ITprávo - server o internetovém a počítačovém právu

Jistě by většina čtenářů následujícího příspěvku resp. uživatelů Internetu potvrdila, že spam je v dnešní době natolik familiérním pojmem, že jej netřeba nikterak objasňovat, nicméně úvodem článku si dovolím uvést z důvodů vyloučení možných pochybností k pojmu spam, spammer či antispamová legislativa, že pojem spam je synonymem pro tzv. nevyžádaná obchodní sdělení. Ve světě dnešní informační společnosti bychom asi stěží nalezli uživatele Internetu, který by se nikdy nestal adresátem spamu, mimoto jistě každý z běžných uživatelů Internetu disponující emailovou schránkou zná dobře ten pocit otravného mazání zcela bezvýznamných elektronických zpráv. Přestože bychom v řadě publikací a to nejen tuzemských, nalezli mnoho článků a příspěvků, které pojednávají o etymologii pojmu spam, historických souvislostech spamu, statistických údajích i jiných zajímavých aspektech, které se spamu, jakožto nepodařeného dítěte Internetu přímo týkají, tak předmětem následujícího příspěvku bude téma poměrně ojedinělé tj. především právní rozbor příslušné evropské legislativy regulující nevyžádaná obchodní sdělení, jakož i její efektivita a implementace v České republice.

Ke komplexnímu provedení shora vytyčeného předmětu příspěvku je žádoucí uvést, že právní úprava antispamové legislativy v ČR vychází z evropského modelu právní regulace, především pak ze směrnice 2000/31/ES o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu na vnitřním trhu (dále jen „směrnice o elektronickém obchodu“) a ze směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (dále jen „směrnice o soukromí a elektronických komunikacích“). Z tohoto důvodu provedu nejprve stručný rozbor shora uvedených směrnic Společenství se zaměřením na příslušná ustanovení týkající se nevyžádaných obchodních sdělení.

Začteme-li se do textu směrnice o elektronickém obchodu, zjistíme, že prvními částmi směrnice, které se zmiňují o problematice nevyžádaných obchodních sdělení, jsou recitály č. 29, č. 30 a č. 31, které mají za primární účel jakési zasvěcení do problému a poskytnutí možného rámcového řešení. Prvý z recitálů č.29 směrnice o elektronickém obchodu stanoví že: „Obchodní sdělení mají rozhodující význam pro financování služeb informační společnosti a pro rozvoj různých nových bezplatných služeb. V zájmu ochrany spotřebitelů a poctivosti obchodu musí obchodní sdělení, jako jsou slevy, zvláštní nabídky, propagační soutěže a hry splňovat určité požadavky průhlednosti. Těmito povinnostmi není dotčena směrnice 97/7/ES[1]. Touto směrnicí dále nejsou dotčeny stávající směrnice o obchodních sděleních, zejména směrnice 98/43/ES.[2]“ K tomuto recitálu nemám osobně žádných výhrad, jen s tou výtkou, že obchodními sděleními nejsou stiženi jen samotní spotřebitelé jakožto fyzické osoby, ale i celá řada podnikatelů a právnických osob, o kterých se však v uvedeném recitálu nehovoří.

