Odpowiedzialność dostawców usług hostingowych w świetle projektowanych zmian
Usługi świadczone przez podmioty transmitujące lub przechowujące cudze dane (intermediary service providers – ISP) to jeden z najszybciej rozwijających się obszarów społeczeństwa informacyjnego.
W praktyce jednym z najistotniejszych zagadnień jest to, czy (a jeżeli tak, to w jakich okolicznościach) wspomniani usługodawcy ponoszą odpowiedzialność za transmitowane bądź przechowywanie treści.
Zagadnienia związane z ww. usługami reguluje przede wszystkim ustawa o świadczeniu usług drogą elektroniczną wprowadzająca do polskiego porządku prawnego uregulowania, których pierwowzorów należy szukać w tzw. dyrektywie o handlu elektronicznym (dyrektywa Parlamentu Europejskiego i Rady 2000/31/WE z 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego).
Dynamika rozwoju obrotu elektronicznego sprawia, że przepisy prawne go regulujące muszą być dostosowywane do zmieniających się warunków. Jak pokazała praktyka rynkowa ostatnich lat, ustawa nie reguluje wszystkich aspektów obrotu elektronicznego i związanej z nim odpowiedzialności. Jej przepisy nie były również wolne od wątpliwości interpretacyjnych. Dlatego też w połowie 2011 roku Rada Ministrów przyjęła założenia, na podstawie których powstał projekt ustawy nowelizującej. Niniejszy artykuł poświęcony jest odpowiedzialności dostawcy usług hostingowych w kształcie nadanym ustawą, jak i projektowanym przez ustawę nowelizującą w wersji przedłożonej przez Ministra Administracji i Cyfryzacji w lutym 2013 roku. Aktualnie projekt nowelizacji jest na etapie konsultacji w Radzie Ministrów.
Stan obecny
Ustawa przewiduje (art. 14), że nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę (czyli podmiot korzystający z usługi świadczonej drogą elektroniczną) nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, natomiast niezwłocznie uniemożliwi do nich dostęp w dwóch sytuacjach: w przypadku otrzymania urzędowego zawiadomienia o nich lub w razie uzyskania o nich wiarygodnej wiadomości.
Pod pojęciem danych o bezprawnym charakterze należy rozumieć wszelkie dane (tekstowe, graficzne, audialne, wizualne, audiowizualne), których udostępnienie w serwisie internetowym jest sprzeczne z obowiązującym prawem. W praktyce będą to najczęściej utwory lub przedmioty praw pokrewnych w rozumieniu ustawy o prawie autorskim i prawach pokrewnych lub przedmioty praw własności przemysłowej, jeśli użytkownik publikujący je nie jest do tego uprawniony. Danymi o bezprawnym charakterze są także treści naruszające dobra osobiste lub wypełniające znamiona określonych przestępstw (np. nawoływanie do nienawiści czy znieważenie).
Ustawa nie wprowadza ograniczeń dotyczących tego, kto może zawiadomić host providera o bezprawnym charakterze publikowanych treści. Może to więc być każdy podmiot posiadający zdolność prawną. W praktyce najbardziej zainteresowani zgłaszaniem bezprawnych treści w celu blokowania do nich dostępu są podmioty, których prawa zostały naruszone. Coraz powszechniejszą praktyką jest udostępnianie na stronach internetowych gotowych formularzy, umożliwiających zgłoszenie wiadomości o bezprawnych danych lub związanej z nimi działalności. W aktualnym stanie prawnym nie jest to jednak obowiązkiem host providerów, a sama procedura powiadamiania i blokowania bezprawnych treści nie jest w żaden sposób uregulowana.
