Názory k článku Koupit si rozesílku spamu není dobrý nápad. Čerstvě má co řešit E.ON

Tak za prvé, pokud zákon požaduje "prokazatelný souhlas", pak je spammer povinen ten prokazatelný souhlas mít. Pokud to bude znamenat dopis s ověřeným podpisem, bude muset požadovat dopis s ověřeným podpisem.

Jsou ale i další možnosti, jak toho dosáhnout - doložit mail ode mne, kde jsem se jasně vyjádřil, že souhlasím. Předhodit úřadu databázi, ve které bude moje adresa s tím, že nikdo neví, jak se tam dostala, je naprosto nedostatečné a dle mého i v rozporu se zákonem, protože položka v databázi sama o sobě, bez dalších důkazů, nic prokazatelného není.

Ty další důkazy můžou být např. i mail s odkazem na potvrzení, který mi spammer odeslal a záznamy z logu s digitální stopou, kdy jsem na něj měl údajně kliknout.

Opakuji znovu, zákon nepožaduje po mně, abych já prokazoval, že jsem souhlas udělil. Naopak spammer prokazuje, že ode mne souhlas dostal. To je klíčové.

Divím se, že sem ty stážistky, které už ani u firmy nepracují nepíšou ty svoje kidy přes nějakou anonymizační proxy.
LOL.

Tento odstavec je bohužel zcela mimo mísu:
Neexistuje prokazatelný souhlas s udělením svolení k zasílání obchodních sdělení, rozesílající subjekt poskytl odpověď, ze které je jasné, že vůbec neřešil, komu adresa opravdu patří.

V praxi to dáte na ÚOOÚ. Oni - když už vůbec usoudí, že se tím nudou zabývat (na to se musí sejít dostatečný počet stížností na spammera, pokud vás bude pár, zcela zřetelně se na vás vykašlou) - naběhnou na spammera, ten jim ukáže databázi souhlasů, ve kterých bude váš mail a oni řeknou "fajn". Osobní zkušenost. Na mé odvolání, že samotná přítomnost mailu v databázi v žádném případě neznamená doložení mého souhlasu, protože takovýchto "databází" jim na počkání vyrobím tisíc a že zákon jasně vyžaduje prokázání souhlausu, což zde nebylo, když jsem jejich "databázi souhlasu" rozporoval, mě paní ředitelka poslala do háje, že oni to dělají správně.

Dost smutné a dokud se v tom nezačne šťourat nějaký právník, pochybuju, že by se něco změnilo.

Přesně tak. A navíc je to pro něj potvrzení, že je ten účet živý.

No minimálně by měli mít v databázi to, kde je to "nekde", kde došlo k zaškrtnutí...
Požadavek na ověřený podpis je jistě extrém, na druhé straně ale pokud UOOU opravdu nekontroluje vůbec nic, tak je to extrém druhý.
Podle mě není důvod, aby DB neobsahovala informace ve stylu email-zdroj a datum souhlasu (URL stránky, kde k tomu došlo).

Takhle nějak jsem to myslel - stručně jsem napsal jen URL, ale mínil jsem to obecněji jako data o "vzniku souhlasu"...

Samozřejmě si spammer může vymýšlet, jenže v tom případě si taky může pěkně naběhnout - pokud mám domácí připojení UPC a mobilní O2 a on mi předloží najednou IP od T-mobile, tak to bude mít co vysvětlovat... V některých případech může být nemožnost mého souhlasu s udanými údaji i plně prokazatelná a pak by to v extrému šlo kvalifikovat i jako podvod.

Když jsem psal o digitální stopě, tak jsem měl na mysli nejen čas a URL, ale i IP adresu, identifikaci mého prohlížeče a referala. To všechno jsou údaje, které se falšují poměrně těžko. Zvláště když jste obezřetný a se spammerem nekomunikujete - pak nemá jak tyhle informace dovymyslet. Samozřejmě může zkusit použít něco univerzálního, ale v okamžiku, kdy to začnete rozporovat, tak nemají nárok. A hlavně jsme tam, kde jsme byli - prokazuje spammer, že já jsem mu souhlas dal, nikoliv já, že jsem mu ho nedal. Takže pokud řeknu "to, co máte v databázi, v žádném případě není můj souhlas", tak by měli být těžce v (__!__).

