Vyšlo na Lupě, 17.10.2011
Vytištěno z adresy: http://www.earchiv.cz/b11/b1016001.php3

Nová úprava (boje proti) spammingu

Naše zákony dosud braly ohled jen na spamming od právnických osob. Nově se jím budou moci provinit i fyzické osoby. Samotný spamming zůstane nadále omezen jen na nevyžádaná obchodní sdělení, ale místo jednorázovosti už bude muset být hromadný nebo opakovaný.

Když už v tomto měsíci slavíme 40. výročí emailu, zastavme se i u jeho negativních aspektů. Konkrétně u jeho zneužití formou spammingu. A ještě konkrétněji: řekněme si, jaké změny čekají v brzké době tuzemskou právní úpravu boje proti tomuto našvaru.

Někdo nad tím možná mávne rukou, s argumentem že drtivá většina spamu stejně není z tuzemska ani z EU, a z našich právních předpisů si nemusí dělat (a nedělá) těžkou hlavu. A že boj proti spammingu je věc primárně technická: že v ní jde o správné nastavení filtrů, ale také poštovních serverů atd.

Je na tom hodně pravdy – ale když už se i právo snaží nějak napomoci, proč ho odmítat? I když jeho možnosti a hlavně „dosah“ jsou omezené, buďme rádi i za to málo.

Kde se bere změna?

Změny, které si budeme záhy popisovat, ještě nejsou zcela definitivní, protože teprve prošly Sněmovnou a právě teď čekají na své schválení v Senátu. Dovolím si ale předpokládat, že skrze Senát již projdou tak, jak jsou navrženy.

Zajímavé je také to, „kde“ se tyto změny berou: nejde o nějakou samostatnou novelu zákona č. 480/2004 Sb. (o některých službách informační společnosti), který u nás danou problematiku upravuje. Jde o jednu ze součástí celkové transpozice nového evropského regulačního rámce telekomunikací (resp. elektronických komunikací). Ten jsme mimochodem měli transponovat do našeho právního řádu nejpozději do 25. května letošního roku. Což jsme nestihli.

Příslušná novela tedy novelizuje především stávající zákon o elektronických komunikacích (č. 127/2005 Sb.). Zasahuje ale i do dalších zákonů, a mezi nimi i do již zmiňovaného zákona o některých službách informační společnosti (zákona č. 480/2004 Sb.), kde mění právě úpravu spammingu.

Změny, které celá transpozice přináší, jsou poměrně rozsáhlé, a budou jistě námětem na řadu dalších článků. Dnes se ale zastavíme pouze u změn, které se týkají právě spammingu.

Jak se mění vymezení spammingu?

Stávající právní úprava spammingu se liší od „běžné praxe“ a běžného vnímání celého nešvaru spammingu v tom, že jej chápe jen v užším slova smyslu: jen jako nevyžádaná obchodní sdělení. A tedy nebere v úvahy spamy „neobchodního“ charakteru. Třeba takové, které by propagovaly nějakou politickou stranu či hnutí, ten či onen spolek apod. Nebo nějaký úřad, orgán veřejné moci atd.

To se mimochodem odráží i na terminologii: zákon (č. 480/2004 Sb.) vůbec nehovoří o spammingu, ale jen o nevyžádaných obchodních sděleních.

Základ definice „obchodního sdělení“ se popisovanou novelou až tak nemění. Spíše jen zpřesňuje, což ukazuje i následující srovnání dosavadní a nově navrhované podoby. Dosud se obchodním sdělením rozumí:

všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku fyzické či právnické osoby, která vykonává regulovanou činnost nebo je podnikatelem vykonávajícím činnost, která není regulovanou činností; za obchodní sdělení se považuje také reklama podle zvláštního právního předpisu

Nově se obchodním sdělením budou rozumět:

všechny formy sdělení, včetně reklamy a vybízení k návštěvě internetových stránek, určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku osoby, která je podnikatelem nebo vykonává regulovanou činnost

Nová je tak vlastně jen explicitní zmínka o „vybízení k návštěvě internetových stránek“. A ta souvisí s již podstatnější změnou vymezení spammingu, která se naopak týká „výjimek“. Až dosud totiž definice spammingu měla negativní část, která říkala, že za spam (obchodní dělení) se nepovažují:

