Stan prawny na: 01.02.2008 r.
8 czerwca 2000 roku jest niezwykle istotną datą w rozwoju procesu prawnej regulacji E-commerce, czyli handlu elektronicznego. W tym dniu bowiem, uchwalona została dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady w sprawie niektórych aspektów prawnych usług w społeczeństwie informacyjnym, a w szczególności handlu elektronicznego[1]. Najważniejszymi i najdłużej oczekiwanymi przepisami powyższej dyrektywy była regulacja artykułów 12-15, która dotyczy zagadnień odpowiedzialności niektórych usługodawców internetowych. Najważniejszym z nich jest host provider, którego zarówno karna, jak i cywilna odpowiedzialność za przechowywane w oferowanych przez niego zasobach pamięci dane została pod kilkoma warunkami wyłączona.
W niniejszym artykule zostaną bliżej przedstawione zasady odpowiedzialności host providera w świetle prawa polskiego oraz propozycje rozwiązań wybranych problemów wynikających na tle stosowania tych przepisów. Zostaną także omówione najjaskrawsze sprzeczności pomiędzy polskimi przepisami a ich pierwowzorami zawartymi w dyrektywie 2000/31/WE.
Nasze rozważania rozpoczniemy od zdefiniowania w punkcie drugim usługi hostingu i przybliżenia w punkcie kolejnym przyczyn takiego sposobu uregulowania odpowiedzialności tego usługodawcy internetowego. W punkcie czwartym omówione zostaną przesłanki wyłączające odpowiedzialność host providera. Następnie przedstawiona zostanie sytuacja, gdy pomimo spełnienia przesłanek wyłączenia odpowiedzialności host providera zostanie on pociągnięty do odpowiedzialności.
Poza zakresem naszych rozważań pozostanie problematyka odpowiedzialności kontraktowej host providera względem osób, które korzystają z jego usługi, za niewykonanie lub nienależyte wykonanie zobowiązania ze względu na usunięcie potencjalnie bezprawnych danych tych osób. W niniejszym artykule skoncentrujemy się jedynie na odpowiedzialności host providera względem osoby trzeciej, której prawa zostały naruszone przez dane przechowywane w zasobach pamięci udostępnionych przez host providera.
1. Czym jest usługa hostingu?
Kluczowe znaczenie dla właściwego zrozumienia nie tylko aktualnej regulacji odpowiedzialności usługodawców oferujących usługę hostingu w Internecie, ale także przyczyn, które legły u podstaw obowiązującego stanu prawnego, ma właściwe zdefiniowanie pojęcia hostingu. Przez hosting rozumie się oferowanie w pamięci serwera miejsca na dane osób trzecich i późniejsze przechowywanie tych danych. Najlepszym przykładem takiej usługi jest oferowanie na własnym serwerze miejsca na stronę internetową innej osoby (np.: potralu, wortalu, czy bloga).
W związku z tym w literaturze zachodniej pojawiło się pytanie, czy także podmiot samemu najmujący miejsce na cudzym serwerze i dopiero oferujący je osobom trzecim również może być uznany za host providera. W odpowiedzi na to pytanie podkreślono, że przy kwalifikacji danej usługi jako hostingu nie jest decydujący tytuł prawny do pamięci serwera, lecz sam fakt oferowania miejsca na dane osób trzecich i zapewnienie ich dalszego przechowywania [2].
Zilustrujmy powyższe rozważania przykładami i wskażmy, jakie usługi internetowe mieszczą się w pojęciu hostingu. Będą to między innymi: fora internetowe, gdzie internautom oferowane jest miejsce na ich komentarze; portale aukcyjne, gdzie internauci mogą zamieszczać konkretne oferty kupna; portale, jak „Youtube”, gdzie internauci mogą umieszczać różne filmy. Usługodawcą hostingu będzie także bloger, który na swoim blogu oferuje możliwość zamieszczania komentarzy. Również portal dający możliwość komentowania zamieszczonych w nim artykułów świadczy usługę hostingu. Powyższe przykłady dowodzą, jak popularna jest omawiana przez nas usługa.
