Tak za prvé, pokud zákon požaduje "prokazatelný souhlas", pak je spammer povinen ten prokazatelný souhlas mít. Pokud to bude znamenat dopis s ověřeným podpisem, bude muset požadovat dopis s ověřeným podpisem.
Jsou ale i další možnosti, jak toho dosáhnout - doložit mail ode mne, kde jsem se jasně vyjádřil, že souhlasím. Předhodit úřadu databázi, ve které bude moje adresa s tím, že nikdo neví, jak se tam dostala, je naprosto nedostatečné a dle mého i v rozporu se zákonem, protože položka v databázi sama o sobě, bez dalších důkazů, nic prokazatelného není.
Ty další důkazy můžou být např. i mail s odkazem na potvrzení, který mi spammer odeslal a záznamy z logu s digitální stopou, kdy jsem na něj měl údajně kliknout.
Opakuji znovu, zákon nepožaduje po mně, abych já prokazoval, že jsem souhlas udělil. Naopak spammer prokazuje, že ode mne souhlas dostal. To je klíčové.
Tento odstavec je bohužel zcela mimo mísu:
Neexistuje prokazatelný souhlas s udělením svolení k zasílání obchodních sdělení, rozesílající subjekt poskytl odpověď, ze které je jasné, že vůbec neřešil, komu adresa opravdu patří.
V praxi to dáte na ÚOOÚ. Oni - když už vůbec usoudí, že se tím nudou zabývat (na to se musí sejít dostatečný počet stížností na spammera, pokud vás bude pár, zcela zřetelně se na vás vykašlou) - naběhnou na spammera, ten jim ukáže databázi souhlasů, ve kterých bude váš mail a oni řeknou "fajn". Osobní zkušenost. Na mé odvolání, že samotná přítomnost mailu v databázi v žádném případě neznamená doložení mého souhlasu, protože takovýchto "databází" jim na počkání vyrobím tisíc a že zákon jasně vyžaduje prokázání souhlausu, což zde nebylo, když jsem jejich "databázi souhlasu" rozporoval, mě paní ředitelka poslala do háje, že oni to dělají správně.
Dost smutné a dokud se v tom nezačne šťourat nějaký právník, pochybuju, že by se něco změnilo.
super článek, objednavatelé by se to měli naučit a dávat si pozor od koho nakupují. Sám jsem to zažil mockrát, marketing se s někým seznámí, objedná u nich emailing, protože je super levný a ze své pozice není schopný rozhodnout, jestli jsou to podvodníci nebo ne.
Přes podobné spamy rozesílají opravdu i velké ryby, ikea, czc, cez, aaa auto atd.
po nás vždy ÚOOÚ chtěl při řešení spamů poslat datum registrace, ip adresu, url stránky, kde došlo k registraci a informaci jak proběhlo ověření adresy (opt-in, opt-out whatever).
Dále chtěli informace o frekvenci rozesílky a velikosti databáze.
V případě, kdy jsme některý z údajů neměli, posuzovalo se to individuálně podle množství stížností a velikosti databáze. I za neúplné údaje jsme dostávali drobné pokuty, ale jelikož se jednalo o jednotky emailů z obrovských databází, pokuty byly ve stovkách kč.
V několika případech jsme i byly vyžádání, jestli můžeme poslat přesné logy ke konkrétní emailové adresy. Ukládali jsme vše vč. hlaviček serverů při odesílání emailů, takže nebyl velký problém jim doložit cokoliv, i tak jsme občas dostali malou pokutu.
poslední z podzimu 2014.
Znám to i z druhé strany, pravidelně hlásím všechny hnusné spamery, ročně to jsou desítky hlášek.
Zákon mluví jasně, porušuje zákon, musí být pokutován. Realita je samozřejmě problematická, musí se přihlédnout k technickým obtížím - nelze jednoznačně prokázat, kdo má pravdu.
