We Wrocławiu pozew przeciwko Naszej-klasie w związku z phishingiem

Przed Sądem Okręgowym we Wrocławiu rozpoczyna się proces, w którym osoba fizyczna domaga się od spółki Nasza-klasa.pl sp. z o.o. przeprosin (w lokalnym tygodniku i w internecie) oraz zadośćuczynienia w wysokości 50 tys. złotych. Wszystko w związku z tym, że w ramach serwisu internetowego ktoś założył profil, za jego pomocą podszywał się pod powoda (imię, nazwisko, zdjęcie), a podszywając się wysyłał do "setek osób" obraźliwe komunikaty. Mamy to więc do czynienia z pewną formą phishingu. Sprawa może być również ciekawa, ze względu na praktykę stosowania przepisów dotyczących instytucji "notice and takedown". Tę sprawę należy również oceniać w świetle niedawnego wyroku Europejskiego Trybunału Praw Człowieka, który wyznaczył "nowy" standard ochrony prywatności: Wyrok ETPCz: prawo dochodzenia roszczeń w przypadku naruszenia prywatności.

Sprawę fałszywego profilu w Naszej-klasie opisuje wrocławska Gazeta Wyborcza w tekście Sąd osądzi fałszywe konto na Naszej-klasie. Sposób działania osoby, która "wzięła na cel" powoda, polegał m.in. na tym, że - przykładowo - rozesłał "w jego imieniu" zaproszenia na festiwal kultury żydowskiej. Podszywający się podał również adres kontaktowy powoda, a w wyniku rozesłania anonsu odpowiedziały do niego organizacje żydowskie z całego świata.

Początkowo postanowiono wykorzystać przepisy dotyczące gróźb bezprawnych. Jak pisze Gazeta Wyborcza: "Prokuratura umorzyła sprawę gróźb, bo pan Andrzej w czasie przesłuchania szczerze przyznał, że nie bardzo się ich boi". Chodzi o to, że o przestępstwie z art. 190 § 1. Kodeksu karnego, a więc o groźbie bezprawnej, można mówić jedynie wówczas, gdy "groźba wzbudza w zagrożonym uzasadnioną obawę, że będzie spełniona". Z tekstu Gazety wynika, że pokrzywdzeni dowiedzieli się przy okazji, że bardziej właściwym sposobem działania w tym przypadku jest złożenie prywatnego aktu oskarżenia w związku z pomówieniem w środkach masowego komunikowania - art. 212 § 2. Kodeksu karnego (na marginesie - por. Znieważenie Prezydenta RP, "oficjalna" witryna Prezydenta i proces karny za SEO).

Jeśli dobrze rozumiem tekst Gazety Wyborczej - ostatecznie zdecydowano się na proces cywilny o naruszenie dóbr osobistych. Chociaż wysyłano monity i prośby o reakcję - przez półtora miesiąca Nasza-klasa nie zablokowała konta osoby podszywającej się pod pokrzywdzonego. W tym czasie podszywający się (wedle relacji: znany pokrzywdzonemu "dawny znajomy, który wyjechał do Niemiec") dalej prowadził swoją działalność. W innej części tekstu mowa jest o dwóch tygodniach, co - jak się wydaje - związane jest z przyjętą przez portal procedurą reagowania. Tu cytowana jest wypowiedź przedstawiciela serwisu Nasza-klasa, który tłumaczy, że początkowo nie reagowano, gdyż pokrzywdzony nie skorzystał z "formularza kontaktowego":

...zgodnie z regulaminem jest on jedyną formą kontaktu użytkownika z biurem obsługi. Poza tym zgodnie z naszą procedurą, zaakceptowaną przez GIODO, zwracamy się do osoby, która jest właścicielem danego konta w serwisie, z prośbą o weryfikację. Jeśli nie dostaniemy informacji zwrotnej, po 14 dniach usuwamy konto. Tak też się stało w tym przypadku.

