Spam a Úřad pro ochranu osobních údajů

Nevyžádaná elektronická pošta, spam, zahlcuje Internet. Bojovat s ním lze prostředky technickými a právními. Tento článek se zabývá onou právní cestou v prostředí České republiky. Co se vlastně stane, když na stránkách Úřadu pro ochranu osobních údajů podáte stížnost?

Spam, nevyžádaná elektronická pošta, činí problémy všem uživatelům Internetu a všichni poskytovatelé e-mailových služeb se s ním snaží nějakým způsobem bojovat. Prostředky boje mohou být technologické a právní. Technologicky používáme rozličné formy filtrování. Právně se snažíme původce spamu postihnout cestou trestního, občanského nebo správního řízení.

Tento článek se zabývá onou druhou cestou, konkrétně možností postihnout rozesílatele spamu podle zákona o některých službách informační společnosti, prostřednictvím Úřadu pro ochranu osobních údajů.

Co je spam?

Prvním problémem je samotná definice spamu. Stanovení hranice mezi legitimní a nelegitimní zprávou je často velice subjektivní a tudíž problematické.

Spam je v českém právním řádu nazýván „nevyžádané obchodní sdělení“ a je definován Zákonem o některých službách informační společnosti takto:

Obchodním sdělením (se rozumí) všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku fyzické či právnické osoby, která vykonává regulovanou činnost nebo je podnikatelem vykonávajícím činnost, která není regulovanou činností; za obchodní sdělení se považuje také reklama podle zvláštního právního předpisu. Za obchodní sdělení se nepovažují údaje umožňující přímý přístup k informacím o činnosti fyzické či právnické osoby nebo podniku, zejména doménové jméno nebo adresa elektronické pošty; za obchodní sdělení se dále nepovažují údaje týkající se zboží, služeb nebo image fyzické či právnické osoby nebo podniku, získané uživatelem nezávisle.

Jak uvidíme dále, spam je v českém právu pojat v duchu nejlepších českých legislativních tradic osvědčenou cestou kombinace drakonického zákona a mizerné vymahatelnosti té­hož.

Definice spamu je na jednu stranu velmi široká: při důsledné aplikaci by do ní spadala většina obchodní komunikace. Na druhou stranu je zase úzká, protože postihuje pouze zprávy rozesílané podnikatelskými subjekty, na cokoliv jiného je krátká.

Za povšimnutí stojí, že součástí zákonné definice není prvek hromadnosti, který je jinak typickým znakem spamu. I jedna zaslaná zpráva tedy může být teoreticky postižena.

Co na to úřad?

Orgánem státní správy, který se problematikou nevyžádaných obchodních sdělení zabývá, je Úřad pro ochranu osobních údajů. Na jeho stránkách rovněž najdete formulář, jehož prostřednictvím lze zaslat stížnost.

Takových stížností dostal letos ÚOOÚ zhruba čtyři tisíce a jejich počet rok od roku rychle stoupá, jak ukazuje následující graf (údaje za rok 2011 jsou extrapolované z dosavadního počtu stížností).

Vyřizování těchto stížností tvoří jeho největší jednotlivou agendu, čemuž ovšem neodpovídá personální zajištění: ze zhruba stovky zaměstnanců ÚOOÚ se problematikou spamu zabývají celkem čtyři lidé, kteří ovšem kromě toho vykonávají i další kontrolní činnost, nemají na starosti jenom spam. Ve vyřizování stížností jim nenapomáhá ani žádný specializovaný software, takže celý proces vyžaduje velké množství ruční práce. Vytvoření takového systému by bylo podle mého profesionálního názoru relativně snadné, nicméně jeho pořízení ani přes výše uvedené skutečnosti nepatří mezi priority vedení ÚOOÚ.

Při zjišťování faktického stavu věci postupuje úřad podle zákona o státní kontrole, nikoliv tedy například podle správního řádu nebo podle zákona o ochraně osobních údajů. To je jedním z mnoha problematických momentů celé záležitosti, protože zákon o státní kontrole je navržen spíše pro případy, kdy jeden úřad kontroluje druhý, ne pro kontrolu soukromoprávních subjektů. Podle tohoto zákona má také kontrolující výrazně menší možnosti, než ve správním řízení nebo při kontrole podle zákona o ochraně osobních údajů.

Jednou ze zásadních překážek je, že ÚOOÚ nemá v tomto řízení možnost získat podklady a informace od nikoho jiného, než od kontrolovaného subjektu. Tedy například ne od poskytovatele připojení k Internetu nebo provozovatele e-mailové služby. Většina podobných subjektů s úřadem prý dobrovolně neformálně spolupracuje, ale v opačném případě musí ÚOOÚ zahájit další kontrolu u dotčeného subjektu, což celou situaci dále komplikuje.

