Vlákno názorů k článku Koupit si rozesílku spamu není dobrý nápad. Čerstvě má co řešit E.ON od h4x0r - Tak za prvé, pokud zákon požaduje "prokazatelný souhlas",...

Tak za prvé, pokud zákon požaduje "prokazatelný souhlas", pak je spammer povinen ten prokazatelný souhlas mít. Pokud to bude znamenat dopis s ověřeným podpisem, bude muset požadovat dopis s ověřeným podpisem.

Jsou ale i další možnosti, jak toho dosáhnout - doložit mail ode mne, kde jsem se jasně vyjádřil, že souhlasím. Předhodit úřadu databázi, ve které bude moje adresa s tím, že nikdo neví, jak se tam dostala, je naprosto nedostatečné a dle mého i v rozporu se zákonem, protože položka v databázi sama o sobě, bez dalších důkazů, nic prokazatelného není.

Ty další důkazy můžou být např. i mail s odkazem na potvrzení, který mi spammer odeslal a záznamy z logu s digitální stopou, kdy jsem na něj měl údajně kliknout.

Opakuji znovu, zákon nepožaduje po mně, abych já prokazoval, že jsem souhlas udělil. Naopak spammer prokazuje, že ode mne souhlas dostal. To je klíčové.

Tento odstavec je bohužel zcela mimo mísu:
Neexistuje prokazatelný souhlas s udělením svolení k zasílání obchodních sdělení, rozesílající subjekt poskytl odpověď, ze které je jasné, že vůbec neřešil, komu adresa opravdu patří.

V praxi to dáte na ÚOOÚ. Oni - když už vůbec usoudí, že se tím nudou zabývat (na to se musí sejít dostatečný počet stížností na spammera, pokud vás bude pár, zcela zřetelně se na vás vykašlou) - naběhnou na spammera, ten jim ukáže databázi souhlasů, ve kterých bude váš mail a oni řeknou "fajn". Osobní zkušenost. Na mé odvolání, že samotná přítomnost mailu v databázi v žádném případě neznamená doložení mého souhlasu, protože takovýchto "databází" jim na počkání vyrobím tisíc a že zákon jasně vyžaduje prokázání souhlausu, což zde nebylo, když jsem jejich "databázi souhlasu" rozporoval, mě paní ředitelka poslala do háje, že oni to dělají správně.

Dost smutné a dokud se v tom nezačne šťourat nějaký právník, pochybuju, že by se něco změnilo.

No minimálně by měli mít v databázi to, kde je to "nekde", kde došlo k zaškrtnutí...
Požadavek na ověřený podpis je jistě extrém, na druhé straně ale pokud UOOU opravdu nekontroluje vůbec nic, tak je to extrém druhý.
Podle mě není důvod, aby DB neobsahovala informace ve stylu email-zdroj a datum souhlasu (URL stránky, kde k tomu došlo).

Takhle nějak jsem to myslel - stručně jsem napsal jen URL, ale mínil jsem to obecněji jako data o "vzniku souhlasu"...

Samozřejmě si spammer může vymýšlet, jenže v tom případě si taky může pěkně naběhnout - pokud mám domácí připojení UPC a mobilní O2 a on mi předloží najednou IP od T-mobile, tak to bude mít co vysvětlovat... V některých případech může být nemožnost mého souhlasu s udanými údaji i plně prokazatelná a pak by to v extrému šlo kvalifikovat i jako podvod.

Když jsem psal o digitální stopě, tak jsem měl na mysli nejen čas a URL, ale i IP adresu, identifikaci mého prohlížeče a referala. To všechno jsou údaje, které se falšují poměrně těžko. Zvláště když jste obezřetný a se spammerem nekomunikujete - pak nemá jak tyhle informace dovymyslet. Samozřejmě může zkusit použít něco univerzálního, ale v okamžiku, kdy to začnete rozporovat, tak nemají nárok. A hlavně jsme tam, kde jsme byli - prokazuje spammer, že já jsem mu souhlas dal, nikoliv já, že jsem mu ho nedal. Takže pokud řeknu "to, co máte v databázi, v žádném případě není můj souhlas", tak by měli být těžce v (__!__).

