EDYCJA SĄDOWA PRAWO INTERNETU. Zbiór aktów prawnych. Wprowadzenie dr Przemysław Polański

EDYCJA SĄDOWA PRAWO INTERNETU Zbiór aktów prawnych Wprowadzenie dr Przemysław Polański

EDYCJA SĄDOWA Prawo Internetu

Polecamy w serii: KK, KPK, KKW, KSKU, wyd. 22 Wprowadzenie A. Szajkowski KSH, KRSU, MSiGU, PrUpadNapr, wyd. 18 KPA, EgzAdmU, PostAdmU, wyd. 15 Wprowadzenie A. Zieliński KC, KPC, KRO, KSCU, wyd. 23 Wprowadzenie prof. M. Granat, prof. M. Zubik Prawo konstytucyjne. Zbiór aktów prawnych www.ksiegarnia.beck.pl

Prawo Internetu i inne akty prawne Teksty jednolite wraz z indeksem rzeczowym WYDAWNICTWO C.H.BECK WARSZAWA 2014

Prawo Internetu 1. wydanie Stan prawny: 17 września 2013 r. Redakcja: Aneta Flisek, Wioletta Żelazowska Wydawnictwo C.H.Beck 2014 Informacje wydawcy: Spisy treści poszczególnych aktów oraz tytuły artykułów umieszczone w nawiasach kwadratowych pochodzą od redakcji. Są one, tak jak i przypisy, chronione prawem autorskim. Wydawnictwo C.H.Beck, Sp. z o.o. ul. Bonifraterska 17, 00-203 Warszawa Skład i łamanie: Wydawnictwo C.H.Beck Druk i oprawa: Elpil, Siedlce ISBN 978-83-255-5705-8 ISBN e-book 978-83-255-5815-4

Spis treści Wprowadzenie dr Przemysław Polański................. Wykaz skrótów..................................... IX XLIII 1. Ustawa o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (Dz.U. Nr 144, poz. 1204).............. 1 2. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz.U. Nr 133, poz. 883).................. 15 3. Ustawa o prawie autorskim i prawach pokrewnych z dnia 4 lutego 1994 r. (Dz.U. Nr 24, poz. 83)................ 41 4. Ustawa o ochronie baz danych z dnia 27 lipca 2001 r. (Dz.U. Nr 128, poz. 1402)............................... 101 5. Prawo własności przemysłowej z dnia 30 czerwca 2000 r. (Dz.U. 2001, Nr 49, poz. 508) wyciąg................ 108 6. Prawo prasowe z dnia 26 stycznia 1984 r. (Dz.U. Nr 5, poz. 24)....................................... 134 7. Ustawa o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym z dnia 5 lipca 2002 r. (Dz.U. Nr 126, poz. 1068).......... 155 8. Prawo telekomunikacyjne z dnia 16 lipca 2004 r. (Dz.U. Nr 171, poz. 1800) wyciąg........................ 158 9. Ustawa o radiofonii i telewizji z dnia 29 grudnia 1992 r. (Dz.U. 1993, Nr 7, poz. 34) wyciąg.................. 195 10. Kodeks cywilny z dnia 23 kwietnia 1964 r. (Dz.U. Nr 16, poz. 93) wyciąg................................ 241 11. Ustawa o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny z dnia 2 marca 2000 r. (Dz.U. Nr 22, poz. 271) 270 12. Rozporządzenie Ministra Finansów w sprawie szczegółowych zasad uwidaczniania cen towarów i usług oraz sposobu oznaczania ceną towarów przeznaczonych do sprzedaży z dnia 10 czerwca 2002 r. (Dz.U. Nr 99, poz. 894) wyciąg...... 282 13. Ustawa o przeciwdziałaniu nieuczciwym praktykom rynkowym z dnia 23 sierpnia 2007 r. (Dz.U. Nr 171, poz. 1206) wyciąg....................................... 284 V

