Prawa i przepisy regulujące bezpieczeństwo cybernetyczne

Podstawową normą prawną charakteryzującą działalność dostawców usług internetowych w Republice Czeskiej jest ustawa nr 480/2004 Dz.U. o niektórych usługach społeczeństwa informacyjnego [1] . Niniejsza ustawa stanowi wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/1535 z dnia 9 września 2015 r. ustanawiającej procedurę udzielania informacji w dziedzinie przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego. [2]

Czeska ustawa o niektórych usługach społeczeństwa informacyjnego uznaje następujących trzech usługodawców, stwierdzając, że usługodawcą jest każda osoba fizyczna lub prawna, która świadczy którąkolwiek z następujących usług społeczeństwa informacyjnego: [3]

1.     Zwykła przepustka lub dostawca dostępu.

2.     Dostawcy usług polegających na automatycznym przechowywaniu informacji dostarczonych przez użytkownika (tzw. cache).

3.     Usługodawcy świadczący usługi polegające na przechowywaniu informacji dostarczonych przez użytkownika (tzw. przechowywanie lub hosting).

Żadna osoba nie jest wyłączona z powyższej definicji (np. nie musi to być osoba działająca na podstawie innego przepisu prawnego) jednak, jeśli dostawca podlega innym specjalnym przepisom (patrz np. jeden z dostawców usług przyłączeniowych), musi również ich przestrzegać.

Graficznie można przedstawić tych dostawców (oraz powiązanie poszczególnych przepisów prawnych) w następujący sposób:

Odbiorcą usługi społeczeństwa informacyjnego jest użytkownik, którym może być każda osoba fizyczna lub prawna, która korzysta z usługi społeczeństwa informacyjnego, w szczególności w celu znalezienia informacji lub uzyskania do niej dostępu. [4]

Zgodnie z ustawą o niektórych usługach społeczeństwa informacyjnego, usługa społeczeństwa informacyjnego oznacza "każdą usługę świadczoną drogą elektroniczną na indywidualne żądanie użytkownika złożone drogą elektroniczną, zwykle świadczoną odpłatnie". Usługa jest świadczona drogą elektroniczną, jeżeli jest przesyłana za pośrednictwem sieci łączności elektronicznej i pobierana przez użytkownika z elektronicznego urządzenia do przechowywania danych." [5]

Definicja w ustawodawstwie czeskim opiera się bezpośrednio na dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/1535 (art. 1 lit. b)), która stanowi, że usługa to "każda usługa społeczeństwa informacyjnego, tj. każda usługa świadczona, co do zasady, za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie usługobiorcy".

Z tej definicji wyłaniają się cztery podstawowe cechy usługi:

-       jest przekazywana drogą elektroniczną,

-       jest udostępniana na indywidualne życzenie użytkownika,

-       jest zwykle udostępniana odpłatnie,

-       jest świadczona zdalnie.

Pojęcie świadczenia drogą elektroniczną zostało określone w dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/1535 w art. 1 lit. b) ppkt (ii), który definiuje je jako usługę, która jest wysyłana z miejsca pochodzenia i odbierana w miejscu przeznaczenia za pomocą sprzętu do elektronicznego przetwarzania (w tym kompresji cyfrowej) i przechowywania danych. Usługa jako całość jest wysyłana, nadawana lub odbierana za pomocą środków przewodowych, radiowych, optycznych lub innych środków elektromagnetycznych. W rozporządzeniu czeskim zastosowano wykaz przykładowy, zgodnie z którym pojęcie to obejmuje w szczególności sieci łączności elektronicznej, urządzenia łączności elektronicznej, automatyczne systemy wybierania numerów i systemy łączności, końcowe urządzenia telekomunikacyjne i pocztę elektroniczną. [6]

Indywidualny wniosek użytkownika oznacza, że musi to być aktywne działanie ze strony użytkownika. Husovec stwierdza, że dzieje się tak na przykład wtedy, gdy użytkownik sam wpisuje adres w polu przeglądarki (IE, Firefox, Chrome itd.), formułując w ten sposób żądanie otwarcia odpowiedniej strony, lub pisze wiadomość SMS. Według Husoveca typowym przykładem usługi, która jest świadczona bez indywidualnego wniosku, jest na przykład transmisja telewizyjna. [7]  

