Zákon o (některých) službách informační společnosti, verze 2.0
Nová verze návrhu zákona, který upravuje problematiku spammingu, poskytování přístupu a hostingu, vstoupila do mezirezortního připomínkového řízení. Přináší upřesněné definice, zapracovává vazbu na Evropskou unii, ale zahrnuje také některé nové požadavky. Ne všechny změny jsou ale změnami k lepšímu.V polovině září t.r. představilo Ministerstvo informatiky ČR návrh nového zákona, který přejímá do naší legislativy některá ustanovení evropské směrnice o elektronickém obchodu (ta ustanovení, která nelze "vsunout" do jiných zákonů, formou jejich novely). Navržený zákon byl pojmenován jako "Zákon o službách informační společnosti", a byl vystaven na webu MI ČR k veřejnému připomínkování. Na základě konkrétních připomínek pak ministerstvo informatiky připravilo druhou verzi, kterou následně (9. října) odeslalo do zkráceného meziresortního připomínkového řízení.
Obsah prvního návrhu zákona byl zde na Živě popisován již dříve, zejména v článcích:
- Ministerstvo informatiky: 10 milionová pokuta za spam
- Zákon o službách informační společnosti - tak napůl
V tomto článku se proto zaměřím hlavně na změny, ke kterým došlo při přechodu od první verze k verzi druhé. Tuto druhou verzi můžete nalézt na webu MI ČR (zde).
Pro připomenutí si však dovolím nejprve zrekapitulovat, čím se navrhovaný zákon vůbec zabývá:
- ošetřením spammingu (byť redukovaného jen na nevyžádaná sdělení komerčního charakteru)
- odpovědností poskytovatelů služeb přístupu a hostingu, včetně ošetření cachování
- některými legislativními aspekty elektronického obchodu
Co se změnilo?
V prvním přiblížení lze popsat provedené změny v návrhu zákona takto:
- změnil se název zákona (jde o zákon o "některých službách" informační společnosti),
- do návrhu byl zahrnut "evropský rozměr" - jsou reflektovány vazby na EU, na její legislativu, a vzato v úvahu je i působení zahraničních subjektů v ČR)
- odpovědnost za porušení zákona byla zredukována jen na právnické osoby a podnikající fyzické osoby
- max. výše pokuty u některých přestupků byla snížena na polovinu, tj. na 5 milionů
- místo obecného odkazu na "porušení tohoto zákona" jsou nyní možná porušení taxativně vymezena
- byly zpřesněny některé definice
- přidány byly i některé nové povinnosti, místy však poněkud kontroverzní
Vazba na EU
Navrhovaný zákon ve své druhé verzi změnil jméno, byť spíše jen kosmeticky: ze "Zákona o službách informační společnosti" (někdy prezentovaného též jako "Zákon o regulovaných službách informační společnosti", se nově stal "Zákon o některých službách informační společnosti". Podstatnější změnou je to, že do něj byla zapracována vazba na legislativu EU, což se projevilo hned v několika aspektech.
Například se změnilo samotné vymezení zákona (tzv. předmět úpravy), z původního:
Tento zákon upravuje některá práva a povinnosti osob, které poskytují služby informační společnosti.
na
Tento zákon upravuje v souladu s právem Evropských společenství odpovědnost a některá práva a povinnosti osob, které poskytují služby informační společnosti a šíří obchodní sdělení.
Další změnou je to, že zákon se chová specificky k určité skupině subjektů, kterým ukládá některé povinnosti navíc. Dosud byly tyto subjekty vymezeny odkazem na tzv. regulovaná povolání. Ta byla v zákoně definována čistě "tuzemsky", odkazem na zvláštní právní předpisy (např. zákony definující činnosti notářů, advokátů, exekutorů, daňových poradců atd., až obecně k živnostenskému zákonu).
