Browsing Tag

dyrektywa

prawa autorskie

Dostęp do łącza należy kontrolować

14 listopada 2018
peer-to-peer

Wskazanie członka rodziny, mającego dostęp do łącza internetowego, nie może zwalniać z odpowiedzialności za udostępnienie za pośrednictwem tego łącza pliku w drodze peer-to-peer – wynika z wyroku TSUE z dnia 18.10.2018 r. w sprawie C‑149/17 Bastei Lübbe GmbH & Co. KG przeciwko Michaelowi Strotzerowi.

Czym jest peer-to-peer (p2p)?

W dzisiejszych czasach nielegalne udostępnianie utworów w internecie jest powszechnym sposobem naruszenia praw autorskich. Do naruszenia dochodzi m.in. poprzez udostępnianie utworów na giełdzie wymiany plików peer-to-peer (p2p). Czym jednak w praktyce jest peer-to-peer? Sformułowanie to można tłumaczyć jako „równy” czy „równorzędny”. System p2p działa natomiast w ten sposób, że urządzenie użytkownika jednocześnie pobiera dane i je wysyła. Innymi słowy, kiedy internauta ściąga z sieci pliki za pomocą p2p, wysyła je również do innych osób.

Jak zidentyfikować sprawcę takiego bezprawnego udostępnienia? Internet umożliwia nam przecież podejmowanie działań w sposób pełni anonimowy. W tym zakresie pomocnym narzędziem okazuje się być adres IP, przypisywany indywidualnie odbiorcy usług dostępu do Internetu. Jednakże przypisanie adresu IP dla bezprawnych działań podejmowanych w sieci nie musi zawsze oznaczać, że właściciel łącza jest jednocześnie naruszycielem. Istnieje jednak takie domniemanie faktyczne, o ile posiadacz adresu nie wykaże braku swojej odpowiedzialności.

Postępowanie przed sądem krajowym

Michael Strotzer był właścicielem adresu IP, z którego do sieci udostępniono audiobook. Został on pozwany przez Bastei Lübbe GmbH & Co. KG – producenta fonogramu, któremu przysługiwały prawa autorskie i pokrewne do utworu w postaci audiobook’a, o odszkodowanie za naruszenie praw autorskich. Michael Strotzer powoływał się na brak swojej odpowiedzialności za naruszenie. Twierdził bowiem , że jego komputer w chwili dokonania naruszenia był wyłączony. Ponadto z jego łącza internetowego korzystali inni domownicy – jego rodzice, którzy według jego wiedzy nie mieli spornego utworu na swoim komputerze ani nie korzystali z programów p2p. Michael Strotzer podnosił jednocześnie, że jego łącze internetowe było odpowiednio zabezpieczone.

Krajowy sąd rejonowy podzielił argumentację pozwanego. Sąd uznał, że nie ma możliwości jednoznacznego stwierdzenia, kto dopuścił się naruszenia. Wobec tego należy przyjąć brak odpowiedzialności pozwanego za bezprawne udostępnienie audobiook’a w sieci. Sąd apelacyjny nabrał jednak wątpliwości co do rozstrzygnięcia sądu I instancji. Z jednej strony zauważył, że – jak wynika z orzecznictwa sądów niemieckich – jeżeli sprawca wykaże, iż do sieci miały dostęp inne osoby, posiadacz łącza nie może być uważany za domniemanego sprawcę naruszenia. Jednak z drugiej strony Sąd ten podkreślił, że to na posiadaczu spoczywa ciężar udowodnienia okoliczności, iż inne osoby miały dostęp do łącza internetowego i że to one mogły być sprawcami naruszenia.

Pytanie prejudycjalne

W wyniku powyższego, sąd apelacyjny zdecydował się zadać TSUE pytania zmierzające do ustalenia:

czy odpowiedzialność posiadacza łącza internetowego, za pośrednictwem którego dokonano naruszenia praw autorskich w drodze udostępniania plików, jest wyłączona, jeżeli posiadacz łącza wskaże przynajmniej jednego członka rodziny, który poza nim miał możliwość dostępu do tego łącza, nie podając ustalonych poprzez odpowiednią dodatkową weryfikację konkretnych szczegółów dotyczących momentu i charakteru korzystania z Internetu przez tego członka rodziny.