Komentując pozew przedstawiciel Naszej-klasy twierdzi, że wydawca nie może być odpowiedzialny ze względu na wyłączenie odpowiedzialności przewidziane w ustawie o świadczeniu usług drogą elektroniczną. To jest właśnie ten wątek, który dotyczy instytucji "notice and takedown" (art. 14 ustawy o świadczeniu usług drogą elektroniczną), a w tym: dotyczący "wiarygodnej wiadomości" (por. "Notice and takedown" od drugiej strony, czyli jeśli dojdzie do nadużycia, Pytania prejudycjalne na temat działania internetowych wyszukiwarek, Nie wiem jak było, ale wyłączyli anime.com.pl, Roszczenie przeciwko serwisom aukcyjnym o zaniechanie naruszenia, Można złożyć pozew o naruszenie dóbr osobistych, ale ciekawa jest też trzykrotność wynagrodzenia, Dyskusja na temat odpowiedzialności administratorów serwisów "ery 2.0", Dyskusje: Odpowiedzialność firmy hostingowej za przechowywanie danych o bezprawnym charakterze, Depozycjonowanie: prowokuję do dyskusji, Dyskusji ciąg dalszy: promocja zasobów i stanowisko Wykop.pl). W odpowiedzi na pozew Nasza-klasa złożyła wniosek o oddalenie powództwa i umorzenie sprawy.

Pytanie, które może rozstrzygnąć sąd, może brzmieć następująco: czy skorzystanie z procedury regulaminu (zgodnie z ustawą o świadczeniu usług drogą elektroniczną regulamin wiąże świadczącego usługi), który to regulamin przewiduje 14 dni na zablokowanie bezprawnych treści (w tym przypadku - blokadę konta osoby, która się podszywa pod inną osobę), jest zgodne z procedurą przewidzianą w art. 14 ustawy o świadczeniu usług drogą elektroniczną, zgodnie z którą świadczący usługi nie ponosi odpowiedzialności, gdy m.in. w razie uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych? Dopełnieniem tej instytucji jest wyłączenie odpowiedzialności usługodawcy (Nasza-klasa) względem usługobiorcy (w tym przypadku: osoby, która profil założyła). Zgodnie z art. 14 ust. 3 ustawy o świadczeniu usług drogą elektroniczną:

Usługodawca, który uzyskał wiarygodną wiadomość o bezprawnym charakterze przechowywanych danych dostarczonych przez usługobiorcę i uniemożliwił dostęp do tych danych, nie odpowiada względem tego usługobiorcy za szkodę powstałą w wyniku uniemożliwienia dostępu do tych danych, jeżeli niezwłocznie zawiadomił usługobiorcę o zamiarze uniemożliwienia do nich dostępu.

Postępowanie zatem powinno - jeśli usługodawca nie chce ponosić odpowiedzialności - polegać na tym, że po uzyskaniu "wiarygodnej wiadomości" bezzwłocznie blokuje konto i jednocześnie informuje osobę, która konto założyła. Jeśli poinformuje - nie będzie ponosić odpowiedzialności za takie zablokowanie względem osoby, która profil założyła, nie będzie też ponosić odpowiedzialności "za przechowywane dane" względem osoby, która domaga się ochrony (pokrzywdzony). Tu było inaczej - nie zablokowano konta dając osobie, która podszywała się pod pokrzywdzonego, czas na dalsze krzywdzące działania.

Jeśli spółka powołuje się na swój regulamin ("zaakceptowany przez GIODO"), to pytanie, czy postanowienia tego regulaminu zawierają w sobie klauzule abuzywne? Zgodnie z Kodeksem cywilnym – w razie wątpliwości uważa się, że niedozwolonymi postanowieniami umownymi są te, które w szczególności: wyłączają lub ograniczają odpowiedzialność względem konsumenta za szkody na osobie. Regulamin taki może zostać poddany ocenie przez Sąd Ochrony Konkurencji i Konsumentów, a z pozwem o uznanie postanowień wzorca umowy za niedozwolony może wystąpić każdy. Rejestr postanowień wzorców umownych, uznanych za niedozwolone można znaleźć na stronie Urzędu Ochrony Konkurencji i Konsumentów: Rejestr klauzul niedozwolonych. Znalazły się tam już klauzule z regulaminów Allegro (QXL Poland sp. z o.o. w Poznaniu), Domeny.pl Sp. z o. o. w Krakowie, "Interia.pl" S.A. w Krakowie, NetArtu, Naukowej i Akademickiej Sieci Komputerowej (w zakresie rejestracji domen i w związku z sądownictwem polubownym ds domen internetowych). Być może ktoś uzna, że należy się przyjrzeć "zaakceptowanemu przez GIODO" regulaminowi Naszej-klasy.