Najbardziej problematycznym kryterium definicji usługi społeczeństwa informacyjnego jest to, że jest ona świadczona odpłatnie. Również w tej kwestii rozporządzenie czeskie powiela regulacje międzynarodowe i zawiera zapis "zwykle za wynagrodzeniem". W środowisku Internetu lub innych sieci komputerowych istnieje wiele usług, które są świadczone "bezpłatnie". Husovec całkiem słusznie twierdzi, że pojęcie wynagrodzenia może być rozumiane jako obejmujące cały szereg rzeczy innych niż tylko świadczenia pieniężne. [8] Może to być świadczenie niepieniężne, w ramach którego dostawca usług internetowych uzyskuje informacje o użytkownikach w postaci danych osobowych, technicznych i innych, czasu korzystania z usługi, ofert reklamowania innych produktów użytkownikowi itp. Jednak zdaniem Husoveca warunek ten należy interpretować szerzej, w sensie prowadzenia działalności potencjalnie gospodarczej. [9]

Ze względu na fakt, że pod pojęciem "wynagrodzenie" można rozumieć różne opcje (np. podziękowanie, odwiedzenie strony internetowej lub linku, korzyści finansowe lub inne), a także ze względu na brzmienie ustawy o niektórych usługach społeczeństwa informacyjnego (zob. "ogólnie o wynagrodzeniu"), można stwierdzić, że działalność podmiotu świadczącego usługi społeczeństwa informacyjnego może być również prowadzona nieodpłatnie.

Termin odległość został zdefiniowany w dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/1535 jako usługa, która jest świadczona bez jednoczesnej obecności stron. [10]

W swojej monografii Husovec podaje przykłady, które pokazują, co można uznać za usługę społeczeństwa informacyjnego. Zgodnie z dyrektywą 2000/31/WE Parlamentu Europejskiego i Rady terminem tym należy objąć szeroki zakres działań, które mają miejsce w świecie online. Mogą one obejmować sprzedaż towarów przez Internet, usługi zapewniające dostęp do informacji przez Internet, komunikację handlową lub usługi zapewniające narzędzia do wyszukiwania, dostępu i pobierania danych, usługi zapewniające przesyłanie informacji przez sieć komunikacyjną itp.

"Orzecznictwo TSUE uznało już, bezpośrednio lub pośrednio, na przykład AdWords (usługę reklamową wyszukiwarki Google) [11] , internetową usługę ubezpieczeń komunikacyjnych [12] , internetową sprzedaż soczewek kontaktowych [13] , łączenie się z Internetem [14] , rezerwację hotelu za pośrednictwem poczty elektronicznej [15] , rezerwację biura podróży za pośrednictwem poczty elektronicznej [16] , serwis aukcyjny eBay [17] oraz tradycyjne wyszukiwanie Google". [18]

Z punktu widzenia ustawy o niektórych usługach społeczeństwa informacyjnego takim usługodawcą może być każda osoba fizyczna lub prawna, która jest w stanie świadczyć innym podmiotom (osobom fizycznym lub prawnym) usługi polegające na przesyłaniu informacji (dostarczonych przez użytkownika) za pośrednictwem sieci łączności elektronicznej lub na pośredniczeniu w dostępie do sieci łączności elektronicznej w celu przesyłania informacji.

Takim dostawcą będą nie tylko osoby prowadzące działalność polegającą na podłączaniu innych osób do sieci komputerowych lub Internetu (zazwyczaj są to osoby wpisane do rejestru przedsiębiorców łączności elektronicznej na podstawie zezwolenia ogólnego) [19] , ale każda osoba dostarczająca lub ułatwiająca przesyłanie informacji za pośrednictwem sieci łączności elektronicznej. W związku z tym można sobie wyobrazić, że osoba, która ustanawia i udostępnia innym osobom na przykład połączenie WiFi w restauracji, budynku mieszkalnym, gospodarstwie domowym itp. będzie również dostawcą połączenia w rozumieniu niniejszej ustawy. W tej kategorii znajdą się również np. szkoły (zazwyczaj uczelnie zapewniające swoim studentom i nauczycielom łączność w ramach swojej sieci lub z Internetem). Jednak usługą polegającą na przekazywaniu informacji jest również np. Skype, ICQ itp. Bardzo upraszczając, można określić tych dostawców jako dostawców usług łączności.