Druhý recitál č.30 směrnice o elektronickém obchodu praví že: „Zasílání nevyžádaných obchodních sdělení elektronickou poštou může být pro spotřebitele a poskytovatele služeb informační společnosti nevýhodné a může tak narušovat řádné fungování interaktivních sítí. Otázka souhlasu příjemce s určitými formami nevyžádaných obchodních sdělení není předmětem této citované směrnice, ale je již upravena zejména směrnicemi 97/7/ES a 97/66/ES[3].“ Ve spojitosti se spamem jak však z pohledu práva významnější druhá směrnice tj. 97/66/ES, která však byla později změněna na směrnici 2002/58/ES o soukromí a elektronických komunikacích. Dále se ve druhé části recitálu č. 30 směrnice o elektronickém obchodu dočteme, že: „Členské státy, které povolují zasílání nevyžádaných obchodních sdělení prostřednictvím elektronické pošty, by mělo být podporováno a usnadňováno zaváděním zařízení na vhodné filtrování těchto sdělení podniky. Kromě toho musí být nevyžádaná obchodní sdělení v každém případě jasně rozeznatelná, aby mohla být zlepšována průhlednost a usnadňována funkčnost těchto zařízení zaváděných podniky. Nevyžádaná obchodní sdělení zasílaná elektronickou poštou nesmí pro příjemce představovat žádné dodatečné výdaje.“ Pokud se nad citovaným recitálem zamyslíme a provedeme jazykový rozbor „bohužel“ právně nezávazného recitálu, objevíme zajímaví fakt. Podmínka povolení k zasílání nevyžádaných obchodních sdělení tu bude vždy a u všech členských států, protože obchodní sdělení mohou být zasílány v mezích zákonem stanovených podmínek. Dodatečné výdaje bude spam představovat pro každého příjemce vždy, když obdrží byť i pouze jediné nevyžádané obchodní sdělení. Výdaj můžeme chápat jako nepřímý a přímý i když v prostředí elektronických komunikací, konkrétně v případě spamu, se nám mohou oba druhy výdajů navzájem spojovat a v určitých ohledech překrývat. Nepřímé výdaje představují jednak čas připojení potřebný ke stažení nevyžádané elektronické pošty, dále časový úsek konektivity samotné při přenosu „bezcenných“ dat, a dále též cena za takovouto nadbytečnou konektivitu, čas strávený tříděním a mazáním spamu atd. atp. Vyčíslení takovýchto nepřímých výdajů je jistě v mnoha ohledech komplikované a nepřesné, nicméně náklady reálně existují a jedná se vždy o nadbytečné výdaje. Přímé výdaje jsou oproti nepřímým zcela jasně a prokazatelně vyčíslitelné, příkladem může být spamová ochrana či jiné softwarové prostředky limitující spam. Rovněž i ustanovení že státy, které povolují nevyžádaná obchodní sdělení, by měly podporovat a usnadňovat zavádění zařízení na vhodné filtrování těchto sdělení se jeví jako paradoxní a dvousečné z pohledu ustanovení, že spam nesmí představovat pro příjemce žádné dodatečné výdaje.

Poslední „spamový“ recitál č.31 směrnice o elektronickém obchodu pak stanoví, že: „Členské státy, které připouštějí zasílání nevyžádaných obchodních sdělení elektronickou poštou bez předchozího souhlasu příjemce poskytovatelům služeb usazeným na jejich území, musí dbát na to, aby poskytovatelé pravidelně nahlíželi do seznamu, do nějž se mohou zapisovat fyzické osoby, které si nepřejí, aby jim byly takové informace zasílány, a aby tento seznam respektovali.“ Znění citovaného recitálu je obdobě paradoxní jako to předchozí. Například v podmínkách ČR, přestože národní legislativa neumožňuje zasílání obchodních sdělení bez předchozího souhlasu příjemce[4], tak žádný veřejně přístupný seznam není a ani nebyl zřízen, a pokud by byl, tak by se funkčnost seznamu míjela nejspíše účinkem[5]. Na základě uvedeného recitálu však vyplývá, přestože to není na první pohled nikterak zřejmé, základní regulatorní metoda resp. metody pro odesílání a přijímaní obchodních sdělení. První metoda tzv. opt-in, neboli přihlášení, je metoda založena na principu předchozí registrace uživatele k přijímání obchodních sdělení. Bez tohoto souhlasu uživatele resp. jeho prvotní registrace není možné provádět zasílání obchodních sdělení. Druhou metodou je tzv. opt-out, neboli odhlášení, která je založena na principu možnosti odhlášení uživatele, který si nepřeje být nadále adresát obchodního sdělení. Na základě této metody, je tedy možné zasílat obchodní sdělení i adresátům, kteří k tomu nedali primární souhlas, nicméně tím není dotčeno jejich právo se kdykoliv odhlásit a nebýt tak nadále adresátem sdělení. Jen na okraj uvádím, že samotné odhlášení se obvykle provádí prostřednictvím aktivního URL linku, který je obsažen ve zprávě obchodního sdělení. Zajímavá je též skutečnost, že v případě anglického překladu téhož recitálu směrnice o elektronickém obchodu se hovoří nikoliv o seznamu jak je tomu v české verzi, ale o tzv. opt-out registrech[6]. T této souvislosti bych uvedl, že v dnešní době, kdy dochází k přebírání různých americko-anglických slovíček do českého jazyka, která se postupně stala více méně zažitými synonymy, o jejichž významu není pochyb, by bylo namístě v prostředí „českého spamu“ užívat též doslovných originálů tj. opt-in a opt-out či opt-out registr. Navíc, což je rovněž podstatné, recitál směrnice hovoří pouze o fyzických osobách, které se mohou zapisovat do uvedeného seznamu, potažmo rejstříků. Kde jsou však uvedeny právnické osoby, které mohou být také obtěžovány spamem a jejichž škody takto způsobené mohou dosáhnout potencionálně mnohem větších rozměrů než v případě fyzických osob[7].