Po zdefiniowaniu usługi hostingu zastanówmy się następnie dlaczego ustawodawca europejski zdecydował się na wprowadzenie wyłączeń odpowiedzialności host providera.
2. Przyczyny wprowadzenia szczególnej regulacji odpowiedzialności host providera
Podstawową przyczyną, jaka legła u podstaw wyłączenia odpowiedzialności host providera, po spełnieniu pewnych przesłanek, jest fakt, że informacje zapamiętane w oferowanej przez niego pamięci pochodzą nie od niego, lecz od osób trzecich. Ponadto usługodawca hostingu sam nie zapoznaje się, w większości przypadków, z zamieszczanymi przez osoby trzecie danymi, ponieważ proces ich zapamiętywania odbywa się automatycznie, a sam host provider w nim bezpośrednio nie uczestniczy. Ponadto ze względu na niewyobrażalną wręcz ilość informacji, jakie zapamiętywane są w pamięci oferowanej przez niektórych host providerów[3] nie byłoby możliwe kontrolowanie z punktu widzenia bezprawności zapisanych przez osoby trzecie danych.
Z bezprawnością danych związany jest kolejny i chyba najistotniejszy powód wprowadzenia omawianej regulacji, a mianowicie potencjalnie olbrzymie ryzyko odpowiedzialności zarówno karnej, jak i cywilnej, związanej z przechowywaniem bezprawnych danych pochodzących od osób trzecich. Z perspektywy cywilnoprawnej takie dane mogą naruszać między innymi: dobra osobiste innych osób, prawa własności intelektualnej, a także mogą stanowić przejaw nieuczciwej konkurencji. Także odpowiedzialność karna mogłaby tu wchodzić w grę, m.in.: za przestępstwo: pomówienia, zniesławienia, czy rozpowszechniania pornografii.
W związku z powyższym możemy sobie wyobrazić sytuację, w której host provider mógłby być narażony na bardzo wysokie odszkodowania ze względu na fakt, że dane zamieszczone przez osobę trzecią, a nie przez niego, naruszają cudze prawa autorskie. Jeżeli dodamy do tego, że nie miał on możliwości kontroli tych danych przed ich zamieszczeniem, to staje się jasne, że owo ryzyko odpowiedzialności mogłoby znacznie zmniejszyć opłacalność świadczenia usługi hostingu i tym samym doprowadzić do spowolnienia rozwoju E-commerce, który stanowi coraz istotniejszą gałąź gospodarki europejskiej.
Powyższe przyczyny skłoniły Unię Europejską do wprowadzenia wyłączenia odpowiedzialności host providera. Odpowiednia regulacja została zawarta w przepisie art. 14 ECD i implementowana do prawa polskiego przepisem art. 14 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną[4].
Przejdźmy następnie do omówienia przesłanek wyłączenia odpowiedzialności host providera.
3. Przesłanki wyłączenia odpowiedzialności host providera
Przepis art. 14 ust. 1 uśude wprowadza dwie przesłanki, których spełnienie wyłącza odpowiedzialność (karną i cywilną) host providera za przechowywane przez niego dane osób trzecich. Pierwszą z nich jest brak wiedzy o bezprawnym charakterze danych lub związanej z nimi działalności. Drugą – niezwłoczne uniemożliwienie dostępu do danych po uzyskaniu urzędowego zawiadomienia lub wiarygodnej wiadomości o bezprawnym charakterze tych danych lub związanej z nimi działalności. Przy czym należy w tym miejscu podkreślić, iż dopiero gdy pierwsza z nich nie będzie spełniona wówczas spełnienie drugiej przesłanki będzie warunkiem niezbędnym dla wyłączenia odpowiedzialności host providera. Przejdźmy teraz do bliższego omówienia wskazanych przesłanek.
- Brak wiedzy o bezprawnym charakterze danych lub związanej z nimi działalności.