Jednak pod względem określania indywidualnych praw i obowiązków dostawców usług przyłączeniowych należy ich podzielić na dwie grupy: dostawców publicznych i niepublicznych. Obie grupy dostawców połączeń objęte są Ustawą o niektórych usługach społeczeństwa informacyjnego, ale publiczni dostawcy połączeń objęci są również Ustawą o łączności elektronicznej, która określa dodatkowe prawa i obowiązki tych dostawców. W ustaleniu, czy dany usługodawca należy do którejś z tych grup, pomaga wspomniany wyżej Rejestr Przedsiębiorców Komunikacji Elektronicznej na podstawie zezwolenia ogólnego, prowadzony przez Czeski Urząd Telekomunikacyjny.

4.1.1.1. Prawa i obowiązki dostawcy usług związane z przekazywaniem informacji dostarczonych przez użytkownika zgodnie z ZSIS

W przypadku dostawcy połączenia ustawa o niektórych usługach społeczeństwa informacyjnego ogranicza w możliwie największym stopniu odpowiedzialność tego podmiotu za przekazywane informacje. Szczególne wymagania i warunki obowiązują jednak operatorów świadczących usługi łączności elektronicznej. Warunki te zostały określone w ustawie o łączności elektronicznej. Artykuł 12 dyrektywy 2000/31/WE umożliwia państwom członkowskim nakazanie dostawcy zaprzestania świadczenia usług, za pośrednictwem których przekazywane są informacje bezprawnie naruszające prawa innych osób. Możliwość ta jest jednym ze sposobów zapobiegania naruszeniom prawa. Nakaz zaprzestania świadczenia usług jest zazwyczaj wydawany przez sąd.

Dostawca połączenia może ponosić odpowiedzialność za treść informacji tylko wtedy, gdy:

• inicjuje samą transmisję,
• wybiera użytkownika przesyłanych informacji lub
• wybiera lub modyfikuje treść przesyłanych informacji. [20]

Zgodnie z art. 6 ISA, dostawca połączenia nie jest zobowiązany do monitorowania treści przekazywanych informacji ani do aktywnego badania nielegalności przekazywanych informacji. Dostawca nie może ponosić odpowiedzialności za jakość informacji (której nie można mu przypisać), nawet jeśli jest świadomy nielegalności przekazywanych informacji. ^[21]

4.1.1.2 Prawa i obowiązki usługodawcy związane z przekazywaniem informacji dostarczonych przez użytkownika zgodnie z ustawą nr 127/2005.

Dostawców łączy publicznych reguluje również ustawa nr 127/2005 o łączności elektronicznej [22] . Niniejsza ustawa definiuje pewne pojęcia, które są używane poniżej. Dla celów niniejszej monografii są to:

• Usługi łączności elektronicznej [§ 2(n) ustawy ZoEK [23] ]. Zgodnie z paragrafem 2(n) ZoEK, termin ten oznacza usługę, która jest zwykle świadczona za wynagrodzeniem i polega (całkowicie lub głównie) na przesyłaniu sygnałów za pośrednictwem sieci łączności elektronicznej. Usługa ta nie obejmuje usług oferowania treści za pośrednictwem sieci i usług łączności elektronicznej ani sprawowania kontroli redakcyjnej nad treściami przesyłanymi za pośrednictwem sieci i świadczonymi w ramach usług łączności elektronicznej. Ponadto usługi społeczeństwa informacyjnego, które nie polegają w całości lub głównie na przesyłaniu sygnałów za pośrednictwem sieci łączności elektronicznej, nie są takimi usługami.
• Publicznie dostępna usługa łączności elektronicznej (§ 2(o) ZoEK).  Usługa ta jest usługą komunikacji elektronicznej, z której korzystania nikt nie jest z góry wykluczony.

Brak wyłączenia oznacza możliwość zawarcia umowy z przedsiębiorstwem świadczącym publicznie dostępne usługi łączności elektronicznej.  Istotne jest, aby ta usługa była otwarta dla szerokiego grona osób, z których żadna nie jest z góry wykluczona. Przeciwieństwem takiej usługi może być np. przynależność do różnych stowarzyszeń, izb lub np. status ucznia szkoły.

• Przedsiębiorstwo, które udostępnia lub jest upoważnione do udostępniania publicznej sieci łączności lub urządzeń towarzyszących, jest określane w niniejszej ustawie mianem operatora (§ 2 lit. e) ZoEK).
• Abonentem [§ 2 (a) ZoEK] jest każdy, kto zawarł umowę z przedsiębiorstwem świadczącym publicznie dostępne usługi łączności elektronicznej o świadczenie takich usług. Użytkownikiem [§ 2(n) ZoEK] jest każdy, kto korzysta z publicznie dostępnych usług łączności elektronicznej lub żąda ich świadczenia.