Czytelnicy pamiętają pewnie spór, który prowadzi osoba domagająca się usunięcia podpisu pod zdjęciem opublikowanym w Naszej-klasie: GIODO: imię, nazwisko, zdjęcie, szkoła, klasa i rocznik - łącznie - nie są danymi osobowymi... (tu skarżący miał zamiar poprosić o ocenę decyzji GIODO sąd administracyjny; dodatkowo - w uzasadnieniu decyzji GIODO napisał o możliwości dochodzenia roszczeń przed sądem cywilnym, właśnie w związku z zagrożeniem lub naruszeniem dóbr osobistych). Inny tego typu przypadek dotyczy serwisu towarzyskiego Ery: Identyfikacja użytkowników, pomówienie w SMS-owym serwisie towarzyskim i odpowiedzialność (jej brak). Wcześniej pisałem o anonsach w Wirtualnej Polsce oraz o sprawach sądowych (cywilnych i karnych) z nimi związanych: Proces o dobra osobiste w Polsce i Zawieszono proces, Ugoda Mokrosińskiej z WP.

Pojawia się zatem polska praktyka sądowa związana z wyłączeniem odpowiedzialności na podstawie art. 14 ustawy o świadczeniu usług drogą elektroniczną. Rozprawa dotycząca odpowiedzialności wydawcy serwisu Nasza-klasa.pl ma się odbyć przed Sądem Okręgowym we Wrocławiu już w przyszłym tygodniu.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Fajna sprawa się zapowiada.

Fajna sprawa się zapowiada. A w notce poruszyłeś kilka ciekawych wątków.

Ja konsekwentnie twierdzę, że NK i jej podobne serwisy w zakresie danych o innych osobach umieszczanych przez użytkowników (taki swoisty user generated content) są podmiotami, o których mowa w art. 14 u.ś.u.d.e. Czyli hosting, co wg mnie powoduje, że są to podmioty przetwarzające dane osobowe na zlecenie. A jak hosting, to nasza ułomna notice and take down procedure.
Czy 14 dni to jest "niezwłocznie"? IMHO, nie i to z dwóch powodów. Po pierwsze, to jest długo. Zwłaszcza, jak coś jest dostępne w sieci na bardzo popularnym portalu. Po drugie, to host provider (NK) ma sam zdecydować, czy coś narusza prawo, czy nie. Żeby to zrobić, nie musi pytać administratora danych (ustawa mówi tylko, że ma go poinformować a i to tylko do wyłączenia odpowiedzialności cywilnej względem niego). Czyli 14 dni to za długo i moim zdaniem można NK przypisać odpowiedzialność (inna sprawa, za co).

Druga sprawa, to regulamin "zatwierdzony przez GIODO". Nie mylmy dwóch kwestii - ew. odpowiedzialności administracyjnej przed GIODO i cywilnej. Jedno nie ma nic wspólnego z drugim. Czyli moim zdaniem okoliczność uzgodnienia regulaminu z GIODO nie ma znaczenia.

Trzy - klauzule abuzywne. To jest regulamin umowy - umowy o świadczenie usług drogą elektroniczną. Więc jak najbardziej powinien być oceniany pod tym kątem.

A na koniec taka moja prywatna uwaga - osobiście postawa NK mnie po prostu irytuje. Bo co może być bardziej wiarygodną wiadomością, niż dyspozycja uprawnionego względem jego dobra osobistego? Jak ja muszę się uwiarygodnić, że nie chcę być w serwisie NK? Serwis aż się prosił o proces cywilny...

Nie mylmy :)

VaGla's picture

Nie mylmy dwóch kwestii - ew. odpowiedzialności administracyjnej przed GIODO i cywilnej. Jedno nie ma nic wspólnego z drugim.

Tak sobie myślę, że ten apel był skierowany do czytelników, gdyż ja celowo umieściłem nawiązanie do "zatwierdzonego przez GIODO" regulaminu w cudzysłowie (i nawet dwa razy o tym napisałem), bo oczywiście zdaje sobie sprawę, że ma to małe znaczenie dla wzorca umownego, że GIODO nie dopatrzył się naruszenia zasad (administracyjnoprawnej) ochrony danych osobowych. Inna sprawa, czy faktycznie taki regulamin i jego niepodważenie przez GIODO świadczy o tym, że dane (osobowe) są przetwarzane zgodnie z prawem.

