Rozwój Internetu

W ciągu ostatniej dekady nie tylko gwałtownie wzrosła liczba użytkowników Internetu –[nbsp] obecnie przekroczyła już ona dwie trzecie populacji Unii Europejskiej – ale także rozwinęły się na ogromną skalę usługi oferowane w Internecie, które dyrektywa określa mianem usług społeczeństwa informacyjnego. W rezultacie ponad 330 milionów[1] użytkowników Internetu w UE codziennie ma możliwość nie tylko dokonywania zakupów w sieci, wyszukiwania informacji, porównywania cen czy edukowania się, ale także aktywnego wypowiadania się na blogach, udostępniania własnych zdjęć czy filmów bądź uczestniczenia w zdalnych kursach e-learningowych. W ciągu tego czasu świat Internetu w UE rozwinął się na ogromną skalę, przeobrażając się z ogromnego zbioru statycznych stron internetowych w gigantyczną sieć stron interaktywnych, na których użytkownicy mogą umieszczać własne treści.

[nbsp]

Użytkownicy interaktywnych serwisów stali się równocześnie autorami publikowanych tam treści, a to zmieniło diametralnie myślenie o rozwoju usług internetowych oraz stworzyło wyzwanie dla regulatorów rynku internetowego, którzy dekadę temu tworzyli rozwiązania prawne w odmiennej rzeczywistości.

[nbsp]

Dyrektywa o handlu elektronicznym stworzyła podstawy prawne rozwoju gospodarki elektronicznej, koncentrując się na ustanowieniu liberalnych zasad podejmowania działalności gospodarczej w sieci, gwarantując przy tym internetowym przedsiębiorcom korzystanie z zasady państwa pochodzenia, która w swym założeniu miała poddać działalność przedsiębiorcy tylko jednemu systemowi prawnemu w UE. Oprócz tych gwarancji dyrektywa o handlu elektronicznym stworzyła wiele istotnych mechanizmów harmonizujących prawo państw członkowskich w obszarze obowiązków informacyjnych i reklamy internetowej, prawa umów elektronicznych, a także transponowała z USA mechanizm ograniczenia odpowiedzialności prawnej za przesyłane lub przechowywane treści pewnej kategorii przedsiębiorców dystrybuujących treści w Internecie. Jednym z celów dyrektywy stało się usunięcie problemów powstających w związku z pojawiającymi się rozbieżnościami między ustawodawstwem oraz orzecznictwem państw członkowskich w dziedzinie odpowiedzialności usługodawców działających jako pośrednicy. Prawodawca europejski uznał, że stanowią one przeszkodę w sprawnym funkcjonowaniu rynku wewnętrznego, w szczególności krępując rozwój usług transgranicznych i powodując zakłócenia w konkurencji. Nadrzędnym celem stało się więc wprowadzenie stanu równowagi między rożnymi interesami oraz ustanowienie zasad, które mogłyby służyć jako podstawa norm i umów branżowych.

[nbsp]

Wprowadzenie zasad wyłączenia odpowiedzialności pośredników za treści przesyłane w Internecie ma na celu umożliwienie swobodnego prowadzenia działalności w sieci. Chodzi o:

• podmioty oferujące usługi dostępu do Internetu oraz transmisji danych w sieci (z ang. mere conduit),
• usługodawców buforowania danych (z ang. caching),
• dostawców usług przechowania i udostępnienia danych (z ang. hosting).

[nbsp]

Zdejmując z nich ciężar aktywnego poszukiwania bezprawnych danych, przy jednoczesnym wyłączeniu lub ograniczeniu ich odpowiedzialności z tytułu przekazywanych informacji, prawodawca unijny nie zdecydował się na jasne objęcie tym reżimem podmiotów oferujących usługi wyszukiwania w Internecie czy specjalnego reżimu dla uczelni, jak uczynił to amerykański prawodawca w Digital Millennium Copyright Act[2]. Prawodawca europejski nie określił również procedury, którą miałby się posłużyć przedsiębiorca poinformowany o przechowywaniu bezprawnych treści, mającej na celu zablokowanie lub odblokowanie dostępu do kwestionowanych materiałów. Te braki wywołują spore problemy zarówno w stosowaniu przepisów dyrektywy, jak i w implementujących je przepisach krajowych, co jest szczególnie widoczne na tle orzeczeń ETS w sprawach połączonych C-236/08, 237/08 i 238/08 dotyczących wyszukiwarki Google.