Ustawa o łączności elektronicznej wprowadziła, na podstawie Dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE [24] , obowiązek prewencyjnego zatrzymywania danych o ruchu i lokalizacji [25] dotyczących wykonywanej łączności elektronicznej. Obowiązek ten dotyczy wyłącznie przedsiębiorstw, które udostępniają lub są upoważnione do udostępniania publicznej sieci łączności lub urządzeń towarzyszących.

Celem dyrektywy w sprawie zatrzymywania danych było ujednolicenie przepisów państw członkowskich dotyczących obowiązku dostawców publicznie dostępnych usług łączności elektronicznej lub publicznych sieci łączności do zatrzymywania danych o ruchu i lokalizacji, tak aby można je było udostępniać właściwym organom państw członkowskich w celu zapobiegania poważnym przestępstwom, takim jak terroryzm i przestępczość zorganizowana, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania.

Zakres dyrektywy został określony w obszarze danych operacyjnych i lokalizacyjnych dotyczących osób prawnych i fizycznych oraz powiązanych danych niezbędnych do identyfikacji abonenta lub zarejestrowanego użytkownika.

Dyrektywa ta nie miała zastosowania do treści komunikatów elektronicznych ani do informacji wymaganych podczas korzystania z sieci łączności elektronicznej.

Na mocy dyrektywy państwa członkowskie były zobowiązane do zapewnienia, by dane telekomunikacyjne były zatrzymywane przez co najmniej sześć miesięcy i maksymalnie dwa lata od daty połączenia. Dyrektywa została w różnej formie transponowana do prawa państw członkowskich UE. Jednak od samego początku istnienia dyrektywy dochodziło do sprzecznych opinii na jej temat. Respondenci twierdzili, że dyrektywa w nieproporcjonalny sposób ingeruje w podstawowe prawa i wolności człowieka, w szczególności poprzez faktyczne nakazanie powszechnego gromadzenia informacji o poszczególnych użytkownikach. Twierdzono ponadto, że dyrektywa (w tak ogólnej formie) nie będzie w stanie przejść testu proporcjonalności.

Test proporcjonalności jest standardowym narzędziem prawnym stosowanym zarówno przez sądy międzynarodowe, jak i sądy konstytucyjne (krajowe), gdy ocenie podlega konflikt między przepisem porządku prawnego, mającym na celu ochronę konstytucyjnie gwarantowanego prawa lub interesu publicznego, a innym podstawowym prawem lub wolnością. Test proporcjonalności obejmuje trzy kryteria oceny dopuszczalności interwencji:

1. Zasada adekwatności (przydatności do celu), zgodnie z którą dany środek musi być w stanie osiągnąć zamierzony cel, którym jest ochrona innego prawa podstawowego lub dobra publicznego.

2. Zasada konieczności, zgodnie z którą dozwolone jest użycie tylko takiego środka, który jest najłagodniejszy do osiągnięcia zamierzonego celu (ingerencji w podstawowe prawa i wolności), spośród kilku możliwych.
3. Zasada proporcjonalności (w węższym znaczeniu), zgodnie z którą szkoda wyrządzona prawu podstawowemu nie może być nieproporcjonalna w stosunku do zamierzonego celu, tzn. środki ograniczające podstawowe prawa i wolności człowieka nie mogą - w przypadku konfliktu między prawem podstawowym lub wolnością a interesem publicznym - przewyższać pozytywnych skutków interesu publicznego takich środków.

Dyrektywa w sprawie zatrzymywania danych lub jej krajowa transpozycja były przedmiotem sporów konstytucyjnych w kilku krajach UE, zwłaszcza w sądach konstytucyjnych Rumunii (2009), Niemiec (2010) i Czech (2011). Skupię się na orzeczeniach sądów w Niemczech i Republice Czeskiej.

Federalny Trybunał Konstytucyjny Niemiec, który zajmował się konfliktem między wolnością a bezpieczeństwem (na podstawie dyrektywy w sprawie zatrzymywania danych) i orzekł na korzyść wolności jednostki. W dniu 2 marca 2010 r. sąd orzekł, że masowe zatrzymywanie danych o połączeniach telefonicznych i transmisji danych jest w Niemczech niezgodne z konstytucją.