Skoro mowa o danych osobowych - proszę zwrócić uwagę, że mamy to do czynienia z sytuacją, w której ktoś przetwarza cudze dane osobowe, które pozyskał nie od osoby, której dane dotyczą. Ja również uważam, że Nasza-klasa występuje tu w charakterze usługodawcy (Paweł pisze o hostingu, a ja wolałbym posługiwać się polskimi określeniami ustawowymi, gdzie to tylko możliwe, chociaż wiem, że nie zawsze się da). Przypuszczam również, że obok tej funkcji usługodawcy Nasza-klasa przetwarza również dane osobowe (chociaż GIODO stwierdził w konkretnej sprawie i na przykładzie konkretnych danych, że nie są to dane osobowe). Gdyby sąd podważył decyzje GIODO i uznał, że jednak są to dane osobowe (a przy okazji danymi osobowymi byłyby - na gruncie sprawy opisanej w notatce - również imię, nazwisko i zdjęcie pokrzywdzonego z imprezy sylwestrowej), to te dane nie pochodzą od osoby, której dotyczą. A to oznacza, że powinny zostać spełnione obowiązki informacyjne w stosunku do osoby, której dane dotyczą... Czy to oznacza obowiązek potwierdzania tożsamości? Zamyka nam to serwisy społecznościowe, zamyka nam to w ogóle możliwość prowadzenia anonimowej komunikacji. Nota bene - wydaje mi się, że już przywołany w linku do sąsiedniej notatki wyrok Europejskiego Trybunału Praw Człowieka odbiera nam prawo do anonimowej komunikacji, a to oznacza, że w relacjach komunikacji publicznej (do nieoznaczonej liczby odbiorców komunikatu) powinniśmy się identyfikować (i to w sposób wiarygodny, a to oznacza PKI lub inne formy uwierzytelnienia z udziałem zaufanej strony trzeciej).

Czy nie uważacie Państwo, że praktyka rozwiązywania starych dylematów prowadzi właśnie w tym kierunku?

--
[VaGla] Vigilant Android Generated for Logical Assassination

Absurd

A co ma regulamin do nieużytkownika? Przecież akceptacja przez GIODO nie jest równoznaczna akceptacji regulaminu przez wszystkich obywateli Polski. Czy taka skarga zostanie dostarczona na abuse@ webmaster@ support@ czy za pomocą formularza kontaktowego powinna zostać obsłużona. Jedyną konsekwencją nieprzestrzegania regulaminu usługi może być zaprzestanie świadczenia danej usługi, chyba że gdzieś w ustawie przegapiłem artykuł o wyższości regulaminu dostawcy usług nad ustawą.

Zawsze można twierdzić,

Zawsze można twierdzić, że są to zasady zgłaszania przypadków naruszenia prawa przez treści w serwisie. Ale wtedy powstaje pytanie, czy i jak dochodzi do ich inkorporacji do stosunku prawnego ze zgłaszającym. I czy to w ogóle byłaby umowa, co warunkuje możliwość oceny przez pryzmat klauzul abuzywnych?

wiarygodna wiadomość o bezprawnym charakterze

W temacie "wiarygodnej wiadomości o bezprawnym charakterze" w rozumieniu art. 14 ust. 1 Ustawy o świadczeniu usług drogą elektroniczną polecam tekst kolegi - Marcina Błaszyka, jako wpisujący się w dyskusję:

http://blaszyk-jarosinski.pl/?p=98

"Nie wdając się w bardziej

Nie wdając się w bardziej szczegółowe rozważania należy stwierdzić, że wiadomość jest wiarygodna, jeżeli pochodzi od osoby, której dane dotyczą.