Samotná právní úprava týkající se nevyžádaných obchodních sdělení je obsažena ve druhém oddílu směrnice o elektronickém obchodu. Jedná se o články č. 6, č. 7 a č. 8 směrnice o elektronickém obchodu, které tak představují jeden ze základních kamenů právní úpravy spamu resp. obchodních sdělení pro členské státy Společenství. Evropský zákonodárce se rozhodl regulovat nevyžádaná obchodní sdělení v mezích uvedené směrnice následujícím způsobem. Nejprve v článku 2 písmene f) směrnice o elektronickém obchodu nazvané Definice, nalezneme samotnou definici pojmu obchodní sdělení, kterým se rozumí všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo obrazu podniku, organizace nebo osoby, která je činná v oblasti obchodu, průmyslu, řemesel nebo vykonává regulované povolání; níže uvedené údaje jako takové nepředstavují formu obchodního sdělení: (i) informace umožňující přímý přístup k činnosti podniku, organizace nebo osoby, zejména název domény nebo adresa elektronické pošty, (ii) sdělení týkající se zboží, služeb nebo obrazu podniku, organizace nebo osoby získané nezávisle, zejména jsou-li poskytovány bez finančního protiplnění. Jak níže uvidíme, legální definice pojmu obchodní sdělení, převzal v téměř totožné podobě dle směrnice o elektronickém obchodu i český zákonodárce.

V úvodním článku šest, nazvaném Informační povinnosti, je stanoveno, že: ,,Vedle ostatních informačních požadavků podle práva Společenství dbají členské státy na to, aby obchodní sdělení, která jsou součástí služby informační společnosti nebo která tuto službu tvoří, splňovala alespoň tyto podmínky: a) obchodní sdělení musí být jasně rozeznatelná; b) fyzická nebo právnická osoba, na jejíž objednávku obchodní sdělení probíhá, musí být jasně rozeznatelná; c) jsou-li v členském státě, v němž je poskytovatel usazen, povolené propagační nabídky jako slevy, prémie a dary, musí být jako takové jasně rozeznatelné a podmínky pro jejich využívání musí být snadno přístupné, jakož i zřetelně a jednoznačně uvedené; d) jsou-li v členském státě, v němž je poskytovatel usazen, povolené propagační soutěže nebo hry, musí být jako takové jasně označené a podmínky účasti v nich musí být snadno přístupné a zřetelně a jednoznačně uvedené.“ V úvodním článku šest směrnice o elektronickém obchodu představují všechna ustanovení jasné podmínky, které nevyvolávají žádné pochybnosti či interpretační komplikace. Pro doplnění výkladu článku šest směrnice bych pouze uvedl, že z pohledu této směrnice představuje elektronické obchodní sdělení vždy službu informační společnosti, viz recitál č. 18 směrnice o elektronickém obchodu.

V článku sedm nazvaném Nevyžádaná obchodní sdělení je stanoveno že: ,,Vedle ostatních požadavků práva Společenství zajistí členské státy, které povolují nevyžádaná obchodní sdělení zaslaná elektronickou poštou, aby příjemce mohl tato obchodní sdělení poskytovatele služeb usazeného na jejich území při jejich přijetí jasně a jednoznačně rozeznat.“ Odstavec prví tak pouze upřesňuje požadavky obsažené již v článku šest a žádné zásadní novoty nepřináší, vyjma požadavku jasného a jednoznačného rozeznání obchodního sdělení příjemcem. Odstavec druhý stanovuje, že „Aniž je dotčena směrnice 97/7/ES a směrnice 97/66/ES, přijmou členské státy opatření, aby zaručily, že poskytovatelé služeb, kteří zasílají nevyžádaná obchodní sdělení elektronickou poštou, budou pravidelně nahlížet do seznamů, do nichž se mohou zapisovat fyzické osoby, které si nepřejí, aby jim byly takové informace zasílány, a že je budou respektovat.“ Tento druhý odstavec téměř kopíruje recitál č. 31 směrnice o elektronickém obchodu i s celou svou výkladovou nepřesností, ovšem zde se již hovoří o seznamech a nikoliv seznamu jak je tomu v případě předmětného recitálu. Jak jsem již k výkladu samotného recitálu uváděl, jedná se o několik drobných interpretačních nepřesností. Například v prostředí České republiky žádný veřejnosti dostupný seznam či seznamy s možností registrace uživatelů neexistuje a fakticky by nejspíše existovat ani nemohl. V praxi se jedná především o případ, kdy poskytovatel obchodního sdělení, začlení do samotné zprávy aktivní odkaz, pomocí kterého se může uživatel, jež si nadále nepřeje být obchodním sdělením rušen, odhlásit, resp. zaregistrovat se do elektronického seznamu osob, jež nechtějí být adresáty daného obchodního sdělení. Seznam je však vždy originální záležitostí každého poskytovatele obchodního sdělení a žádný generální tj. všem poskytovatelům přístupný a jediný seznam neexistuje. Navíc zde není žádný důvod, aby i právnická osoba, je-li obtěžována obchodním sdělením, nemohla vyslovit svůj nesouhlas se zápisem do takovýchto ne-seznamů. Právě právnické osoby, představují potencionální největší výzvu pro obchodní sdělení a proto i jsou i nejčastěji jejich samotnými adresáty. Vidina toho jak se například tisíc zaměstnanců společnosti, kterým chodí skrze emailový server spam, zapisují jeden po druhém do takovýchto seznamů je poměrně komická.