[nbsp][nbsp][nbsp][nbsp][nbsp][nbsp][nbsp][nbsp][nbsp][nbsp][nbsp]

Filtrowanie treści w Unii Europejskiej

Dyrektywa o handlu elektronicznym nie nakłada na usługodawców świadczących usługi zwykłego przekazu, cachingu i hostingu ogólnego obowiązku nadzorowania informacji, które przekazują lub przechowują, ani ogólnego obowiązku aktywnego poszukiwania faktów i okoliczności wskazujących na działalność bezprawną. Jednakże państwa członkowskie mają możliwość ustanowić w stosunku do usługodawców świadczących usługi społeczeństwa informacyjnego:

• obowiązek niezwłocznego powiadamiania właściwych władz publicznych o domniemanych bezprawnych działaniach podjętych przez ich usługobiorców lub o przekazywanych przez nich informacjach, których treści mogą być bezprawne; bądź
• obowiązek przekazywania właściwym władzom, na ich żądanie, informacji pozwalających na ustalenie tożsamości ich usługobiorców, z którymi mają umowy o przechowywanie danych.

[nbsp]

Te rozwiązania są motywowane dosyć powszechnym przekonaniem, że podmioty te nie mogłyby praktycznie wykonywać swoich podstawowych funkcji, gdyby zostały obarczone obowiązkiem uprzedniej kontroli treści przekazywanych lub przechowywanych. Wolumen danych, które przetwarzają, jest tak duży, że prowadziłoby to do narzucenia nadmiernych i nieproporcjonalnych obowiązków na świadczących usługi, a w konsekwencji doprowadziłoby także do wzrostu cen dostępu do Internetu i usług online. Wreszcie działania takie doprowadziłyby do wprowadzenia cenzury w Internecie, a przy tym − paradoksalnie − mogłyby znacząco osłabić pozycję prawną dostawców takich usług, bowiem jakakolwiek ingerencja w przesyłane dane rodziłaby możliwość uznania ich za ingerujących w zawartość przetwarzanych danych, a w konsekwencji pozbawić ochrony przewidzianej w dyrektywie oraz w ustawie o świadczeniu usług drogą elektroniczną.

[nbsp]

Zgodnie bowiem z motywem 47 dyrektywy, „Państwa Członkowskie nie mogą nakładać na usługodawców obowiązku nadzoru jedynie w odniesieniu do obowiązków o charakterze ogólnym; nie dotyczy to obowiązków nadzoru mających zastosowanie do przypadków szczególnych oraz, w szczególności, nie ma wpływu na decyzje władz krajowych podjęte zgodnie z ustawodawstwem krajowym”. Jednakże w niektórych przypadkach usługodawcy mają obowiązek działania w celu zapobieżenia bezprawnej działalności lub wstrzymania jej[3]. I to właśnie ta możliwość jest przyczyną rosnącej niepewności prawnej w sieci. Przykładem mogą być wzajemnie sprzeczne orzeczenia sądów niemieckich dotyczących portalu RapidShare. W orzeczeniu Sądu Okręgowego w Düsseldorfie z 23 grudnia 2008 r. uznano, że RapidSharejest zobowiązany do zapobiegania piractwu oraz do stosowania bardziej skutecznych środków zapobiegających naruszeniu praw autorskich. Jednakże Sąd Apelacyjny w Düsseldorfie w wyroku wydanym 27 kwietnia 2010 r. uznał, że RapidSharenie jest odpowiedzialny za naruszenia praw autorskich ani jako sprawca bezpośredni, ani jako pomocnik[4].

[nbsp]

Bez wątpienia w UE należałoby uporządkować reguły filtrowania treści, przy czym wprowadzenie obowiązku filtrowania nadsyłanej zawartości uznać można za dobre rozwiązanie[5], pod warunkiem uprzedniego lepszego dookreślenia zakresu podmiotowego zastosowania tego obowiązku.