Twierdzę to z uporem godnym lepszej sprawy od czasu zaistnienia sprawy z odmową usunięcia danych przez NK. Miło, że ktoś twierdzi to samo ;-)

Natomiast ja bym się z przyjemnością wdał w "bardziej szczegółowe rozważania" - otóż należałoby wyjść od koncepcji Grundrecht auf informationelle Selbstbestimmung, jak to określił niemiecki Federalny Trybunał Konstytucyjny. Skoro więc Konstytucja gwarantuje prawo jednostki do zasadniczo samodzielnego stanowienia o ujawnianiu i używaniu jej danych osobowych, każda dyspozycja jednostki w tym zakresie jest nie tyle wiarygodna, co wiążąca podmiot przetwarzający dane. I to już wystarczy - NK była zobowiązana do usunięcia danych. Rozważania okazały się jednak dosyć krótkie ;-))

Pytanie tylko, czy mamy

Pytanie tylko, czy mamy pewność, że wiadomość pochodzi od osoby, której dane dotyczą. Jeśli tego nie wiemy, to problematyczne staje się stawianie tezy, że wiadomość jest wiarygodna.

Każdy może przesłać zgłoszenie do NK z żądaniem usunięcia określonego profilu, stwierdzając, że znajdują się tam dane dotyczące jego osoby. Gdyby NK każde zgłoszenie traktowała jako "wiarygodną wiadomość" i na tej podstawie usuwało profile, to mogłoby dojść do sytuacji odwrotnej. Chcąc dokuczyć "Kowalskiemu" wystąpię z żądaniem usunięcia jego profilu, twierdząc, że profil ten odnosi się do mojej osoby.
NK usunie profil, a prawdziwy Kowalski wystąpi z roszczeniem wobec NK o nienależyte wykonanie usługi.

wiarygodna wiadomość, a formularz "zgłoś naruszenie"

NK chyba w zależności od "pogody" pewne wiadomości traktuje jako wiarygodne, inne nie. Mam pismo z portalu gdzie przedstawiciel NK twierdzi, że informacja zgłoszona za pośrednictwem formularza "zgłoś naruszenie" nie może być traktowana jako wiarygodna. Dalej NK również podważa informacje za pośrednictwem poczty (ZPO), ale szczytem jest to, że portal nie ma pewności co do wiarygodności informacji uzyskanej od kancelarii prawnej.

"Wielki przyjaciel portalu" Pan Michał być może i zatwierdził taki czy inny regulamin, ale jeśli ustawa mówi inaczej, to chyba nie wiele wart jest ten papier? Ostatnio dostałem pismo, w którym Urząd odnosi się do mojego zaskarżenia decyzji do WSA, powołując się na Pana Doktora Prawa i jego publikację precyzuje co to są dane osobowe, a co nie, w odniesieniu do mojej sprawy. Należy tylko ubolewać, bo Urzędnicy nie przeczytali co Pan Doktor Prawa napisał na łamach RP w tej konkretnej sprawie, więc dalej Urząd pozostanie przy "swoim", strasząc obywatela "....pozamykam Wam wszystkie portale..." Teraz czekam na ruch WSA, a równolegle dam co nieco zajęć Sądowi Okręgowemu we Wrocławiu…

piekny cyrk :)

pierwsza sprawa, to kwestia formularza kontaktowego. czy
nasza klasa daje jakiekolwiek potwierdzenie wyslania
wiadomosci za pomoca formularza? jesli nie, jest to bardzo
sprytny mechanizm, ktory umozliwia "granie glupa".

druga sprawa, to smiechu warta procedura uwiarygodnienia
sie przez "znajomego z Niemiec". konto zawieralo dane
pokrzywdzonego, wiec dlaczego nie moze on po prostu
poprosic o usuniecie "wlasnego" konta? powinno wystarczyc
wylegitymowanie sie dowodem tozsamosci. chyba, ze trzeba
wyslac prosbe z odpowiedniego konta poczty elektronicznej..
ech, ta wirtualna rzeczywistosc :)

druga sprawa, to smiechu

druga sprawa, to smiechu warta procedura uwiarygodnienia sie przez "znajomego z Niemiec". konto zawieralo dane pokrzywdzonego, wiec dlaczego nie moze on po prostu poprosic o usuniecie "wlasnego" konta? powinno wystarczyc wylegitymowanie sie dowodem tozsamosci. chyba, ze trzeba wyslac prosbe z odpowiedniego konta poczty elektronicznej..