Wiadomość o bezprawnych danych lub działalności z nimi związanej musi być wiarygodna. Ustawa milczy jednak w kwestii zarówno tego, jakie elementy musi zawierać wiadomość, by została uznana za wiarygodną, jak i w kwestii procedury blokowania dostępu do danych. Pewne kryteria wypracowała oczywiście praktyka. Przyjmuje się, że zawiadomienie powinno zawierać kompletne i prawdziwe dane podmiotu zgłaszającego oraz informacje pozwalające zidentyfikować zgłaszane dane i uzasadniające ich bezprawność. O ile podmioty zgłaszające naruszenia praw zwykle są w stanie dostarczyć szczegółowe dane uzasadniające bezprawność publikowanych danych, to już oceny tej bezprawności dokonuje arbitralnie podmiot świadczący usługę hostingu. W praktyce host providerzy mają relatywnie dużą swobodę w uznaniu, że dane prawo nie zostało jednak naruszone, i często odsyłają zgłaszających na drogę postępowania sądowego. Brak szczegółowych przepisów w tym zakresie jest uważany za słabość regulacji dotyczącej wyłączenia odpowiedzialności host providera. Co istotne, uregulowań takich nie ma również na poziomie europejskim; prace nad nimi są w toku.
Planowana nowelizacja
Projekt ustawy nowelizującej zakłada trzy podstawowe zmiany dotyczące odpowiedzialności usługodawców świadczących usługi hostingowe. Pierwsza z nich dotyczy przesłanki wiedzy o bezprawności danych, druga – poszerzenia katalogu źródeł wiarygodnej wiadomości, trzecia wprowadza sformalizowaną procedurę zgłaszania i uniemożliwiania dostępu do bezprawnych danych zwaną procedurą notice and takedown (tzw. usunięcie na żądanie).
Dyrektywa o handlu elektronicznym przewiduje wyłączenie odpowiedzialności dostawcy usługi hostingu w jeszcze jednym przypadku, którego nie zna polska ustawa – gdy nie wie on o stanie faktycznym lub okolicznościach, które w sposób oczywisty świadczą o bezprawności. Wyłączenie w tym przypadku jest jednak ograniczone jedynie do roszczeń odszkodowawczych. W projekcie ustawy nowelizacyjnej sięgnięto po tę przesłankę, czyniąc z niej trzecią sytuację uzasadniającą wyłączenie odpowiedzialności, ale uczyniono to, pomijając ograniczenie wyłączenia jedynie do roszczeń odszkodowawczych. Jeśli więc projektowana zmiana zostanie uchwalona w proponowanym kształcie, to host provider, który nie wie o faktach lub okolicznościach w sposób oczywisty świadczących o bezprawności, nie poniesie nie tylko odpowiedzialności odszkodowawczej, ale też administracyjnej lub karnej. Wydaje się więc, że proponowany zapis zbyt szeroko wyłącza odpowiedzialność host providera. Jeśli polski ustawodawca dąży do spójności z uregulowaniem unijnym, to w tym punkcie z pewnością jej nie osiąga.
W projekcie ustawy nowelizującej zapisano również, że dostawca usług hostingowych nie ponosi odpowiedzialności, jeśli uniemożliwi dostęp do bezprawnych danych nie tylko na podstawie wiarygodnej wiadomości zdefiniowanej w znowelizowanej ustawie lub urzędowego zawiadomienia, ale również w sytuacji, gdy uzyska wiedzę o bezprawności danych w „inny sposób”. Ostatnia zmiana w uregulowaniu wyłączenia odpowiedzialności dostawcy usług hostingowych dotyczy wprowadzenia procedury notice and takedown (rozdział 3a).
Zgodnie z projektowanymi zmianami uzyskanie przez host providera wiarygodnej wiadomości zawierającej wszystkie elementy wymienione w przepisie (art. 15b), w tym m.in. uzasadnienie wskazujące na istnienie naruszenia prawa, będzie skutkowało obowiązkiem zablokowania dostępu do danych treści. Usługodawca nie będzie więc sam oceniał, czy treści mają charakter bezprawny. Novum jest także to, że usługodawcy będą zobligowani do udostępniania gotowych formularzy wiarygodnej wiadomości zawierających wszystkie jej elementy. Rezultatem złożenia kompletnego zgłoszenia będzie uniemożliwienie dostępu do bezprawnych danych. Projektowane rozwiązanie zapewnia podmiotowi, którego treści zostały zablokowane, możliwość złożenia sprzeciwu (art. 15e). Podlega on rygorom podobnym do tych, których dotyczy wiarygodna wiadomość. Po jego rozpoznaniu usługodawca podejmie decyzję i albo odrzuci sprzeciw i utrzyma blokadę danych, albo przywróci dostęp do nich (art. 15f). Co istotne, każda czynność, która ma być podjęta przez usługodawcę, jest obwarowana krótkimi, ustawowymi terminami.