Další nevýhodou postupu podle zákona o státní kontrole je nutnost kontrolovaného seznámit s výsledky kontroly, což je učinit osobně. Dochází tak ke zcela absurdní situaci, kdy je v jedenadvacátém století principiálně elektronický delikt řešen tím, že zástupce úřadu musí sednout do auta a osobně odvézt papírový zápis kontrolovanému a z ruky do ruky mu jej předat.

Teprve pokud ÚOOÚ v rámci kontroly zjistí pochybení, může zahájit správní řízení o uložení pokuty za správní delikt. Výše obvyklých pokut se pohybuje v řádu jednotek tisíc korun za každou stížnost, v případě opakovaného porušení pak pokuty řádově stoupají. Několika subjektům byla uložena pokuta v řádu statisíců – nicméně v řadě případů se bohužel jedná o „bílé koně“ a prázdné firmy, kde je pokuta a náprava fakticky nevymahatelná.

Jaké jsou české stížnosti?

Od začátku letošního roku do 6. 12. obdržel ÚOOÚ celkem 3961 stížností. Zhruba čtvrtina z nich je neoprávněná, resp. pro účely ÚOOÚ nepoužitelná:

  • Z nich 283 stížností směřovalo na zahraniční subjekt; v případě subjektu z EU úřad podává podnět svému místně příslušnému ekvivalentu.
  • Dalších 287 stížností neobsahovalo potřebné údaje pro řešení (stěžovatelé byli vyzváni k doplnění).
  • Ve 235 případech se nepodařilo dohledat odesílatele zprávy.
  • 149 zpráv nebylo obchodním sdělením ve smyslu zákona.

U „oprávněných“ stížností byl jejich osud následující:

  • V 797 případech šlo o jednu stížnost na jeden subjekt.
  • Dalších 153 stížností je recidiva – směřují na subjekty známé, již dříve prošetřované, u nichž se postupuje rovnou správním řízením, typicky udělením pokuty.
  • Zbylých 2001 stížností pak směřuje na 240 subjektů, u nichž byla zahájena kontrola, která může skončit správním řízením a pokutou.

Z hlediska logistiky představuje největší problém oněch 797 „jednotlivých“ stížností. Většinou se jedná o případy málo závažné a s velkým potenciálem nedorozumění, které je ale přesto třeba prošetřit. Český zákon totiž neobsahuje podmínku „hromadnosti“.

Ve většině evropských zemí je zpracování spamu zařízeno takovým způsobem, že se úřad stížností zabývá až v případě, kdy na jeden subjekt obdrží stížností více. Konkrétní hranice je různá, ale jedná se řádově o 10–100 stížností na jeden subjekt. To mimochodem představuje nemalý problém při přeshraniční spolupráci – pokud spam pochází z jiné země EU, může český ÚOOÚ předat věc svému tamnímu ekvivalentu, ale většinou se nepodaří překonat tuto hranici.

Kdo jsou čeští spammeři?

Podle zkušeností českého ÚOOÚ u nás působí zhruba pět „hardcore“ spammerů, kteří moc dobře vědí, co dělají a s úřadem aktivně bojují a využívají děr v zákonech.

Většina ostatních je spammery z hlouposti nebo z neznalosti. Kontrola a pokuta ÚOOÚ je dokáže přivést k nápravě – recidivistů je menšina.

Jak správně spamovat?

Ne, neporadím vám, jak využívat rozličných děr v systému a rozesílat nevyžádaná sdělení tak, abyste nebyli postižitelní. Ale pojďme se zaměřit na možnosti, které máte pro oslovení nových či stávajících zákazníků v souladu se zákonem.

Zasílání obchodních sdělení stávajícím zákazníkům

Pro stávající a minulé zákazníky (přesněji osoby, jejichž elektronický kontakt jste získali v souvislosti s prodejem zboží nebo služeb) platí princip opt-out, tedy že jim můžete obchodní sdělení zasílat, pokud to výslovně neodmítnou. Je pouze třeba dodržet několik podmínek.

Obchodní sdělení musí být jako takové označeno. Zákon ovšem nepředepisuje konkrétní podobu, jakou ono označení má mít. Obecně ÚOOÚ za dostatečné považuje, když je v předmětu zprávy uvedeno něco jako „nabídka“ a podobně.

Adresát musí mít možnost příjem dalších sdělení odmítnout, a to jednoduše a zdarma (nebo na účet odesílatele). Postup pro odhlášení musí být součástí každé jednotlivé zprávy. Opět není závazně předepsán způsob odmítnutí, ale obvyklá řešení v podobě odkazu, na který se má přejít, nebo „zašlete e-mail s tím a tím předmětem na tuhle adresu“ vyhoví. Z ryze praktického hlediska je dobré počítat s případy, kdy adresa, na kterou bylo sdělení zasláno, je jiná, než na jakou bylo doručeno (typicky různé forwardy a aliasy) a nevyžadovat, aby adresa odesílatele byla stejná, jako je zapsaná v mailing listu, identifikovat ji zvlášť.