Rozstrzygnięcie TSUE

Rozstrzygnięcie TSUE nie pozostawia wątpliwości. Jeżeli posiadacz łącza internetowego wskaże przynajmniej jednego członka rodziny, który miał możliwość dostępu do tego łącza, jednak bez podania dokładniejszych wyjaśnień co do momentu, w którym ten członek rodziny korzystał z tego łącza, i charakteru tego użytkowania przez owego członka rodziny, nie wyłącza jego odpowiedzialności za dokonane naruszenie.

Z uzasadnienia wyroku wynika, że podanie takich danych o członkach rodziny – pomimo iż ingeruje w życie rodzinne – jest konieczne do zapewnienia podmiotom praw autorskich skutecznego dochodzenia ich praw. Przeciwny wniosek powodowałby przyznanie absolutnej ochrony członkom rodziny domniemanego naruszyciela, z jednoczesnym uniemożliwieniem poszanowania praw własności intelektualnej.

Komentarz

Rozstrzygnięcie TSUE należy ocenić pozytywnie. Przyjęcie, że samo wskazanie przez posiadacza sieci na możliwość dostępu do łącza przez inne osoby, stanowi podstawę do wyłączenia odpowiedzialności tego posiadacza, byłoby skrajnie niekorzystne dla podmiotów praw autorskich. Korzystanie z jednej sieci domowej przez domowników czy ich gości jest powszechne.  W takim przypadku każdy naruszyciel mógłby automatycznie zwolnić się z odpowiedzialności, wskazując jedynie na to, że zamieszkuje z innymi osobami. Takie stanowisko byłoby sprzeczne z zasadą ciężaru dowodu, spoczywającego na domniemanym naruszycielu, który chce powołać się na wyłączenie swojej odpowiedzialności. W efekcie powodowałoby to, że ustalenie osoby sprawcy byłoby nadmiernie utrudnione, a nawet niemożliwe. Każdy z domowników mógłby bowiem „przerzucać” odpowiedzialność na inne osoby. W konsekwencji niemożliwe byłoby skuteczne dochodzenie praw przez podmiot praw autorskich.

Samo wskazanie innej osoby nie może prowadzić do zwolnienia z odpowiedzialności właściciela adresu IP, z którego bezprawnie udostępniono utwór. W niniejszej sprawie wydane rozstrzygnięcie było tym bardziej uzasadnione, jako że pozwany argumentował, iż po pierwsze jego sieć jest wystarczająco zabezpieczona, co wyłączało ewentualny udział innych osób trzecich, a po drugie, że jego rodzice mający dostęp do łącza, nie korzystali z platformy udostępniania plików.

cyberbezpieczeństwo prawo IT

Czy implementacja dyrektywy NIS poprawi cyberbezpieczeństwo w UE?

17 października 2016

Gwałtowny rozwój technologii informacyjnych sprzyja zwiększeniu efektywności komunikacji, powstawaniu innowacji oraz ułatwieniu świadczenia usług, ale także rodzi ogromne niebezpieczeństwa związane z atakami na sieci informatyczne. Skalę problemu ilustruje „2016 Security Report” przygotowany przez Check Point Software Technologies Ltd, zgodnie z którym w przeciętnym przedsiębiorstwie co 4 sekundy ściągane jest nieznane złośliwe oprogramowanie, co 32 minuty dane wrażliwe wysyłane są poza serwery przedsiębiorstwa, a straty przedsiębiorstw związane z utratą danych wzrosły w ostatnich 3 latach o 400 %. W samym 2015 roku wykryto prawie 144 miliony (!) rodzajów nowego złośliwego oprogramowania. Nie ulega zatem wątpliwości, że niezbędne jest skonstruowanie narzędzi zapewniających globalne cyberbezpieczeństwo.

Z tego względu w dniu 06.07.2016 r. Parlament Europejski przyjął dyrektywę w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (2016/1148/UE, dalej jako: „Dyrektywa NIS”). Dyrektywa NIS została przyjęta jako odpowiedź na zagrożenia związane z cyberbezpieczeństwem na terytorium Unii Europejskiej – wcześniej bowiem kwestia ta nie została w odpowiedni sposób uregulowana. Wprawdzie przyjmowane były takie dokumenty, jak np. dyrektywa dotycząca ataków na systemy informatyczne (2013/40/UE) czy dyrektywa w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (2008/114/WE), jednak nie ujednolicały one w odpowiednim stopniu przepisów oraz strategii państw członkowskich w zakresie cyberbezpieczeństwa. Wdrożenie Dyrektywy NIS ma natomiast stanowić „całościowe podejście na poziomie Unii, obejmujące wymogi dotyczące budowania i planowania wspólnych minimalnych zdolności, wymianę informacji, współpracę oraz wspólne wymogi w zakresie bezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych”.