V praxi je to přesně tak, že ÚOOÚ nechce absolutně nic prokazovat a spokojí se s nějakou databází, ve které se mail nachází. Tahle praxe se musí změnit a bylo by docela fajn, kdyby se toho třeba Lupa ujala.

Asi jste mne špatně pochopil, tak ještě jednou. Já chci, aby se ÚOOÚ striktně držel litery zákona, který požaduje prokazatelný souhlas. Pokud spammer dodá něco, co já zpochybňuji, pak spammer prokazuje, že on má pravdu.

Pokud pro prokázání své pravdy potřebuje můj ověřený podpis nebo podpis přd svědky, je to jeho problém. Pokud úřad (případně soud) přesvědčí digitální stopou, tím líp pro něj. Jestliže se k uvedené digitální stopě nebudu hlásit, budou to mít samozřejmě těžší, to bez diskuze.

Jinak řečeno chcete, aby jediné, o co by se ÚOOÚ opíral, bylo Vaše tvrzení. Protože pokud ta digitální stopa bude naznačovat, že jste před týdnem na nějaké free wi-fi přes iPhone potvrdil souhlas, tak řeknete "sorry, nejsem iOvce a free wi-fi taky nepoužívám" a je vymalováno, Vy přece nic dokazovat nemusíte a "spammer" naprosto nemá šanci dokázat, že jste to, co naznačuje digitální stopa, opravdu vykonal, i kdyby to byla pravda... Takže vlastně vůbec nejde o to, jak důvěryhodná ta digitální stopa je, hraje se čistě o to, zda se k ní přihlásíte či ne (falšovatelnost jednotlivých údajů by totiž byla zajímavá až ve chvíli, kdy by se nevěřilo ani jedné straně).

Tohle není obhajoba současného systému, jen se mi nelíbí snaha maskovat přehození výhybky jako nějaké zlepšování či vyvažování.

To je právě to... Máte domácí připojení UPC a mobilní O2. A tomu bych měl věřit proč? Prostě proto, že to tvrdíte? A nemáte třeba služební mobil s připojením od T-mobile? Nebo někdo z rodiny, kdo Vám mobil půjčil, protože jste měl zrovna svůj vybitý? Jo Vy jste byl tou dobou v zahraničí? A nemá k Vašemu mailu přístup i někdo jiný? Nepřihlásil jste se přes vzdálenou plochu na svůj domácí počítač a souhlas neudělil z něj?

Ano, v některých případech ta nemožnost opravdu může být plně prokazatelná, ale těch případů zas tak moc nebude (tedy pokud slovo "plně" nebudete chápat poněkud volněji).

Chtěl jsem argumentovat obdobně, jenže... Tak jako není problém do databáze zanést e-mail, není ani problém tam zanést "ověřovací link" včetně záznamu z logu, kdy na něj bylo kliknuto, případně tam zanést "ověřovací komunikaci" (vygenerovaný mail "projevil jste zájem se zasíláním mailů, odpovědí na tento mail to potvrdíte" a odpověď na tento mail), tohle vše se dá udělat automaticky a dokázat, že jde o podvrh (přičemž zpochybnit by se dala leda ta odpověď), je značně netriviální, v každém případě se přesouváme od "dokažte, že jste získali souhlas" k "dokazujeme, že tento mail nebyl poslán".

To už je ale špatně, "prokazatelný souhlas" by měl chránit příjemce hromadných mailů a prokazovat by měl odesílatel, jenže problém je, že současně užívané formy (prosté zaškrtnutí tlačítka při registraci bez dalšího ověřování, zaškrtnutí s kliknutím na ověřovací link poslaný na zadanou adresu i zaškrtnutí s nutností odpovědět na poslaný ověřovací mail) neumožňují jednoduše odlišit odesílatele, který souhlas skutečně získal, od toho, který se tak jen tváří (dle situace to vyžaduje spolupráci třetích stran (jež k ní ale nic nenutí), případně je to prostě nemožné).

Nebo stručněji, máte pravdu, že není důvod, aby databáze neobsahovala "informace ve stylu email-zdroj a datum souhlasu (URL stránky, kde k tomu došlo)", otázkou ale je, pokud databáze obsahuje data, která se tváří být právě tímto, co z toho můžete usoudit?