Poslední článek osmý nazvaný Regulovaná povolání obsahuje čtyři odstavce zaměřené především na profesní subjekty členských států, které řídí výkon regulovaných povolání. Tento celý článek, bez toho aniž bych musel citovat zmiňované čtyři odstavce, stanovuje pravidla, která musí profesní subjekty řídící výkon regulovaných povolání zavést ve vztahu k rozesílání obchodních sdělení a ve spojitosti s výkonem takovýchto povolání. Konkrétně se jedná o vypracování profesních a etických kodexů, které blíže stanoví podmínky a pravidla pro rozesílání obchodních sdělení při výkonu regulovaných povolání. Pro zajímavost bych uvedl například Českou advokátní komoru jakožto jednoho z národních profesních samosprávných subjektů, která mimo obecných stavovských předpisů a právních předpisů regulující výkon advokacie, přímo rozesílání obchodních sdělení prostřednictvím specifického a uceleného stavovského předpisu nereguluje. Nicméně počínání advokáta, který by zatoužil po zlepšení své reputace a rozšíření portfolia klientů rozesíláním spamu, by se bezesporu dopustil nejen neetického ale i protiprávního jednání, které by kárná komise ČAK či jiný příslušný veřejnoprávní orgán odměnil bezesporu odpovídající sankcí.

Jak jsem již v úvodu tohoto příspěvku uvedl, směrnice o elektronickém obchodu nepředstavuje pouze jediný právní předpis na poli evropské legislativy, který významnou měrou reguluje nevyžádaná obchodní sdělení. Mezi další významnou směrnice regulující spam patří i směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací. Z tohoto důvodu níže uvádím právní rozbor směrnice, obdobně jako v předchozím odstavci u směrnice o elektronickém obchodu, s cílem nalezení klíčových právních ustanovení regulující spam.

První z významnějších recitálů směrnice o soukromí a elektronických komunikacích, které pojednávají o problematice spamu, nese až označení č. 40 a stanoví, že „Účastníkům musí být poskytnuta ochranná opatření proti zásahům do jejich soukromí způsobeným nevyžádanými sděleními pro účely přímého marketingu, zejména prostřednictvím automatických volacích zařízení, telefaxů a elektronické pošty, včetně SMS zpráv. Posílání těchto forem nevyžádaných obchodních sdělení může být na jednu stranu poměrně jednoduché a levné, ale na druhou stranu může způsobit příjemci zátěž a/nebo náklady. Navíc jejich objem může také v některých případech působit problémy sítím elektronických komunikací a koncovým zařízením. V případě takových forem nevyžádaných obchodních sdělení pro účely přímého marketingu je odůvodněné vyžadovat, aby byl získán výslovný souhlas příjemce předem, ještě před zasláním takových sdělení. Jednotný trh vyžaduje harmonizovaný přístup, aby byla zajištěna jednoduchá pravidla pro podniky i uživatele platná v celém Společenství“ Citovaný recitál zakotvující resp. doporučující metodu opt-in je v porovnání s uváděnými recitály směrnice o elektronickém obchodu v jistých ohledech preciznější a propracovanější. Co je však skutečně podstatné z výše citovaného recitálu je tzv. režim resp. metoda opt-in, který přímo plyne z výslovného souhlasu potencionálního příjemce ještě před tím, než vůbec samotné obchodní sdělení obdrží. Tento princip je pravým opakem tzv. metody opt-out, který obsahuje směrnice o elektronickém obchodu, přičemž o principech obou metod je pojednáno výše.