Na tle przesłanki braku wiedzy o bezprawnym charakterze danych lub związanej z nimi działalności wyłania się kilka problemów, których wyjaśnienie jest niezbędne dla prawidłowego i zgodnego z celem dyrektywy 2000/31/WE stosowania przepisu art. 14 ust.1 uśude. Przede wszystkim należy odpowiedzieć na pytanie, jak konkretna musi być wiedza o bezprawnym charakterze danych? Drugim problemem jest pytanie czego musi ona dotyczyć? Jest to zagadnienie, które wyłania się nie tyle z treści samego przepisu art. 14 ust. 1 uśude, ile z jego zestawienia z treścią przepisu art. 14 ECD.
W doktrynie polskiej podkreśla się, że jedynie pozytywna wiedza prowadzi do niespełnienia omawianej przesłanki[5]. Nie precyzuje się jednak, jak konkretna musi być to wiedza[6]. Wyjaśnienie tego zagadnienia ma istotne znaczenie dla prawidłowego stosowania przepisu art. 14 ust.1 uśude. Wydaje się, że odpowiedzi na powyższe pytanie można udzielić zestawiając ze sobą obie przesłanki zawarte w treści tego przepisu. Jeżeli bowiem host provider uzyskał wiedzę o bezprawnym charakterze danych to, by dalej korzystać z wyłączenia swojej odpowiedzialności, jest on zobowiązany do niezwłocznego uniemożliwienia dostępu do tych danych. To prowadzić powinno do wniosku, że wiedza host providera musi być na tyle konkretna, by bez dużych nakładów czasowych i finansowych był w stanie odnaleźć w udostępnionej przez niego pamięci bezprawne dane i zablokować dostęp do nich. Odmienne stanowisko przyjęte przez niektórych przedstawicieli praktyki, iż dla przyjęcia wiedzy host providera wystarczy zawiadomienie o następującej treści „ w Państwa portalu znajdują się dane naruszające moje prawa autorskie”, mogłoby oznaczać naruszenie treści art. 15 uśude (będącego implementacją art. 15 ECD). Przepis ten bowiem stanowi, że m.in. host provider nie jest zobowiązany do sprawdzania przechowywanych przez siebie danych co do ich bezprawnego charakteru. Regulacja ta oznacza również brak obowiązku poszukiwania takich danych. Dlatego zaprezentowana przeze mnie interpretacja stopnia skonkretyzowania wiedzy jest jedynym podejściem zapewniającym właściwe pogodzenie ze sobą przepisów art. 14 i 15 uśude. Takie stanowisko jest również uznane na tle stosowania takich samych przepisów w doktrynie niemieckiej[7].
Przejdźmy następnie do problemu, jaki wyłania się w związku z zestawieniem ze sobą przepisów art. 14 ust.1 uśude i art. 14 ECD. Otóż przepis dyrektywy wskazuje, że odpowiedzialność odszkodowawcza host providera jest wyłączona, jeżeli nie miał on wiedzy o okolicznościach, na podstawie których bezprawny charakter danych lub związanej z nimi działalności staje się oczywisty. Przepis art. 14 ust.1 uśude nie zawiera takiego ograniczenia omawianej przesłanki. To niewątpliwie oznacza niewłaściwą implementację postanowień dyrektywy 2000/31/WE, ponieważ odpowiedzialność host providera w prawie polskim jest wyłączona w większym stopniu niż było to celem ustawodawcy europejskiego. Jest tak dlatego, że założeniem regulacji europejskiej było zniechęcenie host providera do tak zwanego „świadomego zamykania oczu”, tymczasem polska regulacja poprzez swoją niekompletność wręcz sprzyja takiemu podejściu. W związku z tym należy zastanowić się nad rozwiązaniem zarysowanego problemu, które zapewniłoby zgodne z dyrektywą 2000/31/WE rozumienie polskiej regulacji. Pewną wskazówką może być zasada prawa europejskiego, zgodnie z którą postanowienia ustaw implementujących dyrektywy powinny być interpretowane tak, aby zapewnić jak najdalej idącą zgodność z celami dyrektyw. W naszym przypadku celem dyrektywy było znalezienie kompromisu pomiędzy interesami host providerów a interesami podmiotów, których prawa mogłyby być naruszone poprzez dane osób trzecich przechowywane przez host providera. W konsekwencji uważam, że przy interpretacji omawianej przesłanki należy oprzeć się na wykładni celowościowej, ocenianej przez pryzmat przepisu art. 14 ust.1 ECD i w sytuacji, gdy host provider ma wiedzę o okolicznościach, na podstawie których bezprawny charakter danych lub związanej z nimi działalności staje się oczywisty, uznać, że posiada on wiedzę o bezprawnym charakterze danych w rozumieniu art. 14 ust. 1 uśude. Oczywiście przy założeniu, że okoliczności powyższe są na tyle konkretne, że host provider może bez dużych nakładów czasowych i finansowych odszukać bezprawne dane. To ostatnie założenie zapewnia brak konfliktu z przepisem art. 15 uśude.
