Jak pokračuje boj proti spammingu?

Představa, že kompetencemi pro boj proti spammingu je u nás vybaven Úřad pro ochranu osobních údajů, není zcela přesná. Jak sám Úřad upozorňuje, příslušný zákon (č. 480/2004 Sb., o některých službách informační společnosti) totiž pojem "spam" vůbec nepoužívá. Místo toho zákon pracuje s pojmem "nevyžádaná obchodní sdělení", který by mohla odpovídat alespoň podmnožině všech možných spamů. Ani to ale neplatí, protože náš zákon si vůbec nevšímá aspektu "hromadnosti", který je pro obvyklé vymezení spamu naopak typický. Takže "spam" a "nevyžádaná obchodní sdělení" (v pojetí zákona č. 480/2004 Sb.) jsou opravdu dvě různé věci.

V běžné mluvě, a třeba i v titulcích článků, však budou oba pojmy nejspíše nadále splývat. Už by ale neměly splývat v povědomí uživatelů Internetu, kteří se v boji proti spammingu hodlají obracet o pomoc právě na Úřad pro ochranu osobních údajů. Ten jim totiž nedokáže pomoci třeba od nejrůznějších politicky zaměřených spamů, od spamů náboženských, všelijakých vzkazů od vesmírných lidí či jiných výplodů chorých mozků. K boji proti těmto spamům již Úřad nemá explicitní kompetence. Zasáhnout by zde mohl jen tehdy, pokud by se jednalo o zneužití osobních údajů jako takových.

Kolik již bylo stížností

Úřad pro ochranu osobních údajů přijímá stížnosti občanů na nevyžádaná obchodní sdělení již delší dobu, prakticky od účinnosti zákona č. 480/2004 Sb. Největší "nápor" však přišel po zprovoznění on-line formuláře pro podávání stížností, koncem loňského roku. Do té doby přijímal Úřad spíše jednotky stížností denně. Následně počty přijímaných stížností výrazně vzrostly, až někam k 50 stížnostem za den. Pak ale přišly vánoce, a s nimi téměř nulová aktivita stěžujících si občanů.

Celkově (k polovině minulého týdne, kdy proběhla tisková konference Úřadu) dosáhl počet přijatých stížností 487. Z toho 306 bylo podáno ještě v loňském roce, a 181 v roce letošním. V poslední době přitom velmi výrazně převažuje podávání stížností skrze on-line formulář na webu Úřadu. Přes něj přichází již více jak 95 procent stížností. V letošním roce přišlo již jen 8 stížností elektronickou poštou, a jen jedna jediná listovní poštou.

On-line formulář na webových stránkách úřadu určitě pomáhá i ke zkvalitnění a zvýšení "relevantnosti" stížnosti. Mimo jiné totiž upozorňuje uživatele na to, že Úřad je oprávněn řešit pouze nevyžádaná obchodní sdělení, a nikoli všechny spamy jako takové. Zřejmě i díky tomu musel Úřad vyřadit jen necelých 10 procent stížností jako neoprávněných (nespadajících do jeho kompetence).

Jak se stížnosti řeší?

Zbývajícími 90 procenty stížností (z celkového počtu 487) se Úřad již začal zabývat. Přitom zjistil, že se týkají jen asi 70 různých případů. To je logické, protože na stejný spam (pardon: nevyžádané obchodní sdělení) si může stěžovat více příjemců současně. Jejich počet je dokonce pro Úřad určitým indikátorem rozsahu (masivnosti) nevyžádaných sdělení.

Postup řešení jednotlivých stížností v rámci ÚOOÚ je přitom takový, že každá nejprve prochází "technickým zkoumáním" v útvaru informatiky Úřadu. Zde se zkoumají například hlavičky nevyžádaných obchodních sdělení, ve snaze identifikovat jak jejich iniciátory, tak i rozesilatele a další zúčastněné subjekty.