[nbsp]

Jak już wskazano, Unia Europejska nie wprowadziła, ani nie opracowała do tej pory procedur blokowania dostępu do treści na wzór chociażby amerykański[6]. Procedurę taką dopuszcza jednak dyrektywa o handlu elektronicznym i niektóre państwa członkowskie, np. Finlandia, wprowadziły własną wersję procedury blokowania dostępu do treści. Obecnie trwają prace nad analizą odpowiedzi zebranych w trakcie publicznych konsultacji nad przyszłością dyrektywy o handlu elektronicznym[7], które mogą być przydatne przy tworzeniu stosownej procedury blokowania treści w przyszłości. Oprócz modelu Notice-and-Takedownprzyjętego we wspomnianej amerykańskiej DMCA, rozważa się alternatywne modele, takie jak Notice-and-Stay czy Stay-and-Stay. W ramach modelu Notice-and-Stay kwestionowane dane byłyby blokowane zgodnie z ustaloną procedurą, a ich przywrócenie na żądanie osoby, która je przesłała, nie byłoby możliwe. Z kolei w ramach modelu Stay-and-Stay pośrednik byłby zobligowany do poinformowania osoby, który przesłała materiały naruszające prawo, o fakcie zablokowania treści. Ten ostatni model – w pewnym zakresie − wprowadziła Polska w ustawie o świadczeniu usług drogą elektroniczną[8].

[nbsp]

Stan obecny

Ustawa o świadczeniu usług drogą elektroniczną przewiduje (art. 14 ustawy), że nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę (czyli podmiot korzystający z usługi świadczonej drogą elektroniczną), nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, natomiast niezwłocznie uniemożliwi do nich dostęp w dwóch sytuacjach: w przypadku otrzymania urzędowego zawiadomienia o nich lub w razie uzyskania o nich wiarygodnej wiadomości.

[nbsp]

Pod pojęciem danych o bezprawnym charakterze należy rozumieć wszelkie dane (tekstowe, graficzne, audialne, wizualne, audiowizualne), których udostępnienie w serwisie internetowym jest sprzeczne z obowiązującym prawem. W praktyce będą to najczęściej utwory lub przedmioty praw pokrewnych w rozumieniu ustawy o prawie autorskim i prawach pokrewnych lub przedmioty praw własności przemysłowej, jeśli użytkownik publikujący je nie jest do tego uprawniony.

[nbsp]

Obowiązujące w tym zakresie regulacje prawne nie wprowadzają ograniczeń dotyczących tego, kto może zawiadomić podmiot udostępniający zasoby systemu teleinformatycznego w celach przechowywania danych (tzw. host providera), o bezprawnym charakterze publikowanych treści. Może to więc być każdy podmiot posiadający zdolność prawną. W praktyce najbardziej zainteresowani zgłaszaniem bezprawnych treści w celu blokowania do nich dostępu są podmioty, których prawa zostały naruszone. Coraz powszechniejszą praktyką jest bowiem udostępnianie na stronach internetowych gotowych formularzy, umożliwiających zgłoszenie wiadomości o bezprawnych danych lub związanej z nimi działalności. W aktualnym stanie prawnym nie jest to jednak obowiązkiem host providerów, a sama procedura powiadamiania i blokowania bezprawnych treści nie została w żaden sposób uregulowana.

[nbsp]

Wiadomość o bezprawnych danych lub działalności z nimi związanej musi być wiarygodna. Ustawa milczy jednak w kwestii zarówno tego, jakie elementy musi zawierać wiadomość, by została uznana za wiarygodną, jak i w kwestii procedury blokowania dostępu do danych. Pewne kryteria wypracowała oczywiście praktyka. Przyjmuje się, że zawiadomienie powinno zawierać kompletne i prawdziwe dane podmiotu zgłaszającego oraz informacje pozwalające zidentyfikować zgłaszane dane i uzasadniające ich bezprawność.

