Kauza reklamních patiček

V pátek minulý týden uspořádalo Ministerstvo informatiky ČR seminář k novému zákonu č. 480/2004 Sb. o některých službách informační společnosti. Jeho cílem bylo seznámit širší odbornou veřejnost s problematikou tohoto zákona, a nejspíše také otevřít diskusi nad tím, jak by měl být tento zákon v praxi vykládán a interpretován. Jak se ukazuje, je řada věcí, které ze samotné dikce zákona moc jednoznačně nevyplývají a bude proto velmi záležet na tom, jakou "laťku" nasadí dozorový orgán (Úřad pro ochranu osobních údajů). Jeho zástupci se semináře aktivně zúčastnili a jak se ukázalo, na některé věci mají poněkud odlišný pohled oproti ministerstvu informatiky, které zákon připravilo. Celkově si dovolím zhodnotit přístup UOOÚ jako přísnější oproti přístupu MI ČR, které zákon připravilo. Jedním z konkrétních důsledků je i odlišný pohled na tzv. reklamní patičky ve freemailech. Nepředbíhejme ale, protože "kauza patičky" není zdaleka tím jediným, co je kolem nového zákona zajímavé.

Mlynář: jsme přísnější než požadovala EU

Nový zákon, který si na veřejnosti již vysloužil přívlastek "antispamový", zdaleka není jen o problematice spamu (a dokonce není ani o celé problematice spammingu, protože si všímá jen nevyžádaných obchodních sdělení). Na pátečním semináři se pochopitelně diskutovalo o zákonu jako celku, o způsobu jeho vzniku, o vazbě na požadavky EU a širších souvislostech jeho vzniku.

Ve svém úvodním exposé si ministr Mlynář postesknul nad tím, že diskuse nad novým zákonem se rozjíždí až nyní, zatímco ve fázi jeho přípravy byla veřejná diskuse nad průběžně zveřejňovanými verzemi minimální. Třeba právě kauza reklamních patiček se objevila až nyní, zatímco během přípravy zákona si na to nikdo nevzpomněl.

Zmínil také skutečnost, že náš zákon je přísnější oproti tomu, co od nás chtěla EU. Ta požadovala obecně aplikovat princip OPT-IN (vyžadující existenci předchozího souhlasu) v případě, kdy je příjemcem soukromá osoba. My jsme se rozhodli rozšířit ochranu skrze princip OPT-IN na všechny mailboxy, bez ohledu na to, zda patří soukromé či právnické osobě. Stejně tak jsme odmítli použití principu OPT-OUT v některých specifických situacích (například když někdo získá něčí adresu v souvislosti s prodejem apod.), a i zde požadujeme princip OPT-IN (příjemce nemusí ex-post vydávat svůj nesouhlas se zasíláním, ale naopak musí s ním předem vyslovit souhlas).

Bylo to prý politické rozhodnutí, motivované snahou o lepší ochranu příjemců. Ministr Mlynář současně s tím vyjádřil přesvědčení, že stejným (rozuměj: přísnějším) směrem se ubírá celkový vývoj a touto cestou jdou či půjdou i další země EU i USA.

Neuwirt: větší přísnost je na místě

Když posléze vystoupil se svým hodnocením nového zákona předseda Úřadu na ochranu osobních údajů Neuwirt, nebyl v tomto ohledu s jeho autory ve sporu: větší přísnost zákona a důsledné aplikování principu OPT-IN uvítal, s poukazem na to, že ochrana soukromí má být přísnější.

V narážce na skutečnost, že stávající zákon řeší pouze otázku nevyžádaných obchodních sdělení, dokonce předseda Neuwirt zmínil, že bude třeba přijmout regulační opatření i v jiných oblastech. EU prý již chystá omezení "politického marketingu" (tedy například spamů typu "volte stranu XY"). Stejně tak zmínil potřebu upravit náš právní řád tak, aby dokázal postihovat i nepodnikající fyzické osoby, které by rozesílaly spamy (protože stávající zákon 480/2004 Sb. postihuje pouze právnické osoby a podnikající fyzické osoby).

Snad nejdůležitější ale byla zmínka předsedy Neuwirta o tom, že ve spolupráci s MI ČR a také s veřejností bude nutné nejprve najít vhodnou "laťku", a upřesnit definici nevyžádaného obchodního sdělení.

Naznačil také, že zpočátku by měl jeho úřad aplikovat spíše liberálnější přístup, zaměřený hlavně "edukativně" - měl by upozorňovat, šířit osvětu, publikovat informace a svá stanoviska. Naznačil však také některé "tvrdší" postoje - například to, že nepřistoupí na žádné "aplikační hrátky" ohledně toho, co je vlastně princip OPT-IN a jak má vypadat souhlas subjektu údajů (tj. "vlastníka" osobních údajů). To je nyní přesněji definováno v novele zákona č. 101/2000 Sb. o ochraně osobních údajů z letošního června, která si na rozdíl od dosavadní úpravy více všímá také způsobu získání souhlasu - ten musí být "svobodným a vědomým projevem vůle subjektu údajů".