Následně přebírá jednotlivé stížnosti útvar kontroly Úřadu, který je již řeší po "obsahové stránce". Až po uzavření kontrolního řízení přechází řešené případy do stádia správního řízení, kde se již řeší i konkrétní sankce.

V současné době by měla být situace taková, že fází kontroly (kontrolního řízení) prošlo již 6 případů, a tyto se nyní nachází ve stádiu správního řízení. U nich by tedy již mělo být jasné, "kdo a co udělal", a teď se řeší "kolik za to dostane", neboli jaká nápravná opatření mu za to Úřad uloží.

O které případy jde?

Které konkrétní případy již prošly kontrolním řízením, Úřad na své tiskové konferenci nesdělil. Naznačil pouze, že nejvíce si lidé stěžují na různé nabídky prodeje adresářů firem, videokurzy, a na nabídky prodeje výpočetní techniky.

Dále zaznělo, že v obecné rovině lze řešené případy rozdělit do dvou skupin, na:

• adresné rozesílání podle určitého adresáře, s tím že nebyl řádně vyřešen souhlas vlastníka osobních údajů (adresáta) s takovýmto zasíláním. Jde třeba o stížnosti na to, že někdo někomu něco poslal, s odkazem že je to na základě předchozího souhlasu - ale takový souhlas neexistoval, nebo si ho příjemce nebyl vědom, nebo byl získán nekorektně apod. To již posuzují kontroloři Úřadu, kteří přitom musí volit mezi postupem podle zákona o některých službách informační společnosti či podle a zákona o ochraně osobních údajů. Jde totiž o problematiku, kde se působnost obou zákonů může prolínat.
• plošné (neadresné) rozesílání. Zde prý mají kontroloři ÚOOÚ nejvíce práce s identifikací skutečných iniciátorů, kteří se mohou různě skrývat - ale nakonec stejně musí odhalit svou skutečnou identitu, když chtějí inkasovat peníze.

Šest případů, u kterých již bylo dokončeno kontrolní řízení, je prý rovnoměrně rozloženo do uvedených dvou skupin - po třech z každé skupiny.

Kdy má smysl podávat novou stížnost?

Zajímavou otázkou ohledně probíhajících šetření je to, zda potenciální stěžovatelé mají či nemají šanci zjistit, zda už se Úřad nějakým konkrétním případem zabývá či ještě nikoli. Představte si, že vás právě nějaká nevyžádaná nabídka "zvedla ze židle" a vy se rozhodujete, zda nad tím jen tak mávnout rukou, či zda si dát práci s vyplněním příslušného on-line formuláře a podáním stížnosti k Úřadu. V tuto chvíli by se jistě hodila informace o tom, zda už na stejnou nevyžádanou zásilku podal stížnost někdo jiný.

Bohužel ale takováto informace k dispozici není a ani nebude. Úřad pro ochranu osobních údajů nemůže zveřejnit "potenciální pachatele" nejméně do doby, než dojde k závěru, že skutečně něco spáchali - a to zjišťuje až v průběhu kontrolního řízení. Alespoň do jeho skončení tedy nemůže zveřejnit ani informaci o tom, s kým a co řeší.

Takže nám jako příjemcům nevyžádaných obchodních sdělení nezbývá, než se obejít bez takovéto informace, a spíše tedy raději vyplnit vlastní stížnost. Má to ostatně i jeden významný aspekt: Úřadu to řekne, kolik lidí bylo stejným způsobem postiženo, a také v jakém časovém úseku se vše odehrávalo. To pro něj může být dosti podstatná informace.

Proti spamu i nadnárodně

Zatímco kompetence Úřadu pro ochranu osobních údajů jsou omezeny jen na ČR, problém spammingu geografické hranice neuznává a naopak těží z globálního charakteru Internetu a lokální omezenosti národních legislativ. Emailové schránky našich uživatelů tak zaplavují nejvíce spamy zahraniční (povětšinou zámořské) provenience, které se mohou nad naším zákonem č. 480/2004 Sb. nanejvýše pousmát.