Nově se místo "regulovaných povoláních" hovoří o "regulovaných činnostech", které jsou definovány odkazem na (dosud teprve projednávaný) zákon o " uznávání odborné kvalifikace a jiné způsobilosti státních příslušníků členských států Evropské unie". V tomto zákoně jsou "regulované činnosti" vymezeny samostatně pro činnosti regulované v ČR a ve státech EU. Pro tuzemské regulované činnosti je definici následující::
regulovanou činností v České republice [se rozumí] předmětná činnost, pokud zvláštní právní předpis pro její výkon ve formě zamýšlené uchazečem vyžaduje (dále jen "vyžaduje-li se v České republice") doklad o formální kvalifikaci nebo průkaz způsobilosti
Explicitně je nyní v zákoně ošetřeno také působení zahraničních subjektů v ČR, ať již mají sídlo v jiné členské zemi nebo zde působí skrze nějakou svou organizační část (pobočku). Co se ovšem nezměnilo, a ani změnit nemohlo, je skutečnost že celý zákon může působit jen v dosahu jurisdikce ČR. To mj. znamená, že "tuzemská" pravidla a sankce proti spammingu nelze aplikovat na zahraniční spammery.
Povinnosti a odpovědnost
Těm subjektům, které provozují "regulované činnosti" (původně: regulovaná povolání) zákon ukládá určité specifické povinnosti. Týká se to výlučně spammingu, a podstata je taková, že dotyčné subjekty musí kromě explicitních požadavků samotného zákona postupovat také
v souladu s příslušným etickým kodexem vydaným profesní samosprávnou komorou, jejímž je osoba vykonávající regulovanou činnost členem.
Fakticky to znamená, že subjekty provozující regulované činnosti se při eventuelním rozesílání "obchodních sdělení" omezeni jednak tím, co jim umožňuje či zakazuje samotný zákon, a kromě toho jsou omezeni i tím, co jim povoluje či zakazují regule (etický kodex) jejich profese.
Nová verze návrhu zákona přitom zavádí specifickou povinnost, aby "obchodní sdělení" od provozovatelů regulovaných činností obsahovala navíc:
- název profesní samosprávné komory nebo obdobného subjektu, u něhož je osoba vykonávající regulovanou činnost zapsána
- odkaz na profesní pravidla uplatňovaná v členském státu Evropské unie, v němž je osoba vykonávající regulovanou činnost usazena
- způsob trvalého veřejného přístupu k informacím o příslušné profesní samosprávné komoře, jejímž je osoba vykonávající regulovanou činnost členem.
Pro případ porušení této povinnosti zákon definuje maximální sankci 5 milionů Kč.
Není mi ale jasné, jak se s uvedenými povinnostmi a hrozbou sankcí za jejich porušení vyrovnají ti provozovatelé regulovaných činností, kteří nejsou členy žádné "profesní samosprávné komory nebo obdobného subjektu". I na ně přitom zákon pamatuje, když říká že
ten kdo není organizován v profesní organizaci musí postupovat s ohledem na "zachování důstojnosti a cti svého povolání, profesního tajemství a poctivého přístupu k zákazníkům"
Sankce
Další významnou změnou, které druhá verze návrhu Zákona o některých službách informační společnosti doznala, je vymezení možných porušení zákona a také hrozících postihů. V první verzi to bylo ošetřeno stručně a jasně:
Orgán dozoru uloží, nestanoví-li zvláštní zákon jinak, subjektu, který jedná v rozporu s tímto zákonem, pokutu až do výše 10 000 000 Kč podle závažnosti porušení povinnosti, a to i opakovaně. Při určení výše pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání.
Nová úprava je komplikovanější. Jednak rozlišuje mezi porušením "obecných" požadavků, kde stanoví sankci "do výše" 10 milionů Kč, a mezi porušením specifických požadavků na provozovatele regulovaných činností (kde hrozí pokuta do výše 5 milionů Kč). Za důležitější, a bohužel dosti nebezpečný, však považuji způsob, jakým jsou porušení definována. Původní verze je definovala nepřímo, odkazem na "jednání v rozporu se zákonem". Nová verze na to jde jinak, a uvádí explicitní výčet toho, za co lze (resp. má být) uložena pokuta. V prvním případě (u obecných požadavků, se sankcí do výše 10 milionů) jde celkem o sedm bodů, ve druhém případě (specifické požadavky na regulované činnosti, se sankcí do 5 milionů) jde o 6 bodů. V textu zákona ovšem chybí explicitní zmínka o tom, zda mají být uvedené body chápány ve smyslu disjunkce, či ve smyslu konjunkce. Jinými slovy: aby došlo k porušení a mohla následovat sankce, stačí splnit alespoň jeden ze sedmi, resp. šesti bodů vyjmenovaných v zákoně, nebo je nutné splnit všechny současně? Logika věci je jasná a říká že jde o disjunkci (stačí splnit alespoň jeden bod). Ale řídí se soudy vždy logikou věci, tam kde připadají v úvahu dvě různé interpretace? Přitom náprava je tak snadná, stačilo by za každý bod dál slůvko "nebo".