Dalším neopomenutelným recitálem směrnice soukromí a elektronických komunikací je recitál č. 43, který stanoví že, „V zájmu usnadnění účinného prosazování pravidel Společenství, které se týkají nevyžádaných zpráv pro účely přímého marketingu, je nezbytné zakázat používání falešných totožností, falešných zpátečních adres nebo čísel při zasílání nevyžádaných zpráv pro účely přímého marketingu.“ Zde recitál vystihuje velice důležité skutečnosti, které by měly být v případě nevyžádaných obchodních sdělení dodržovány. Realita je bohužel častokrát však pravým opakem a to zejména z pohledu mimoevropského spamu.

Právní úprava spamu je směrnice o soukromí a elektronických komunikacích obsažena „pouze“ v jediném článku č. 13, který se skládá z pěti odstavců. Odstavec prvý stanový že: „Automatické volací systémy bez zásahu člověka (automatické volací přístroje), faximilní přístroje (faxy) nebo elektronickou poštu je možno použít pro účely přímého marketingu pouze v případě účastníků, kteří k tomu dali předchozí souhlas“. První odstavec tak právně zakotvuje princip opt-in, který jsem popisoval výše a který je i obsažen ve výše popisovaném recitálu č. 40 uváděné směrnice. Odstavec druhý dále stanoví že: ,,Bez ohledu na odstavec prvý, pokud fyzická nebo právnická osoba získává od svých zákazníků podrobnosti jejich elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby a v souladu se směrnicí 95/46/ES, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro účely přímého marketingu svých vlastních obdobných výrobků nebo služeb pouze za předpokladu, že je zákazníkům jasně a zřetelně poskytnuta možnost zdarma a jednoduchým způsobem nesouhlasit s takovým využitím podrobností jejich elektronického kontaktu v době, kdy se shromažďují, a při zasílání každého jednotlivého sdělení, pokud zákazník původně toto využití neodmítl.“ Druhý odstavec blíže modifikuje princip opt-in a stanový jasnou podmínku, že i stávajícím zákazníkům, kteří jsou adresáti obchodních sdělení, musí být umožněno odmítnout takovéto zasílání resp. příjem. V praxi běžného Internetu je tato podmínka téměř všemi “slušnými“ subjekty, jež rozesílají obchodní sdělení, běžně akceptována. V odstavci třetím se jedná opět o jasné pravidlo režimu opt-in pro všechna nevyžádaná sdělení. Výslovně pak článek třetí říká že: ,,Členské státy musí přijmout vhodná opatření zajišťující, že nevyžádaná sdělení, zdarma, pro účely přímého marketingu, v případech jiných než uvedených v odstavcích 1 a 2, nebudou povolena buď bez souhlasu dotčených účastníků, nebo ve vztahu k účastníkům, kteří si nepřejí taková sdělení dostávat, přičemž výběr z uvedených možností bude stanoven vnitrostátními právními předpisy“. Odstavec čtvrtý pak přináší jasné podmínky pro „spamující subjekty“ a v podstatě tak zakotvuje principy citované recitálem č. 43 směrnice o soukromí a elektronických komunikacích, jež je popisován výše. Přesně je stanoveno že: „V každém případě je nutno zakázat praxi posílat elektronickou poštu pro účely přímého marketingu, pokud tato skrývá nebo utajuje totožnost odesílatele, jehož jménem se sdělení přenáší, anebo ji posílat bez platné adresy, na kterou by příjemce mohl odeslat žádost o ukončení zasílání takových sdělení.“ Jedná se opět o velice praktické ustanovení, které však bývá dodržováno jen ze strany těch „slušných a důvěryhodných“ odesílatelů. Například zahraniční spam, míněno mimo členské státy Společenství, představuje přibližně dvě třetiny spamu, které tento článek porušuje. Poslední pátý odstavec stanoví následující podmínky: ,,Odstavce 1 a 3 článku se použijí na účastníky, kteří jsou fyzickými osobami. V rámci práva Společenství a použitelných vnitrostátních právních předpisů členské státy také zajistí, že budou dostatečně chráněny oprávněné zájmy účastníků, kteří nejsou fyzickými osobami, pokud jde o nevyžádaná sdělení.“ S ohledem na první citovanou větu recitálu nevidím žádný důvod, proč se zde evropský zákonodárce zaměřil pouze na fyzické osoby. Obdobně je tomu i u směrnice o elektronickém obchodu popisované výše, kde blíže uvádím důvody, proč by měly být právnické osoby chráněny totožně jako fyzické osoby. Navíc konec citovaného odstavce je v jisté kontradikci se samým počátek, kde se hovoří pouze o ochraně před spamem s ohledem na fyzické osoby, přičemž konec směrnice hovoří i o ochraně oprávněných zájmů osob, které nejsou fyzickými osobami tj. právnických osob. Dle mého názoru představují oprávněné zájmy fyzických i právnických osob ve vztahu ke spamu zájmy mnohdy zcela totožné[8]. Nevidím zde tedy naprosto jediný racionální a opodstatněný důvod proč nejsou ve výčtu ochrany proti spamu zahrnuty i právnické osoby.