Spis treści 14. Ustawa o zwalczaniu nieuczciwej konkurencji z dnia 16 kwietnia 1993 r. (Dz.U. Nr 47, poz. 211) wyciąg...... 294 15. Ustawa o swobodzie działalności gospodarczej z dnia 2 lipca 2004 r. (Dz.U. Nr 173, poz. 1807) wyciąg....... 307 16. Kodeks spółek handlowych z dnia 15 września 2000 r. (Dz.U. Nr 94, poz. 1037) wyciąg......................... 311 17. Kodeks pracy z dnia 26 czerwca 1974 r. (Dz.U. Nr 24, poz. 141) wyciąg............................... 321 18. Ustawa o podatku od towarów i usług z dnia 11 marca 2004 r. (Dz.U. Nr 54, poz. 535) wyciąg..................... 328 19. Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. Nr 140, poz. 939) wyciąg............................... 343 20. Rozporządzenie Rady Ministrów w sprawie sposobu tworzenia, utrwalania, przekazywania, przechowywania i zabezpieczania dokumentów związanych z czynnościami bankowymi, sporządzanych na elektronicznych nośnikach informacji z dnia 26 października 2004 r. (Dz.U. Nr 236, poz. 2364)........ 347 21. Ustawa o podpisie elektronicznym z dnia 18 września 2001 r. (Dz.U. Nr 130, poz. 1450).......................... 350 22. Kodeks postępowania cywilnego z dnia 17 listopada 1964 r. (Dz.U. Nr 43, poz. 296) wyciąg..................... 379 23. Kodeks postępowania administracyjnego z dnia 14 czerwca 1960 r. (Dz.U. Nr 30, poz. 168) wyciąg..................... 407 24. Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne z dnia 17 lutego 2005 r. (Dz.U. Nr 64, poz. 565)................................. 411 25. Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych z dnia 12 kwietnia 2012 r. (Dz.U. 2012, poz. 526)........ 432 26. Rozporządzenie Prezesa Rady Ministrów w sprawie sporządzania pism w formie dokumentów elektronicznych, doręczania dokumentów elektronicznych oraz udostępniania formularzy, wzorów i kopii dokumentów elektronicznych z dnia 14 września 2011 r. (Dz.U. Nr 206, poz. 1216)........... 445 27. Ustawa o dostępie do informacji publicznej z dnia 6 września 2001 r. (Dz.U. Nr 112, poz. 1198)................. 459 VI

Spis treści 28. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie Biuletynu Informacji Publicznej z dnia 18 stycznia 2007 r. (Dz.U. Nr 10, poz. 68).................... 478 29. Prawo o szkolnictwie wyższym z dnia 27 lipca 2005 r. (Dz.U. Nr 164, poz. 1365) wyciąg........................ 484 30. Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego w sprawie warunków, jakie muszą być spełnione, aby zajęcia dydaktyczne na studiach mogły być prowadzone z wykorzystaniem metod i technik kształcenia na odległość z dnia 25 września 2007 r. (Dz.U. Nr 188, poz. 1347)........... 485 31. Kodeks karny z dnia 6 czerwca 1997 r. (Dz.U. Nr 88, poz. 553) wyciąg............................... 487 Indeks rzeczowy.................................... 495 VII

dr Przemysław Polański Spis treści I. Świadczenie usług drogą elektroniczną........ XI II. Ochrona danych osobowych................ XVII III. Prawo autorskie w społeczeństwie informacyjnym. XXII 1. Programy komputerowe................ XXIII 2. Bazy danych........................ XXVI 3. Znaki towarowe, domeny internetowe i odesłania............................... XXVIII IV. Umowy elektroniczne.................... XXXI 1. Elektroniczne oświadczenie woli.......... XXXI 2. Wzorce umów i regulaminy.............. XXXIII 3. Przedkontraktowe obowiązki informacyjne.... XXXIV 4. Potwierdzenie elektronicznej oferty........ XXXVI V. Podpis elektroniczny..................... XXXVIII 1. Podpis elektroniczny (zwykły)............ XXXIX 2. Bezpieczny podpis elektroniczny.......... XXXIX 3. Kwalifikowany podpis elektroniczny........ XL Prawo Internetu (inaczej prawo nowych technologii, prawo komputerowe, prawo technologii informatycznych lub informacyjnych, prawo informatyczne) stanowi nowy obszar zainteresowań prawodawcy krajowego i unijnego wobec rosnącego znaczenia komputerów i Internetu dla rozwoju obrotu gospodarczego (ang. e-commerce) i funkcjonowania administracji publicznej (ang. e-government). Ten dynamicznie rozwijający się obszar regulacji przenika praktycznie wszystkie gałęzie prawa: od prawa cywilnego, przez prawo administracyjne po prawo karne. Gwałtowny rozwój regulacji w tym obszarze związany jest przede wszystkim z faktem kształtowania się tzw. społeczeństwa informacyjnego (społeczeństwa opartego na wiedzy), w którym dominującą rolę odgrywa wykorzystywanie narzędzi informatycznych przy świadczeniu usług i wytwarzaniu towarów. Z kolei rozwój samego społeczeństwa informacyjnego spowodowany jest w głównej mierze globalną rewolucją internetową i postępującą informatyzacją organów administracji publicznej. Wydanie zbioru Prawo Internetu stanowi odpowiedź na rosnące znaczenie przepisów dotyczących nowych technologii komunikacyjnych IX