V praxi je to přesně tak, že ÚOOÚ nechce absolutně nic prokazovat a spokojí se s nějakou databází, ve které se mail nachází. Tahle praxe se musí změnit a bylo by docela fajn, kdyby se toho třeba Lupa ujala.

Takhle to přesně dělám i já. Pokud mě někdo zaspamuje, tak je mi jedno, že mi nabízí odhlašování z něčeho, kam jsem se nikdy nepřihlásil. Za prvé takové ty sviňárny typu "před rokem a půl jste u nás mailem poptával dovolenou, tak jsme si vás zařadili do newsletteru)" absolutně neberu. Za druhé nemám jistotu, že to odhlášení zabere. Za třetí bude fajn, pokud se po byť spíše formální kontrole spammer zalekne a do budoucna svoje aktivity omezí/zredukuje. Věřím tomu, že spousta z nich spamuje z neznalosti než ze zlého úmyslu.

Asi jste mne špatně pochopil, tak ještě jednou. Já chci, aby se ÚOOÚ striktně držel litery zákona, který požaduje prokazatelný souhlas. Pokud spammer dodá něco, co já zpochybňuji, pak spammer prokazuje, že on má pravdu.

Pokud pro prokázání své pravdy potřebuje můj ověřený podpis nebo podpis přd svědky, je to jeho problém. Pokud úřad (případně soud) přesvědčí digitální stopou, tím líp pro něj. Jestliže se k uvedené digitální stopě nebudu hlásit, budou to mít samozřejmě těžší, to bez diskuze.

Tohle ověřování jak staré? Už zhruba rok a půl na ÚOOÚ prdím, protože vždy mi buď napsali, že si nás stěžovalo málo, takže se tím vůbec nebudou zabývat (a na mou námitku, že zákon o žádném minimálním množství stěžovatelů nehovoří a řeší pouze to, zda jde o nevyžádané obchodní sdělení, nereagovali) a nebo se vyjádřili ve smyslu, že spammer souhlas předložil a tím to pro ně končí. Na mou námitku, že chci detaily k souhlasu, protože jsem přesvědčen, že ho mít nemůžou, nějaké vysvětlování, že můj mail v databázi byl a konec. Takže pokud by se něco za posledních 18 měsíců změnilo, tím lépe. Pokud jsou ty vaše zážitky starší, pak jsou v hrubém rozporu s tím, co jsem zažil já "z druhé strany".

Díky, to je pozitivní zkušenost, zkusím dát ÚOOÚ ještě šanci.

"Pokud si firma data vymyslí, nejspíš jí nikdo neprokáže opak" - v tomhle vidím největší slabinu ÚOOÚ: úřad ani nikdo jiný neprokazuje, že si firma data vymyslela, naopak firma prokazuje, že souhlas má. Takže naopak - poškozený tvrdí, že jeho souhlas firma nemá, firma to věrohodně prokáže - dostává pokutu.

Samozřejmě vím, že je spousta případů, kdy to technicky postihnout nelze - odesílatel ze zahraničí, již zkrachovalá/ne­fungující firma atp. Co mě ale štve je to, jak se snaží (resp. možná už se dá říct "snažili") vyvlíknout z odpovědnosti a kontroly dělali akorát formálně, aby si mohli udělat čárku.

Ne, není.