údaje umožňující přímý přístup k informacím o činnosti fyzické či právnické osoby nebo podniku, zejména doménové jméno nebo adresa elektronické pošty; za obchodní sdělení se dále nepovažují údaje týkající se zboží, služeb nebo image fyzické či právnické osoby nebo podniku, získané uživatelem nezávisle

Pravdou je, že tato negativní část nebyla úplně jasná, ale hlavně byla snadno zneužitelná: stačilo třeba sestavit spam tak, aby obsahovat pouze URL odkazy, které měl adresát navštívit (a už žádnou další „omáčku“). A tak právě tudy se dal zákon poměrně snadno obejít.

Teď už to (tak snadno) nepůjde. A explicitní zmínka o „vybízení k návštěvě internetových stránek“ to podle mého názoru ještě dále ztíží.

Hromadný, nebo opakovaný charakter

Další změnou, kterou osobně považuji za nejvýznamnější, je nově zaváděný požadavek na to, aby spamming měl hromadný, nebo alespoň opakovaný charakter. I to patří do obvyklého vnímání celého problému - ale v jeho dosavadní právní úpravě tento aspekt nebyl zohledněn.

Dosud, alespoň teoreticky, bylo možné postihovat jako spam i  nějaké jednorázové a individuální oslovení, pokud bylo nevyžádané. Dovolím si ale předpokládat, že ÚOOÚ při řešení konkrétních kauz již bral ohled i na míru (na hromadnost a opakovanost), i když to „natvrdo“ v zákoně neměl.

Teprve nyní se ale aspekt hromadnosti a opakovanosti dostane přímo do zákona. A to ve smyslu alternativ: bude zapotřebí (a bude postačovat) buďto hromadný charakter, nebo opakovaný charakter.

Změna se přitom netýká samotné definice obchodního sdělení: to nadále nemusí být ani hromadné, ani opakované. Ale postih už nově bude vázán na to, že jde o hromadné nebo opakované šíření nevyžádaného obchodního sdělení. Trest, v podobě pokuty až do výše 10 milionů (která se nemění) bude nově hrozit pouze:

Právnické osobě, která hromadně nebo opakovaně šíří elektronickými prostředky obchodní sdělení

Kritéria nevyžádanosti

Pro postih pochopitelně musí jít o takové obchodní sdělení, které je nevyžádané, případně jinak „závadné“. Což zákon explicitně vyjmenovává, opět formou alternativ: stačí, aby byla splněna jedna (kterákoli) z nich.

A i zde dochází k určitým změnám. Tak například: dosud stačilo, aby obchodní sdělení bylo šířeno „bez prokazatelného souhlasu adresáta“. Nyní stačí už jen „bez souhlasu adresáta“.

Vypadlo tedy „prokazování“ – které na jedné straně určitě nebylo lehké (pro toho, kdo ho skutečně získal). Jenže teď zase může dojít na opačný extrém: někdo si souhlas adresáta „domyslí sám“ a jakmile tak učiní, už ho nebude muset nijak prokazovat? Znamená to snad nějaký přesun důkazního břemena, v tom smyslu že nyní bude muset adresát prokazovat, že svůj souhlas neudělil?

Další drobná změna je i v požadavku na to, aby sdělení obsahovalo adresu pro opt-out (odhlášení, resp. ukončení komunikace). Dosud byl tento požadavek formulován tak, že příslušná adresa nesmí být neplatná. Čemuž šlo vyhovět i tak, že nebyla uvedena vůbec. Nyní je už formulace lepší: adresa musí být uvedena a musí být platná.

Postihovat bude možné i fyzické osoby

Významnou změnou je zavedení odpovědnosti za spamming i pro (nepodnikající) fyzické osoby.

Dosavadní právní úprava umožňovala postihovat za spamming pouze právnické osoby, a také podnikající fyzické osoby (mezi nimiž se nedělal rozdíl). Ale nikoli nepodnikající fyzické osoby. Což otevíralo snadnou možnost, jak šířit spam bez rizika postihu: stačilo, aby původcem nevyžádaného obchodního sdělení byla právě nepodnikající fyzická osoba.