w praktyce gospodarczej i społecznej. Celem jego jest przedstawienie najważniejszych regulacji dotyczących skutków zastosowania technologii informatycznych w polskim prawie. Nie jest to łatwe zadanie, jeśli uwzględni się fakt, że brakuje w interesującym nas obszarze ustawy o charakterze podstawowym, centralnym, spajającym pozostałe uregulowania. W sferze administracji publicznej taką rangę posiada ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn. Dz.U. z 2013 r. poz. 235), jednakże w żaden sposób nie odnosi się ona do wielu innych obszarów zastosowań informatyki. Należy przeanalizować najważniejsze rodzime regulacje, aby dostrzec przenikanie technologii informatycznych do różnych obszarów prawa, decydując się tym samym na horyzontalny i heterogoniczny charakter niniejszego wyboru prawa. Należy także zauważyć, że duża część interesujących nas ustaw i rozporządzeń stanowi implementację prawa unijnego, które w obszarze społeczeństwa informacyjnego stało się katalizatorem zmian w porządkach prawnych państw członkowskich. Wystarczy wspomnieć w tym miejscu chociażby fundamentalną rolę dyrektywy 2000/31/WE o handlu elektronicznym, dyrektywy 1999/93/WE o podpisach elektronicznych, dyrektywy 2002/58/WE o ochronie prywatności i komunikacji elektronicznej, dyrektywy 2001/29/WE o harmonizacji prawa autorskiego w społeczeństwie informacyjnym, czy też niedawno przyjętej dyrektywy 2011/83/WE o ochronie praw konsumentów, które stworzyły zręby dla rozwoju europejskiego prawa społeczeństwa informacyjnego. Są jednak i uregulowania, które stanowią w decydującej mierze dorobek rodzimego ustawodawcy, by wspomnieć chociażby o ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne, która stanowi fundament rozwoju nowoczesnej e-administracji w Polsce. Prawo nowych technologii obejmuje przede wszystkim regulacje, które dotyczą wykorzystywania Internetu, baz danych i innych technologii informatycznych w prowadzeniu działalności gospodarczej, administrowaniu państwem, czy też w ramach własnego, niekomercyjnego użytku. Stąd też adresatem niniejszego zbioru są zarówno przedsiębiorcy prowadzący działalność gospodarczą z wykorzystaniem Internetu, jak i organy administracji publicznej, które muszą stosować się do jasno określonych standardów informatycznych oraz osoby fizyczne, które korzystają z Internetu i innych narzędzi informatycznych dla własnych celów. Szczególnie zainteresowane tym zbiorem powinny być podmioty gospodarcze świadczące różnego rodzaju usługi drogą elektroniczną, a zwłaszcza świadczący usługi w ramach szeroko pojętego X

e-biznesu, dostawcy usług w chmurze, czy przedsiębiorcy telekomunikacyjni. Ze względu na ograniczenia związane z objętością zbioru pewne akty normatywne, nie mogły znaleźć się w niniejszym wydaniu (np. istotne rozporządzenia czy Prawo zamówień publicznych). I. Świadczenie usług drogą elektroniczną Ustawa o świadczeniu usług drogą elektroniczną (UsłElektrU) jest najważniejszą ustawą regulującą handel elektroniczny w Polsce (inaczej tzw. usługi społeczeństwa informacyjnego w Unii Europejskiej). Świadczenie usług drogą elektroniczną rozumiane jest jako wykonanie usługi świadczonej bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej w rozumieniu ustawy Prawo telekomunikacyjne (art. 2 pkt 4 UsłElektrU). Stanowi ona częściowe wdrożenie dyrektywy 2000/31/WE o handlu elektronicznym oraz, choć nie jest to bezdyskusyjne, dyrektywy 2002/58/WE o ochronie prywatności i komunikacji elektronicznej. W odniesieniu do dyrektywy o handlu elektronicznym wdraża ona przede wszystkim postanowienia dotyczące: zasady państwa pochodzenia, obowiązków usługodawcy świadczącego usługi drogą elektroniczną, warunków reklamowania się w Internecie oraz wyłączenia odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną. Natomiast zasady ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną stanowią wdrożenie niektórych przepisów dyrektywy 2002/58/WE. Omawiana ustawa ma znaczenie systemowe w tym sensie, że po pierwsze poprzez przyjęcie zasady państwa pochodzenia wyznacza prawo właściwe dla oceny działań podejmowanych w Internecie (art. 3a 3b UsłElektrU), a po drugie tworzy siatkę pojęciową, do której odwoływać się będą inne ustawy. Na szczególną uwagę zasługuje definicja systemu teleinformatycznego (art. 2 pkt 3 UsłElektrU), świadczenia usług drogą elektroniczną (art. 2 pkt 4 UsłElektrU), środków komunikacji elektronicznej (art. 2 pkt 5 UsłElektrU) oraz usługodawcy (art. 2 pkt 6 UsłElektrU). System teleinformatyczny to zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego XI