Ještě větší hrozba je ale v samotném explicitním (taxativním) výčtu toho, za co lze uložit sankci. Co když tento výčet nebude úplný? Budou pak příslušná "nevyjmenovaná" porušení zákona bez jakýchkoli sankcí? Život a praxe mohou ukázat, že porušovat zákon se dá i způsoby, na které autoři právní úpravy nepomysleli a které ve výčtu nejsou obsaženy - a co pak s tím? Již dnes tam například chybí věc, na kterou explicitně upozorňovaly některé připomínky k první verzi: povinnost reflektovat žádost o ukončení komunikace (žádost o vyřazení z databáze, odvolání souhlasu se zasíláním spamů atd.). Ve výčtu sice je ošetřena povinnost toto nabídnout, ale nikoli povinnost skutečně reflektovat a naplnit případné odmítnutí.
Svůj vliv může mít také vymezení osob, kterých se sankce za porušení zákona mohou týkat. První verze hovořila obecně o "subjektu, který jedná v rozporu s tímto zákonem". Druhá verze, při prezentaci explicitního výčtu možných porušení, hovoří pouze o právnických osobách. Následně pak "prodlužuje dosah" i na fyzické osoby, když říká že i na ně se vztahují "ustanovení zákona o odpovědnosti a postihu právnické osoby", ovšem pouze v rámci jejich podnikání či v přímé souvislosti s ním. Takže cesta pro eventuelní "bílé koně" z řad nepodnikajících fyzických osob zůstává otevřena?
Oproti první verzi návrhu obsahuje stávající druhá verze také "osvobozující" ustanovení:
Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.
Přesnější definice
Druhá verze návrhu zákona přináší také upřesněné definice některých základních pojmů. Například definice samotné "služby informační společnosti" vypadala původně takto:
službou informační společnosti [se rozumí] jakákoliv služba poskytovaná na dálku, elektronickými prostředky, na individuální žádost příjemce služeb, poskytovaná zpravidla za úplatu; nezahrnuje službu elektronických komunikací podle zvláštního zákona
a samostatně k tomu patřil ještě dodatek, že
službou poskytovanou na dálku služba poskytovaná bez současné přítomnosti stran
Nyní byly obě definice spojeny:
službou informační společnosti [se rozumí] jakákoliv služba poskytovaná na individuální žádost uživatele služeb podanou elektronickými prostředky a poskytovaná na dálku za použití elektronických prostředků, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána a přijata prostřednictvím sítě elektronických komunikací elektronickým zařízením pro zpracování a ukládání dat,
Nezměnila se ani faktická definice "kanálu", byť původní verze návrhu hovořila o "prostředcích individuální komunikace na dálku", a nová verze o "elektronických prostředcích individuální komunikace na dálku". Obě verze přitom taxativně vyjmenovávají to samé:
zejména telefon, mobilní telefon, videotelefon, elektronická pošta a faximilní přístroje.
Podstatná je také změna v definici "obchodního sdělení". Původní definice zněla takto:
obchodním sdělením [se rozumí] všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo obrazu podniku, organizace nebo osoby, která je činná v oblasti obchodu, průmyslu či řemesel nebo vykonává regulované povolání
Nyní byla definice jen drobně upravena:
obchodním sdělením [se rozumí] všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo obrazu fyzické nebo právnické osoby, která je činná v oblasti obchodu, průmyslu či řemesel nebo vykonává regulovanou činnost
ale také rozšířena o dva explicitní body:
- za obchodní sdělení se považuje také reklama podle zvláštního zákona (s odkazem na Zákon č. 40/1995 Sb., o regulaci reklamy a o změně a doplnění zákona č. 468/1991 Sb., o provozování rozhlasového a televizního vysílání, ve znění pozd. předpisů).