Sąd odpowiedział na skargę zbiorową 35 000 obywateli, którzy domagali się uchylenia ustawy z 2008 roku, nakazującej firmom telekomunikacyjnym archiwizowanie przez sześć miesięcy zapisów rozmów telefonicznych i wiadomości e-mail na użytek organów śledczych. Federalny Trybunał Konstytucyjny uznał zaskarżone przepisy za niezgodne z konstytucją. Stwierdził ponadto, że choć obowiązek zatrzymywania danych w określonym zakresie nie jest od początku całkowicie niezgodny z konstytucją, to brakuje regulacji ustawowej odpowiadającej zasadzie proporcjonalności. Zdaniem Trybunału, zaskarżone przepisy nie spełniały konstytucyjnych wymogów bezpieczeństwa danych, cel wykorzystania danych (oraz przejrzystość wykorzystania danych) nie był jasno określony, a ochrona prawna nie była zapewniona w wystarczającym stopniu.

Trybunał stwierdził, że "korzystanie przez obywateli z podstawowych praw i wolności (w tym przypadku z tajemnicy wiadomości przekazywanych za pomocą środków komunikacji elektronicznej) nie może być całkowicie monitorowane, dokumentowane i rejestrowane przez państwo; należy to do konstytucyjnej i prawnej tożsamości Republiki Federalnej Niemiec, którą Republika musi starać się zachować w kontekście europejskim i międzynarodowym". [26]

W Republice Czeskiej dyrektywa w sprawie zatrzymywania danych została wdrożona przed jej wejściem w życie w UE (Dyrektywa została wdrożona w UE 15 marca 2007 r., a wymóg transpozycji został spełniony do 15 września 2007 r.). W Republice Czeskiej został on wprowadzony do § 97/3 ZOEK, z mocą obowiązującą od 1 maja 2005 r. Również w Czechach została złożona skarga konstytucyjna przez stowarzyszenie Iuricum Remedium, popierane przez grupę 51 posłów. Skarga ta została złożona w Trybunale Konstytucyjnym w marcu 2010 roku. W 2011 roku Trybunał Konstytucyjny wydał orzeczenie i w pełni uwzględnił wniosek o całkowite uchylenie odpowiednich fragmentów ustawy o łączności elektronicznej (mianowicie art. 97 ust. 3 i 4) oraz dekretu wykonawczego nr 485/2005 Coll. w sprawie zakresu danych o ruchu i lokalizacji, a także o uchylenie przepisów kodeksu postępowania karnego. [27] Trybunał wyraził swoją opinię w następujący sposób: "Trybunał Konstytucyjny stwierdza, że zaskarżone przepisy naruszają granice konstytucyjne, ponieważ nie spełniają wymogów wynikających z zasady państwa prawnego i pozostają w sprzeczności z wymogami ograniczenia podstawowego prawa do prywatności w postaci prawa do samostanowienia informacyjnego w rozumieniu art. 10 ust. 3 i art. 13 Karty, które wynikają z zasady proporcjonalności."

Ustawodawcy w Republice Czeskiej zareagowali na zastrzeżenia Trybunału Konstytucyjnego Republiki Czeskiej i przyjęto nowe przepisy, które nadal zezwalają na powszechne zatrzymywanie danych o ruchu i lokalizacji w Republice Czeskiej, ponieważ są zgodne z wcześniej wspomnianym testem proporcjonalności, w szczególności dzięki wyraźnemu określeniu zakresu podmiotów (uprawnionych do żądania danych o ruchu i lokalizacji) oraz celu, w jakim można żądać tych danych.

Jednocześnie podjęto środki mające na celu zobowiązanie przedsiębiorstw na mocy ustawy o łączności elektronicznej do przyjęcia zasad zapewniających, że dane o ruchu i lokalizacji mają taką samą jakość i podlegają takiemu samemu zabezpieczeniu i ochronie przed nieuprawnionym dostępem, zmianą, zniszczeniem, utratą lub kradzieżą albo innym nieuprawnionym przetwarzaniem lub wykorzystaniem, jak dane zgodnie z art. 88 ustawy o WE. [28]

Określono również maksymalny okres przechowywania tych danych, który obecnie wynosi 6 miesięcy. Po upływie tego okresu osoba prawna lub fizyczna przechowująca dane o ruchu i lokalizacji jest zobowiązana do ich zniszczenia, chyba że zostały one przekazane organom uprawnionym do ich wykorzystania na podstawie specjalnych przepisów prawnych lub jeśli prawo nie stanowi inaczej (§ 90 ZoEK). Ponadto wprowadzono obowiązek zapewnienia, że treść wiadomości nie jest zatrzymywana podczas przechowywania danych o ruchu i lokalizacji oraz że takie przechowywane dane nie są przekazywane dalej (§ 97 ust. 3 ZoEK).