dla danego rodzaju sieci urządzenia końcowego w rozumieniu PrTelekom z czego wynika, że systemem teleinformatycznym jest w gruncie rzeczy każda sieć komputerowa (np. lokalna, rozległa, także połączona Internetem), a także jak się wydaje komputer lub inne urządzenie typu smartfon podłączone do Internetu. Z kolei środkami komunikacji elektronicznej są rozwiązania techniczne, w tym urządzenia teleinformatyczne i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi, a w szczególności pocztę elektroniczną z czego wynika, że zakresem tego pojęcia objęte są różne technologie komunikacyjne umożliwiające spersonalizowaną komunikację na odległość, a więc zarówno te oparte o protokoły internetowe (np. strony WWW, sieci P2P, FTP, e-mail, telefonia internetowa), jak i inne rozwiązania (np. EDI). Należy podkreślić, że środki komunikacji elektronicznej nie powinny być ograniczane jedynie do poczty elektronicznej, SMS-ów, MMS-ów, czy tzw. pagera, ale powinny obejmować także strony WWW umożliwiające spersonalizowaną komunikację. W orzecznictwie sądowym spod tego pojęcia wyłączono fax 1, co w ocenie Autora nie jest słuszne, przynajmniej w odniesieniu do komunikacji za pomocą inteligentnych urządzeń faksujących posiadających własną pamięć. Przepisów ustawy nie stosuje się jednak m.in. do używania poczty elektronicznej lub innego równoważnego środka komunikacji elektronicznej między osobami fizycznymi w celach osobistych (art. 3 pkt 2 UsłElektrU). Reżimu tej ustawy nie stosuje się także do zbliżonych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym, ze względu na wyłączenie usług polegających na dystrybucji jakichkolwiek treści na informatycznych nośnikach danych (art. 4 ust. 2 pkt 2 DostępWarU). Na usługodawcę świadczącego usługi drogą elektroniczną rozumianego jako osobę fizyczną lub prawną, a także jednostkę organizacyjną nieposiadającą osobowości prawnej, która chociażby ubocznie prowadzi działalność zarobkową lub zawodową (art. 2 pkt 6 UsłElektrU) nałożono szereg obowiązków informacyjnych omówionych w innej części niniejszego opracowania. Jednym z podstawowych obowiązków informacyjnych usługodawcy jest podanie danych o fizycznej lokalizacji, czyli siedzibie oraz adresów elektronicznych (art. 5 ust. 2 UsłElektrU) zdefiniowanych jako oznaczenie systemu teleinformatycz- 1 Wyrok WSA w Warszawie z 5.12.2006 r. (III SA/Wa, 1836/06, Legalis) zgodnie z którym doręczenie pisma za pośrednictwem faksu nie jest doręczeniem za pomocą środków komunikacji elektronicznej w rozumieniu przepisów UsługiElektrU. XII

nego umożliwiające porozumiewanie się za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej (art. 2 pkt 1 UsłElektrU). Obowiązek ten należy rozpatrywać w kontekście wyroku Trybunału Sprawiedliwości UE, który uznał, że odpowiadający mu obowiązek zapisany w dyrektywie o handlu elektronicznym należy interpretować, jako konieczność zapewnienia przez usługodawcę przynajmniej dwóch środków umożliwiających komunikację z usługodawcą, przy czym tym drugim środkiem nie musi być numer telefonu, a może być formularz na stronie internetowej 2. Natomiast istotnym novum w stosunku do dyrektywy o handlu elektronicznym jest nałożenie na usługodawcę obowiązku zapewnienia bezpieczeństwa transmisji danych, w szczególności przy wykorzystaniu technik kryptograficznych odpowiednich dla właściwości świadczonej usługi (art. 7 ust. 1 pkt 1 lit. a UsłElektrU). Należy zdawać sobie sprawę z faktu, że szyfrowanie danych przy zawieraniu umów na stronach internetowych stanowi ustalony zwyczaj handlowy 3. Ważnymi dla każdego przedsiębiorcy wykorzystującego Internet do reklamowania swoich towarów i usług będą przepisy dotyczące oznaczania informacji handlowej w sposób wyraźny i niebudzący wątpliwości (art. 9 UsłElektrU). Informacja handlowa to inaczej reklama i definiowana jest jako każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach... (z pewnymi wyjątkami patrz art. 2 pkt 2 UsłElektrU). Ustawa określa, co taka informacja powinna zawierać, a więc oznaczenie podmiotu zlecającego ją, wyraźny opis form działalności promocyjnej oraz wskazanie wszelkich innych okoliczności, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron (art. 9 ust. 2 UsłElektrU). Wspomniany przepis stanowi wzbogaconą implementację art. 6 dyrektywy o handlu elektronicznym, natomiast polski ustawodawca zupełnie pominął art. 8 dyrektywy o handlu elektronicznym, dopuszczający reklamowanie się zawodów regulowanych przy pomocy środków komunikacji elektronicznej, co stanowi naruszenie prawa unijnego. Z drugiej strony, ustawa zakazuje przesyłania niezamówionej informacji handlowej tzw. spamu skierowanej do oznaczonego odbiorcy 2 Wyrok TSUE z 16.10.2008 r. w sprawie C-298/07 Deutsche Internet Versicherung. 3 Empiryczne badania dotyczące sposobów zabezpieczania transakcji w handlu elektronicznym zawarte są w: P. Polański, Customary law of the Internet, Haga 2007, s. 282 299; tenże, Zwyczaj w okresie rewolucji technologicznych, PiP 2007, z. 12, s. 26. XIII

