- W prawie polskim nie ma przepisu, który prosto i konkretnie mówiłby, jak ustalić, kto odpowiada za naruszenia prawa autorskiego dokonane przy pomocy niezabezpieczonej sieci Wi-Fi.
- Nie ma przepisu nakazującego zabezpieczanie swojego Wi-Fi hasłem.
- Trzeba więc sięgać do orzeczeń sądów.
- Orzeczenia sądów polskich dotyczą na razie głównie spraw obraźliwych komentarzy - ale zaglądamy do orzeczeń sądów zagranicznych i dorobku Trybunału Sprawiedliwości UE.
- Według Rzecznika Generlanego TSUE Macieja Szpunara przedsiębiorca nie jest odpowiedzialny za swoją niezabezpieczoną sieć Wi-Fi.
- Z orzeczeń sądów polskich wynika, że należy udowodnić, kto dokonał naruszenia prawa. Nie wystarczy samo ustalenie właściciela adresu IP czy właściciela komputera.
- Rada praktyczna - zabezpieczajmy swoje sieci Wi-Fi odpowiednio skomplikowanym hasłem.
Przy okazji artykułu o torrentach zapytaliście, jak ustalić, kto ściąga torrenty, jeśli sieć Wi-Fi nie była zabezpieczona. Zajmowałam się już podobnym tematem przy okazji przygotowywania prezentacji "Copyright trolling - o o co chodzi?" na Łódzki Festiwal Fantastyki "Kapitularz 2015".
Co na to przepisy?
Nie ma przepisu, który mówiłby, jak ustalać osobę odpowiedzialną za ściąganie plików przez niezabezpieczoną sieć Wi-Fi. Nie ma też przepisu, który mówiłby, że zabezpieczenie swojej sieci bezprzewodowej jest obowiązkowe.
Jak mamy to pogodzić? W takich sytuacjach prawnicy sięgają do orzeczeń sądów. Zobaczmy, co ciekawego mogą nam podpowiedzieć.
Sądy w Polsce
W braku konkretnych przepisów musimy szukać orzeczeń sądów odnoszących się do niezabezpieczonego Wi-Fi lub komputera. Takie orzeczenia zapadają jednak w Polsce głównie w sprawach o zniesławienie czy znieważenie. Być może doczekamy się licznych sporów sądowych o piractwo, na razie jednak dotyczą one głównie obraźliwych wpisów na forach czy stronach internetowych i pytania: jak ustalić, kto jest autorem wpisu? Czy odpowiada właściciel komputera?
Sprawa pierwsza
W postanowieniu z 7 maja 2008 r, (III KK 234/07) polski Sąd Najwyższy uznał, że dokonanie wpisu w Internecie z komputera konkretnej osoby nie znaczy od razu, że to ta osoba jest jego autorem. Samo udostępnienie komputera nie jest czynem bezprawnym. Należałoby, za pomocą innych dowodów, wskazać, komu został udostępniony komputer i kto rzeczywiście umieścił w Sieci wpis. Takim dowodem mogłoby być na przykład przesłuchanie świadków, którzy pomogliby ustalić, kto i kiedy korzystał z komputera.
Sprawa druga
Sąd Najwyższy uznał też, że za szkodę odpowiedzialny jest tylko ten, kto swoim działaniem lub zaniechaniem, polegającym na pomocy sprawcy, szkodę tę wyrządził (art. 422 kodeksu cywilnego). Zachowanie pomocnika musi być nakierowane, świadomie, na wyrządzenie czynu niedozwolonego. Tutaj chodziło o komentarz zamieszczony przy użyciu niezabezpieczonej sieci gminy (wyrok Sądu Najwyższego z dnia 8 lipca 2011 r. IV CSK 665/10).
