко престъпление, свързано със заплаха за живота или безопасността на лице(а), хостинг доставчикът е длъжен незабавно да уведоми правоприлагащите или съдебните органи на съответната държава членка.
Задължения за онлайн платформи (чл. 19–28)
Онлайн платформите — хостинг услугите, които разпространяват информация до обществеността — носят най-широк набор от задължения след VLOPs. Ключовите разпоредби са обобщени в следващата таблица:
| Член | Задължение |
|---|---|
| Чл. 19 | Освобождаване на МСП (под 50 служители и годишен оборот/баланс ≤ EUR 10 млн.) от задълженията по Раздел 3, освен ако не са определени като VLOPs |
| Чл. 20 | Вътрешна система за разглеждане на жалби — безплатна, лесно достъпна, със срок за произнасяне и човешки надзор |
| Чл. 21 | Извънсъдебно решаване на спорове чрез сертифицирани органи |
| Чл. 22 | Приоритетно разглеждане на уведомления от доверени флагери (trusted flaggers), определени от националния координатор |
| Чл. 23 | Мерки срещу злоупотреби — временно спиране на потребители, които често подават явно незаконно съдържание или неоснователни уведомления |
| Чл. 25 | Забрана на заблуждаващи интерфейси (dark patterns), които изкривяват или нарушават способността на получателите да вземат автономни решения |
| Чл. 26 | Забрана на таргетирана реклама, основана на профилиране по специални категории лични данни по смисъла на чл. 9 от GDPR |
| Чл. 28 | Забрана на таргетирана реклама към непълнолетни, когато платформата знае с разумна степен на сигурност, че получателят е непълнолетен |
Към тези задължения се добавят изисквания за прозрачност на рекламите (чл. 26), прозрачност на системите за препоръчване (чл. 27) и защитата на непълнолетни онлайн (чл. 28). За онлайн платформите, позволяващи на потребителите да сключват дистанционни договори с търговци (marketplaces), се прилагат допълнителни задължения по чл. 30–32, включително проследимост на търговците (KYC на търговците) и информация за продуктовата безопасност.
Задължения за VLOPs/VLOSEs (чл. 33–43)
Много големите онлайн платформи и търсачки са обект на най-строгия регулаторен режим в DSA. Към 2026 г. списъкът включва над 25 услуги, определени с решения на Европейската комисия, сред които Amazon, Apple App Store, Booking, Facebook, Google Search, Instagram, LinkedIn, TikTok, X, YouTube и др. Допълнителните им задължения са:
- Годишна оценка на системни рискове (чл. 34) — VLOPs/VLOSEs трябва ежегодно да идентифицират, анализират и оценяват системните рискове, произтичащи от проектирането, функционирането и използването на техните услуги, включително рисковете за основните права, за обществения дебат, изборните процеси, общественото здраве и защитата на непълнолетните.
- Мерки за намаляване на рисковете (чл. 35) — въвеждане на разумни, пропорционални и ефективни мерки за намаляване на идентифицираните системни рискове.
- Независими одити (чл. 37) — ежегодни одити на съответствието с DSA, извършвани от независими външни одитори.
- Опция за препоръки без профилиране (чл. 38) — потребителите трябва да имат възможност да използват системата за препоръчване, без тя да се базира на профилиране по смисъла на чл. 4, параграф 4 от GDPR.
- Публичен регистър на рекламите (чл. 39) — VLOPs/VLOSEs са длъжни да поддържат публично достъпна, търсима база данни за всички реклами, представени на техните услуги, за срок от най-малко една година.
- Достъп за изследователи (чл. 40) — предоставяне на данни на одобрени академични изследователи за целите на изследвания върху системни рискове.
- Вътрешна функция за съответствие (чл. 41) — определяне на независима вътрешна compliance функция с достатъчни правомощия, персонал и ресурси.
- Кризисен механизъм (чл. 48) — при обявяване на криза Комисията може да изисква от VLOPs/VLOSEs да предприемат конкретни мерки за оценка и ограничаване на последиците.
Надзорът над VLOPs/VLOSEs се осъществява пряко от Европейската комисия, а не от националните координатори. За финансирането на този надзор Комисията налага годишна надзорна такса (supervisory fee) върху самите определени платформи.
Имплементация в България
Българският имплементационен закон беше приет през ноември 2025 г. и урежда компетентните органи, правомощията им, процедурите по прилагане и санкционния режим за нарушения, които не са директно уредени от регламента. Законът не създава нови материални задължения — всички задължения произтичат директно от DSA.
Разпределението на компетенциите между българските органи е следното:
- Комисия за регулиране на съобщенията (КРС) — определена като Координатор за цифровите услуги (Digital Services Coordinator) по смисъла на чл. 49 от DSA. КРС е основният надзорен орган и точка за контакт с Комисията и Европейския съвет за цифрови услуги. Тя отговаря за сертифицирането на доверени флагери, органи за извънсъдебно решаване на спорове и изследователи, както и за координацията с другите вътрешни компетентни органи.
- Комисия за защита на личните данни (КЗЛД) — компетентна за аспектите, свързани със защитата на личните данни, включително забраните за таргетирана реклама, основана на профилиране по специални категории данни (чл. 26) и таргетирана реклама към непълнолетни (чл. 28). Работата на КЗЛД се координира с тази по GDPR съответствието.
- Съвет за електронни медии (СЕМ) — компетентен по отношение на платформите за споделяне на видеосъдържание (video-sharing platforms) по смисъла на Директивата за аудио-визуалните медийни услуги.
- Комисия за защита на потребителите (КЗП) — компетентна за аспектите на потребителската защита, включително забраната на заблуждаващи интерфейси (dark patterns) по чл. 25 и задълженията на онлайн платформите, позволяващи дистанционни договори.
КРС е длъжна да осигури адекватна координация между тези органи, включително чрез споразумения за сътрудничество и обмен на информация.
Санкции (чл. 52)
Санкционният режим на DSA е сред най-строгите в европейското цифрово законодателство. Според чл. 52 от регламента държавите членки определят правила за санкциите, като максималните размери са хармонизирани и не могат да бъдат под установените прагове:
| Нарушение | Максимална санкция |
|---|---|
| Нарушение на задълженията по DSA | До 6% от световния годишен оборот за предходната финансова година |
| Предоставяне на невярна, непълна или подвеждаща информация или отказ от съдействие при проверка | До 1% от годишния приход/оборот |
| Периодични санкционни плащания (принудителни мерки за изпълнение) | До 5% от средния дневен световен оборот или приход за предходната финансова година, на ден |
Санкциите се налагат от националния Координатор за цифровите услуги (КРС за България), освен за VLOPs/VLOSEs, където правомощието принадлежи пряко на Европейската комисия. При определяне на конкретния размер се вземат предвид естеството, тежестта, продължителността и повторението на нарушението, финансовото състояние на нарушителя и степента на сътрудничество с органите.
Първите глоби по DSA срещу VLOPs вече са предмет на висящи разследвания на Комисията, което показва, че регулаторът не се колебае да упражни правомощията си.
Често задавани въпроси
Нуждаете се от правен анализ на съответствието с DSA?
Екипът на Innovires Legal предлага пълен DSA compliance одит, изготвяне на общи условия и политики за модерация, определяне на правен представител за не-ЕС доставчици, както и представителство пред КРС и другите компетентни органи.