Ne-odpovědnost poskytovatelů služeb informační společnosti v digitálním světě

Můj příspěvek je o odpovědnosti či neodpovědnosti poskytovatelů služeb informační společnosti. Je to téma možná poněkud exotické, ale zároveň dopadající do života a činnosti skoro nás všech, protože například Wi-Fi používáme někdy téměř všichni.

partner, HAVEL & PARTNERS s.r.o., advokátní kancelář
Foto: Fotolia

To, o čem budu dnes hovořit, bude vlastně shrnutí tématu, kterému se my právníci většinou nevěnujeme, ale je přitom důležité pochopit, kde najdeme zdroje právní úpravy a jaký je jeho výklad a rizika přehnané regulace či jejího výkladu. Toto téma je velmi ovlivněno judikaturou, zejména Soudního dvora EU, a v současné době také legislativními snahami evropské Komise, které se následně přesouvají k nám do gesce Ministerstva průmyslu a obchodu a částečně do gesce Ministerstva kultury. Zvažují se tedy právní úpravy, které by měly do určité míry omezit neodpovědnost poskytovatelů služeb. Na druhou stranu je potřeba dobře vážit konkurující si zájmy na svobodě projevu a službách široce poskytovaných veřejnosti versus zájmy na ochranu majetkových či osobnostních práv dotčených osob, do čehož samozřejmě zasahují i určité veřejné zájmy. Je ale zároveň potřeba neunáhlit se v právní regulaci. Tak se stalo například ve Španělsku, kde si jedna společnost vymohla, aby internetový vyhledávač Google nevyhledával její články v tištěných médiích a nedělal z nich stručné anotace, protože měla pocit, že tím je zasahováno do jejích autorských práv. Výsledkem bylo, že když zvítězila a Googlu bylo toto jednání zakázáno, společnost málem zkrachovala, protože o ní nikdo nevěděl, když články v prostředí internetu nebyly multiplikovány. 

Právní úprava a definice 

Právní úpravu, která ovládá toto odvětví, nalezneme zejména na úrovni Evropské unie ve směrnici e-Commerce 2000/31/ES, která má přispět úpravě některých právních aspektů služeb informační společnosti, zejména elektronického obchodu, na jednotném vnitřním trhu. Na směrnici reagoval český zákonodárce přijetím zákona č. 480/2004 Sb., o některých službách informační společnosti, (dále též jen „ZSIS“), který upravuje například otázky spamu, jevů, které často vídáme v nabídkách, jako je políčko pro jednoduché odhlášení apod. Nás ale budou zajímat zejména ustanovení, která vylučují odpovědnost poskytovatelů služeb a která upravují otázku filtrování a aktivního dohledu nad uživatelským obsahem na internetu.

Služba informační společnosti a poskytovatelé služby jsou definováni velmi široce. Službou je v zásadě cokoli, co se nabízí prostřednictvím internetu či jiných elektronických prostředků, obvykle za úplatu, ale judikatura dovodila, že to může být i bezplatně, a to právě v případě například Wi-Fi sítí, kdy jakkoli tato služba není zpoplatněná, jedná se stále o službu informační společnosti a principy odpovědnosti či neodpovědnosti zde stále vznikají.

Služby informační společnosti jsou definovány jak v e-Commerce směrnici, tak v zákoně o některých službách informační společnosti taxativním způsobem a jsou rozlišovány tři typy. Jejich definice je možná do určité míry vágní, tedy takové služby, o kterých bychom na první pohled nevěděli, kam patří, musíme zařadit do některé z taxativně vyjmenovaných kategorií. Například právě zmíněný Google, tzn. vyhledávače, se považují za služby třetího typu, tedy jako shromažďování informací a jejich ukládání, tzv. hosting.

Pokud jde o první službu datového připojení podle § 3 zákona o některých službách informační společnosti, tu označujeme jako mere conduit, tedy prostý přenos dat. Tuto službu čerpáme všichni, máme ji aktivovanou v mobilním telefonu, připojujeme se k Wi-Fi sítím atd. Poskytovatelem zde může být například telefonní operátor, provozovatel dopravního prostředku (například Wi-Fi ve vlacích, autobusech, tramvajích či v metru), obchody, restaurace ubytovací či rekreační zařízení, města apod.  