V nově navrhované úpravě se ale objevuje nový paragraf tohoto znění:

 „§ 10a
1)      Fyzická osoba se dopustí přestupku tím, že bez souhlasu adresáta hromadně nebo opakovaně šíří elektronickými prostředky obchodní sdělení.
2)      Za přestupek podle odstavce 1 lze uložit pokutu do 100 000 Kč.“.

Povšimněte si ale dobře jedné věci: v tomto nově přidaném paragrafu se vůbec nebere ohled na to, zda jde o nevyžádané, případně jinak nekorektní obchodní sdělení. U právnických osob (a podnikajících fyzických osob) musí být splněna alespoň jedna z podmínek zmiňovaných v předchozím odstavci (chybějící souhlas, chybějící adresa pro opt-out, nebo třeba utajovaná či falšovaná adresa původce sdělení atd.). Ale zde tomu tak není.

To tedy znamená, že fyzická osoba může být postihována i za zcela vyžádaná obchodní sdělení. Jediným kritériem je to, že rozesílání má hromadný nebo opakovaný charakter.

Na druhou stranu maximální výše pokuty je „pouze“ 100 000 Kč, zatímco u právnických osob jde až o 10 milionů Kč.

Poskytovatel jménem svých zákazníků

Zajímavou změnu představuje i další nově přidaný paragraf. Ten umožňuje, aby šiřitele nevyžádaných obchodních sdělení volal k odpovědnosti poskytovatel, a to jménem svých zákazníků: 

§ 11a
Poskytovatel služby informační společnosti, jehož obchodní zájmy jsou poškozovány porušováním povinností podle § 7, je oprávněn domáhat se jménem svých zákazníků, jejichž práva byla tímto jednáním poškozena, soudní ochrany. Tím není dotčeno oprávnění zákazníka domáhat se svých nároků u soudu sám.

Představuji si to tak, že spamera může hnát k soudu například provozovatel nějakého veřejného emailu. Třeba Seznam, Centrum apod., místo toho, aby tak museli činit jednotliví příjemci (jejich zákazníci).  To mi přijde docela rozumné. Uvidíme, zda a jak to bude v praxi fungovat.

Zajímavé je také, kde se celý princip „poskytovatel jménem svých zákazníků“ vlastně vzal. I zde se jedná o transpozici evropského práva, konkrétně novelizované směrnice 2002/58/ES (o soukromí a elektronických komunikacích), která požaduje, aby se postižení (a to jak zákazníci, tak poskytovatelé/operátoři) mohli domáhat soudní ochrany. O tom, že by se tak mohlo dít na principu „poskytovatel za své zákazníky“ se zde ale nemluví, to se objevuje až v naší vlastní transpozici.

originále je ale jiná zajímavá věc, formulovaná ale jen jako možnost, nikoli jako povinnost:

Členské státy mohou rovněž stanovit zvláštní pravidla či sankce vůči poskytovatelům služeb elektronických komunikací, kteří svou nedbalostí přispívají k porušování vnitrostátních předpisů přijatých v souladu s tímto článkem.

To si vykládám tak, že by nějakým způsobem mohli být postihováni například ti, kdo provozují poštovní servery nedostatečně chráněné proti zneužití ze strany spammerů. Což by podle mého názoru mohlo výrazně pomoci – ale tuto možnost jsme u nás nevyužili, protože v navrhované úpravě nic v tomto smyslu není.

I automaty …

Určitou změnu představuje i nové vymezení toho, jak se nevyžádaná obchodní sdělení šíří. Možnost postihu je totiž vázána na šíření „elektronickými prostředky“, které byly dosud definovány jako:

síť elektronických komunikací, elektronická komunikační zařízení, koncová telekomunikační zařízení a elektronická pošta

Nově jsou tyto elektronické prostředky vymezeny poněkud šířeji, jako:

síť elektronických komunikací, elektronická komunikační zařízení, automatické volací a komunikační systémy, telekomunikační koncová zařízení a elektronická pošta

Přibyly tedy „automatické volací a komunikační systémy“, což by mělo nově zavádět určitou míru ochrany před různými automaty. Ale opět nikoli obecně, ale pouze v kontextu obchodních sdělení. Takže třeba známé automatické obtelefonovávání voličů s proslovem Václava Klause z roku 2002 by z pohledu popisovaného zákona postižitelné nebylo.