Spór z portalem Nasza Klasa
Jak dalekie konsekwencje wywołuje brak sformalizowania kwestii powiadamiania o naruszeniach, pokazuje spór z portalem Nasza Klasa, zakończony wyrokiem Sądu Okręgowego we Wrocławiu, podtrzymanym następnie przez sąd apelacyjny (wyrok z 15 stycznia 2010 r., sygn. akt I A Ca 1202/09).
Nieznana osoba założyła na portalu konto na imię i nazwisko Dariusza B., podszywając się pod prawdziwą osobę o tym imieniu i nazwisku. Profil zawierał jej dane osobowe; część informacji była jednak nieprawdziwa i godziła w dobre imię zainteresowanego. Z fikcyjnego konta rozsyłano obraźliwe komentarze do innych użytkowników portalu.
Po powzięciu wiadomości o fikcyjnym koncie i rozsyłanych wiadomościach Dariusz B. zażądał usunięcia konta. Pierwsze wiadomości wysyłał drogą e-mailową na ogólny adres kontaktowy portalu Nasza Klasa. Kolejne, upraszające o szybką reakcję, były przesyłane także drogą pocztową. Podjęto również próbę interwencji w siedzibie spółki. Dopiero jednak zgłoszenie na gotowym formularzu online przyniosło oczekiwaną reakcję w postaci podjęcia weryfikacji wiarygodności wiadomości. W praktyce weryfikacja polegała na daniu właścicielowi fikcyjnego profilu aż dwóch tygodniu na ustosunkowanie się do zarzutu. W rezultacie usunięcie profilu nastąpiło po 1,5 miesiąca od pierwszego zgłoszenia. Rozstrzygnięcie sądów obu instancji nie pozostawiło żadnych wątpliwości – portal Nasza Klasa z własnej winy nie usunął, a co najmniej nie zablokował niezwłocznie fałszywego konta, umożliwiając przez to naruszanie dóbr osobistych osoby, pod którą się podszyto.
Źródła problemu były trojakie. Po pierwsze przepisy nie wskazują aktualnie sposobu kontaktu, który gwarantuje uruchomienie procedury blokady. Po drugie ocena bezprawności jest dokonywana arbitralnie przez usługodawcę. Po trzecie zaś brakuje ram czasowych, w których musi nastąpić reakcja. W praktyce więc ustawowy nakaz „niezwłocznego” usunięcia bezprawnych treści może oznaczać okres wielu tygodni.
Ocena projektu
Projektowane zmiany ustawy, w szczególności instytucja notice and takedown, choć wywołują kontrowersje chociażby związane z kwestią zgodności z konstytucją czy zarzutem pogarszania sytuacji użytkowników internetu, z pewnością ograniczają arbitralność działań dostawcy hostingu, poddając jego decyzje ustawowemu reżimowi. Procedura notice and takedown jest bowiem dalece sformalizowana i powzięcie wiarygodnej wiadomości spełniającej formalne przesłanki ustawowe nakłada na usługodawcę obowiązek zastosowania blokady. Proponowane rozwiązanie będzie korzystne dla podmiotów dochodzących ochrony swoich praw przed naruszeniami, w znacznej mierze obiektywizując decyzje usługodawcy. Z drugiej strony nie jest jednak wykluczone, że taka obiektywizacja procedury zostanie przyjęta z aprobatą także przez znaczną część dostawców usług hostingowych, obciążonych obecnie koniecznością podejmowania decyzji niepodpartych żadnymi kryteriami ustawowymi.
Dominika Kwiatkiewicz, Zespół Własności Intelektualnej kancelarii Wardyński i Wspólnicy