Nechci hodnotit jestli to je dobře nebo špatně. Každopádně podle zkušeností úřad rozhoduje podle množství stížností (desítky jsou již výrazně určující) na jedné straně a podle množství a kompletnosti dat na druhé straně. Pokud si firma data vymyslí, nejspíš jí nikdo neprokáže opak, na druhou stranu, jakmile se zvedne počet stížností, určitě tomu úřad věnuje více času. Zároveň při kontrole je přihlédnuto k podmínkám, k procesu registrace do rozesílky a k obsahu samotného emailu, jestli obsahuje všechny náležitosti.
Je tady i další problém, přes ÚOOÚ jsou pokutovatelné pouze rozesílky z českých domén a od českých firem. Co jde mimo náš stát je problematické a neznám přesná pravidla a ani postupy. Tohle se ale časem mění, někdy v lednu bylo kladně rozhodnuto o rozesílce, kterou jsem hlásil na eu doménu registrovanou v ČR.
Mám výhodu, že mám přístup k emailům pro stovky firemních uživatelů. Zároveň spamy hlásím i jednotlivým ISP a hostingům. Někdy uspěji a je účet zablokovaný, někdy to očividně žádný důsledek nemá, ale ze slušnosti používám všechny legální prostředky obrany.
No minimálně by měli mít v databázi to, kde je to "nekde", kde došlo k zaškrtnutí...
Požadavek na ověřený podpis je jistě extrém, na druhé straně ale pokud UOOU opravdu nekontroluje vůbec nic, tak je to extrém druhý.
Podle mě není důvod, aby DB neobsahovala informace ve stylu email-zdroj a datum souhlasu (URL stránky, kde k tomu došlo).
Takhle nějak jsem to myslel - stručně jsem napsal jen URL, ale mínil jsem to obecněji jako data o "vzniku souhlasu"...
Samozřejmě si spammer může vymýšlet, jenže v tom případě si taky může pěkně naběhnout - pokud mám domácí připojení UPC a mobilní O2 a on mi předloží najednou IP od T-mobile, tak to bude mít co vysvětlovat... V některých případech může být nemožnost mého souhlasu s udanými údaji i plně prokazatelná a pak by to v extrému šlo kvalifikovat i jako podvod.
Když jsem psal o digitální stopě, tak jsem měl na mysli nejen čas a URL, ale i IP adresu, identifikaci mého prohlížeče a referala. To všechno jsou údaje, které se falšují poměrně těžko. Zvláště když jste obezřetný a se spammerem nekomunikujete - pak nemá jak tyhle informace dovymyslet. Samozřejmě může zkusit použít něco univerzálního, ale v okamžiku, kdy to začnete rozporovat, tak nemají nárok. A hlavně jsme tam, kde jsme byli - prokazuje spammer, že já jsem mu souhlas dal, nikoliv já, že jsem mu ho nedal. Takže pokud řeknu "to, co máte v databázi, v žádném případě není můj souhlas", tak by měli být těžce v (__!__).
V praxi je to přesně tak, že ÚOOÚ nechce absolutně nic prokazovat a spokojí se s nějakou databází, ve které se mail nachází. Tahle praxe se musí změnit a bylo by docela fajn, kdyby se toho třeba Lupa ujala.
Takhle to přesně dělám i já. Pokud mě někdo zaspamuje, tak je mi jedno, že mi nabízí odhlašování z něčeho, kam jsem se nikdy nepřihlásil. Za prvé takové ty sviňárny typu "před rokem a půl jste u nás mailem poptával dovolenou, tak jsme si vás zařadili do newsletteru)" absolutně neberu. Za druhé nemám jistotu, že to odhlášení zabere. Za třetí bude fajn, pokud se po byť spíše formální kontrole spammer zalekne a do budoucna svoje aktivity omezí/zredukuje. Věřím tomu, že spousta z nich spamuje z neznalosti než ze zlého úmyslu.
Asi jste mne špatně pochopil, tak ještě jednou. Já chci, aby se ÚOOÚ striktně držel litery zákona, který požaduje prokazatelný souhlas. Pokud spammer dodá něco, co já zpochybňuji, pak spammer prokazuje, že on má pravdu.