Po zaprezentowaniu najważniejszych zagadnień związanych z przesłanką braku wiedzy o bezprawnym charakterze danych lub związanej z nimi działalności przejdźmy do omówienia drugiej z przesłanek.
- Niezwłoczne uniemożliwienie dostępu do danych.
W sytuacji, gdy host provider uzyskał wiedzę o bezprawnym charakterze danych lub związanej z nimi działalności przechowywanych przez osobę trzecią w zasobach oferowanej przez niego pamięci, by dalej korzystać z wyłączenia swojej zarówno karnej, jak i cywilnej odpowiedzialności jest zobowiązany do niezwłocznego uniemożliwienia dostępu do tych danych. Na tle wskazanej przesłanki wyłaniają się następujące problemy: po pierwsze, w jakim czasie od uzyskania wiedzy w rozumieniu przepisu art. 14 ust. 1 uśude host provider będzie zobowiązany do uniemożliwienia dostępu do danych oraz co dokładnie należy rozumieć pod pojęciem „uniemożliwienia dostępu do danych”.
Zgodnie z utrwalonymi zasadami wykładni pojęcia „niezwłocznie” oznacza ono „bez nieuzasadnionej zwłoki”. Należy zastanowić się, na jaki termin przekłada się to w rozpatrywanej przez nas sytuacji. Z pewną pomocą przychodzi już samo brzmienie przepisu art. 14 ust.1 uśude, gdzie wskazuje się, że host provider może nabyć wiedzę przez otrzymanie urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości. Przez urzędowe zawiadomienie należy rozumieć orzeczenia sądowe i decyzje administracyjne, choćby nie były jeszcze prawomocne[8]. W takiej sytuacji powinno się uznać, że host provider od razu po uzyskaniu takiej wiadomości powinien podjąć czynności techniczne niezbędne do uniemożliwienia dostępu do wskazanych w takim zawiadomieniu danych. Oznaczać to będzie, że dostęp do danych powinien być uniemożliwiony w takich czasie, jaki przeciętnie jest wymagany dla dokonania takich czynności. Inaczej należy podejść do sytuacji, gdy host provider uzyskał wiedzę poprzez uzyskanie wiarygodnej wiadomości. Przez nią powinny być rozumiane wszelkie zawiadomienia pochodzące od innych podmiotów niż sądy i organy administracyjne. W związku z tym, w sytuacji otrzymania takiej wiadomości host provider musi mieć czas na przeanalizowanie treści tej wiadomości, a przynajmniej na wstępną ocenę, czy dane przechowywane przez osobę trzecią są bezprawne. W tej sytuacji host provider musi mieć co najmniej kilka dni czasu na dokonanie powyżej opisanych ocen.
Podsumowując – pojęcie „niezwłocznie” powinno być różnie interpretowane w zależności od tego, czy u podstaw uzyskania przez host providera wiedzy leżało urzędowe zawiadomienie, czy wiarygodna wiadomość.