za pomocą poczty elektronicznej i innych środków komunikacji elektronicznej, chyba że odbiorca wyraził zgodę na otrzymywanie takiej informacji (art. 10 ust. 1 2 UsłElektrU). Złamanie tego zakazu stanowi czyn nieuczciwej konkurencji oraz wykroczenie zagrożone karą grzywny ścigane na wniosek pokrzywdzonego (art. 24 UsłElektrU). Wspomniany przepis jest nieco hybrydową implementacją artykułu 7 dyrektywy o handlu elektronicznym oraz art. 13 dyrektywy o ochronie prywatności i komunikacji elektronicznej. Dodać należy, że analogiczne, choć niezgodne z dyrektywą 2002/58/WE rozwiązanie odnajdziemy w art. 172 PrTel, które zakazuje wykorzystywania bez uprzedniej zgody automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Rozszczepienie reżimów regulacyjnych jest jeszcze bardziej widoczne w odniesieniu do problematyk tzw. cookies, które są plikami tekstowymi, umożliwiającymi m.in. zbieranie informacji o preferencjach użytkowników. Ustawa o świadczeniu usług drogą elektroniczną nakłada na usługodawców obowiązek zapewnienia usługobiorcy informacji o funkcji i celu m.in. danych niebędących składnikiem usługi, a wprowadzonych przez usługodawcę do systemu teleinformatycznego usługobiorcy. Z kolei znowelizowany 4 art. 173 PrTel nakłada na podmioty świadczące usługi telekomunikacyjne obowiązek uzyskania uprzedniej zgody użytkownika na przechowywanie tego typu plików. Bez wątpienia podwójna regulacja tych samych zjawisk nie wpływa korzystnie na przejrzystość ram prawnych dotyczących prawa Internetu w Polsce. Ustawa o świadczeniu usług drogą elektroniczną zawiera także fundamentalne przepisy dotyczące odpowiedzialności pośredników internetowych za dane przesyłane lub przechowywane przez osoby trzecie. Niniejsza ustawa dość wiernie implementuje postanowienia dyrektywy o handlu elektronicznym, wyłączające odpowiedzialność trzech rodzajów dostawców usług społeczeństwa informacyjnego. Po pierwsze, ustawa wyłącza odpowiedzialność podmiotów telekomunikacyjnych świadczących usługi dostępu do Internetu za transmitowane dane (art. 12 UsłElektrU), pomimo wyłączenia stosowania przepisów ustawy do tych operatorów usług telekomunikacyjnych (art. 3 pkt 3 UsłElektrU). Po drugie, podmiot świadczący usługi tzw. cachingu polegające na przechowywaniu danych na serwerach pośredniczących w celu przyspieszenia transmisji nie będzie odpowiedzialny za prze- 4 Art. 173 PrTel w brzmieniu ustawy z dnia 16.11.2012 r. (Dz.U. z 2012 r. poz. 1445), która weszła w życie 22.03.2013 r. Por. S. Piątek [w:] S. Piątek [red.] Prawo telekomunikacyjne. Komentarz, Warszawa 2013, komentarz do art. 173 PrTel. XIV