Sprawa trzecia
Co, jeśli właściciel ustalonego w postępowaniu adresu IP wymieni komputer? W jednej z takich spraw okazało się, że kiedy do postępowania sądowego dołączył biegły, aby wydać opinię, w firmie (do której ten adres IP należał), stały już nowe komputery. Inne niż te, na których firma pracowała w czasie kiedy w Internecie pojawiły się wpisy wątpliwej treści. Sprawa skończyła się oddaleniem powództwa (wyrok Sądu Okręgowego w Słupsku z 29 czerwca 2015 r., I C 79/14).
Przedsiębiorca i otwarte Wi-Fi - Rzecznik Generalny TSUE
Niezabezpieczoną sieć Wi-Fi spotykamy często w sklepach czy punktach usługowych. Tak było w sprawie Tobiasa McFaddena przeciwko Sony Music Entertainment Germany GmbH (C-484/14). Pan McFadden prowadził sklep ze sprzętem oświetleniowym i nagłaśniającym, w którym dostępne było darmowe, niezabezpieczone łącze. Wykorzystując je, ktoś bezprawnie zaoferował do pobrania utwór chroniony prawami autorskimi. Sądy krajowe zastanawiały się, czy Tobias McFadden jest pośrednio odpowiedzialny wobec Sony - w zasadzie za to, że nie zabezpieczył swojej sieci Wi-Fi.
W sprawie została wydana świeża, bo z 16 marca 2016 roku, opinia Rzecznika Generalnego Trybunału Sprawiedliwości Unii Europejskiej Macieja Szpunara. Zgodnie z nią, jeśli przedsiębiorca, w związku z główną wykonywaną działalnością (np. prowadzeniem sklepu) jest także operatorem publicznego i bezpłatnego Wi-Fi, to jego odpowiedzialność jest ograniczona. Przedsiębiorca świadczy bowiem usługę zwykłego przekazu informacji, nie inicjuje ich przekazywania ani nie wybiera odbiorców, nie modyfikuje też przesyłanych treści.
Według opinii rzecznika generalnego przedsiębiorca nie jest odpowiedzialny za swoją niezabezpieczoną sieć Wi-Fi.
Nie zmienia to faktu, że można by skierować do niego nakaz celem usunięcia mających miejsce za pomocą jego sieci naruszeń prawa autorskiego. Jednak - zdaniem rzecznika - wśród takich nakazów nie może mieścić się nakaz dezaktywacji łącza internetowego ani zabezpieczenia go hasłem.
To ważna opinia. Z jednej strony chroni przedsiębiorców udostępniających darmowe, niezabezpieczone hasłem W-Fi swoim klientom. Ale z drugiej - udanie się do przedsiębiorcy po odszkodowania za ściąganie plików jest bardzo kuszące. Wiadomo, do kogo się zwrócić, przedsiębiorca ma na ogół większe możliwości finansowe.
Czy ta opinia wyznaczy kierunek, w jakim pójdzie Trybunał Sprawiedliwości UE, a za nim sądy krajowe? Czas pokaże.
Co za granicą?
Jak do sprawy podchodzą sądy zagraniczne? W 2012 zakończyła się sprawa mieszkanki Finlandii, która była właścicielką niezabezpieczonej sieci Wi-Fi. Posługując się programem DC++ ktoś naruszył za pomocą tej sieci prawo autorskie. Sąd musiał odpowiedzieć na pytanie, czy właściciel niezabezpieczonego łącza jest odpowiedzialny za przestępstwo. Argumentem na obronę właścicielki było to, że w jej domu trwała impreza i nie wiadomo, kto mógł użyć łącza do zabronionych celów. Ostatecznie Finlandka nie poniosła kary. Nie udało się ustalić, kto był sprawcą.
Mniej liberalnie do sprawy podeszli Niemcy. Pewien obywatel nie zabezpieczył routera hasłem i... pojechał na wakacje. Oczywiście pod jego nieobecność ktoś wykorzystał sytuację i pobrał nielegalne pliki. Czy obywatel Niemiec był odpowiedzialny za ściągnięcie plików bezprawnego pochodzenia? Nie. Jednak sąd niemiecki uznał, że każdy ma obowiązek zabezpieczenia swojej sieci bezprzewodowej. Dlatego to właśnie za to pechowego Niemca spotkała kara pieniężna.