Jinak řečeno chcete, aby jediné, o co by se ÚOOÚ opíral, bylo Vaše tvrzení. Protože pokud ta digitální stopa bude naznačovat, že jste před týdnem na nějaké free wi-fi přes iPhone potvrdil souhlas, tak řeknete "sorry, nejsem iOvce a free wi-fi taky nepoužívám" a je vymalováno, Vy přece nic dokazovat nemusíte a "spammer" naprosto nemá šanci dokázat, že jste to, co naznačuje digitální stopa, opravdu vykonal, i kdyby to byla pravda... Takže vlastně vůbec nejde o to, jak důvěryhodná ta digitální stopa je, hraje se čistě o to, zda se k ní přihlásíte či ne (falšovatelnost jednotlivých údajů by totiž byla zajímavá až ve chvíli, kdy by se nevěřilo ani jedné straně).

Tohle není obhajoba současného systému, jen se mi nelíbí snaha maskovat přehození výhybky jako nějaké zlepšování či vyvažování.

To je právě to... Máte domácí připojení UPC a mobilní O2. A tomu bych měl věřit proč? Prostě proto, že to tvrdíte? A nemáte třeba služební mobil s připojením od T-mobile? Nebo někdo z rodiny, kdo Vám mobil půjčil, protože jste měl zrovna svůj vybitý? Jo Vy jste byl tou dobou v zahraničí? A nemá k Vašemu mailu přístup i někdo jiný? Nepřihlásil jste se přes vzdálenou plochu na svůj domácí počítač a souhlas neudělil z něj?

Ano, v některých případech ta nemožnost opravdu může být plně prokazatelná, ale těch případů zas tak moc nebude (tedy pokud slovo "plně" nebudete chápat poněkud volněji).

Přesně tak.

Díky, dovolím si to upřesnit. Zákon o žádném minimálním počtu stěžovatelů nehovoří. Mé podání na spam ÚOOÚ odmítl s poukazem na to, že stěžovatelů bylo příliš málo. Přitom šlo o mail, který veškeré znaky hromadného nevyžádané mailu splňoval (bez konkrétního oslovení, skrytí příjemci, odhlašovací link apod.) a který mi dokonce přišel na vícero mých mailových adres.
Proti závěru ÚOOÚ jsem se odvolal s tím, že o hromadný mail šlo, ať si vyžádají data od spammera, komu všemu to posílal, protože jen mně to přišlo asi 5x a to, že nemají víc stížností od jiných lidí neimplikuje to, že o hromadný mail nešlo. Opět se na to suverénně vyprdli.

Chtěl jsem argumentovat obdobně, jenže... Tak jako není problém do databáze zanést e-mail, není ani problém tam zanést "ověřovací link" včetně záznamu z logu, kdy na něj bylo kliknuto, případně tam zanést "ověřovací komunikaci" (vygenerovaný mail "projevil jste zájem se zasíláním mailů, odpovědí na tento mail to potvrdíte" a odpověď na tento mail), tohle vše se dá udělat automaticky a dokázat, že jde o podvrh (přičemž zpochybnit by se dala leda ta odpověď), je značně netriviální, v každém případě se přesouváme od "dokažte, že jste získali souhlas" k "dokazujeme, že tento mail nebyl poslán".

To už je ale špatně, "prokazatelný souhlas" by měl chránit příjemce hromadných mailů a prokazovat by měl odesílatel, jenže problém je, že současně užívané formy (prosté zaškrtnutí tlačítka při registraci bez dalšího ověřování, zaškrtnutí s kliknutím na ověřovací link poslaný na zadanou adresu i zaškrtnutí s nutností odpovědět na poslaný ověřovací mail) neumožňují jednoduše odlišit odesílatele, který souhlas skutečně získal, od toho, který se tak jen tváří (dle situace to vyžaduje spolupráci třetích stran (jež k ní ale nic nenutí), případně je to prostě nemožné).

Nebo stručněji, máte pravdu, že není důvod, aby databáze neobsahovala "informace ve stylu email-zdroj a datum souhlasu (URL stránky, kde k tomu došlo)", otázkou ale je, pokud databáze obsahuje data, která se tváří být právě tímto, co z toho můžete usoudit?