chowywane treści przy spełnieniu szeregu warunków zwyczajowo wymaganych w tego rodzaju działalności. Najistotniejsze znaczenie ma wyłączenie odpowiedzialności cywilnej, karnej i administracyjnej zawarte w artykule 14 UsłElektrU. Nie ponosi odpowiedzialności za przechowywane dane na serwerze podmiot świadczący usługi tzw. hostingu, chyba że wie o bezprawnym charakterze danych lub uzyskał urzędowe zawiadomienie, względnie wiarygodną wiadomość o bezprawnym charakterze danych. W doktrynie panuje konsensus, że odpowiedzialność za hosting jest wyłączona zarówno za przechowywane, jak i udostępniane dane w systemie teleinformatycznym 5. Polski ustawodawca precyzuje, że w przypadku uniemożliwienia dostępu do takich kontrowersyjnych treści usługodawca hostingu nie poniesie odpowiedzialności względem usługobiorcy za powstałą szkodę (art. 14 ust. 2 i 3 UsłElektrU). Problem jednak w tym, jak określić, co stanowi wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych. Nie jest także jasne, czy dopuszczalne jest moderowanie cudzych treści w ramach serwisu internetowego i korzystanie z wyłączenia odpowiedzialności w ramach tego przepisu. Orzecznictwo sądów zagranicznych nie jest ponadto jednolite w odniesieniu do kwestii, czy wyłączenie zawarte w artykule 14 można zastosować do podmiotów, które nie świadczą usług hostingu sensu stricto, tzn. nie wydzierżawiają swoich powierzchni dyskowych innym usługodawcom świadczącym usługi drogą elektroniczną, a jedynie umożliwiają swoim użytkownikom (usługobiorcom) zamieszczanie treści na swoim serwisie. Problem odpowiedzialności dostawców usług społeczeństwa informacyjnego w dobie tzw. Web 2.0, a więc stron współtworzonych przez użytkowników Internetu stał się przedmiotem orzeczeń zarówno Trybunału Sprawiedliwości UE, jak i naszych sądów. W wyroku w sprawie Google i Google France Trybunał luksemburski przesądził, że dostawca usług wyszukiwania jest dostawcą usług społeczeństwa informacyjnego, który nie ponosi odpowiedzialności za treści umieszczane w jego serwisie przez osoby trzecie, o ile działa w sposób automatyczny, techniczny i pasywny, a więc w żaden sposób nie ingeruje 5 Por. P. Polański, Uwagi na temat odpowiedzialności usługodawcy hostingu w Internecie [w:] J. Gołaczyński [red.] Informatyzacja postępowania sądowego i administracji publicznej, Warszawa 2010, s. 299. Por. jednakże odosobniony pogląd o wyłączeniu udostępnienia danych spod zakresu definicji hostingu: P. Sadowski, Wyłączenie odpowiedzialności przy świadczeniu usług hostingu polemika, MoP 2009, Nr 16. Zob. także P. Litwiński, Hosting danych osobowych. Zagadnienia podstawowe, MoP 2008, Nr 23. XV

w zawartość komunikatów tworzonych przez jego użytkowników 6. Pojawiły się także pierwsze orzeczenia polskich sądów stosujących przepisy tej ustawy i obciążających odpowiedzialnością administratorów serwisów internetowych 7. Ustawa stanowi także fundamentalny w kontekście wolności słowa zakaz nakładania na usługodawców obowiązku monitorowania danych. Ma to ogromne znaczenie praktyczne w odniesieniu do serwisów internetowych opierających się na treściach generowanych przez użytkowników, takich jak blogi, grupy dyskusyjne, czy systemy oceny oferowane w ramach serwisów aukcyjnych czy sklepów internetowych. W efekcie, ani trzy grupy podmiotów o których mowa w art. 12 14 UsłElektrU nie są zobligowane do sprawdzania przekazywanych, przechowywanych lub udostępnianych danych (art. 15 UsłElektrU oraz art. 15 dyrektywy 2000/31/WE). Usługodawca nie ma ani obowiązku aktywnego monitoringu przetwarzanych danych, ani też obowiązku podejmowania kroków w celu wdrożenia oprogramowania filtrującego bezprawne dane 8. Brak obowiązku ponoszenia znaczących nakładów finansowych na wdrożenie automatycznego systemu filtrowania danych potwierdził Trybunał Sprawiedliwości UE w wyrokach w sprawach Netlog 9 oraz Scarlet 10. Ustawa o świadczeniu usług drogą elektroniczną reguluje także zasady ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną, przy czym przepisy tej ustawy stanowią lex specialis wobec ustawy o ochronie danych osobowych (art. 16 UsłElektrU), o czym szerzej poniżej. W kontekście odpowiedzialności pośredników na szczególną uwagę zasługuje problematyka udostępniania danych osobowych na żądanie organów władzy publicznej oraz osób prywatnych w celu wszczęcia postępowań sądowych. Usługodawca obowiązany jest udzielić informacji o podstawowych danych eksploatacyjnych usługobiorcy organom państwa na potrzeby prowa- 6 Wyrok TSUE w sprawach połączonych od C-236/08 do C-238/08Google France SARL, Google Inc. p. Louis Vuitton Malletier SA i inni. Zob. także wyrok TSUE z 12.07.2011 r. w sprawie LñOréal SA i inni p. ebay International AG i inni. 7 Wyrok SN z 18.01.2013 r., IV CSK 270/12, OSN 2013, Nr 7 8, poz. 94; wyr. SA z 11.10.2012 r., VI ACa 2/12, Legalis; wyr. SN z 8.07.2011 r., IV CSK 665/10, OSN 2012, Nr 2, poz. 27. 8 Wyrok SA z 18.01.2011 r., I ACa 544/10, Legalis; wyr. SA z 15.01.2010, I ACa 1202/09, OSA 2010, Nr 2, poz. 167. 9 Wyrok TSUE z 16.02.2012 r. w sprawie Belgische Vereniging van Auteurs, Componisten en Uitgevers CVBA (SABAM) p. Netlog NV. 10 Wyrok TSUE z 24.11.2011 r. w sprawie C-70/10 Scarlet Extended SA p. Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM). XVI

