A skoro wczoraj było o tym, że jest już projekt wdrożenia aktu o usługach cyfrowych i zapowiadałem serię omówek tego dokumentu — dziś czas na kilka zdań o tym jak rozporządzenie DSA reguluje odpowiedzialność dostawcy usług hostingowych, a także transmisji i przechowywania danych za informacje pochodzące od jego usługobiorców.
Na poważniejsze analizy czy rozważania przyjdzie jeszcze czas — może nawet w komentarzach pod tekstem? — a dziś pozwolę sobie tylko na kilka sygnalizacyjnych punktów:
- gwoli krótkiego przypomnienia: aktualnie ustawa o świadczeniu usług drogą elektroniczną przewiduje możliwość zwolnienia się pasywnych usługodawców z odpowiedzialności z odpowiedzialności za dane użytkowników, przepisy te dotyczą usług cachingu, transmisji danych przekazywanych przez użytkowników w sieciach telekomunikacyjnych, a także usługi hostingu danych (art. 12-14 uośude); usługodawca nie ma przy tym obowiązku sprawdzania danych użytkowników pod kątem ich bezprawności (art. 15 uośude);
- akt o usługach cyfrowych w istotnym stopniu powiela dotychczasowe rozwiązania: dostawca usługi polegającej na transmisji informacji pochodzących od odbiorcy usługi nie ponosi odpowiedzialności za „zwykły przekaz”, o ile nie jest inicjatorem transmisji, nie wybiera odbiorcy transmisji, jak też nie wybiera i nie modyfikuje transmitowanych informacji; zwolnienie to obejmuje także krótkotrwałe, automatyczne i pośrednie przechowywanie danych przekazywanych przez odbiorcę usługi (art. 4 DSA);
- (tu małe acz istotne wyjaśnienie: DSA posługuje się dość mylącym pojęciem „odbiorca usługi” (w języku angielskim jest to ’recipient of the service’), które moim zdaniem może sugerować użytkownika „korzystającego” z danych dostarczanych przez użytkownika „dającego”; nic bardziej mylnego: zgodnie z definicją odbiorcą usługi jest „osoba fizyczna lub prawna, która korzysta z usługi pośredniej, w szczególności w celu poszukiwania informacji lub udostępnienia jej„);
- analogicznie wygląda kwestia odpowiedzialności za „caching”: usługodawca nadal będzie zwolniony za informacje przekazywane przez użytkowników, o ile nie modyfikuje ich treści, przestrzega warunków dostępu do informacji i zasad aktualizacji informacji — ale jeśli usuwa lub blokuje informacje m.in. w przypadku otrzymania urzędowego lub sądowego nakazu (art. 5 DSA);
- rozporządzenie DSA nie zmienia także zasad regulujących odpowiedzialność dostawcy usług hostingowych: do zwolnienia z odpowiedzialności za przechowywane dane lub nielegalnej działalności usługobiorcy wystarczający jest brak wiedzy o nielegalnych treściach — oraz bezzwłoczna reakcja na uzyskaną wiedzę lub wiadomość o bezprawności działań usługobiorcy;
art. 6 ust. 1 rozporządzenia 2022/2065 w/s jednolitego rynku usług cyfrowych (DSA)
W przypadku świadczenia usługi społeczeństwa informacyjnego polegającej na przechowywaniu informacji przekazanych przez odbiorcę usługi dostawca usług nie ponosi odpowiedzialności za informacje przechowywane na wniosek odbiorcy usługi, pod warunkiem że dostawca:
a) nie ma faktycznej wiedzy o nielegalnej działalności lub nielegalnych treściach, a w odniesieniu do roszczeń odszkodowawczych – nie wie o stanie faktycznym lub okolicznościach, które w sposób oczywisty świadczą o nielegalnej działalności lub nielegalnych treściach; lub
b) podejmuje bezzwłocznie odpowiednie działania w celu usunięcia lub uniemożliwienia dostępu do nielegalnych treści, gdy uzyska taką wiedzę lub wiadomość.
- pewnego rodzaju novum jest tutaj wskazanie przesłanek warunkowego wyłączenia odpowiedzialności odszkodowawczej: dostawca usług będzie zwolniony z tejże, jeśli nie zna stanu faktycznego lub okoliczności, które „w sposób oczywisty” — to zastrzeżenie wydaje się dość istotne dla usługodawców — świadczą o nielegalnych treściach lub bezprawnej działalności odbiorcy usługi;
- i teraz najistotniejsze: DSA zwalnia dostawców usług pośrednich z jakichkolwiek powinności w zakresie moderacji danych przechowywanych lub przekazywanych;
art. 8 rozporządzenia DSA
Na dostawców usług pośrednich nie nakłada się ogólnego obowiązku monitorowania informacji, które dostawcy ci przekazują lub przechowują, ani aktywnego ustalania faktów lub okoliczności wskazujących na nielegalną działalność.
- usługodawca nie ma także obowiązku „aktywnego” zbierania dowodów potwierdzających nielegalną działalność jego użytkowników;
- zarazem usługodawcy świadczącemu usługi w zakresie hostingu, cachingu i transmisji danych nie można odmówić skorzystania z możliwości wyłączenia odpowiedzialności tylko przez to, że „w dobrej wierze i z należytą starannością” dobrowolnie prowadzi jakieś działania weryfikacyjne czy moderację danych (w mojej ocenie art. 7 DSA wyklucza stanowisko wyrażone w wyroku SN z 10 stycznia 2014 r., I CSK 128/13);
- jednakże obowiązek podjęcia określonych działań przeciwko nielegalnym treściom może zostać nałożony w drodze nakazu sądowego lub administracyjnego — zaś obowiązkiem dostawcy usług będzie udzielenie bezzwłocznej odpowiedzi, w tym wyjaśnienia czy i jakie działania zostały podjęte (art. 9 ust. 1 DSA, por. „Facebookowi można nakazać wyszukiwanie i usuwanie komentarzy podobnych do znanego „hejtu””);
- (dla jasności: w myśl projektu zmian w polskim prawie taki nakaz będzie mógł wydać dowolny sąd lub dowolny organ administracji publicznej, zaś o sposobie zastosowania się do tych obowiązków będzie informowany UKE, art. 22za uośude);
- w zakresie statuującym odpowiedzialność dostawcy usług pośrednich rozporządzenie DSA zastępuje dotychczasowe przepisy: jak już pisałem uchylone zostały art. 12-15 dyrektywy 2000/31/WE o handlu elektronicznym, zaś odesłania do tych przepisów traktuje się jako odesłania do art. 4-6 i art. 8 aktu o usługach cyfrowych (i dlatego nowelizacja uośude powinna obejmować uchylenie tych przepisów — i to powinno nastąpić już miesiąc temu…).
I to by było na tyle, na razie — czytam dalej :-)