I zde se ale začíná alespoň rýsovat určité budoucí zlepšení. Náš ÚOOÚ již dříve signalizoval, že bude spolupracovat se svými partnerskými úřady z dalších zemí EU, a bude si s nimi vyměňovat stížnosti na spamy (nevyžádaná obchodní sdělení) podle toho, do čí kompetence spadají. Stále to sice neřeší otázku zámořských spamů, ale i tak je to krok vpřed.

Nyní tento neformální příslib získal poněkud ostřejší a oficiálnější kontury. V únoru t.r. došlo z iniciativy Komise k ustavení "kontaktní sítě úřadů pověřených bojem proti spamu" (CNSA, Contact Network of Spam Enforcement Authorities). V ní jsou zastoupeny příslušné úřady z 13 zemí EU: Rakouska, Belgie, Kypru, ČR, Dánska, Francie, Řecka, Irska, Itálie, Litvy, Malty, Nizozemí a Španělska. Zúčastněné strany se v rámci této platformy zavázaly "vyvinout maximální snahu při vyřizování stížností podstoupených od ostatních stran, aby širší spoluprací zajistily odstranění mezer v právních předpisech, které by mohly být zneužity spammery nebo zloději dat".

Výborně, teď jen aby se podobná spolupráce rozšířila i do zámoří, odkud spamů přichází nejvíce.

Na středeční tiskovce ÚOOÚ se mluvilo i o dalších zajímavých věcech, a ne pouze o spammingu. Zde je jejich stručný přehled.

Vegas stále k nezastižení

Úřad pro ochranu osobních údajů se již zabývá také činností polské společnosti Vegas, která už je i v tuzemsku "známou firmou" (viz např. zde). Slibuje lidem údajnou velkou výhru, ale podmínkou k jejímu získání má být telefonát na linku se zvýšenou tarifikací (s prefixem 906). Registrována má být v Polsku, ale své "materiály" prý rozesílá z různých zemí EU.

Náš Úřad se prý spojil s polským ochráncem osobních údajů a s tamní policií, a společně se firmu Vegas snažili kontaktovat. Dosud prý neúspěšně. Proto se Úřad pro ochranu osobních údajů snaží podnikat konkrétní akce alespoň v tuzemsku. Požádal prý mobilního operátora Oskar, aby znepřístupnil volání na linky, na které mají podvedení "výherci" volat. Ze sítí ostatních mobilních operátorů jsou prý tyto linky již nedostupné. Předseda Úřadu pak hodlá iniciovat jednání s novým vedením Českého telekomunikačního úřadu (které vznikne po účinnosti nového zákona o el. Komunikacích), k nalezení vhodného řešení.

Pro připomenutí: nedávno sice asociace APVTS, ve spolupráci s ČTÚ, přišla s určitým řešením problému tzv. dialerů. Toto řešení se ale týká jen linek 976 (pro speciální datové služby), a je především řešením vzájemných problémů mezi operátory. Nyní by se jednalo i o řešení problémů se zneužíváním hlasových služeb se zvýšenou tarifikací (prefixů 906 a zřejmě i dalších). Doufám jen, že to nebude další řešení mezi operátory, a že postižení uživatelé tentokráte již nepřijdou zkrátka.

Osvěta, osvěta a zase osvěta

Velmi účinnou formou boje proti zneužívání osobních údajů je osvěta. Té se Úřad chce intenzivněji věnovat, a chystá za tímto účelem ucelenější kampaň, která by měla různým způsobem oslovit různé "ohrožené skupiny" - například děti, školní mládež, nebo naopak seniory. První informační leták, určený nejširší veřejnosti a informující o nejzákladnějších principech ochrany osobních údajů, dostali novináři již na středeční tiskovce. Další materiály by měly následovat.

Součástí kampaně by mělo být i vyhlášení "Dne ochrany osobních údajů", který by měl připadnout na 28. leden. Právě tehdy, v roce 1981, byla otevřena k přistoupení a podpisu evropská "Úmluva o ochraně jednotlivců s ohledem na automatizované zpracování osobních dat" (Úmluva č. 108), kterou ČR ratifikovala v roce 2002, a o rok později přijala i její Dodatkový protokol.