Další službou, kterou vnímáme podstatně méně, je tzv. caching, tedy služba spočívající v dočasném meziukládání informací, a to výhradně z toho důvodu, že tyto informace jsou pak využity ke zrychlení vyhledání a přenosu dané informace jinému uživateli. Jedná se o technickou službu, která vyhodnocuje zájem uživatelů o určitá data na internetu a tato data poté ukládá do mezipamětí, což zrychluje přístup dalších uživatelů k těmto datům. 

Konečně třetí službou je hosting, tedy ukládání uživatelských dat poskytovatelem služby za účelem jejich následného využití ať už samými uživateli nebo třetí osobou. Hostingem může být velmi široké spektrum služeb, typicky různá úložiště (uložto, rajče apod.), diskuzní fóra, internetová tržiště či obchody, případně též sociální sítě (Facebook, LinkedIn).

Aby něco bylo informační službou, musí být naplněny podmínky definované zákonem. Podle nich se musí jednat o automatizovanou službu, tedy nikoli individualizovanou z hlediska obsahu pro uživatele, nýbrž takovou, která funguje na základě technických algoritmů, v zásadě automaticky. Tedy při požadavku na službu dostanu odezvu, která je generována automatizovaně. Poskytovatel této služby by měl být vůči obsahu pasivní, tedy zásadně uživatelský obsah nezná, nefiltruje a nehodnotí.

Jádrem právní úpravy v eCommerce směrnici i v zákoně o některých službách informační společnosti je omezení odpovědnosti poskytovatelů služeb informační společnosti. Ty označujeme též zkratkou „ISP“ z anglických slov „Internet Service Provider“. Kdyby tato úprava neexistovala, poskytovatel služby jako podnikatel by odpovídal za protiprávní obsah, ať už v datovém toku v případě prostého přenosu, nebo v rámci ukládaných informací, a to podle občanského zákoníku a dalších obecných předpisů o odpovědnosti. To znamená, že například T-Mobile, ale i další telefonní operátoři by měli odpovídat za trestný čin, který zosnují pachatelé prostřednictvím mobilního telefonu. Ten, kdo provozuje diskový prostor pro ukládání dat uživatelů, by měl vedle nich odpovídat za poškození autorských práv, dotčení osobnostních práv apod. 

Vzhledem k tomu, že takto přísný princip odpovědnosti by prakticky vylučoval poskytování služeb informační společnosti veřejnosti, přináší úprava v e-Commerce směrnici a v ZSIS tzv. režim Safe Harbor, tedy zákonné vymezení podmínek, při jejichž splnění zůstává poskytovatel služby v „bezpečném přístavu“ a neodpovídá a ani nemůže odpovídat za data zasílaná, přijímaná, ukládaná či jinak zpracovávaná jednotlivými uživateli. Režim Safe Harbor je v e-Commerce směrnici a českém zákoně ale definován opačně. Evropská směrnice princip vyjadřuje správněji tím, že vymezuje podmínky, za kterých poskytovatel služby není odpovědný, zatímco český zákon vyjadřuje podmínky, kdy poskytovatel služby odpovídá, pokud naplňuje opačná kritéria, než jsou stanovena ve směrnici. Domnívám se, že legislativní metoda přepisu evropského práva tím, že jej přepíšeme opačně a zároveň zrcadlově nadefinujeme kritéria použití, není optimální. Princip podle české úpravy není správný ani teoreticky, neboť kritéria, podle kterých poskytovatel služby odpovídá, jsou obsažena v jiných předpisech, zejména v občanském zákoníku, trestním zákoníku a ve zvláštních zákonech, ale nikoli v předpisu, jehož smyslem je naopak omezit odpovědnost poskytovatelů služeb tak, aby vůbec mohly fungovat a být nabízeny veřejnosti.  

Prostý přenos dat a ukládání dat

Pokud jde o přenos dat podle čl. 12 směrnice, mají členské státy zajistit, aby poskytovatel služby nebyl odpovědný, pokud splní kumulativně tři podmínky: a) není původcem přenosu, b) nevolí příjemce přenášené informace, c) nevolí a nemění obsah přenášené informace. Je to o tom, že se jako uživatel připojím k Wi-Fi síti, sám si zadávám požadavky na stahování dat, která poskytovatel připojení nevyhodnocuje ani nezná. Česká právní úprava však říká opak – poskytovatel služby odpovídá, pokud přenos iniciuje, volí uživatele nebo volí či mění obsah přenášené informace. 