Tuto definici, z novelizovaného zákona o ochraně osobních údajů, hodlá úřad aplikovat i na problematiku spammingu. Zaznělo také, že tato definice nevyžaduje nutně písemnou formu souhlasu, a nevylučuje například elektronickou (on-line) formu udělování souhlasu. Podstatné ale bude, aby příslušný správce údajů byl schopen následně prokázat, že jím prezentovaný souhlas byl skutečně vědomým a svobodným souhlasem příslušného subjektu údajů. Jak konkrétně, to už nezaznělo.

Předseda Neuwirt zmínil i to, že jeho úřad pracuje na přípravě formuláře, skrze který by občané mohli podávat své stížnosti na nevyžádaná obchodní sdělení. V žádném případě prý nebude stačit pouhé přeposlání příslušného mailu. Kromě otázek ochrany proti virům a jinému "zlému kódu" je hře i to, že kromě ÚOOÚ mají své kompetence v oblasti spamu i profesní sdružení (která budou řešit prohřešky svých členů). Takže příslušný formulář by měl ošetřit i to, kdy řešení konkrétního spamu nespadá do kompetence ÚOOÚ.

Dobrou zprávou naopak byla zmínka o tom, že náš zákon sice "dosahuje" jen na rozesilatele, kteří sídlí či mají pobočku v ČR, ale Úřad by díky spolupráci s dozorovými orgány v jiných členských zemí mohl "dosáhnout" i do těchto zemí (zřejmě: předávat stížnosti k vyřízení svým partnerům). Počkejme tedy, jak to bude vyřešeno v rámci připravovaného formuláře, a zda bude možné podávat na jednom místě (skrze tento formulář) stížnost jak na "naše" spammery, k ÚOOÚ, tak i na ty zahraniční.

Jaká byla diskuse?

Diskuse na semináři byla věnována problematice celého zákona. Pravdou ale je, že nejvíce prostoru, stejně jako dotazů, se točilo kolem problematiky spammingu, resp. nevyžádaných sdělení.

Nejprve bych ale rád zmínil jeden dotaz, který se týkal odpovědnosti poskytovatelů hostingových služeb. Zákon totiž řeší jejich odpovědnost za obsah poskytovaný jejich zákazníky, a v úplně první verzi v něm byl zakotven následující princip, upravující "nevhodný" obsah a jeho možné zablokování ze strany poskytovatele služeb (providera): "poskytovatel zasahuje na základě rozhodnutí soudu".

Později, v dalších verzích, se v návrhu objevilo něco jiného, ve smyslu: "provider může zasáhnout (i dříve než rozhodne soud), pokud se prokazatelně dozví …"). Nakonec se v platné verzi zákona objevila obdobná formulace, ale pouze místo "může" ve smyslu "musí". S tím, že provider nemá za povinnost sám aktivně monitorovat obsah, který jeho zákazník poskytuje (a podle jiného zákona, č. 151/2000 Sb. o telekomunikacích, dokonce monitorovat ani nesmí).

Na semináři na to padlo hned několik dotazů, hlavně k tomu co a jak by měl provider dělat, když je na nevhodný obsah někým upozorněn. Formulace v zákoně je totiž poněkud neurčitá, když říká že provider je odpovědný:

dozvěděl-li se prokazatelně o protiprávní povaze obsahu ukládaných informací nebo o protiprávním jednání uživatele a neprodleně neučinil veškeré kroky, které lze po něm požadovat, k odstranění nebo znepřístupnění takovýchto informací.

Výsledek diskuse vyzněl tak, že může okamžitě zablokovat příslušný obsah, nebo si vyžádat odborný posudek (např. od soudního znalce), nebo rovnou podat trestní oznámení apod. Jaké konkrétní opatření zvolí, se ale musí rozhodnout sám. Přirovnáno to bylo k situaci, kdy člověk jde po ulici a vidí jak se někdo vloupává do cizího auta. Také se musí rozhodnout jak se zachovat - zda se přidá, zda zavolá policii, či zda se pokusí sám zasáhnout apod.

Volba konkrétního opatření je navíc komplikována nebezpečím špatného posouzení "protiprávní povahy" obsahu ze strany providera. Dostane-li provider od někoho explicitní upozornění (zákon neříká od koho), má ho brát jako bernou minci a rovnou zablokovat příslušný obsah? Co když ho pak zažaluje jeho zákazník, poskytující příslušný obsah, přitom u soudu prokáže že obsah nebyl "protiprávní povahy" a bude po něm požadovat náhradu škody? Naopak, když provider neuvěří v protiprávnost obsahu, na který je upozorněn a nepodnikne "veškeré kroky, které je možné po něm požadovat", také se vystavuje nebezpečí postihu.