Letos to přitom bude již pět let, kdy nabyl účinnosti stávající zákon o ochraně osobních údajů (zákon č. 101/2000 Sb).

Vězeňská spisovna: raději ne

Na středeční tiskovce přišla řeč i na záměr Ministerstva spravedlnosti a Vězeňské služby "vytvořit spisovnu, v níž by vězňové přepisovali záznamy ze soudních jednání", míněno: ze zvukového záznamu do počítače. Úřad již byl formálně požádán o stanovisko k tomu záměru, a to je negativní.

Jak na tiskovce naznačil předseda Neuwirt, bylo by fungování takovéto spisovny spojeno s velkými bezpečnostními riziky, které prakticky nelze eliminovat. Pokud by prý realizátoři návrhu požádali Úřad již o zaregistrování spisovny coby správce osobních údajů (což by musel), nejspíše by Úřad využil své pravomoci a tuto registraci nepovolil.

Problematika národního identifikátoru

V současné době se hodně diskutuje o problematice tzv. národního identifikátoru. Dosud jsou v této roli, a tj. pro jednoznačnou identifikaci osob, používána rodná čísla. Ta ale v sobě nesou i údaj o datu narození a pohlaví svého držitele, a jsou snadno zneužitelná. Proto se uvažuje o tom, že by roli "národního identifikátoru" plnilo něco jiného - nějaký "bezvýznamový identifikátor" (tj. takový, který sám v sobě nenese žádné další údaje o konkrétní osobě. Takovýmto bezvýznamovým identifikátorem by mohl být například identifikátor používaný v databázích MPSV (pro potřeby sociálního pojištění), a již dnes využívaný například v rámci kvalifikovaných certifikátů (pro potřeby elektronického podpisu).

Úřad k těmto snahám zaujal docela zajímavé stanovisko. Odmítá totiž být záminkou, kvůli které by byl celý tento složitý, dlouhý a asi i drahý proces spuštěn. Z pohledu ochrany osobních údajů by sice bezvýznamové identifikátory byly výhodnější a ochránci dat by jim dali přednost, ale hlavní problém je jinde. Ne v tom, zda v sobě nějaký identifikátor nese či nenese nějaké údaje, ale v tom jak se s ním nakládá. Takže jde spíše o pravidla nakládání s rodnými čísly, než o jejich úplné zrušení a nahrazení nějakým jiným identifikátorem. Bez ujasnění a upřesnění těchto pravidel by mohlo jít jen o příslovečný přechod z bláta do louže.

Bankovní a nebankovní registr

Úřad por ochranu osobních údajů vydal koncem února svou výroční zprávu za rok 2004. V ní přináší "závažné výhrady" vůči fungování bankovního sektoru (ale to by asi bylo na samostatný článek a pro jiný server). Na tiskovce však přišla řeč i na oblast nebankovních služeb a zprovoznění registru nebankovních informací (LLCB, Leasing&Loan Credit Bureau). Úřad tento registr zaregistroval (jako správce osobních údajů) poměrně nedávno, a přitom stanovil poměrně striktní podmínky pro jeho provázání s bankovním registrem (CBCB). Naopak rozhodně odmítnul možnost formálního a neomezeného propojení obou registrů.

Vzájemné provázání obou registrů je podle Úřadu možné, ale jen za předpokladu souhlasu klienta. Konkrétně stanovil následující principy, resp. podmínky pro čerpání informací z jednoho registru pro druhý:

• souhlas subjektu údajů - klient musí explicitně schválit jak zařazení svých údajů do nebankovního registru, tak i každé individuální poskytnutí svých dat z tohoto registru
• předpokladem pro požadování souhlasu po klientovi je úplná a vyčerpávající informace o tom, k čemu ja údaj poskytován a v jakém rozsahu.

Takže na to pamatujte, až půjdete do banky, či sjednávat úvěr nebo půjčku apod.