Przejdźmy do analizy drugiego zagadnienia, a mianowicie, jakie techniczne czynności są równoznaczne z uniemożliwieniem dostępu do bezprawnych danych. Przy odpowiedzi na powyższe pytanie można posłużyć się orzeczeniem Landesgericht Berlin[9], którego przedmiotem była właśnie powyższa problematyka. Przy czym należy zaznaczyć, że sąd rozstrzygał w oparciu o niemalże identyczny do polskiego przepis. Stan faktyczny wyglądał następująco: pozwany był zobowiązany do uniemożliwienia dostępu do 51 stron internetowych znajdujących się w jego portalu. Zrobił on to jedynie poprzez usunięcie ze strony głównej swojego portalu wiodących do nich linków. Jak słusznie stwierdził sąd, nie było to równoznaczne z uniemożliwieniem dostępu do stron, a jedynie utrudniało dostęp do nich. Było tak dlatego, że ich wyświetlenie było możliwe poprzez bezpośrednie wpisanie w przeglądarce internetowej ich adresu URL[10] lub poprzez znalezienie tych stron za pośrednictwem wyszukiwarki. W związku z tym sąd w Berlinie doszedł do wniosku, że uniemożliwienie dostępu do danych oznacza, że zawierająca je strona internetowa „ musi w całości zniknąć z Internetu”[11]. Jestem zdania, że powyższe stanowisko powinno spotkać się także z akceptacją na tle polskiej regulacji omawianej przesłanki. Niewątpliwie bowiem celem tej regulacji jest doprowadzenie do tego, by bezprawne dane przechowywane u host providera w żaden sposób nie były dostępne dla internautów. Oznacza to, że muszą one zostać albo całkowicie usunięte z zasobów pamięci host providera, albo dostęp do nich on-line musi zostać uniemożliwiony.
4. Odpowiedzialności host providera pomimo spełnienia przesłanek jej wyłączenia wg art. 14 ust.1 uśude.
Przepis art. 14 ust.4 uśude wskazuje, że przepisu art. 14 ust.1 uśude nie stosuje się, jeżeli usługodawca przejął kontrolę nad usługobiorcą w rozumieniu przepisów o ochronie konkurencji i konsumentów (ustawa z dnia 16 lutego 2007 roku o ochronie konkurencji i konsumentów[12]). To prowadzi do wniosku, że polski ustawodawca postawił w tym przypadku na kontrolę kapitałową pomiędzy host providerem a osobą zamieszczającą swoje dane w zasobach oferowanej przez niego pamięci. Jednakże taka regulacja dalece odbiega od swojego pierwowzoru zawartego w przepisie art. 14 ust.2 ECD. Wskazany przepis stawia poza zakresem wyłączenia odpowiedzialności host providera nie sytuację, gdy przejął on kapitałową kontrolę nad osobą przechowującą dane w zasobach oferowanej przez niego pamięci, lecz taką, gdy ma on faktyczną możliwość kontroli tej osoby lub, gdy ta osoba jest mu podporządkowana. Przy czym chodziło tu o kontrolę lub podporządkowanie, których efektem jest możliwość wpływania przez host providera na to, jakie dane osoba ta przechowuje w jego pamięci[13]. W doktrynie podkreślano także, że tego rodzaju możliwości kontroli w rozumieniu przepisu art. 14 ust. 2 ECD mogą wypływać z wszelkiego rodzaju stosunków prawnych pomiędzy host providerem a osobą przechowującą u niego swoje dane[14].
Nie ulega wątpliwości, że polska implementacja powyższej regulacji jest niezgodna z celami dyrektywy 2000/31/WE. Podstawowym jej założeniem, wyrażonym w punkcie nr 42 preambuły, było wyłączenie odpowiedzialności usługodawców internetowych zawsze wtedy, gdy pozostają pasywni w stosunku do przechowywanych, czy też transmitowanych przez nich danych. Host provider pozostaje tak długo pasywny względem przechowywanych u niego danych, jak długo nie wpływa na ich treść. Regulacja zawarta w dyrektywie 2000/31/WE wyłącza możliwość skorzystania przez host providera z uprzywilejowania w zakresie swej odpowiedzialności właśnie wówczas, gdy przestaje on być pasywny w stosunku do danych przechowywanych przez osoby trzecie na jego serwerach, ponieważ może wpływać na ich treść. Tymczasem polska implementacja tego przepisu nie odpowiada wskazanemu założeniu. Kontrola kapitałowa nie tylko nie zawsze będzie oznaczała możliwość wpływu na treść danych zapisywanych przez podmiot kapitałowo zależny u host providera, ale co ważniejsze, nie obejmuje wszystkich stosunków prawnych, które powodują powstanie takich możliwości. Tytułem przykładu możemy wskazać stosunek pracy, czy faktyczne stosunki zależności pomiędzy uczniem a nauczycielem.