dzonych przez nie postępowań (art. 18 ust. 6 UsłElektrU). Naczelny Sąd Administracyjny rozszerzył powyższy obowiązek usługodawcy na podmioty prywatne, o ile jest to niezbędne dla realizacji ich uzasadnionych celów 11. Trybunał Sprawiedliwości UE stał do tej pory na stanowisku, że obowiązek udostępniania danych osobowych na podstawie adresu IP abonentów usług jest obowiązkowe w przypadku postępowań karnych i fakultatywne w przypadku postępowań cywilnych 12. Powyższe przepisy mają istotne znaczenie dla rozwoju tzw. usług w chmurze obliczeniowej (ang. cloud computing) 13. II. Ochrona danych osobowych W ostatnich latach zagadnienie ochrony danych osobowych w Internecie urosło do rangi kluczowego obszaru dla rozwoju społeczeństwa informacyjnego. Świadczy o tym nie tylko coraz bogatsze orzecznictwo sądowe, ale także prace w Unii Europejskiej nad nowymi ramami prawnymi dotyczącymi ochrony prywatności, które w zasadniczy sposób zmienią kształt regulacji prawnych obowiązujących w Polsce. Na dzień dzisiejszy problematyka zautomatyzowanego przetwarzania i przekazywania danych osobowych regulowana jest w Unii Europejskiej w art. 16 TFUE, Karcie Praw Podstawowych, a także w dyrektywie 95/46/WE o ochronie danych osobowych, która ustanowiła podstawowe zasady w tym obszarze oraz w dyrektywie 2002/58/WE uwzględniającej rozwój nowszych form elektronicznego przetwarzania danych osobowych zmienionej dyrektywą 2009/136/WE, choć trwają prace nad nowymi ramami prawnymi w tym zakresie. Pierwsza dyrektywa została wdrożona w ustawie o ochronie danych osobowych, natomiast druga została częściowo implementowana w ustawie o świadczeniu usług drogą elektroniczną. Dane osobowe definiowane są jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 OchrDanOsU), przy czym w tym drugim przypadku chodzi o możliwość określenia tożsamości osoby bezpośrednio lub pośrednio, przykładowo poprzez numer identyfikacyjny albo jeden lub kilka specyficznych czynników, takich jak cechy fizyczne (art. 6 ust. 2 11 Wyrok NSA z 21.08.2013 r., I OSK 1666/12, Legalis. 12 Wyrok TSUE z 29.01.2008 r. w sprawie C-275/06 Promusicae p. Telefónica de Espana SAU. Zob. także wyrok TSUE z 19.04.2012 r. w sprawie C-461/10 Bonnier Audio AB i inni p. Perfect Communication Sweden AB. 13 Szerzej na ten temat: G. Szpor (red.) Internet. Cloud computing. Przetwarzanie w chmurach, Warszawa 2013. XVII