Pokud pro prokázání své pravdy potřebuje můj ověřený podpis nebo podpis přd svědky, je to jeho problém. Pokud úřad (případně soud) přesvědčí digitální stopou, tím líp pro něj. Jestliže se k uvedené digitální stopě nebudu hlásit, budou to mít samozřejmě těžší, to bez diskuze.
Tohle ověřování jak staré? Už zhruba rok a půl na ÚOOÚ prdím, protože vždy mi buď napsali, že si nás stěžovalo málo, takže se tím vůbec nebudou zabývat (a na mou námitku, že zákon o žádném minimálním množství stěžovatelů nehovoří a řeší pouze to, zda jde o nevyžádané obchodní sdělení, nereagovali) a nebo se vyjádřili ve smyslu, že spammer souhlas předložil a tím to pro ně končí. Na mou námitku, že chci detaily k souhlasu, protože jsem přesvědčen, že ho mít nemůžou, nějaké vysvětlování, že můj mail v databázi byl a konec. Takže pokud by se něco za posledních 18 měsíců změnilo, tím lépe. Pokud jsou ty vaše zážitky starší, pak jsou v hrubém rozporu s tím, co jsem zažil já "z druhé strany".
Díky, to je pozitivní zkušenost, zkusím dát ÚOOÚ ještě šanci.
"Pokud si firma data vymyslí, nejspíš jí nikdo neprokáže opak" - v tomhle vidím největší slabinu ÚOOÚ: úřad ani nikdo jiný neprokazuje, že si firma data vymyslela, naopak firma prokazuje, že souhlas má. Takže naopak - poškozený tvrdí, že jeho souhlas firma nemá, firma to věrohodně prokáže - dostává pokutu.
Samozřejmě vím, že je spousta případů, kdy to technicky postihnout nelze - odesílatel ze zahraničí, již zkrachovalá/nefungující firma atp. Co mě ale štve je to, jak se snaží (resp. možná už se dá říct "snažili") vyvlíknout z odpovědnosti a kontroly dělali akorát formálně, aby si mohli udělat čárku.
Bylo by také ale vhodné říct, že řada uživatelů naší rozesílku raději nahlásila, než by provedla odhlášení (přes odkaz nahoře i na konci emailu, přes rychlotlačítko u seznamu/gmail, přes odpověď, přes formulář na stránkách), přitom byli řádně přihlášení, dokonce u některých se IP adresa, z které hlásili spam shodovala s tou, z které se přihlásili k rozesílce (tvrzení úřadu).
Úlohu úřadu vůbec nezávidím, email není na tohle chování technicky navržený.
Jinak řečeno chcete, aby jediné, o co by se ÚOOÚ opíral, bylo Vaše tvrzení. Protože pokud ta digitální stopa bude naznačovat, že jste před týdnem na nějaké free wi-fi přes iPhone potvrdil souhlas, tak řeknete "sorry, nejsem iOvce a free wi-fi taky nepoužívám" a je vymalováno, Vy přece nic dokazovat nemusíte a "spammer" naprosto nemá šanci dokázat, že jste to, co naznačuje digitální stopa, opravdu vykonal, i kdyby to byla pravda... Takže vlastně vůbec nejde o to, jak důvěryhodná ta digitální stopa je, hraje se čistě o to, zda se k ní přihlásíte či ne (falšovatelnost jednotlivých údajů by totiž byla zajímavá až ve chvíli, kdy by se nevěřilo ani jedné straně).
Tohle není obhajoba současného systému, jen se mi nelíbí snaha maskovat přehození výhybky jako nějaké zlepšování či vyvažování.
To je právě to... Máte domácí připojení UPC a mobilní O2. A tomu bych měl věřit proč? Prostě proto, že to tvrdíte? A nemáte třeba služební mobil s připojením od T-mobile? Nebo někdo z rodiny, kdo Vám mobil půjčil, protože jste měl zrovna svůj vybitý? Jo Vy jste byl tou dobou v zahraničí? A nemá k Vašemu mailu přístup i někdo jiný? Nepřihlásil jste se přes vzdálenou plochu na svůj domácí počítač a souhlas neudělil z něj?
Ano, v některých případech ta nemožnost opravdu může být plně prokazatelná, ale těch případů zas tak moc nebude (tedy pokud slovo "plně" nebudete chápat poněkud volněji).