Faktycznie cyrk, co do powyższego. Mnie jest dwóch (znaczy nazywam się Jakub Klawiter i jest jeszcze ktoś kto nazywa się tak samo). Ja nie mam i nigdy nie miałem konta na nasza-kasa.pl ale ponieważ "wszyscy mają tam konta" wychodzi, że tamten "ja" owszem takie konto posiada.

Potrafię się wylegitymować dowolną ilością dokumentów potwierdzających, że nazywam się jak się nazywam. Kwalifikowane 2kB tekstu za 200 zł też mogę sobie wyrobić. Znaczy, że mogę usunąć jego konto?

IMO problem jest gdzie indziej. Jeśli użytkownik X założył konto w firmie hostingowej nasza-klasa podszywając się za obywatela Y. Ten drugi powinien skarżyć tylko i wyłącznie obywatela X i od niego żądać odszkodowania.
Cały pomysł, żeby winny był serwis jest IMO z gruntu nie trafiony. Przecież jeśli taka sprawa zakończy się wypłatą przez n-k odszkodowania to ja rzucam pracę i zaczynam "wyłudzać". A co to za problem podpiąć się do sieci w Pcimiu pod Edynburgiem, założyć swoje konto, pospamować trochę, a później tylko żądać usunięcia własnego konta już korzystając z sieci w domu?

Dlaczego jeśli wykupię domenę vagla.сом i zacznę tam udawać blog właściciela niniejszego serwisu miałby on skarżyć firmę hostingową w Uzbekistanie, a nie mnie osobiście?

Albo odwrotnie w jaki sposób przedsiębiorstwo jak nasza-kasa ma weryfikować czy "ja to ja" skoro cała usługa opiera się na tym, że każdy kto chce zakłada konto i tworzy społeczność, czy to ludzi którzy chodzili do szkoły, czy nie wiem publikują screencasty na vimeo.com.

A jeśli napiszę "list do redakcji" udając kogoś i redakcja ten list wydrukuje to co? Też skarży się redakcję? Przecież to durne... choć pewnie nie tyle durne, co ja nic nie kumam, bo jestem nieprzystosowany.

Dlaczego jeśli wykupię

Dlaczego jeśli wykupię domenę vagla.сом i zacznę tam udawać blog właściciela niniejszego serwisu miałby on skarżyć firmę hostingową w Uzbekistanie, a nie mnie osobiście?

Uzbekistan to zupełnie inna bajka, ze względu na inne przepisy.
Powiedzmy, że hoster jest w Świnoujściu. Wtedy Vagla może zgłosić do firmy hostującej naruszenie praw autorskich za pomocą wiarygodnej wiadomości, dzięki czemu materiały zostaną natychmiast zdjęte, a przy okazji poprosić o zabezpieczenie w miarę możliwości logów dostępu do danego serwisu - przydatne ze względu na opóźnienia proceduralne. Następnie może wystąpić na drodze cywilnej przeciwko autorowi strony (oraz, jeżeli to potrzebne o ustalenie tożsamości autora, podpowiadając, że te dane znajdują się na fakturach z firmy hostującej) i zarządać zadośćuczynienia przewidzianego w ustawie.

Jeżeli administratorzy danego serwera/serwisu odmówią zablokowania treści naruszających czyjeś dobra, pomimo otrzymania wiarygodnej wiadomości, to mogą usiąść na ławie oskarżonych razem z autorem treści.

Jeżeli N-K czuje się na siłach, żeby odpowiadać za wszelkiego rodzaju treści publikowane na łamach ich serwisu (nie mają zapisu w regulaminie, że konto może zostać usunięte w wyniku zgłoszenia naruszenia w trybie Art.14 ustawy o świadczeniu usług drogą elektroniczną), to znaczy, że wszystkie treści na ich stronie zamieszczone przez użytkowników są weryfikowane podczas uploadowania i dają na to 100% gwarancję pod groźbą współodpowiedzialności za naruszenie. Czyli sami się pchają na ławę oskarżonych i nikt nie może mieć o to do nich pretensji.

No właśnie Uzbekistan to

wariat's picture

No właśnie Uzbekistan to zupełnie inna bajka i to chyba jest ten problem. Rozumiem jak to zostało wymyślone, ale kompletnie nie trafia do mnie dlaczego tak.