Právní úprava spamu v České republice vychází z evropského modelu právní regulace směrnic 2000/31/ES a 2002/58/ES. Rozbor směrnic včetně stručného výkladového komentáře je proveden výše. Český zákonodárce provedl implementaci obou směrnic co do rozsahu právní regulace spamu resp. obchodních sdělení zejména ve formě zákona č. 480/2004 Sb., o některých službách informační společnosti (dále jen „zákon“). V uvedeném zákoně nalezneme mimo jiné i zákonnou definici pojmu „obchodní sdělení“, kterým se dle §2 písmene f zákona rozumí: ,,Všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku fyzické či právnické osoby, která vykonává regulovanou činnost nebo je podnikatelem vykonávajícím činnost, která není regulovanou činností; za obchodní sdělení se považuje také reklama podle zvláštního právního předpisu[9]. Za obchodní sdělení se nepovažují údaje umožňující přímý přístup k informacím o činnosti fyzické či právnické osoby nebo podniku, zejména doménové jméno nebo adresa elektronické pošty; za obchodní sdělení se dále nepovažují údaje týkající se zboží, služeb nebo image fyzické či právnické osoby nebo podniku, získané uživatelem nezávisle.“ Český zákonodárce tak v podstatě přebírá definici obchodního sdělení, jež je obsažena v článku 2 písmene f) směrnice o elektronickém obchodu, což mimo jiné uvádím výše.

Ze samotného vymezení legální definice, pojmu obchodní sdělení, přímo vyplývá, že spamování se nemůže dopustit fyzická osoba nepodnikatel. Já osobně bych do výčtu, přestože to odborná literatura ani zákon neuvádí, nezahrnul právnické osoby, které nevykonávají podnikatelskou činnost například nadace, církve, zájmová sdružení atd. Ve spojitosti s touto interpretací dojdeme ke zjištění, že správní orgán příslušný k udělování sankcí tj. Úřad pro ochranu osobních údajů, více viz dále, tak může fakticky postihnout za nevyžádané obchodní sdělní, jen a pouze právnickou anebo fyzickou osobu jednající v rámci své podnikatelské činnosti nebo v souvislosti s ní. Proto nelze zahrnout pod výklad „právnické osoby“ všechny právnické osoby bez ohledu na předmět jejich činnosti. S ohledem na uvedené se tedy zákon vztahuje pouze na obchodní sdělení tzn. zákon nezakazuje sdělení politická, náboženská, vědecká či jiné obdobné povahy. Dále z definice vyplývá, že za spam se nepovažují metada, tj. linky a nejrůznější formy elektronických adres, kdy není tedy zakázáno distribuovat elektronickými prostředky bez dalšího například linky na WWW stránky nebo emailové adresy[10], což však bývá předmětem různých sporů a nejasností co do rozsahu a aplikace takovéto zákonné výjimky. Například Úřad pro ochranu osobních údajů k této zákonné výjimce uvádí, že jejím smyslem je umožnit zaslání informace týkající se např. změny telefonního čísla, adresy, www stránek nebo adresy elektronické pošty, svým zákazníkům či klientům, kteří zasílání obchodních sdělení odmítli, je však třeba jim tyto změny sdělit. Dále se tato výjimka vztahuje i na případy, kdy jsou zasílány ryze soukromé zprávy elektronické pošty (které tedy neslouží k podpoře podnikání), ale jsou zasílány z adresy obsahující doménové jméno nebo je v této zprávě vložen automatický podpis obsahující údaje o společnosti (jako www stránky, adresa elektronické pošty, telefonní číslo apod.).[11]