Co zapamiętać?
Masz pytania? Daj znać - chętne na wszystkie odpowiem!
Tagi: internet, orzecznictwo, praktyka, prawo autorskie, wifi
Na zakończenie cyklu newsletterowego, kiedy już wiesz, że prowadząc newsletter, przetwarzasz dane osobowe i wiesz, jak zbierać je poprawnie, opowiem Ci, jakie masz obowiązki, jako administrator danych osobowych. Tak jak poprzednio, skupiamy się na danych osobowych takich, jak adres e-mail, imię i nazwisko. Nie są to więc dane wrażliwe - nie będziemy omawiać obowiązków związanych z przetwarzaniem tego szczególnego rodzaju danych.
Obowiązki administratora danych osobowych reguluje znana Ci już dobrze ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jeśli już zbierzesz dane osobowe i będziesz chciał je przetwarzać, musisz robić to w zgodzie z przepisami.
Ogólne obowiązki określa art. 26 ust. 1 ustawy:
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązany jest zapewnić, aby dane te były:
- przetwarzane zgodnie z prawem;
- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami (z zastrzeżeniem ust. 2 przepisu);
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzanie;
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Chodzi więc o to, żeby dane osobowe przetwarzać staranie, zgodnie z prawem i zasadniczo zgodnie z celem przetwarzania.
Administrator danych ma także bardziej szczegółowe, techniczne obowiązki. Powinności administratora nie są zawieszone w próżni i abstrakcyjne. Administrator musi w bardzo dosłownym rozumieniu chronić dane osobowe przed dostaniem się w niepowołane ręce. Jak wskazuje art. 36 ustawy:
- Administrator danych jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przez udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Administrator prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Oprócz tego administrator powinien czuwać nad zgodnością przetwarzania danych z ustawą, zapewnieniem zapoznania osób przetwarzających dane z przepisami o ochronie danych osobowych.
Dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki ich ochrony
Administrator danych musi w specjalnych dokumentach opisać, jak przetwarza dane osobowe oraz jakie stosuje środki ich ochrony. Szczegółowo te dokumenty zostały wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dokumentacja, o której mowa w rozporządzeniu składa się z:
- polityki bezpieczeństwa,
- instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (instrukcja).
Co ważne, to są dokumenty praktyczne, w których opisujemy, jakie konkretnie działania podejmujemy w związku z przetwarzaniem danych osobowych. Na przykład polityka bezpieczeństwa musi zawierać wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, a instrukcja - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.
Upoważnione osoby
Co, jeśli - jako administrator danych osobowych - chcemy upoważnić do ich przetwarzania inne osoby, np. konkretnego pracownika, który zajmuje się prowadzeniem bazy danych subskrybentów newslettera?
Należy nadać takiej osobie upoważnienie. Powinno ono być nadane odrębnie, a nie tylko wynikać np. z umowy o pracę czy z zakresu obowiązków pracowniczych. Najlepiej, aby miało formę pisemną, powinno też być imienne i określać dozwolony zakres przetwarzania danych osobowych (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer 2015).
Administrator powinien prowadzić ewidencję upoważnionych osób, ze wskazaniem w niej ich imienia, nazwiska, daty nadania i ustania upoważnienia, jego zakres, a jeżeli dane są przetwarzane w systemie informatycznym - dodatkowo identyfikatora tej osoby. Osoby upoważnione do przetwarzania danych osobowych muszą zachować te dane w tajemnicy - podobnie jak sposoby ich zabezpieczenia. Osoba upoważniona może w tym zakresie podpisać stosowne oświadczenie.
Rejestracja zbioru danych osobowych
Czym jest zbiór danych osobowych?
Zgodnie z art. 7 ust. 1 ustawy, przez zbiór danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw jest rozproszony lub podzielony funkcjonalnie.
