Obowiązki administratora serwisu społecznościowego na podstawie UoŚUDE a przepisy Uodo

Do działalności administratora serwisu społecznościowego[1] stosują się przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną[2]. Z punktu widzenia niniejszego artykułu szczególne znaczenie odgrywa przepis art. 14 w/w ustawy, zgodnie z którym „nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych. nie ponosi odpowiedzialności”. Usługodawcą, o którym mowa w tym przepisie, jest właśnie administrator serwisu społecznościowego. Istotą analizowanego przepisu jest wyłączenie odpowiedzialności podmiotu przechowującego cudze dane (tzw. host provider) w sytuacji, gdyby treści umieszczone w jego zasobach przez inne osoby (usługobiorców) okazały się bezprawne. Wyłączenie to obowiązuje do chwili otrzymania urzędowej lub wiarygodnej wiadomości o bezprawnym charakterze danych, dalsze przechowywanie tych danych po tej chwili może już bowiem skutkować jego odpowiedzialnością jako np. pomocnika w rozumieniu art. 422 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny[3].

W świetle powyższych uwag, powstaje pytanie o ewentualną konieczność uwzględnienia tej regulacji przez Generalnego Inspektora Ochrony Danych Osobowych, przy wydaniu decyzji o usunięciu skutków naruszenia przepisów ustawy o ochronie danych osobowych. W nauce prawa wyróżnia się trzy podstawowe rodzaje odpowiedzialności: administracyjną, cywilną i karną. W przepisach ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[4] uregulowano odpowiedzialność administracyjną i karną, ochrona prywatnoprawna (cywilnoprawna) za naruszenie danych osobowych może być natomiast dochodzona na ogólnych zasadach przewidzianych w KC dla dóbr osobistych[5].

Zasadą odpowiedzialności administracyjnej jest odpowiedzialność obiektywna, zgodnie z którą wystarczającą przesłanką do zastosowania określonego środka jest stwierdzenie samego faktu zaistnienia naruszenia odpowiednich przepisów prawa administracyjnego, bez konieczności ustalenia, czy naruszenie to zostało zawinione przez podmiot, który się go dopuścił (tzw. bezprawie administracyjne). Konstatacja ta ma istotne znaczenie, gdyż w przepisie art. 14 ust. 1 dyrektywy 2000/31/WE[6], na którym wzorowany był art. 14 UoŚUDE, wyraźnie odwołano się do pojęć właściwych dla konstrukcji winy na gruncie prawa cywilnego i karnego takich jak: „pozytywna wiedza o bezprawnej działalności lub informacji”, czy „brak świadomości faktów lub okoliczności, z których wynika oczywistość bezprawnej działalności lub informacji”. Pozwala to na wysunięcie tezy, że omawiane wyłączenie dotyczy odpowiedzialności cywilnej (w tym przede wszystkim odpowiedzialności odszkodowawczej) i odpowiedzialności karnej, nie obejmuje natomiast swoim zakresem odpowiedzialności administracyjnej. W konsekwencji, dla wydania przez Generalnego Inspektora Ochrony Danych Osobowych decyzji o usunięciu naruszenia przepisów o ochronie danych osobowych treść art. 14 UoŚUDE jest bez znaczenia, a tym bardziej nierelewantny jest ewentualny spór pomiędzy skarżącym a administratorem serwisu odnośnie uznania przekazanej informacji jako „wiarygodnej wiadomości o bezprawnym charakterze danych” w rozumieniu tego przepisu[7].