Mamy takie czasy, że mogę założyć "firmę" gdziekolwiek (pewnie z jakimiś ograniczeniami), nie koniecznie w .pl.
Dowolna firma może hostować swój projekt również gdziekolwiek na świecie, nie koniecznie w Uzbekistanie, ale równie nie koniecznie w kraju gdzie została zarejestrowana.
Z punktu widzenia użytkowników serwisu to żadna różnica, bo "internet jest jeden".

A skoro tak, wniosek jest taki, że dla usługodawcy najwygodniej jest działać "z zewnątrz", bo wtedy nie grozi mu pozew o odszkodowanie za to, że użytkownik X podał się za użytkownika Y - co było dla usługodawcy niemożliwym do zweryfikowania. (Przy okazji takie "na zewnątrz" jest też poza zasięgiem GIODO itp.) Pamiętajmy, że nie chodzi tylko o założenie konta ZAMIAST użytkownika Y. Jeśli system blokowania kont będzie działał sprawnie możliwe jest również podanie się za użytkownika i nakazanie usunięcia rzekomo fałszywego konta.

Przedsiębiorca (usługodawca) jest tu bezsilny, bo chyba nie chodzi o to, aby "wiarygodne doniesienie" w przypadku serwisu nasza-klasa oznaczało obowiązek stawienia się w siedzibie firmy, z dowodem osobistym, kompletem świadectw szkolnych i albumem zdjęć z dzieciństwa/młodości (bo przecież w takiej Warszawie Janów Kowalskich mogło być wielu w jednym roczniku, ba w jednej klasie być może).

Tak wiem, trochę koloryzuję, ale IMO mamy tu do czynienia z klasycznym "przegięciem w drugą stronę".

Zgadzam się usługodawca powinien mieć obowiązek natychmiastowego zablokowania dostępu do treści, które można ocenić jako "niezgodne z prawem" w sposób nie wymagający "specjalnej weryfikacji".
Ale w przypadku jak opisany powyżej i wszystkich podobnych uważam, że powinno się wymagać co najwyżej szczegółowego logowania (zapisywania w dzienniku) informacji o dostępie do danych treści/kont w ramach zabezpieczenia materiału dowodowego. A skarżyć powinno się tylko osobę która "narobiła zamieszania".

Inaczej tak na prawdę otwiera się szerokie pole do nadużyć. Bo skoro usługodawca nie może jednoznacznie zweryfikować osoby zakładającej konto, sam mogę korzystając z sieci hotspotów pozakładać gazylion kont, a później żądać ich natychmiastowego usunięcia i nóż widelec ugram tu i tam po 50kPLN. W takim wypadku z punktu widzenia usługodawcy najtaniej jest zwinąć interes.

Przy okazji takie "na

Przy okazji takie "na zewnątrz" jest też poza zasięgiem GIODO itp.

Umieszczenie "na zewnątrz" niesie ze sobą pewne ryzyko. Jeżeli dane osobowe są hostowane poza UE, wymaga to specjalnej (explicite) zgody osoby, której te dane dotyczą. Do tego dochodzi współpraca z bankami, czy innymi pośrednikami w płatnościach itp. Jeżeli chodzi tylko o opublikowanie nielegalnych treści, to przejdzie, ale jeżeli chcemy na bazie tego budować stabilną firmę, to będzie ciężko.

Edit: Zapomniałem o tym, że często takie serwisy lądują w kraju, który nie ma z Polską umowy międzynarodowej o przeciwdziałaniu przestępczości, więc konkurecja może bez większych konsekwencji wysycić łącze prowadzące do serwerów w Uzbekistanie - kolejne ryzyko.

Ale w przypadku jak opisany powyżej i wszystkich podobnych uważam, że powinno się wymagać co najwyżej szczegółowego logowania (zapisywania w dzienniku) informacji o dostępie do danych treści/kont w ramach zabezpieczenia materiału dowodowego. A skarżyć powinno się tylko osobę która "narobiła zamieszania".

Tak właśnie jest, pod warunkiem niezwłocznego ograniczenia dostępu do "nielegalnych" treści przez usługodawcę. Usługodawca nie odpowiada wtedy w żaden sposób przed "prawdziwym użytkownikiem X". A odpowiedzialność w przypadku usunięcia na podstawie sfałszowanej "wiarygodnej informacji" wobec użytkownika Y najczęściej określa regulamin świadczenia usługi.