[nbsp]

O ile podmioty zgłaszające naruszenia praw zwykle są w stanie dostarczyć szczegółowe dane uzasadniające bezprawność publikowanych danych, o tyle oceny tej bezprawności dokonuje arbitralnie podmiot świadczący usługę hostingu. W praktyce host providerzy mają relatywnie dużą swobodę w uznaniu, że dane prawo nie zostało jednak naruszone i często odsyłają zgłaszających na drogę postępowania sądowego. Brak szczegółowych przepisów w tym zakresie jest uważany za słabość regulacji dotyczącej wyłączenia odpowiedzialności host providera. Co istotne, uregulowań takich nie ma również na poziomie europejskim; prace nad nimi są bowiem w toku.

[nbsp]

Planowane zmiany

Projekt nowelizacji przepisów ustawowych w tym zakresie zakłada trzy podstawowe zmiany dotyczące odpowiedzialności usługodawców świadczących usługi hostingowe. Pierwsza z nich dotyczy przesłanki wiedzy o bezprawności danych, druga – poszerzenia katalogu źródeł wiarygodnej wiadomości, trzecia wprowadza sformalizowaną procedurę zgłaszania i uniemożliwiania dostępu do bezprawnych danych zwaną procedurą notice and takedown (tzw. usunięcie na żądanie).

[nbsp]

Dyrektywa o handlu elektronicznym przewiduje wyłączenie odpowiedzialności dostawcy usługi hostingu w jeszcze jednym przypadku, którego nie zna polska ustawa – gdy nie wie on o stanie faktycznym lub okolicznościach, które w sposób oczywisty świadczą o bezprawności. Wyłączenie w tym przypadku jest jednak ograniczone jedynie do roszczeń odszkodowawczych. W projektowanych zmianach osiągnięto tę przesłankę, czyniąc z niej trzecią sytuację uzasadniającą wyłączenie odpowiedzialności, ale uczyniono to, pomijając ograniczenie wyłączenia jedynie do roszczeń odszkodowawczych. Jeśli więc projektowana zmiana zostanie uchwalona w proponowanym kształcie, to host provider, który nie wie o faktach lub okolicznościach w sposób oczywisty świadczących o bezprawności, nie poniesie nie tylko odpowiedzialności odszkodowawczej, ale też administracyjnej lub karnej. Wydaje się więc, że proponowany zapis zbyt szeroko wyłącza odpowiedzialność host providera. Jeśli polski ustawodawca będzie dążyć do spójności z uregulowaniem unijnym, to w tym punkcie z pewnością jej nie osiągnie.

[nbsp]

Zgodnie z projektowanymi zmianami, założono również, że dostawca usług hostingowych nie ponosi odpowiedzialności, jeśli uniemożliwi dostęp do bezprawnych danych nie tylko na podstawie wiarygodnej wiadomości zdefiniowanej w znowelizowanej ustawie lub urzędowego zawiadomienia, ale również w sytuacji gdy uzyska wiedzę o bezprawności danych w inny sposób. Ostatnia zmiana w uregulowaniu wyłączenia odpowiedzialności dostawcy usług hostingowych dotyczy właśnie wprowadzenia procedury notice and takedown.

[nbsp]

Otóż zgodnie z planowanymi w tym zakresie zmianami uzyskanie przez host providera wiarygodnej wiadomości zawierającej wszystkie elementy wymienione w przepisie (art. 15b), w tym m.in. uzasadnienie wskazujące na istnienie naruszenia prawa, będzie skutkowało obowiązkiem zablokowania dostępu do danych treści. Usługodawca nie będzie więc sam oceniał, czy treści mają charakter bezprawny. Novum jest także to, że usługodawcy zostaną zobligowani do udostępniania gotowych formularzy wiarygodnej wiadomości zawierających wszystkie jej elementy. Rezultatem złożenia kompletnego zgłoszenia będzie uniemożliwienie dostępu do bezprawnych danych. Projektowane rozwiązanie zapewnia podmiotowi, którego treści zostały zablokowane, możliwość złożenia sprzeciwu. Podlega on rygorom podobnym do tych, których dotyczy wiarygodna wiadomość. Po jego rozpoznaniu usługodawca podejmie decyzję i albo odrzuci sprzeciw i utrzyma blokadę danych, albo przywróci dostęp do nich.