Niestety poprzez wykładnię przepisu art. 14 ust.4 uśude nie można doprowadzić do jego zgodności z postanowieniami dyrektywy, gdyż wówczas należałoby w ogóle wyłączyć jego zastosowanie i opierać się wyłącznie na art. 14 ust.2 ECD. Taki krok szedłby za daleko i oznaczał wykładnię contra legem. W związku z tym de lege ferenda należy oczekiwać od polskiego ustawodawcy dokonania nowelizacji omawianego przepisu w taki sposób, by stał się on zgodny ze swoim odpowiednikiem zawartym w art. 14 ust. 2 ECD.
5. Podsumowanie
Regulacja odpowiedzialności host providerów w prawie polskim, pomimo kilkuletniego już obowiązywania, nie doczekała się jeszcze ani wnikliwej analizy w doktrynie polskiej, ani nie stała się przedmiotem istotnych orzeczeń sądowych. W konsekwencji wiele problemów, jakie pojawiają się w praktyce w związku ze stosowaniem przepisu art. 14 uśude pozostaje jeszcze niewyjaśnionych. Ponadto, w procesie implementacji art. 14 ECD zostały popełnione pewne błędy, z których, jak pokazaliśmy powyżej, nie wszystkie są możliwe do usunięcia poprzez wykładnię i niezbędna jest w tym zakresie interwencja ustawodawcy. W najbliższych latach z pewnością będziemy świadkami bardzo interesującej dyskusji dotyczącej omówionych powyżej przepisów. Należy mieć nadzieję, że doprowadzi ona do wyjaśnienia istniejących problemów związanych z wykładnią powyższych przepisów i do ich korekty w miejscach, gdzie zawierają rozwiązania niezgodne z postanowieniami i celami dyrektywy 2000/31/WE.
[2] G. Spindler /w:/ G. Spinlder, P. Schmitz, I. Geis, TDG Teledienstegesetz, Teledienstedatenschutzgesetz, Signaturgesetz, Kommentar, München 2004, § 11 Nb. 6.
[3] Najlepiej pokazuje to przykład amerykańskiego host providers Youtube, gdzie w 2006 roku dziennie dodawano około 65 tysięcy nowych filmów- http://pclab.pl/news21063.html
[4] Dz.U. 2002, Nr 144, poz. 1204, zwana dalej „uśude”.
[5] Frań, Uwagi do ustawy o świadczeniu usług drogą elektroniczną, Transformacje Prawa Prywatnego 2002, nr 4, s. 78. Podobne stanowisko prezentowane jest także w orzecznictwie niemieckim, jakie ukształtowało się na tle stosowania takich samych przepisów, przykładowo: OLG Brandenburg, MMR 2004, s. 331; LG Potsdam, MMR 2002, s. 830; BGH, NJW 2003, s. 3764.
[6] Por. X. Konarski, Komentarz do ustawy o świadczeniu usług drogą elektroniczną, Warszawa 2004, s. 141- Autor chce pozostawić odpowiedź na to pytanie orzecznictwu.
[7] T. Stadler, Haftung für Informationen im Internet, 2. neu bearbeitete und erweitete Auflage 205, Nb. 105.
[8] X. Konarski, op.cit., s. 141.
[9] LG Berlin, MMR 2002, s. 399.
[10] Uniform Resource Locator – jest to format za pomocą, którego konkretne strony internetowe są adresowane.
[11] LG Berlin, MMR 2002, s. 400.
[12] Dz.U. 2007, Nr 50, poz. 331.
[13] Tak w szczególności: X.Konarski, op.cit., s. 145. W literaturze niemieckiej: Spindler, op.cit., Nb. 39.
[14] Dyrektywa Unii Europejskiej o handlu elektronicznym i jej implikacje, Kwartalnik Prawa Prywatnego 2001, z.1, s. 93.
Post Views:
3 203