Hosting

Pokud jde o hosting, zde můžeme pozorovat dlouhodobý střet zástupců nositelů zejména autorských práv vůči zástupcům ISP a e-Commerce. Základní princip, na kterém dnešní praxe stojí, je princip Notice and take down. Po režimu Safe Harbor se jedná o další důležitý pojem z této branže. Tento princip znamená, že poskytovatel služby a priorineodpovídá za uživatelský obsah, tedy za cizí uživatelské informace, pokud nebyl účinně seznámen s protiprávní činností nebo si není protiprávní činnosti vědom z okolností, které by mu musely být zřejmé. Odpovídal by tedy tam, kde je protiprávnost zjevná. Poskytovatel služby zároveň (kumulativně) neodpovídá, pokud - jakmile ztratil nevědomost – bezodkladně jedná s cílem protiprávní obsah smazat. Česká právní úprava to v § 5 zákona o některých službách informační společnostiopět trochu zrcadlí a říká, že poskytovatel služby odpovídá, pokud si mohl být vědom protiprávnosti uživatelského obsahu a nejednal-li neprodleně s cílem ho odstranit. Pokud by došlo k rozporu mezi výkladem evropského a českého práva, měli bychom pochopitelně vykládat i český zákon eurokonformně v rámci smyslu dané právní úpravy, kterým je odpovědnost za splnění určitých podmínek omezit, a nikoli ji definovat.  

Určité zmatení je dokumentováno výkladovým stanoviskem Ministerstva průmyslu a obchodu z roku 2012, které se tváří jako výkladové stanovisko k zákonu o některých službách informační společnosti, nicméně popisuje odpovědnost poskytovatelů služby za vlastní protiprávní jednání. Co do závěru je stanovisko správné, neboť pokud poskytovatel aktivně jedná ve vztahu k uživatelskému obsahu, pak odpovídá za jeho obsah a způsobené škody. Problém je ale v tom, že se nejedná o výklad k zákonu o některých službách informační společnosti, nýbrž k občanskému zákoníku, k odpovědnosti za jednání podnikatele. Neslučujme tedy aktivní poskytování služby, kdy platí běžné právo, a pasivní poskytování služby, technické automatizované, kde by měl platit režim Safe Harbor, tedy omezení odpovědnosti tak, aby služba byla vůbec poskytovatelná a mohla vůči veřejnosti fungovat. 

Judikatura

Ačkoli zde máme právní úpravu zákona o některých službách informační společnosti již od roku 2004, nemáme zde v podstatě žádnou českou judikaturu. Rozsudků vyšších soudů, které by se zabývaly střety poskytovatelů služeb a nositelů práv, je naprosté minimum. Většinu judikatury proto musíme dovozovat z praxe Soudního dvora EU.

Ve věci společnosti Google proti Louis Vuitton si společnost Louis Vuitton stěžovala na to, že vyhledávač Google nalezne i padělky této módní značky. Otázkou bylo, zda Google má odpovědnost za to, že dané výsledky uživatelům vyhledá a ti následně poškozují společnost Louis Vuitton tím, že je padělky. Optikou práva bychom měli dovodit, že společnost Google zůstává v mantinelech Safe Harbor, tedy že služba, kterou poskytuje, je neutrální, funguje pouze na základě předem definovaných technických algoritmů, které automatizovaně na základě určitého dotazu dají určitý výsledek. Google tedy data nevyhodnocuje z hlediska obsahu, nemění je, výsledek je pouze výsledkem automatizované práce strojů. Pokud bychom chtěli činit Google za toto odpovědný, pak prakticky vyhledávač nemůže fungovat, neboť by byl odpovědný za jakýkoli protiprávní záměr uživatele, který zadá vyhledání protiprávní situace. Tento případ proto asi správně skončil tak, že Google byl shledán neodpovědným, neboť se udržel v mezích technické neutrality, nevědomosti a svědčí mu proto režim Safe Harbor, bezpečného přístavu. 

Případ Google byl do jisté míry zpochybněn v kauze The Pirate Bay, známého serveru nabízejícího nelegální hudbu a filmy. The Pirate Bay u Soudního dvora EU prohráli zejména proto, že jejich služba byla aktivní. Aktivně třídili a nabízeli uživatelům protiprávní obsah, čímž vybočili z mezí pasivity režimu Safe Harbor, pročež se stali za své aktivní jednání odpovědní. Velmi sporná je však otázka indexace, kdy Soudní dvůr EU zahrnul do aktivního jednání The Pirate Bay i indexaci obsahu, což je podle mého názoru přehnané. Indexaci dělá i Google a samotnou indexací obsahu podle mého názoru nelze vybočit z režimu Safe Harbor, neboť ta je z hlediska technického nezbytná pro to, aby služba vůbec mohla fungovat. Samotná indexace obsahu by tedy neměla vybočovat z mezí automatizace, pasivity, neutrality, a tím pádem z hranic režimu Safe Harbor.