Jednocześnie zasada subsydiarności została podkreślona w Kodeksie postępowania karnego (zob. Sekcja 88 i 88a, Ust. No. 141/1961 o postępowaniu przed sądem karnym: "jeżeli zamierzony cel nie może być osiągnięty w inny sposób lub jeżeli jego osiągnięcie byłoby znacznie trudniejsze"). Gwarancja minimalnej ingerencji w podstawowe prawa człowieka w tych przypadkach jest zapewniona między innymi przez fakt, że nakaz udostępnienia danych o ruchu i lokalizacji jest wydawany przez sędziego na wniosek prokuratora.

Kto jest uprawniony do żądania udostępnienia danych operacyjnych i lokalizacyjnych w Republice Czeskiej i na jakich warunkach? Zgodnie z § 97 ust. 3 ustawy ZoEK osoba prawna lub fizyczna posiadająca dane o ruchu i lokalizacji jest zobowiązana do niezwłocznego ich udostępnienia na żądanie:

a)     organów ścigania do celów i na warunkach określonych w przepisach szczególnych [29] ,

b)    Policji Republiki Czeskiej w celu rozpoczęcia poszukiwań konkretnej osoby poszukiwanej lub zaginionej, ustalenia tożsamości osoby o nieznanej tożsamości lub tożsamości znalezionych zwłok, zapobiegania lub wykrywania konkretnych zagrożeń w dziedzinie terroryzmu lub prowadzenia dochodzenia w sprawie osoby chronionej oraz zgodnie z warunkami określonymi w specjalnym przepisie prawnym [30] ,

c)     Służbie Informacji Bezpieczeństwa w celach i na warunkach określonych w przepisach szczególnych [31] ,

d)    Wywiadowi wojskowemu do celów i na warunkach określonych w specjalnych przepisach [32] ,

e)     Czeskiemu Bankowi Narodowemu w celach i na warunkach określonych w specjalnej regulacji prawnej⁶¹⁾ [33] .

Następnie, w ramach Unii Europejskiej, TSUE (w dniu 8 kwietnia 2014 r.), w nawiązaniu do wcześniejszej opinii [34] rzecznika generalnego Pedro Cruz Villalón, wydał wyrok [35] unieważniający odpowiednią dyrektywę w sprawie zatrzymywania danych (2006/24/WE).

"Dzisiejszym wyrokiem Trybunał Sprawiedliwości stwierdza, że dyrektywa jest nieważna".

"Ponieważ Trybunał Sprawiedliwości nie ograniczył skutków wyroku w czasie, stwierdzenie nieważności obowiązuje od dnia wejścia w życie dyrektywy".

W szczególności TSUE skrytykował fakt, że "prawodawca UE, przyjmując dyrektywę w sprawie zatrzymywania danych o ruchu, przekroczył granice wyznaczone przez wymóg przestrzegania zasady proporcjonalności".

Decyzja o utrzymaniu lub uchyleniu istniejących przepisów dotyczących zatrzymywania danych o ruchu i lokalizacji w państwach członkowskich UE należy wyłącznie do zainteresowanych organów krajowych, a sama Unia nie zamierza zalecać ani udzielać żadnych wskazówek co do sposobu postępowania. [36]

Jak poradzić sobie z powszechnym przechowywaniem danych o ruchu i lokalizacji? Osobiście uważam, że w cyberprzestrzeni nie ma innej możliwości rekonstrukcji zdarzeń, które miały miejsce w przeszłości, niż poprzez przechowywanie danych o ruchu i lokalizacji. W rzeczywistości cyberprzestrzeń i technologie informacyjno-komunikacyjne, które pozwalają na bardzo szybkie zmiany topologii sieci, usług itp. oraz technologie umożliwiające uzyskanie kilku różnych tożsamości w ciągu kilku sekund, nie dopuszczają żadnej innej możliwości.

