Kraków, dnia 22 września 2008 r. Opinia o projekcie nowelizacji ustawy o świadczeniu usług drogą elektroniczną sporządzona na zlecenie Polskiej Izby Informatyki i Telekomunikacji I. Przedmiot opinii. 1.1. Przedmiotem niniejszej opinii jest analiza projektu ustawy o zmianie ustawy o świadczeniu usług drogą elektroniczną (Sejm RP VI Kadencji, druk sejmowy nr 889), dalej określanego jako nowelizacja uśude. II. Uwagi ogólne. 2.1. Przed przystąpieniem do omówienia poszczególnych przepisów projektu nowelizacji warto poczynić kilka uwag o charakterze ogólnym. 2.2. Zadeklarowanym przez projektodawcę celem uchwalenia nowelizacji uśude jest doprowadzenie do pełnego dostosowania przepisów tej ustawy do postanowień dyrektywy Parlamentu Europejskiego i Rady nr 2000/31/WE z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług w ramach społeczeństwa informacyjnego, w szczególności handlu elektronicznego (dalej określana jako dyrektywa o handlu elektronicznym ). Cel ten należy ocenić jednoznacznie pozytywnie, do tej pory do uśude nie zostało bowiem rzeczywiście przejętych szereg istotnych postanowień dyrektywy o handlu elektronicznym (np. przepisy dotyczące swobody
świadczenia usług drogą elektroniczną, zasady państwa pochodzenia, czy funkcjonowania tzw. punktów kontaktowych). Proponowana zmiana uśude ma zmienić ten stan rzeczy. Plusem nowelizacji jest również propozycja zmiany niektórych przepisów uśude, których treść wywołuje - jak dotąd - kontrowersje interpretacyjne (np. art.3 pkt 3 określający zakres wyłączenia przepisów ustawy w stosunku do przedsiębiorców telekomunikacyjnych). Z drugiej jednak strony, w projekcie nowelizacji nie podjęto niestety próby zmiany szeregu przepisów ustawy, które regulują kluczowe dla środowisk firm internetowych zagadnienia i co do których istnieje pilna potrzeba ich nowelizacji. Dotyczy to w szczególności: a) zasad przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną (art.16-22), b) zasad przesyłania informacji handlowej (art.9-10) oraz c) zasad odpowiedzialności podmiotów umożliwiających dostęp do treści umieszczanych w sieci przez innych usługodawców (proponowany nowe art.12 1 oraz art.14 1 ). 2.3. Istotna część przepisów uśude dotyczących danych osobowych zawiera postanowienia niespójne z powszechną w tym względzie praktyką świadczenia różnego rodzaju usług w sieci Internete. Klasycznym przykładem takiego przepisu jest art.19 ust.5 uśude, zgodnie z którym usługodawca nie może zestawiać danych osobowych usługobiorcy z przyjętym przez niego pseudonimem (np. nickiem internetowym). Należy podkreślić, że zakaz tego rodzaju nie występuje w żadnym unijnym akcie prawnym z zakresu danych osobowych. Jego treść pozostaje w sprzeczności choćby z powszechną praktyką funkcjonowania komunikatorów internetowych, w ramach których systemy transakcyjne kojarzą nick z danymi osobowymi w celu wystawienia rachunku. Do budzących istotne kontrowersje przepisów zaliczyć należy również przepis art.22 ust.2 dotyczący obowiązku zapewnienia możliwości korzystania z usługi w sposób anonimowy (albo przy użyciu pseudonimu), czy przepis art.18 ust.6 zgodnie z którym usługodawca ma obowiązek udzielania informacji o danych osobowych usługobiorcy organom państwa na potrzeby prowadzonych przez nie postępowań. Z uwagi na odwołanie się w tym przepisie do obowiązku udostępniania danych usługobiorców jedynie organom państwa, nie jest jasne czy usługodawcy (np. podmioty świadczące usługę hostingu) mogą udostępniać te dane również podmiotom prywatnym (na zasadach i w 2
trybie określonym w art.29 ust.2 ustawy o ochronie danych osobowych). Kwestia ta ma kluczowe znaczenie np. w przypadku zwrócenia się do usługodawców z wnioskiem o dane osobowe sprawców potencjalnych naruszeń praw autorskich, czy dóbr osobistych. 2.4. Powyżej wskazane problemy stosowania przepisów o ochronie danych osobowych były wielokrotnie zgłaszane przez branżę firm internetowych. Mimo to, od czasu wejścia w życie przepisów uśude tj. od 10 marca 2003 r,. MSWiA nie podjął ani jednej próby znowelizowania przepisów ustawy w części dotyczącej danych osobowych. Jest to tym bardziej niezrozumiałe, że w tym samym czasie kilkakrotnie zmieniano przepisy ustawy o ochronie danych osobowych. W związku z tym, wysunąć należy postulat znowelizowania w ramach prac nad obecnym projektem nowelizacji uśude - również przepisów rozdziału IV ustawy. 