Co mě ale štve je to, jak se snaží (resp. možná už se dá říct "snažili") vyvlíknout z odpovědnosti a kontroly dělali akorát formálně, aby si mohli udělat čárku.
Výkon úřadu je přímo úměrný odbornosti jeho šéfa (situace je nadmíru výtečná) a tomu, že i každý z inspektorů je politický trafikant. Např. pan veterinář, co se i v úřadě chová, jak když právě vylez z chlíva.
Moje zkušenost je 17 ze 20 vyřízeno pokutou, u zbylých 3 se nepodařilo dohledat odesílatele. Na druhou stranu spam většinou nahlašuji, až když mi chodí delší dobu.
Co se týče té podvržené databáze, u jednoho nahlášeného jim ukázali takovou databázi, kde bylo, odkud ty e-maily údajně pochází, ÚOOÚ se pak všech ptal, jestli jsme do jakékoliv z těch databází skutečně přihlásili, a opravdu řešil, jestli ta databáze je pravá. Skončilo to pokutou, takže jim to asi neuznal.
V současné situaci může třeba i rozezlený sok v lásce vzít váš email a strčit ho někam do newsletteru. Spammer jej má pak v databázi, ale vůbec to nevypovídá o stavu "Vašeho" souhlasu,proto by se dle mého na takovéto databáze nemělo vůbec pohlížet.
Osobně mám na toto řešení v podobě několika již přeplněných mailových schránek, kam chodí spam, ale souhlasím s autorem článku a kroutím hlavou, jak za to může spammerům někdo platit. Budí to vůči inzerovaným institucím značnou nechuť.
Díky, dovolím si to upřesnit. Zákon o žádném minimálním počtu stěžovatelů nehovoří. Mé podání na spam ÚOOÚ odmítl s poukazem na to, že stěžovatelů bylo příliš málo. Přitom šlo o mail, který veškeré znaky hromadného nevyžádané mailu splňoval (bez konkrétního oslovení, skrytí příjemci, odhlašovací link apod.) a který mi dokonce přišel na vícero mých mailových adres.
Proti závěru ÚOOÚ jsem se odvolal s tím, že o hromadný mail šlo, ať si vyžádají data od spammera, komu všemu to posílal, protože jen mně to přišlo asi 5x a to, že nemají víc stížností od jiných lidí neimplikuje to, že o hromadný mail nešlo. Opět se na to suverénně vyprdli.
Chtěl jsem argumentovat obdobně, jenže... Tak jako není problém do databáze zanést e-mail, není ani problém tam zanést "ověřovací link" včetně záznamu z logu, kdy na něj bylo kliknuto, případně tam zanést "ověřovací komunikaci" (vygenerovaný mail "projevil jste zájem se zasíláním mailů, odpovědí na tento mail to potvrdíte" a odpověď na tento mail), tohle vše se dá udělat automaticky a dokázat, že jde o podvrh (přičemž zpochybnit by se dala leda ta odpověď), je značně netriviální, v každém případě se přesouváme od "dokažte, že jste získali souhlas" k "dokazujeme, že tento mail nebyl poslán".
To už je ale špatně, "prokazatelný souhlas" by měl chránit příjemce hromadných mailů a prokazovat by měl odesílatel, jenže problém je, že současně užívané formy (prosté zaškrtnutí tlačítka při registraci bez dalšího ověřování, zaškrtnutí s kliknutím na ověřovací link poslaný na zadanou adresu i zaškrtnutí s nutností odpovědět na poslaný ověřovací mail) neumožňují jednoduše odlišit odesílatele, který souhlas skutečně získal, od toho, který se tak jen tváří (dle situace to vyžaduje spolupráci třetích stran (jež k ní ale nic nenutí), případně je to prostě nemožné).
Nebo stručněji, máte pravdu, že není důvod, aby databáze neobsahovala "informace ve stylu email-zdroj a datum souhlasu (URL stránky, kde k tomu došlo)", otázkou ale je, pokud databáze obsahuje data, která se tváří být právě tímto, co z toho můžete usoudit?