Artykuł jest poświecony sytuacji w której klient na serwerze hostingowym, przechowuje dane niekoniecznie zgodne z prawem. Jak w takim przypadku ma się zachować firma hostingowa?


W przypadku świadczenia usług hostingowych może się okazać, że przechowywane dane lub działalność klienta z nimi związana są bezprawne (np. treści pedofilskie, pirackie utwory, złośliwe oprogramowanie). Czy usługodawca ma prawo monitorowania takich danych, ich usunięcia, zabezpieczenia na potrzeby postępowania karnego? Przy rozważeniu możliwości ingerencji hostingodawcy w dane klienta należy przede wszystkim odwołać się do ustawy o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. (Dz.U. z 2013 r. poz. 1422) oraz przeanalizować ewentualnie zmodyfikować funkcjonujący w firmie regulamin hostingu (ww. ustawa nakłada bowiem obowiązek jego utworzenia).

 

W pierwszej kolejności trochę przewrotnie należy powołać przepis ustawy, z którego wprost wynika, że hostingodawca nie ma obowiązku monitorowania danych swoich klientów.

 

Art. 15 ustawy
Podmiot, który świadczy usługi (…), nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez niego danych (…).

 

Ustawodawca nie nakłada na hostingodawców ogólnego obowiązku kontrolowania (filtrowania/usuwania) informacji, które przechowują, ani tym bardziej obowiązku stałego poszukiwania faktów dokumentujących bezprawną działalność klientów. W praktyce mogłoby to bowiem prowadzić do powstania tzw. efektu chłodzenia (chilling effect), czyli ograniczenia możliwości przekazywania danych za pośrednictwem sieci – obciążenie dostawców nadmiernymi obowiązkami przy jednoczesnej daleko idącej ingerencji w „prywatną” sferę klientów, mogłoby stanowić hamulec rozwoju usług on-line.

 

Skąd zatem dla hostingodawcy może wynikać możliwość ingerencji w dane swoich klientów? Pomimo braku obowiązku monitorowania danych, art. 14 ustawy wskazuje jednocześnie, w jakich okolicznościach provider może ingerować w informacje klientów – w wypadku otrzymania „urzędowego zawiadomienia” lub uzyskania „wiarygodnej wiadomości” o bezprawnym charakterze danych lub związanej z nimi działalności. Co prawda głównym celem tego przepisu jest wyłączenie odpowiedzialności hostingodawcy za bezprawne rekordy klienta przechowywane na serwerze, natomiast jego dodatkową rolą jest właśnie kształtowanie procesu zwalczania niezgodnych z prawem działań/danych klientów.

Art. 14 ustawy
1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.
2. Usługodawca, który otrzymał urzędowe zawiadomienie o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie ponosi odpowiedzialności względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych.
3. Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu.

 

Czy jednak zapisy ustawy są na tyle jednoznaczne, że w prosty i pełny sposób chronią przypadki ingerencji providera w dane klientów w każdym przypadku? Odpowiedź na to pytanie jest niestety negatywna. Krótko należy wskazać, że przepis wskazuje na dwa rodzaje wyłączeń odpowiedzialności podmiotu świadczącego usługę hostingu: 

 

  • wyłączenie każdego rodzaju odpowiedzialności, m.in. na gruncie prawa cywilnego, prawa karnego, prawa administracyjnego (art. 14 ust. 1 ustawy);
  • wyłączenie odpowiedzialności kontraktowej wobec klienta za niewykonanie lub nienależyte wykonanie umowy hostingu, spowodowane koniecznością zablokowania przechowywanych danych (ingerencja w dane) (art. 14 ust. 2 i 3 ustawy).

 

W uproszczeniu – provider będzie ponosić odpowiedzialność za przechowywane dane, jeśli wie o ich bezprawnym charakterze/związanej z nimi działalności i godzi się na ich dalsze przechowywanie lub jeśli uniemożliwi dostęp do danych klienta bez uzasadnionej przyczyny. Swoją odpowiedzialność wyłącza jednak, gdy po otrzymaniu urzędowego zawiadomienia lub uzyskaniu wiarygodnej wiadomości niezwłocznie uniemożliwi dostęp do bezprawnych danych. Należy zwrócić uwagę, aby zarówno urzędowe zawiadomienie, jak i wiarygodna wiadomość ściśle wskazywały, które dane są bezprawne/z jakimi danymi jest związana niezgodna z prawem działalność klienta.

 

Ustawa nie jest jednak jednoznaczna i w przypadku ingerencji hostingodawcy w dane klienta może narażać go na odpowiedzialność odszkodowawczą. Zawiera bowiem określenia nieostre i w takim przypadku celowe może być szersze zabezpieczenie interesów hostingodawcy w regulaminie. Jakkolwiek bowiem rozumienie istoty urzędowego zawiadomienia nie powinno przysparzać problemów, tak termin „wiarygodna wiadomość” w praktyce może stwarzać trudności interpretacyjne. Pojęcie to nie zostało skonkretyzowane w ustawie. Co do zasady rozumie się przez nie subiektywne odczucia providera (uznanie przez niego wiadomości za wiarygodną) oraz wymóg aby „każdy rozsądny człowiek” doszedł do takiego samego wniosku. Nie dla każdego jednak dana wiadomość może być równie wiarygodna. Jest to nie tylko bowiem podejrzenie, lecz pewien stan bliższy pewności. Co istotne, nadawcą „wiarygodnej wiadomości” może być każdy – poszkodowany, osoba trzecia. Także sam provider może uzyskać „wiarygodną wiadomość” po prostu w toku wykonywanej działalności.