Ustawa przewiduje, że co do zasady - zbiór danych podlega rejestracji Generalnemu Inspektorowi Danych Osobowych. Od tej reguły są pewne wyjątki, ale niestety newsletter nie jest jednym z nich. Ustawa co prawda nie mówi o nim wprost, ale GIODO wyraźnie - i moim zdaniem słusznie - przyjmuje, że zbiór danych osób korzystających z newslettera należy zgłosić do GIODO jako zbiór danych osobowych.
W złoszeniu zbioru do rejestracji (określonym w art. 41 ustawy) podajemy takie dane, jak:
- wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
- oznaczenie administratora danych osobowych i adres jego siedziby lub miejsca zamieszkania, w tym numer REGON (jeśli został mu nadany) oraz podstawę prawną upoważniającą do prowadzenia zbioru,
- jeżeli przetwarzanie danych zostało powierzone innemu podmiotowi w drodze umowy zawartej na piśmie lub jeśli przedstawicielowi w Polsce podmiotu przetwarzającego dane, który ma swoją siedzibę albo miejsce zamieszkania w państwie trzecim - należy oznaczyć ten podmiot i adres jego siedziby lub miejsca zamieszkania,
- cel przetwarzania danych,
- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
- sposób zbierania oraz udostępniania danych,
- Informacja o odbiorcach lub kategriach odbiorców, którym dane moga być przekazywane,
- opis środków technicznych i organizacyjnych zastosowanych w celu przetwarzania danych zgodnie z wymogami ustawowymi (w tym w celu przestrzegania obowiązków administratora danych), wymaganych również przez ustawę o ochronie danych osobowych,
- informację o sposobie wypełnienia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Do GIODO należy również zgłaszać wszelkie zmiany powyższych informacji - w terminie 30 dni od jej dokonania w zbiorze.
Czy zatem zgłaszając zbiór danych osobowych do rejestracji, zgłaszamy również każdy adres e-mail, imię czy nazwisko, jakie znajduje się w tym zbiorze? Na szczęście nie. Zgłaszamy sam zbiór, a nie wszelkie zawarte w nim informacje. Nie tylko nie wpisujemy posiadanych adresów mailowych, ale także nie musimy wysyłać nowych zgłoszeń z każdą kolejną daną osobową w naszej bazie.
Kiedy można rozpocząć przetwarzanie danych osobowych? W przypadku danych osobowych takich, jak e-mail, imię i nazwisko (a więc nie danych wrażliwych), można rozpocząć ich przetwarzanie w zbiorze po jego zgłoszeniu.
Wzór zgłoszenia określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. W sprawie wzrou zgłoszenia zbiotu danych do rejestracji Generalnemu Inspektorowi Danych Osobowych. Więcej informacji o zgłaszaniu zbiorów znajdziecie na stronie internetowej GIODO.
Odpowiedzialność karna
Warto pamiętać, że za przetwarzanie danych osobowych niezgodnie z ustawą o ochronie danych osobowych (np. nie będąc do tego uprawnionym czy umożliwianie dostepu do danych osobom nieuprawnionym), ustawa przewiduje odpowiedzialnośc karną i kary: grzywny, ograniczenia wolności a nawet jej pozbawienia.
Podsumowanie
Na wskazaniu wybranych obowiązków administratora danych osobowych kończymy wycieczkę po prawnych regulacjach dotyczących newsletterów - oczywiście w pewnym zakresie :) Mam nadzieję, że po lekturze części pierwszej, drugiej i niniejszej trzeciej będzie Ci łatwiej poruszać się w kwestii podawania takich danych osobowych, jak adres e-mail, imię i nazwisko - obojętnie, po której stronie newslettera stoisz, odbiorcy czy nadawcy.
Z jakimi ciekawymi sytuacjami spotkaliście się, jeśli chodzi o newslettery? Jakie macie spostrzeżenia o podawaniu i przetwarzaniu danych osobowych? Dajcie znać poniżej!
Photo credit: mcfarlandmo via Foter.com / CC BY
Subskrybuj:
Posty (Atom)