Zakres podmiotowy Dyrektywy NIS obejmuje dostawców usług cyfrowych (takich jak wyszukiwarki, usługi oferowane w chmurze) oraz operatorów tzw. usług kluczowych, czyli operatorów z sektorów: energetyki (energia elektryczna, ropa naftowa, gaz), transportu (lotniczego, kolejowego, wodnego, drogowego), bankowości, rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną i jej dystrybucję. Dyrektywa NIS rozkłada prawa i obowiązki związane z cyberbezpieczeństwem pomiędzy podmioty prywatne i publiczne. Akt ten ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w UE, poprzez m.in. usprawnienie przekazu informacji o pojawiających się zagrożeniach pomiędzy państwami UE oraz podmiotami sektora krytycznego oraz ujednolicenie standardów ochrony.

Cele dyrektywy mają zostać osiągnięte poprzez:

  • ustanowienie obowiązków dla państw członkowskich dotyczących przyjęcia krajowej strategii cyberbezpieczeństwa;
  • utworzenie sieci Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (tzw. CSIRT);
  • stworzenie grupy współpracy zapewniającej strategiczną współpracę oraz wymianę informacji;
  • ustanowienie wymogów dotyczących bezpieczeństwa sieci i informacji oraz zgłaszania incydentów;
  • ustanowienie obowiązków dotyczących wyznaczania przez państwa członkowskie organów krajowych, punktów kontaktowych oraz CSIRT, którym powierzone zostaną zadania związane z cyberbezpieczeństwem.

Szczególną rolę we wdrażaniu dyrektywy będzie odgrywać Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), której zadaniem jest koordynowanie współpracy pomiędzy państwami członkowskimi w zakresie cyberbezpieczeństwa.

Co najistotniejsze, na mocy postanowień Dyrektywy NIS państwa członkowskie obowiązane są zapewnić, aby operatorzy usług kluczowych, a także dostawcy usług cyfrowych (a zatem także podmioty prywatne), zgłaszali właściwemu organowi krajowemu lub CSIRT incydenty związane z bezpieczeństwem ich sieci informatycznych. Wyznaczone organy krajowe powinny dysponować odpowiednimi narzędziami pozwalającymi na weryfikację, czy podmioty te rzeczywiście wywiązują się ze swoich obowiązków. Łatwo bowiem wyobrazić sobie sytuację, w której np. banki niechętnie będą zgłaszały ataki na swoje sieci informatyczne, obawiając się utraty dobrej reputacji.

Dyrektywa NIS weszła w życie w sierpniu 2016 r. Od tego momentu państwa członkowskie mają 21 miesięcy na implementację jej postanowień do przepisów prawa krajowego oraz 6 miesięcy na określenie dostawców kluczowych usług. Ministerstwo Cyfryzacji RP obecnie pracuje nad projektem ustawy o krajowym systemie bezpieczeństwa oraz nad projektem strategii cyberbezpieczeństwa dla RP. Chociaż pozytywnie należy ocenić próbę kompleksowego uregulowania kwestii cyberbezpieczeństwa wśród krajów Unii Europejskie, w obecnej chwili trudno jest przewidzieć, czy wdrożenie dyrektywy w ustawodawstwo państw członkowskich rzeczywiście będzie efektywne i wpłynie na wzrost cyberbezpieczeństwa oraz, przede wszystkim, czy podmioty prywatne będą należycie wypełniać obowiązki z niej wynikające. Chociaż nie ulega wątpliwości, że kroki podejmowane przez UE są słuszne i niezbędne, to jednak wydaje się, że skala wyzwań związanych z cyberbezpieczeństwem oraz stały wzrost zagrożeń przewyższają możliwości legislacyjne zarówno w skali krajowej, jak i na poziomie międzynarodowym.

Artykuł został wcześniej opublikowany na: http://biznesalert.pl/ocipinska-implementacja-dyrektywy-nis-poprawi-cyberbezpieczenstwo-ue/.