Další zajímavou kauzou je spor kosmetické značky L'Oréal proti společnosti eBay. Server eBay nakoupil službu AdWords, kdy na základě předem definovaných slov prioritizuje určitý obsah vyhledávání. Bohužel v tomto případě nakoupil právě kombinaci slov „napodobenina“ či „padělek“ a „L'Oréal“ a výsledky vyhledávání prioritizoval, tedy aktivně pozměňoval uživatelský obsah, resp. jeho vyhledávání a zobrazování. A právě proto zde SD EU již konstatoval, že eBay za obsah odpovídá, neboť vybočil z hranic pasivity režimu Safe Harbor.

Další případ Papasavvas vedl k prohře poskytovatele služby, neboť určité vydavatelství disponovalo vlastní internetovou stránkou, kde probíhala diskuse, ale tato diskuze byla redakční, tedy byla vedena zaměstnanými redaktory samotného poskytovatele služby. Nešlo tedy vůbec o uživatelská data. Proto bylo rozhodnuto, že se v tomto případě vůbec nejedná o režim Safe Harbor, neboť je to vlastní jednání této společnosti a její vlastní data. 

Určitou hranici v rámci výkladu představuje případ Tobias McFadden versus Sony Music Entertainment Germany, kdy pan McFadden byl drobným podnikatelem, který měl v rámci svého obchodu bezplatnou Wi-Fi síť. Zákazník si v jeho obchodě stáhl písničku, k níž vykonávala majetková práva společnost Sony Music Germany. Vznikl spor, který se dostal až k Soudnímu dvoru EU, kdy k překvapení většiny skončil vítězstvím Sony Music, když soud konstatoval povinnost zdržet se provozování bezplatné Wi-Fi sítě. Není zde sice nárok na náhradu škody, protože sám poskytovatel bezplatné sítě žádnou škodu nespáchal. Avšak poskytovateli služby, panu McFaddenovi, byla uložena povinnost zdržet se provozování bezplatné Wi-Fi sítě a zároveň mu soud doporučil, aby síť zabezpečil heslem a heslo vydával pouze na základě identifikace uživatelů služby, tedy že by měl osobu uživatele identifikovat (!). To je podle mého názoru zcela mimo realitu informační společnosti, bavíme-li se například o Wi-Fi sítích v metru apod. Tento rozsudek má spíše dokumentovat, co stane, když se právní úprava, resp. výklad odpovědnosti poskytovatelů služeb informační společnosti přežene. Vedlo to k tomu, že poctiví Němci, kteří se obávali judikatury Soudního dvora EU, přestali nabízet volné připojení k Wi-Fi síti. Rád bych podotkl, že i Němci posléze pochopili, že nejvíce poškozenou je nakonec samotná veřejnost, a následnou novelizací pak vytvořili pozitivně-právní úpravu, která opět umožnila provozování anonymních Wi-Fi sítí v Německu.

Ochrana osobních údajů ze strany ISP

Na závěr bych rád zmínil, že je otázka, jak přistupovat k osobním údajům, k nimž se poskytovatel služby informační společnosti nutně dostává. Může se jednat například o cloudové uložiště. Závěr je poměrně jednoznačný – i na osobní údaje dopadá režim Safe Harbor, tedy poskytovatel služby by neměl a priori cenzurovat a vyhodnocovat uživatelský obsah. Nicméně poskytovatel služby je zároveň zpracovatelem osobních údajů. Pokud tyto osobní údaje někdo nahraje, pak tato osoba je buď správcem nebo je to fyzická osoba, na kterou GDPR nedopadá. Na poskytovatele služby pak dopadají povinnosti zpracovatele osobních údajů. 

Kongres Právní prostor 2018

Ve dnech 24. a 25. dubna 2018 se v Seči u Chrudimi konal již 8. ročník odborného kongresu Právní prostor. Záštitu nad kongresem převzal předseda Ústavního soudu JUDr. Pavel Rychetský a Česká advokátní komora. 

Více informací o kongresu naleznete na http://www.kongrespravniprostor.cz/.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články