2.5. W art.6 i 7 dyrektywy o handlu elektronicznym zawarte są przepisy dotyczące przesyłania drogą elektroniczną tzw. informacji handlowej. Na gruncie uśude, ich odpowiednikiem są przepisy art.9 i 10. Doświadczenia kilku lat obowiązywania ustawy wskazują, że wprowadzone w tej ustawie rozwiązania i sankcje okazały się niewystarczające do walki ze zjawiskiem tzw. spammingu. Z tych względów pojawiły się propozycje wprowadzenia sankcji administracyjnej (kary pieniężne) dla osób naruszających zakaz przesyłania niezamówionych informacji handlowych, a także ustanowienia dodatkowych instrumentów walki z tym zjawiskiem (np.tworzenie spamboxów). Propozycje te zostały wprowadzone do nowelizacji ustawyprawo telekomunikacyjne, nad którą trwały prace w ramach V kadencji Sejmu. Ostatecznie jednak, ze względu na upływ czasu trwania kadencji, nie zostały one uchwalone. W ramach trwających obecnie w Ministerstwie Infrastruktury prac nad przygotowaniem nowego projektu ustawy-prawo telekomunikacyjne, po raz kolejny proponuję się, aby uregulować problematykę spammingu w prawie telekomunikacyjnym. Nie negując potrzeby rozważenia, czy tego rodzaju nowe sankcje i środki nie powinny zostać przyjęte, należy w każdym razie podkreślić, że aktem prawnym właściwym dla regulowania problematyki ochrony przed niezamówionymi przekazami elektronicznymi jest ustawa regulująca zasady prowadzenia handlu elektronicznego, a więc w polskim porządku prawnym ustawa o 3
świadczeniu usług drogą elektroniczną. Słuszność tego stanowiska potwierdza analiza większości ustawodawstw państw-członków Unii Europejskiej (np. Belgii, Czechach, Hiszpanii, Wielkiej Brytanii). Należy w związku z tym postawić postulat znowelizowania w ramach prac nad projektem nowelizacji uśude przepisów o przesyłaniu drogą elektroniczną niezamówionej informacji handlowej. Pozostawienie tej kwestii do uregulowania w ramach nowelizacji ustawy-prawo telekomunikacyjne byłoby sprzeczne z treścią dyrektywy o handlu elektronicznym, jak i powszechną praktyką legislacyjną w tym względzie w innych państwach Unii Europejskiej. 2.6. W przepisach art.12-14 uśude wprowadzono przepisy ograniczające odpowiedzialność podmiotów transmitujących i/lub przechowujących cudze dane w przypadku stwierdzenia ewentualnej bezprawności tych danych. Dodatkowo, w art.15 uśude ustanowiono zasadę, zgodnie z którą podmioty te nie są zobowiązane do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez nich danych. Adresatami tych przepisów, wzorowanych na postanowieniach art.12-14 dyrektywy o handlu elektronicznym, są tzw. pośrednicy w dostępie do cudzych danych (intermediary service providers, ISP), a więc podmioty, które w różny sposób zapewniają dostęp do treści umieszczanych w sieci przez tzw. dostawców treści (content providers). Określony w art.12-15 katalog usług nie obejmuje jednak wszystkich sytuacji pośrednictwa w sieci Internet. W aktualnym stanie prawnym, poza zakresem omawianego wyłączenia znajdują się bowiem sytuacje pośredniczenia w dostępie do cudzych danych poprzez zamieszczanie odesłań (links) do stron WWW na których treści te się znajdują, względnie świadczenia usługi wyszukiwania informacji o tym, gdzie treści te w sieci Internet można znaleźć (internetowe systemy wyszukiwawcze, search engine). Działalność tego rodzaju stanowi istotę funkcjonowania sieci Internet. Jak wskazują jednak doświadczenia sądów polskich (por. np. wyrok z dnia 20 lipca 2004 r. Sądu Apelacyjnego w Krakowie, IAca 564/04), czy sądów zagranicznych, podmiotom prowadzącym tego rodzaju działalność próbuję się niekiedy przypisać odpowiedzialność za bezprawny charakter treści stron WWW, do których następuje odesłanie. Sporne jest w szczególności, czy i w jakim zakresie mają oni obowiązek sprawdzania zawartości tych stron. Istotnie zwiększa to ryzyko prowadzenia działalności tego rodzaju, tym bardziej, że w chwili 4
obecnej nie mogą oni powołać się na generalny w przypadku intermediary service providers - brak obowiązku sprawdzania treści, do które odsyłają (art.15). Mając na względzie to ryzyko, a także zdając sobie sprawę jak ważną rolę pełnią tzw. information tool providers, w wielu państwach Unii Europejskiej wprowadzono przepisy rozszerzające zakres zastosowania art.12-14 dyrektywy o handlu elektronicznym na tego rodzaju działalność. Przepisy tego rodzaju zawarte zostały m.in. w ustawie austriackiej, hiszpańskiej, portugalskiej, czy węgierskiej. Wprowadzono je również w prawie amerykańskim (Digital Millenium Copyright Act). Warto przy tym podkreślić, że możliwość ich uchwalenia została wyraźnie przewidziana w art.21 ust.2 dyrektywy o handlu elektronicznym. Z tych względów w pkt IV niniejszej opinii została zawarta propozycja wprowadzenia nowego art.12 1 oraz art.14 1 a także odpowiedniej modyfikacji art.15 uśude. III. Uwagi dotyczące poszczególnych przepisów nowelizacji. 