Příslušná ustanovení regulující šíření obchodních sdělení nalezneme v § 7 zákona č. 480/2004 Sb., o některých službách informační společnosti, ve kterém je stanoveno následující. Odstavec prvý praví: „Obchodní sdělení lze šířit elektronickými prostředky jen za podmínek stanovených tímto zákonem“. Na základě prvého odstavce tedy vyplývá, že obchodní sdělení je možné šířit jen elektronickými prostředky tj. např. síti elektronických komunikací, elektronickým komunikačním zařízením, elektronickou poštou (typicky tedy Internet, SMS, fax), a to jen za podmínek stanovených zákonem. Odstavec druhý stanoví že: „Podrobnosti elektronického kontaktu lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k uživatelům, kteří k tomu dali předchozí souhlas.“ Z druhého odstavce přímo vyplývá režim opt-in, neboli obchodní sdělení lze bez předchozího souhlasu zasílat pouze těm uživatelům, kteří udělili zasílateli obchodního sdělení nejprve předchozí souhlas. Na uvedené navazuje odstavec třetí, který stanoví že „nehledě na odstavec 2, pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.“ Citovaný odstavec třetí představuje výjimku z režimu opt-in dle § 7 odst. 2), zákona, resp. stanoví omezení metody opt-in metodou opt-out. Dle uvedeného ustanovení tak může podnikající fyzická nebo právnická osoba zaslat obchodní sdělení bez předchozího souhlasu svému stávajícímu klientovi - uživateli, pokud od něj získána údaje o jeho emailové adrese na základě prodeje výrobku nebo poskytnutí služby a dále též za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem či zdarma odmítnout souhlas s takovýmto využitím, nebyl-li odmítnut již primárně. Typicky se bude jednat například o situaci, kdy se uživatel zaregistruje při koupi zboží na internetových stránkách e-shopu a v rámci této registrace udělí mimo jiné i souhlas k zasílání obchodních sdělení. V této souvislosti je potřeba uvést, že zákon v mezích citovaného ustanovení nevyžaduje pro zasílání obchodních sdělení stávajícímu zákazníkovi jeho souhlas. Nicméně v podmínkách prostředí českého Internetu bývá z řad podnikatelů běžné, že při první registraci klienta umožní vyslovit, případně odmítnou, souhlas k zasílání obchodních sdělení.

K citovanému ustanovení je žádoucí i zajímavé uvést, že režim opt-in, i bez ohledu na výjimku opt-out dle odst. 3) § 7 zákona, však přináší spornou otázku v podobě žádosti o souhlas se zasláním obchodního sdělení. Mnozí podnikatele, kteří přestože jsou obecně seznámeni s citovaným zákonem, proklamují svá primární odchodní sdělení se žádostí chybně a protiprávně. Bez ohledu na to, že správně citují předmětnou normu a žádají o souhlas koncového adresáta, mnozí do emailu se žádostí zahrnují právě i určitou propagaci ať už produktů, služeb či image, čímž se dopustí jednání contra legem a vystavují se tak možným sankčním postihům. Záleží tedy skutečně případ od případu, jakým způsobem je takovýto email koncipován[12]. Pro úplnost příkladu je třeba uvést, že udělením souhlasu není jakkoliv dotčeno právo uživatele na vzetí souhlasu zpět a to kdykoliv do budoucna. Poslední z ustanovení § 7 zákona je odstavec čtvrtý, který stanoví že „Zaslání elektronické pošty za účelem šíření obchodního sdělení je zakázáno, pokud a) tato není zřetelně a jasně označena jako obchodní sdělení, b) skrývá nebo utajuje totožnost odesílatele, jehož jménem se komunikace uskutečňuje, nebo c) je zaslána bez platné adresy, na kterou by mohl adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace odesílatelem nadále zasílány“. I za situace, kdy zákon umožňuje odesílání nevyžádaných obchodních sdělení legální cestou, musí být zároveň odesílatelem splněny všechny tři podmínky citovaného odstavce. První z nich je označení zprávy jako obchodního sdělení. V praxi tedy bude nejlepším řešením uvést do samotného předmětu emailu „obchodní sdělení“ čímž tuto podmínku naplníme. Druhou podmínkou je neskrývat a neutajovat totožnost odesílatele tj. původce obchodního sdělení. Nelze tedy odesílat obchodní sdělení se skrytou nebo utajenou identitou. Zejména se jedná o zákaz odesílání jakýchkoliv šifrovaných či falešných obchodních sdělení. Ovšem pozor, zákon přímo pozitivně nevymezuje, jaké identifikační údaje musí být ve zprávě uvedeny, pouze brání tomu, aby v ní nebylo použito zavádějících kontaktních údajů[13]. V souvislosti s poslední třetí podmínkou, viz dále, se jedná „pouze“ o jediný povinný identifikační údaj, kterým je platná elektronická adresa resp. obvykle aktivní link, prostřednictvím kterého lze provést odhlášení. Poslední, třetí podmínkou, je výše uvedené platná adresa, na kterou může adresát přímo a účinně zaslat informaci o tom, že si nepřeje, aby mu byly obchodní sdělení odesílatelem nadále zasílány. Z pohledu běžné praxe se může, tedy alespoň u těch „profesionálních“ obchodních sdělení, setkat s aktivním linkem obsaženým ve zprávě, prostřednictvím něhož se můžeme automaticky odhlásit a zabránit tak dalšímu spamu. Bohužel, to je ta lepší varianta. Druhou variantou je vyrozumění spammera o tom, že nechceme být nadále adresátem spamu. Nevidím zde však jediný legitimní důvod, proč by „nevinné oběti“ spamu měly strávit čas nad psaním takovéto zprávy[14]. Navíc už jen proto, že mnohdy flegmatický spammer si z takovéto zprávy, bude-li mu vůbec doručena, asi nic moc dělat nebude, a tak i iniciativa potřebná k zamezení spamu nebude v tomto případě jen u jediné zprávy, ale bude potřeba vynaložit i další kroky. Závěrem k rozboru § 7 zákona je vhodné též uvést, že obchodí sdělení, jakožto neadresovaná komunikace, nepředstavuje obchodní dopis ve smyslu ustanovení § 13a zákona č. 513/1991 Sb., obchodní zákoník, v platném znění.