 

Skoro zatem „wiarygodna wiadomość” co do zasady może zostać uzyskana przez samego providera, aby wykluczyć pomyłki interpretacyjne i nie narażać się na odpowiedzialność związaną z ingerencją w dane klientów w przypadku samego „podejrzenia” bezprawnego działania, celowe może okazać się wprowadzenie do regulaminu zapisów, zgodnie z którymi hostingodawcy przysługiwałoby prawo do sprawdzania przechowywanych danych klientów w przypadku jakichkolwiek podejrzeń niezgodności z prawem (i/lub regulaminem) danych klienta lub działań z nimi związanymi.

 

Należy jednak zwrócić uwagę, aby przyznane uprawnienie do monitorowania danych nie stanowiło znacznej ingerencji w dane użytkownika – mogłoby to w istocie sprawić, że czynności providera wykroczą poza czysto techniczny charakter przechowywania danych i przestaną mieścić się w rozumieniu pojęcia hostingu przez sądy (charakteryzującego się co do zasady biernością i brakiem aktywnego decydowania o kształcie danych) i skutkować rozszerzeniem przypadków ponoszenia odpowiedzialności przez providera. Wydaje się jednak, że uprawnienie do monitorowania danych ex post – czyli już umieszczonych, nie zaś uprzednie decydowanie, czy określone dane mogą w ogóle zostać umieszczone na serwerze, nie stanowi ingerencji, która zaburzałaby istotę hostingu. Takie regulaminowe uprawnienie do sprawowania późniejszej kontroli umieszczonych już na serwerze informacji w przypadku jakichkolwiek podejrzeń, byłoby swego rodzaju rozszerzeniem obowiązku uniemożliwienia dostępu do danych wynikającego z postanowień art. 14 ustawy.

 

Przy modyfikacji postanowień regulaminu szczególną ostrożność należy jednak zachować w relacjach z konsumentami. Jakikolwiek zapis modyfikujących/zwiększających uprawnienia providera w takich przypadkach (ograniczanie uprawnień konsumentów) nie powinien być zbyt daleko idący, może bowiem skutkować uznaniem za abuzywny.

 

W kontekście powyższego, w przypadku powzięcia wiarygodnej wiadomości (od osób trzecich lub na skutek monitoringu danych przeprowadzonego zgodnie z regulaminem) o bezprawności danych/działań z nimi związanych i zablokowania dostępu do informacji celowe może okazać się także zawiadomienie organów ścigania.

 

Art. 304 ustawa z dnia 6 czerwca 1997 r. kodeks postępowania karnego (Dz.U. Nr 89, poz. 555) [„k.p.k.”]
§ 1. Każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję (…).

 

Powyższy obowiązek nie jest co prawda zagrożony żadną sankcją (chyba, ze dotyczy przestępstw wskazanych wprost przez ustawodawcę, np. związanych z terroryzmem, zamachem stanu etc.), zawiadomienie organów ścigania może jednak wskazywać na podjęcie przez hostingodawcę szczególnej staranności celem zwalczania bezprawnych postaw swoich klientów. Ustawa nie przewiduje szczególnej formy, w jakiej ma zostać złożone zawiadomienie o przestępstwie Zawiadomienie może zostać złożone zarówno na policji, jak i w prokuraturze, tak w formie pisemnej, jak i ustnej do protokołu. Zawiadomienie może zostać złożone nawet anonimowo. Powinno ono jednak możliwie szczegółowo wskazywać bezprawny proceder użytkownika – dotyczyć konkretnych danych/działań klienta.

 

Niezależnie od powyższego, w przypadku braku zawiadomienia policji przez usługodawcę i przy jednoczesnym powzięciu informacji o bezprawności danych/działań klienta przez organy ścigania, one same mogą się zwrócić do hostingodawcy o udostępnienie danych/informacji dotyczących konkretnych naruszeń prawa.

 

Art. 15 k.p.k.
§ 3. Osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione.

 

Podsumowując, do rozważenia hostingodawców, głównie pod kątem biznesowym, pozostaje sprawa, czy rozszerzać swoje uprawnienia do monitorowania danych w regulaminie, a także czy np. wprost wprowadzić odpowiedni zapis o możliwości zawiadomienia odpowiednich służb przez providera w przypadku jakichkolwiek podejrzeń o bezprawnym działaniu/danych klienta. Kwestia monitorowania danych przez hostingodawcę podlega jedynie szczątkowej regulacji ustawowej i w tym kontekście pomocne może okazać się uregulowanie tej kwestii właśnie w regulaminie. Do uznania przez providera pozostaje kwestia, czy zainteresowany jest inicjowaniem i aktywnym uczestniczeniem w postępowania karnym, czy chce jedynie pozostać jego ew. biernym uczestnikiem.


Zredagowany tekst Mateusza Borkiewicza, aplikanta adwokackiego w Kancelarii Olesiński & Wspólnicy z kancelarii Olesiński i Wspólnicy, opublikowany na łamach niebezpiecznik.pl

2016-06-16 17:00:00 Presented by Martin S