- za obchodní sdělení se nepovažují údaje umožňující přímý přístup k činnosti právnické nebo fyzické osoby, zejména doménové jméno nebo adresa elektronické pošty; za obchodní sdělení se dále nepovažují údaje týkající se zboží, služeb nebo obrazu právnické nebo fyzické osoby získané nezávisle.
Nové povinnosti poskytovatelů
Nová verze zákona ukládá oproti první verzi některé nové povinnosti, a to jak provozovatelům regulovaných činností, tak poskytovatelům internetových služeb. V prvním případě jde o povinnosti při šíření obchodních sdělení, a již jsme si je naznačili výše (např. povinnost uvádět odkaz na profesní sdružení a na jeho etický kodex).
V případě poskytovatelů služeb jde zejména o povinnosti kladené na poskytovatele přístupu, poskytovatele hostingu a provozovatele vyrovnávacích pamětí (cache). Návrh zákona je obecně zbavuje odpovědnosti za to, co dělají jejich klienti - dokud nedojde na zákonem definované situace, kdy již musí zakročit, resp. získávají odpovědnost. U ustanovení, která tyto situace definují, se ve všech třech případech (přístup, caching a hosting) nově objevuje stejná "jistící" věta:
Těmito ustanoveními není dotčena možnost soudu požadovat od poskytovatele služby, aby ukončil porušování práv nebo aby mu předešel
Pro poskytovatele přístupu ("poskytovatele služby, jež spočívá v přenosu informací předaných uživatelem prostřednictvím sítí elektronických komunikací nebo ve zprostředkování přístupu k sítím elektronických komunikací") se nově objevuje poněkud kuriózní požadavek:
Na žádost uživatele může poskytovatel, pro účely možné arbitráže mezi uživateli služby, ukládat přenášené informace i dlouhodobě, avšak vždy v podobě nečitelné jak jinými uživateli, tak samotným poskytovatelem služby.
Ještě že je tam "může", a "na žádost".
Inzerce je souhlasem?
K poměrně významné faktické změně dochází i ve způsobu ošetření spammingu. Zde nová verze návrhu zákona tak jako dříve hlásí k principu OPT-IN, a upřesňuje že je nutný prokazatelný souhlas adresáta (zatímco první verze hovořila pouze o "souhlasu daných účastníků"):
Bezplatné nevyžádané šíření obchodních sdělení není v případech odlišných od těch, které jsou uvedeny v odstavcích 1 a 2, povoleno bez prokazatelného souhlasu adresáta
Nově je ale připojen dodatek:
Zveřejnění elektronického kontaktu v inzertních prostředcích se za souhlas, do doby jeho odvolání, považuje.
To na první pohled vypadá logicky: když si někde dávám inzerát, chci aby mi na něj lidé mohli odpovídat, třeba i obchodními sděleními. Při druhém pohledu ale nelze nevidět potenciální úskalí tohoto dodatku. Stačí jakýkoli inzerát, jakkoli specifický (třeba "prodám starou kredenc, zájemci odpovězte na mail …"), aby mi kdokoli mohl, v souladu se zákonem, posílat nevyžádané nabídky čehokoli?
Bude-li mít zveřejnění elektronického kontaktu v jakémkoli inzertním prostředku charakter takovéhoto "všeobecného" souhlasu, nepůjde jej zase "všeobecně" odvolat. Bude nutné jej odvolávat vždy znovu a znovu, vůči každému, kdo jakýmkoli způsobem získal mou adresu, která se někdy někde ocitla v jakémkoli inzertním prostředku (třeba jen jednou jedenkrát, v jednom jediném inzerátu). To považuji za faktické uzákonění principu "OPT-OUT" (lze začít spamovat, a teprve následně se lze dožadovat zastavení).
Uvedený dodatek přitom nijak blíže nevymezuje ani "inzertní prostředek", ani samotný způsob zveřejnění. Co když někdo zveřejní mou adresu bez mého vědomí či souhlasu? Kdekoli, kde se mu to hodí? Pak vlastně za mne poskytne můj obecný souhlas s mým spamováním. To jistě není dobře ….