Zdaję sobie sprawę, że powszechne zatrzymywanie danych o ruchu i lokalizacji narusza moje podstawowe prawa i wolności, ale akceptując koncepcję umowy społecznej i rezygnując z części moich praw i wolności na rzecz organu (w tym przypadku państwa), który ma zapewnić ochronę moich praw, właściwie nie mam wyboru. Uważam, że jeśli chcemy skutecznie prowadzić dochodzenia i ścigać cyberprzestępczość, cyberataki i inne negatywne zjawiska zachodzące w cyberprzestrzeni, nie możemy się obyć bez tego narzędzia. Pytanie, którym powinniśmy się zająć, nie powinno brzmieć: "Jak ograniczyć gromadzenie danych i danych o osobach w cyberprzestrzeni (ponieważ dzieje się to na zupełnie innych poziomach), a tym samym ograniczyć możliwości państwa w zakresie przeciwdziałania negatywnym zjawiskom w cyberprzestrzeni? "Pytania, które są całkowicie uzasadnione i którymi należy się zająć, brzmią: "Jak ustalić zasady, kto powinien mieć dostęp do tych danych i na jakich warunkach, co się dzieje z tymi danymi, do jakich celów można je wykorzystać itd.".

Osobiście uważam, że takie dane powinny być przechowywane nie tylko przez publicznych dostawców usług internetowych, ale przez wszystkich dostawców usług internetowych, którzy świadczą usługi. Mam kilka powodów, dla których tak twierdzę.

Po pierwsze, uważam, że usługi inne niż te, które polegają na zapewnieniu łączności, stanowią i będą stanowić większość usług w cyberprzestrzeni. W ten sposób użytkownik przestaje się interesować tym, kto i jak go łączy, a interesuje się przede wszystkim usługami, które mogą mieć na przykład formę wirtualnych połączeń z różnymi środowiskami wirtualnymi. Dlatego ważne będzie nie samo fizyczne połączenie, ale wzajemne powiązanie usług.

Drugim powodem jest fakt, że obecnie dostawcy tych usług w przeważającej mierze przechowują nie tylko dane operacyjne i dane dotyczące lokalizacji, ale także cały szereg innych danych, na których przechowywanie pozwalają im użytkownicy na podstawie warunków umowy zawartej między dostawcą usług internetowych a użytkownikiem końcowym.

Ostatnim powodem jest ochrona własna dostawcy usług internetowych przed użytkownikami. Dostawca usług musi przestrzegać prawa i w jego najlepszym interesie jest zatrzymywanie danych, które mogą go zwolnić z odpowiedzialności za np. szkody lub inne krzywdy.

Rzecznik generalny [37] wypowiedział się ostatnio na temat zatrzymywania danych o ruchu i lokalizacji, stwierdzając, że zatrzymywanie danych jest w wielu przypadkach jedynym skutecznym narzędziem przeciwdziałania zagrożeniom dla bezpieczeństwa i poważnym przestępstwom. Jednocześnie sformułował wymogi dotyczące proporcjonalnego wdrożenia tej zasady w systemach prawnych państw członkowskich.

Graficzne przedstawienie rozmieszczenia dostawców usług przyłączeniowych oraz niektórych ich praw i obowiązków

4.1.2 Dostawcy usług polegających na automatycznym buforowaniu informacji dostarczanych przez użytkownika (tzw. caching).

Buforowanie polega na przesyłaniu informacji, podczas którego są one automatycznie tymczasowo przechowywane. Następnie informacje te są przekazywane usługobiorcy na jego prośbę.

"Buforowanie jest zasadniczo specjalną adaptacją zwykłego przekaźnika, ponieważ obejmuje również przesyłanie przejściowych informacji przechowywanych między magazynami. Jedyna różnica, w której buforowanie może wykraczać poza zakres szeroko rozumianej zwykłej usługi polega na tym, że przechowywanie podczas transmisji odbywa się przez "okres dłuższy niż rozsądnie konieczny do transmisji". [38]

Husovec bardzo zwięźle opisuje również usługi buforowania na przykładzie serwera proxy lub buforowania przeglądarki, które przyspieszają ładowanie stron internetowych. Odbiorcą usługi jest właściciel strony internetowej czasopisma (tzw. główny odbiorca), którego obrazy są przechowywane przez dostawcę usługi buforowania na komputerze znajdującym się bliżej geograficznie (np. w Europie), dzięki czemu nie musi on stale korzystać z komputera, na którym przechowywana jest oryginalna strona internetowa (np. w Afryce), co przyspiesza ogólne ładowanie strony (w Europie). Użytkownik, który odwiedza stronę internetową i jest kolejnym odbiorcą usługi (tzw. odbiorca wtórny), otrzymuje w ten sposób obraz ze swojego komputera na podstawie indywidualnego żądania skierowanego do dostawcy usługi buforowania i nie jest zmuszony do "podróży" do pierwotnego komputera. [39]