Zpráva nesmí skrývat nebo utajovat totožnost odesílatele. Tím se nutně nemyslí e-mailová adresa „from“ (ta typicky bývá nějaký neobsluhovaný mailbox), ale mělo by to být uvedeno i v textu zprávy. Tato povinnost v zásadě vyplývá i z §13a Obchodního zákoníku, budeme-li tuto zprávu považovat za obchodní dopis nebo informace zpřístupňované prostřednictvím dálkového přístupu.

Při dodržení těchto podmínek lze zákazníkům obchodní sdělení bez problémů zasílat. Je jenom nutné vytvořit si takové mechanismy, v rámci kterých budete schopni zpracovat odmítnutí a garantovat jeho dodržení. Včetně řešení takových situací, kdy máte jednu adresu v různých interních databázích vícekrát a podobně.

Lze jenom doporučit vybudování interního „blacklistu“ lidí, kteří od vás příjem obchodních sdělení v minulosti odmítli. Jste přitom povinni akceptovat odmítnutí, které vám přijde jakoukoliv cestou, zákazník nemusí dodržet vámi navržený automatizovaný postup. Je proto ve vašem zájmu, aby byl co možná nejjednodušší.

Zasílání obchodních sdělení neznámým osobám

Pokud zamýšlený příjemce není vaším zákazníkem, platí princip opt-in, tedy že příjemce musí se zasláním obchodního sdělení předem výslovně souhlasit. Kromě toho platí všechny podmínky, které byly uvedeny v předchozím případě, tedy označení, neskrývání totožnosti a možnost odhlášení.

Lze tedy například provozovat newsletter, k jehož odběru se mohou zájemci přihlásit na vašich webových stránkách. V takovém případě ale musíte být při kontrole ÚOOÚ připraveni prokázat, že adresát skutečně se zasíláním obchodních sdělení souhlasil.

Naprostým minimem je zaznamenat kdy a jak byla adresa do mailing listu přidána (tedy aktuální datum, čas a IP požadavku na přihlášení) a zaslat o tom na ni zprávu (s možností odhlášení). Ideální řešení z pohledu ÚOOÚ, uživatele a v konečném důsledku i provozovatele mailing listu spočívá v potvrzení přihlášení: na zadanou e-mailovou adresu pošlete kontrolní zprávu a zařadíte ji do mailing listu teprve ve chvíli, kdy uživatel potvrdí přihlášení, například tím že přejde na adresu s jedinečným potvrzovacím kódem nebo na zprávu odpoví. I o tom byste si měli uchovat záznam – zase datum a čas a IP adresu. Tento postup má navíc tu výhodu, že si můžete ověřit, že je zadaná e-mailová adresa skutečně existující a funkční, alespoň v době jejího vytvoření.

Nelze jen tak někde získat e-mailové adresy a na ně zaslat nabídku. Obvyklé výmluvy, typu „vaše adresa byla získána z veřejně dostupných zdrojů“ nejsou nic platné, takové jednání je pořád protizákonné. Nemá ani smysl kupovat rozličné oborově či jinak členěné databáze, které jsou často nabízeny právě formou nevyžádaných mailů. Prodej takových databází (jedná-li se o podnikatelské subjekty) není sám o sobě protizákonný, ale taková databáze je pro účely zasílání obchodních sdělení bezcenná.

Jediná teoretická možnost je, kdyby někdo dal dohromady databázi osob, které předem vyslovily souhlas se zasíláním obchodních sdělení třetími stranami, přičemž by kupujícímu předal takové informace, které by mu umožnily takový souhlas prokázat. Ani mně ani ÚOOÚ nicméně není známo, že by se taková databáze na českém trhu vyskytovala.

Stejně tak bezcenný je poslední dobou se rozšiřující trik, kdy je zaslána zpráva, která se tváří jako žádost o souhlas se zasíláním obchodních sdělení, přičemž ovšem sama je obchodním sdělením. Trik je to hezký, leč nefunkční a postihovaný.

Jak si správně stěžovat?

Jakým způsobem podat stížnost Úřadu pro ochranu osobních údajů tak, aby tento na jejím základě mohl jednat a přitom nebyl zbytečně zavalen hromadou stížností?