Dvojkolejnost právní úpravy spammingu?

Zajímavé je také to, že celá dosavadní právní úprava byla řešena jen v rámci zákona č. 480/2004 Sb. o některých službách informační společnosti, který dopadá pouze na „poskytovatele služeb informační společnosti“. Nikoli na poskytovatele služeb elektronických komunikací, což jsou hlavně klasičtí operátoři a provideři.

Jinými slovy: celá úprava boje proti spammingu, ne nutně jen cestou elektronické pošty, se týkala jen někoho a jen něčeho. I to mohla být určitá cesta k obcházení, či alespoň k nejasnostem a neurčitostem.

Teď ale, právě skrze popisovanou transpozici nového regulačního rámce telekomunikací, dochází k určitému náznaku sjednocení. Protože do zákona o elektronických komunikacích se skrze popisovanou novelu dostává i následující nový odstavec (§96 odst. 2):

Je zakázáno využívat síť nebo službu elektronických komunikací pro účely přímého marketingu prostřednictvím automatických systémů volání bez lidské účasti (automatická volací zařízení), faksimilních přístrojů nebo elektronické pošty, nedal-li k tomu dotčený účastník nebo uživatel předem souhlas.

Na první pohled to vypadá jednoduše a jasně. Jenže jak obě varianty rozlišit mezi sebou? Pokud vám přijde mailem nevyžádaná nabídka na ten nejbáječnější produkt či službu, jak poznáte, čeho jste se stali zrovna obětí? Jde o přímý marketing, ke kterému jste nedali předem souhlas? Nebo jde o nevyžádané obchodní sdělení?

Obě varianty se ale neliší zdaleka jen tím, na koho byste se měli obrátit, resp. kdo má kompetence k jejich řešení: v prvním případě (přímý marketing a zákon o el. komunikacích) jde o ČTÚ, zatímco ve druhém případě (nevyžádané obchodní sdělení a zákon o některých službách informační společnosti) jde o ÚOOÚ.

Významnou odlišností je i to, na jakých základních principech jsou obě varianty v zákoně řešeny. V případě přímého marketingu a zákona o el. komunikací je zde (alespoň formálně) jasný princip opt-in: nejprve musíte udělit svůj souhlas (viz nový §96/2 výše). Že si ho na vás poskytovatel snadno vynutí, je jiná věc.

To u nevyžádaných obchodních sdělení a služeb informační společnosti je sice princip opt-in obecně deklarován také (k zasílání obchodních sdělení je zapotřebí souhlas), ale fakticky se uplatňuje spíše princip opt-out: zavádí jej článek 3 paragrafu 7, podle kterého může začít rozesílat obchodní sdělení ten, kdo získal váš emailový kontakt „v souvislosti s prodejem výrobku nebo služby“. A toto ustanovení zůstává i přes popisovanou novelizaci beze změny.

Celkové hodnocení

Domyslet do všech detailů efekt a dopady popisovaných změn není jednoduché, a vlastně ani možné. Teprve čas ukáže, jaké budou přínosy či následky. A hlavně: kdo, kudy a kam si najde jakou cestičku.

Osobně jsem zvědav zejména na praktické dopady nového požadavku na hromadný či opakovaný charakter nevyžádaných obchodních sdělení (aby jejich rozesílání bylo možné postihovat). Z hlediska obecného pojetí je to asi správné. Jenže jak to budou lidé interpretovat? Nestanou se z toho naopak otevřené dveře ke zcela nepostižitelnému spamování? Třeba s argumentem, že právě odesílané obchodní sdělení je personalizované, šité na míru danému příjemci (tudíž nemá být považováno za hromadné), a posílá jej jednorázově úplně nový subjekt XY (a tudíž nelze aplikovat ani opakovaný charakter)?

Zkrátka a dobře: problematika boje proti spammingu vůbec není jednoduchá. A nemá žádná jednoduchá a stoprocentně  účinná řešení. Jen řešení lepší a horší.