[nbsp]

Cloud computing, czyli nowa strategia Komisji Europejskiej

Kolejnym zagadnieniem wymagającym uregulowania w ramach jednolitego rynku cyfrowego są usługi chmurowe (tzw. cloud computing), jako model przetwarzania danych oparty na użytkowaniu usług dostarczonych przez usługodawcę. Usługi tego rodzaju to przede wszystkim oszczędności, ale o kształcie tych usług decydują głównie dostawcy. Komisja Europejska chce to zmienić, przedstawiając strategię na rzecz wykorzystania potencjału chmury obliczeniowej w Europie.

[nbsp]

Nie ma wątpliwości, że chmury to rozwiązanie szybsze, tańsze, bardziej elastyczne i potencjalnie bezpieczniejsze od rozwiązań informatycznych zlokalizowanych na miejscu. Zgodnie z ogłoszoną przez Komisję Europejską strategią dotyczącą chmur („nowa strategia na rzecz pobudzenia wydajności przedsiębiorstw i administracji w Europie poprzez wykorzystywanie chmur obliczeniowych”), mają to być działania zmierzające do uzyskania takich korzyści z chmur, jak 2,5 mln nowych miejsc pracy w Europie oraz roczny przyrost PKB UE na poziomie 160 mld euro (ok.[nbsp]1%) do 2020 r.[9]⁾

[nbsp]

Głównym założeniem strategii jest jednak likwidacja barier w korzystaniu z chmur, które stanowią m.in. o braku wspólnych norm i precyzyjnych umów z usługodawcami. Decyzja Komisji Europejskiej jest skutkiem przyjętej 27 września 2012 r. spójnej strategii (IP/12/1025 oraz MEMO/12/713), która ma na celu lepsze wykorzystanie tej technologii. Sednem jej jest zwiększenie zaufania konsumenta oraz małych i średnich firm do korzystania z obliczania w chmurze, a przez to podniesienie wydajności pracy w państwach unijnych.

[nbsp]

Do głównych działań założonych w strategii można zaliczyć:

• rozwiązanie problemu mnogości standardów, aby zapewnić użytkownikom chmury interoperacyjność, przenoszenie danych i odwracalność danych;
• promowanie ogólnounijnych mechanizmów certyfikacjidla wiarygodnych dostawców usług w modelu chmury;
• opracowanie wzoru bezpiecznych i uczciwych warunków dla umów dotyczących usług w chmurze, w tym umów o gwarantowanym poziomie tych usług;
• ustanowienie europejskiego partnerstwa na rzecz chmur obliczeniowych z udziałem państw członkowskich i podmiotów branżowych, aby wykorzystanie siły nabywczej sektora publicznego (20% wszystkich wydatków w dziedzinie IT) w celu kształtowania europejskiego rynku chmury obliczeniowej.

[nbsp]

Mimo że nie ma przepisów wprost odwołujących się do przetwarzania w chmurze, można wdrażać tego typu rozwiązanie na bazie istniejących przepisów prawnych, gdyż w zasadzie przetwarzanie w chmurze jest prawnie uregulowane. Zarówno w Polsce, jak i za granicą istnieją bowiem regulacje określające warunki przetwarzania określonych kategorii informacji oraz określające wymagania w przypadku powierzenia tych informacji podmiotom trzecim (podwykonawcom). Kategorie informacji, których przetwarzanie podlega reglamentacji, to na ogół dane osobowe oraz inne dane prawnie chronione (w szczególności tajemnica bankowa, szereg kategorii danych objętych tajemnicą zawodową, tajemnica państwowa). Regulacje dotyczące powierzenia czynności innym podmiotom opierają się co do zasady na nauce i standardach zapewnienia bezpieczeństwa informacji oraz ciągłości działania.

[nbsp]

Jarosław Jastrzębski

radca prawny

prowadzący indywidualną kancelarię prawną w Warszawie

www.wlasnosc-intelektualna.com

[nbsp]

Artykuł pochodzi z[nbsp]Biuletynu Euro Info Październik 2016.