OchrDanOsU). Co istotne, informacji, których pozyskanie wymagałoby nadmiernych kosztów, czasu lub działań nie uważa się za dane osobowe (art. 6 ust. 3 OchrDanOsU). Ustawa o ochronie danych osobowych przyznaje każdemu prawo do ochrony dotyczących go danych osobowych (art. 1 ust. 1 OchrDanOsU), określa zasady postępowania oraz prawa osób fizycznych przy przetwarzaniu tych danych. Szeroki zakres podmiotowy ustawy sprawia, że znajduje ona zastosowanie zarówno w odniesieniu do przetwarzania danych przez przedsiębiorców, jak i administrację publiczną (art. 3 4 OchrDanOsU). W celu zapewnienia tej ochrony ustawa powołuje specjalny organ do spraw ochrony danych osobowych (GIODO) oraz szczegółowo określa zasady przetwarzania i zabezpieczania danych osobowych, w tym kwestie rejestracji zbiorów danych osobowych oraz przekazywania ich do krajów trzecich. Warto także zwrócić uwagę na niektóre definicje pewnych pojęć w tej ustawie (art. 7 OchrDanOsU). Administratorem danych będzie podmiot decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4). Przetwarzaniem danych będą jakiekolwiek operacje wykonywane na danych osobowych, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2). System informatyczny nie jest pojęciem tożsamym z systemem teleinformatycznym w rozumieniu UsłElektrU i obejmuje zespół współpracujących ze sobą urządzeń, programów, procedur i narzędzi programowych w celu przetwarzania danych (art. 7 pkt 2a). Ustawa definiuje także pojęcie zbioru danych, zabezpieczenia danych w systemie informatycznym, usuwaniu danych, zgodzie osoby, której dane dotyczą, odbiorcy danych i państw trzecich. Zasadą jest, że przetwarzanie danych osobowych wymaga zgody osoby, której dane dotyczą, rozumianej jako oświadczenie woli o takiej treści, przy czym nie może być ona domniemana lub dorozumiana z innego oświadczenia woli i może być odwołana w każdym czasie (art. 4 OchrDanOsU). Ustawa dopuszcza jednakże w wielu przypadkach przetwarzanie danych bez takiej zgody, w tym jeśli jest to niezbędne do realizacji umowy w stosunku do strony umowy lub osoby, która kieruje żądanie podjęcia odpowiednich działań przed zawarciem umowy (art. 23 ust. 1 pkt 3 OchrDanOsU). Drugim z perspektywy obrotu elektronicznego wyjątkiem umożliwiającym przetwarzanie zgody na gruncie tej ustawy jest marketing bezpośredni oraz dochodzenie roszczeń, stanowią one bowiem prawnie usprawiedliwiony cel przetwarzania danych (art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 OchrDanOsU). XVIII

Należy pamiętać, że ustawa w sposób szczególny ogranicza możliwość przetwarzania wrażliwych danych osobowych, takich jak stan zdrowia, nałogi, życie seksualne, poprzednie skazania, pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową itp. (art. 27 OchrDanOsU). Warto pamiętać o konsekwencjach publikacji na stronach internetowych informacji o znajomych bez ich zgody w tym kontekście, bowiem może się to wiązać z bardzo poważnymi konsekwencjami prawnymi, o czym najlepiej świadczy wyrok Trybunału luksemburskiego w sprawie Lindqvis 14. Ponadto ten, którego dane dotyczą ma prawo do kontroli przetwarzanych danych, w tym do ich uzupełnienia i sprostowania. Ustawa o ochronie danych osobowych w przypadku zbierania danych osobowych nakłada na administratora danych szereg obowiązków, w tym obowiązek informacyjny. Ustawodawca przewiduje nieco odmienne obowiązki w przypadku zbierania danych od osoby, której dane dotyczą oraz od osoby, której dane nie dotyczą tzw. pierwotne i wtórne gromadzenie danych osobowych (art. 24 25 OchrDanOsU). Pierwotne zbieranie danych osobowych dotyczy sytuacji pozyskiwania danych bezpośrednio od osób, których dane dotyczą (np. poprzez witrynę sklepu internetowego albo poprzez tzw. first-party cookies, jeżeli usługodawca informuje o tym fakcie użytkownika), a z wtórnym pozyskiwaniem danych mamy do czynienia w sytuacji, gdy są one pozyskiwane bez wiedzy osoby, której dane dotyczą (np. poprzez zakup bazy danych, z ogólnie dostępnych rejestrów publicznych albo przy wykorzystaniu tzw. third-party cookies) W obu przypadkach konieczne staje się przekazanie informacji o celu zbierania danych, siedzibie lub adresie zbierającego oraz prawie dostępu do nich. W przypadku wtórnego zbierania danych dodatkowo administrator danych powinien wskazać źródło pozyskania danych (np. nazwa i siedziba podmiotu, od którego kupiono bazę danych osobowych) 15 oraz poinformować o prawie wniesienia sprzeciwu wobec przetwarzania danych lub umotywowanego żądania zaprzestania przetwarzania danych (art. 32 ust. 1 pkt 7 i 8 OchrDanOsU). W doktrynie podkreśla się jednakże, że obowiązek wynikający z art. 25 OchrDanOsU nie powoduje, iż na administratorze danych ciąży obowiązek informowania o tym, jakie dane osobowe zebrał i posiada, może bowiem on informować o tym dopiero w przy- 14 Por. wyrok ETS z 6.11.2003 w sprawie C-101/01 Lindqvist. 15 Zob. wyrok NSA z 13.07.2004 r., OSK 507/04, Legalis. XIX