Dovolím si předpokládat, že v praxi to skončí (kromě "vyložených" případů) tím, že si provider vyžádá odborný posudek nějakého znalce či odborného orgánu, čímž získá jak alibi pro budoucí spory, tak i čas. Pro odborné orgány (třeba ÚOOÚ apod.) to může být neúnosný nával práce, pro soudní znalce zase zlatý důl. No a pro lidi na jedné specifické straně barikády to zase může být nová forma útoku na providery ….

Jeden konkrétní dotaz se týkal také načasování: za jak dlouho musí provider podniknout "veškeré kroky", od okamžiku kdy se o něčem dozví? Odpověď byla taková, že důležité je "zahájení" příslušných kroků, resp. úkonů. Ty musí být zahájeny neprodleně. Zajímavý byl také dotaz na to, co znamená "neprodleně". Prý "neprodleně" je neprodleně, jak všichni vědí. Hezká definice.

Důležitější byla jiná poznámka z diskuse, o tom že vyloučení odpovědnosti pro providera v novém zákoně (480/2004 Sb.) neznamená, že by tím byla vyloučena jiná odpovědnost, z titulu jiných zákonů.

Kauza reklamní patičky

Podle očekávání se největší pozornost účastníků semináře ubírala k reklamním patičkám, které do odesílaných zpráv vkládají nejrůznější freemaily. Tedy k problému, který se "zrodil" teprve nyní, a v době příprav zákona si na něj nikdo nevzpomněl.

V předchozím článku o problematice nového zákona jsem naznačoval, stanovisko Úřadu pro ochranu osobních údajů by mohlo být odlišné od již publikovaného stanoviska MI ČR, které je neshledává v rozporu s novým zákonem (pokud o jejím vložení odesilatel ví, a patička není moc velká).

Toto se přímo na semináři potvrdilo. Stanovisko ÚOOÚ, se kterým v diskusi vystoupil předseda Neuwirt, je skutečně odlišné od stanoviska MI ČR, a to přísnější: reklamní patičky obecně jsou podle ÚOOÚ nevyžádaným obchodním sdělením.

Hlavním argumentem Úřadu je to, že vkládání reklamních patiček freemaily je sice odsouhlaseno jejich uživateli, ale ti jsou z pohledu přenášených zpráv jejich odesilateli. K tomu, aby zpráva s reklamní patičkou nebyla nevyžádaná, by podle ÚOOÚ byl zapotřebí souhlas příjemce, a nikoli odesilatele. A takový souhlas freemaily nemají. Takže vkládat reklamní patičky mohou u přijímaných zpráv (pokud si to ve smlouvě se svým uživatele náležitě ošetří), ale u odesílaných zpráv je to problematické. Možná prý, kdyby odesilatel přesně věděl, jaká patička bude vložena, případně by ji volil sám - ale to se neděje a patička je vkládána automaticky. S tím souvisí i to, že není zcela jasné, kdo je vlastně za vkládání reklamních patiček z pohledu zákona odpovědný - zda provozovatel freemailu, či jeho uživatel. Zajímavý byl také argument, že podle telekomunikačního zákona poskytovatel nesmí měnit obsah přenášené zprávy - což se ale vkládáním reklamních patiček fakticky děje (ale možná je to opět ošetřeno smlouvou mezi provozovatelem freemailu a jeho uživatelem).

V následné diskusi pak ihned zazněl nápad vkládat do reklamních patiček pouze takové údaje, které zákon sám "osvobozuje" od toho, aby byly považovány za nevyžádané reklamní sdělení:

Za obchodní sdělení se nepovažují údaje umožňující přímý přístup k informacím o činnosti fyzické či právnické osoby nebo podniku, zejména doménové jméno nebo adresa elektronické pošty;

Takže třeba reklamní patička, tvořená pouze doménovým jménem (typu: http://nejlacinejsi-viagru-dostanete-pouze-tady.cz] by paradoxně neměla být obchodním sdělením (ve smyslu zákona). Obávám se, že uvedený disclaimer o doménových jménech a emailových adresách po nás direktiva EU nepožadovala, ale dali jsme si jej tam sami. Možná že byl přitom náš zákonodárce veden dobrými úmysly, ale ty jsou, jak známo, nejlepší cestou do pekel.

Takže přežijí reklamní patičky? Můj názor je že ano, ale v dnešní podobě jen směrem "dovnitř" (u zpráv, přijímaných uživateli freemailů). U zpráv, odesílaných z freemailů, se nejspíše změní jejich obsah, tak aby se využil citovaný "disclaimer" a patičky nebyly hodnoceny jako nevyžádané obchodní sdělení.

Na závěr si neodpustím také jeden osobní disclaimer: článek, který jste právě dočetli, je mým osobním zhodnocením stanovisek, které zazněly na pátečním seminář. Svá oficiální stanoviska si příslušné úřady (hlavně ÚOOÚ) jistě vydají samy.

Pokud si chcete poslechnout zvukový záznam ze semináře (včetně diskuse k patičkám), najdete jej v mém audio archivu.