Dostawcy usług buforowania nie są zwolnieni z odpowiedzialności za jakość informacji, jeśli z ich strony dojdzie do naruszenia standardowych lub uzgodnionych warunków technicznych dotyczących buforowania. ^[40]

Dostawca usługi buforowania ponosi odpowiedzialność na mocy sekcji 4 ISA, jeśli:

a)    zmienia treść informacji,

b)    nie spełnia warunków dostępu do informacji,

c)    nie jest zgodna z zasadami aktualizacji informacji, które są ogólnie przyjęte i stosowane w danej branży,

d)    wykracza poza dozwolone użycie technologii ogólnie przyjętej i stosowanej w danej branży w celu uzyskania informacji o danych użytkowych, lub

e)    nie podejmuje natychmiastowych działań w celu usunięcia lub uniemożliwienia dostępu do przechowywanych przez siebie informacji, gdy dowie się, że informacje zostały usunięte lub uniemożliwione z sieci w początkowym punkcie transmisji lub gdy sąd nakazał usunięcie lub uniemożliwienie dostępu do informacji.

Dostawca usługi buforowania nie jest zobowiązany do aktywnego poszukiwania faktów i okoliczności wskazujących na bezprawną treść informacji ani do nadzorowania treści przekazywanych lub przechowywanych przez niego informacji.

4.1.3 Usługodawcy świadczący usługi polegające na przechowywaniu informacji dostarczonych przez Użytkownika (tzw. storage lub hosting)

Udostępnianie pamięci masowej lub hostingu oznacza udostępnianie pamięci masowej (miejsca) użytkownikowi w celu umieszczenia w niej danych. Przechowywanie informacji lub danych, w przeciwieństwie do zwykłego buforowania, jest nie tylko tymczasowe. Usługi hostingowe mogą obejmować:

a)    Hosting WWW (Active 24, Ignum, Zoner itp.)

b)    Pamięć masową w chmurze umożliwiającą przechowywanie dowolnych plików i danych (Dropbox, iCloud, Microsoft OneDrive, ownCloud itp.)

c)    Przechowywanie plików (Rapidshare, DropBox itp.)

d)    Przechowywanie filmów wideo (YouTube itp.)

e)    Przechowywanie plików audio (iTunes itp.)

f)     Internetowe serwisy aukcyjne (eBay itp.)

g)    Blogi, fora, czaty itp.

h)    Sieci społecznościowe (Facebook, Twitter itp.).

Powyższa lista nie jest wyczerpująca, w ramach hostingu można świadczyć szereg innych usług.

W przypadku dostawców usług hostingowych najbardziej złożona jest sytuacja związana z ich potencjalną odpowiedzialnością prawną. ^[41] Również w tym przypadku opiera się to na postanowieniach dyrektywy 2000/31/WE, której zalecenia ustawodawca czeski włączył do rozdziału 5 ustawy ISA. W przepisie tym występuje warunek co najmniej nieświadomego zaniedbania ^[42] usługodawcy w związku z nielegalną zawartością przechowywanych u niego informacji. Ustawodawca nie nakłada jednak na dostawców obowiązku aktywnego wyszukiwania nielegalnych informacji wśród użytkowników serwisu ^[43] (ponieważ w wielu przypadkach stanowiłoby to faktyczną ingerencję w podstawowe prawa i wolności gwarantowane przez Kartę - np. art. 13) ani nadzorowania treści przekazywanych lub przechowywanych informacji.

Podmiot świadczący usługi hostingowe ponosi odpowiedzialność zgodnie z art. 5 ust. 1 ISA, jeżeli:

a)    mógł on wiedzieć, biorąc pod uwagę przedmiot swojej działalności oraz okoliczności i charakter sprawy, że treść przechowywanych informacji lub działania użytkownika są niezgodne z prawem, lub

b)    jeżeli dowiedział się o bezprawnym charakterze treści przechowywanych informacji lub o bezprawnym postępowaniu użytkownika i nie podjął niezwłocznie wszelkich kroków, jakich można od niego wymagać w celu usunięcia lub udostępnienia takich informacji.

Dostawca usług hostingowych jest zawsze odpowiedzialny za treść przechowywanych informacji, jeśli wywierają one decydujący wpływ na działania użytkownika, bezpośrednio lub pośrednio. [44]

Na potrzeby niniejszej monografii wybrano tylko niektóre aspekty odnoszące się do dostawców usług społeczeństwa informacyjnego, zwłaszcza w odniesieniu do przydatności informacji w wykrywaniu i ściganiu cyberprzestępstw i cyberataków.