Bo skoro usługodawca nie może jednoznacznie zweryfikować osoby zakładającej konto, sam mogę korzystając z sieci hotspotów pozakładać gazylion kont, a później żądać ich natychmiastowego usunięcia i nóż widelec ugram tu i tam po 50kPLN.

Usługodawca powinien ten gazylion kont usunąć i wtedy nie będzie za nic odpowiadać. Policji pozostanie poszukiwanie sprawcy, który zakładał każde z kont.

Umieszczenie "na zewnątrz"

wariat's picture

Umieszczenie "na zewnątrz" niesie ze sobą pewne ryzyko. Jeżeli dane osobowe są hostowane poza UE, wymaga to specjalnej (explicite) zgody osoby, której te dane dotyczą. Do tego dochodzi współpraca z bankami, czy innymi pośrednikami w płatnościach itp. Jeżeli chodzi tylko o opublikowanie nielegalnych treści, to przejdzie, ale jeżeli chcemy na bazie tego budować stabilną firmę, to będzie ciężko.

Mam konto Google, Yahoo!, Vimeo, w amazon.com i amazon.co.uk, etc. Wiele osób z .pl ma konta na MySpace, LinkedIn... Te wszystkie konta to zbiór jakichś danych osobowych które są przetwarzane i jakoś działa. Żadnej specjalnej zgody nie wyrażałem, a firmy działają i nie wydaje mi się aby było im "ciężko" z tego powodu.

A to, że są poza zasięgiem prawa polskiego, czy nawet europejskiego udowadnia chyba sprawa redwatch prawda?

Tak właśnie jest, pod warunkiem niezwłocznego ograniczenia dostępu do "nielegalnych" treści przez usługodawcę. Usługodawca nie odpowiada wtedy w żaden sposób przed "prawdziwym użytkownikiem X". A odpowiedzialność w przypadku usunięcia na podstawie sfałszowanej "wiarygodnej informacji" wobec użytkownika Y najczęściej określa regulamin świadczenia usługi.

Komentujemy sprawę kiedy ktoś założył fałszywe konto na złość komuś, rozumiem, że to jest "nie ok". Natomiast gdyby ktoś złośliwie nękał drugą osobę raz za razem blokując dostęp do jej kont to wszystko byłoby w porządku?

Usługodawca powinien ten gazylion kont usunąć i wtedy nie będzie za nic odpowiadać. Policji pozostanie poszukiwanie sprawcy, który zakładał każde z kont.

Czyli i tak warto ryzykować, bo skoro zakładający konto jest niemożliwy do "namierzenia" to i tak nikt nie pokapuje się, że ktoś próbował de facto wyłudzić pieniądze, a może się udać.

Poza tym to oznacza, że jeśli ktoś (tak na prawdę ktokolwiek, ale niech to będzie ten drugi Jakub Klawiter) napisze do Polskapresse, że profil: Wiadomości24: Jakub Klawiter to konto którego nie zakładał. Zidentyfikuje się jako Jakub Klawiter podając numer dowodu, adres zameldowania (w Poznaniu) i co tylko będzie konieczne. Polskapresse zablokuje moje konto?

I co wtedy? Skontaktują się z osobą która konto założyła, przez e-mail podany przy rejestracji (czyli ze mną) i zapytają czy "ja to ja". Odpowiem, że tak i profil przywrócą? Dopiero wtedy tamten ich zaskarży?

W przypadku konta jak powyżej to może mało istotne, ale gdyby chodziło np. o konto e-mail mógłbym się wkurzyć. Rozumiem, że w takim przypadku pierwsze co powinienem zrobić to sprawdzić czy regulamin przewiduje blokadę konta wobec "jakichkolwiek wątpliwości co do prawdziwości danych" i jeśli nie to natychmiast wysyłać pozew o odszkodowanie?

I co było dalej?

Szukam, szukam i nie mogę się doszukać - czy ktoś może wie, jak ta sprawa dalej się potoczyła?

Pytanie - w jakim terminie należy złożyć

zawiadomienie o popełnieniu przestępstawa polegającego na bezprawnym wykorzystaniu danych osobowych innej osoby?
Z góry dziękuję za odpowiedź.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>