3.1. Definicja usługi świadczonej drogą elektroniczną (art.2 pkt 4) Treść wprowadzonej nie budzi zastrzeżeń, warto jedynie zauważyć, że wbrew treści uzasadnienia nowelizacji (str.1) projektodawca nie zdecydował się na wprowadzenie zapisu, że to usługa świadczona zwykle za wynagrodzeniem. Taki właśnie element zawarty został w definicji usługi społeczeństwa informacyjnego, na której art.2 pkt 4 jest wzorowany. Co więcej, wprowadzenie takiego zapisu byłoby spójne z definicją usługodawcy (art.2 pkt 6), zgodnie z którą jest nim podmiot, prowadzący, chociażby ubocznie, działalność zarobkową lub zawodową. 3.2. Definicje punktów kontaktowych (art.2 pkt 8-9). Treść definicji nie budzi zastrzeżeń. 3.3. Definicja siedziby (art.2 pkt 10). Treść definicji nie budzi zastrzeżeń. Należy przyjąć, że pojęcie siedziby odnosi się do wszystkich trzech prawnie możliwych form prowadzenia stałej działalności gospodarczej na terytorium jednego z państw Unii Europejskiej tj. spółki-córki, oddziału przedsiębiorcy zagranicznego oraz spółki europejskiej. 5
3.4. Możliwość powołania się przed przedsiębiorców telekomunikacyjnych na wyłączenie odpowiedzialności za cudze treści(art.3 pkt 3). Zgłoszoną poprawkę należy ocenić jednoznacznie pozytywnie, usunie ona bowiem dotychczasowe wątpliwości odnośnie możliwości powołania się przez przedsiębiorców telekomunikacyjnych na wyłączenia odpowiedzialności podmiotów pośredniczących w dostępie do cudzych treści za ewentualną bezprawnych tych danych(art.12-15). 3.5. Zasada państwa pochodzenia (art.3a) Przepis art.3a wprowadza tzw. zasadę państwa pochodzenia, zgodnie z którą usługodawcy świadczący usługi drogą elektroniczną podlegają jedynie w ramach tzw. dziedziny skoordynowanej - przepisom prawnym tego państwa członkowskiego, na którym mają zorganizowaną działalność. Zgodnie z zaproponowanym rozwiązaniem, zasada ta będzie znajdować zastosowanie do tych usługodawców, którzy na terytorium danego państwa Europejskiego Obszaru Gospodarczego będą mieli siedzibę lub oddział. Treść poprawki nie budzi zastrzeżeń. 3.6. Zasada swobody świadczenia usług drogą elektroniczną (art.3 b). W art.3 b sformułowana została zasada swobody świadczenia usług drogą elektroniczną. Sposób sformułowania tego przepisu, wzorowanego na art.3 ust.2 dyrektywy 2000/31 nie budzi zastrzeżeń. 3.7. Punkty kontaktowe (3c ust.1). Wprowadzenie w art.3c ust.1 projektu tzw. punktów kontaktowych jest zgodne z art.19 dyrektywy, a sposób sformułowanie tego przepisu nie budzi zastrzeżeń. 3.8. Mere conduit (Art.12 ust.1). Proponowana zmiana dostosowuje dotychczasową błędną treść art.12 ust.1 do unijnego pierwowzoru. Dzięki temu zakresem wyłączenia 6
odpowiedzialności za treść objęte będą nie tylko podmioty świadczące usługę transmisji danych, ale również i dostępu do Internetu. Treść poprawki nie budzi zastrzeżeń. 3.9. Caching (art.13 ust.1). Treść poprawki nie budzi zastrzeżeń. IV. Propozycje dodatkowych zmian przepisów uśude. 4.1. Mając na względzie argumentację merytoryczną przedstawioną w punkcie II proponuję się dopisanie w rozdziale 3 uśude nowych przepisów art.12 1 i 14 1 oraz zmianę art.15: Proponowana treść nowego art.12 1 : Nie ponosi odpowiedzialności za bezprawny charakter danych ten, kto za pomocą internetowego systemu wyszukiwawczego umożliwia dostęp do tych danych, o ile: 1) nie jest inicjatorem transmisji pozyskanych w ten sposób danych, 2) nie wybiera odbiorcy danych, 3) nie usuwa albo nie modyfikuje danych będących przedmiotem pozyskania. Proponowana treść nowego art.14 1 : Nie ponosi odpowiedzialności za bezprawny charakter danych ten, kto za pomocą łącza hipertekstowego umożliwia dostęp do strony internetowej na której te dane się znajdują, o ile nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności, niezwłocznie nie uniemożliwi dostępu do tych danych. 7
Proponowana treść nowego art.15: Podmiot, który świadczy usługi określone w art.12-14 1, nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez niego danych, o których mowa w ar.12-14, jak i danych do których umożliwia dostęp za pomocą łącza hipertekstowego lub internetowego systemu wyszukiwawczego. Xawery Konarski adwokat 8