Prvním krokem je rozhodnout se, zda má vůbec smysl si stěžovat, tedy zda zpráva je obchodním sdělením ve smyslu shora uvedené definice. Pokud není, typicky se například jedná o žebrací zprávu nějaké neziskové organizace nebo podporu politické strany apod., nemá smysl si vůbec stěžovat – ÚOOÚ vám nepomůže. Ne že by nechtěl, ale nemůže, nejedná se o obchodní sdělení. Stejně tak nemá smysl si stěžovat na phishingové zprávy nebo na klasický (typicky cizojazyčný) spam odesílaný subjektem mimo EU a nabízející Viagru či podobně.

Druhým krokem je uvědomit, si zda nejsem zákazník té které firmy. Pokud ano, je poměrně velká šance, že vám obchodní sdělení zasílá oprávněně a postižena být nemůže. V takovém případě je vhodné se odhlásit způsobem, který je ve zprávě uvedený. Obecně není u spamu odhlašování doporučováno (protože prokazuje, že daná adresa je „živá“, ale v tomto případě je z praktických důvodů vhodné učinit výjimku.

Teprve v případě, že vám chodí zprávy i přes odhlášení nebo pokud odesílatel možnost odhlášení nenabízí, má smysl si stěžovat na ÚOOÚ. Je dobré v takovém případě mít v ruce nějaké potvrzení o tom, že jste se skutečně odhlásili, což ovšem může být v případě odhlášení klepnutím na odkaz poněkud problematické.

Další případ, kdy má smysl si ÚOOÚ stěžovat, je pokud dostanete nevyžádané obchodní sdělení od firmy, o které jste nikdy předtím neslyšeli. Potom je šance, že ÚOOÚ bude schopen zasáhnout.

Možná řešení do budoucna

Současná situace je velmi neradostná a do budoucna neudržitelná, zejména bude-li počet spamů a stížností narůstat dosavadním tempem. Při shledávání podkladů pro tento článek jsem strávil plodné odpoledne s pány Šnytrem a Polákem z ÚOOÚ. Nabyl jsem dojmu, že se opravdu upřímně snaží se spamem bojovat a že poněkud rozpačitý dojem z činnosti ÚOOÚ v tomto ohledu (například dlouhé lhůty a nechvalně proslulé dotazy, zda stěžovatel na své stížnosti nadále trvá) není důsledkem neochoty.

Bohužel, náprava současného stavu vyžaduje změnu některých zákonů. Bohudík, na spadnutí je novelizace zákona 480/2004 Sb. o některých službách informační společnosti. Novela, dostupná jako sněmovní tisk 347 byla již schválena oběma komorami parlamentu a čeká jenom na podpis prezidenta.

Tato novela ruší nesmyslné použití zcela nevhodného zákona o státní kontrole a umožňuje ÚOOÚ postupovat podle zákona o ochraně osobních údajů a obecně podle správního řádu.

Dále pak výrazně zjednodušuje definici obchodního sdělení, které bude v případě schválení definováno takto:

Obchodním sdělením (se rozumí) všechny formy sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost.

Bude tedy možné postihnout i poslední dobou objevující se trik, kdy textem spamu je pouze webová adresa, která je ovšem velmi popisná.

Konečně se pak rozesílání nevyžádaných obchodních sdělení nepodnikajícími osobami stane přestupkem, což opět dá ÚOOÚ možnost pracovat efektivněji a rozšířit záběr.

Není ale dobré usínat na vavřínech. Zůstává ještě řada otázek k řešení. Na zvážení je, zda není současná definice příliš striktní. Při důsledné implementaci totiž de facto zakazuje většinu běžné obchodní komunikace. Mohlo by být prospěšné stanovit nějaké podmínky, za nichž je možno – zejména podnikatelům – obchodní sdělení zasílat i bez předchozího souhlasu.

EBF16

Dovedu si představit třeba situaci, že by na nějakou formou definovanou e-mailovou adresu (třeba obvyklou info@doména) bylo povoleno zasílat obchodní sdělení formou opt-out za předpokladu, že budou označena způsobem umožňujícím jejich filtrování, možná s nějakými dalšími omezeními na obsah, četnost či objem. Takovýto krok ale není prakticky možný bez iniciativy EU, neboť i zákon 480/2004 Sb. není ničím jiným, než přepisem Směrnice EU č. 2000/31/ES.

Na druhou stranu by bylo vhodné rozšířit působnost zákona i na nepodnikatelské subjekty. Poslední dobou se začínají množit rozličné žádosti neziskových organizací a politických stran, mnohdy takových, že jejich činnost cítím morální povinnost spíše potírat než podporovat.

46 názorů Vstoupit do diskuse
poslední názor přidán 22. 7. 2015 13:38

Školení e-mail marketingu

  •  
    Jak získat e-mailové kontakty
  • Jak udělat e-mailing více relevantní
  • Jak zavést automatizované kampaně

Detailní informace o školení e-mailingu »