Dalším ustanovením zákona, které reguluje nevyžádaná obchodní sdělení zvláštního typu, je ustanovení § 8 zákona nazvané Regulované činnosti. Jedná se o specifické ustanovení upravující zasílání obchodních sdělení osobami, jež vykonávají regulované činnosti, přičemž je zohledněno, zda jsou takovéto osoby členy příslušných profesních samosprávných komor zřízených zákonem. Mezi subjekty regulovaných činností, které jsou členy příslušných samosprávných komor, patří například advokáti, notáři, exekutoři, daňový poradci, lékaři atd. Bez nutnosti uvedení doslovného znění § 8 zákona, kde jsou stanoveny přesné podmínky pro zasílání obchodních sdělení subjekty vykonávajícími regulované činnosti, vyplývají následující povinnosti. Především se jedná o požadavek přesné identifikace příslušné profesní komory, odkaz na profesní pravidla a dále pak přístup k informacím o příslušné profesní komoře, která musí obchodní sdělení obsahovat. Na základě zákonných podmínek jsou tak subjekty vykonávající regulované činnosti v případě zasílání obchodních sdělení povinny dodržovat nejen specifické podmínky stanovené § 8 zákona, ale též i obecné podmínky stanovené v § 7 zákona. Závěrem k uvedenému odstavci bych pro zajímavost uvedl, že jedna z historicky prvních kauz týkající se masivního odesílání nevyžádaných obchodních sdělení, byl spam nazvaný „Green Card Lottery", kterou zaslali v březnu roku 1994 američtí advokáti Lauren Cantor a Martha Siegel[15].

K dozoru nad dodržováním zákona v rámci zasílání obchodních sdělení resp. legitimního spamu, jsou na základě § 10 zákona odst. 1) oprávněny primárně Úřad pro ochranu osobních údaje a sekundárně ve specifických případech i příslušná profesní komora zřízená zákonem. Příslušné ustanovení nazvané Dozor nad dodržováním zákona § 10 odst. 1) tedy zní „ orgánem příslušným k výkonu dozoru nad dodržováním tohoto zákona (dále jen "orgán dozoru") je a) pro šíření obchodních sdělení podle § 7 Úřad pro ochranu osobních údajů, b) pro povinnosti vyplývající z § 8 odst. 3) příslušná profesní samosprávná komora zřízená zákonem.“ S ohledem na veřejnoprávní povahu předmětného ustanovení zákona, postupují orgány dozoru při své činnosti ex officio. Nicméně jak už to tak bývá například i v oblasti trestního práva, většina podnětů k zahájení trestního stíhání je činěna na základě konkrétních oznámení tj. podnětů. Proto se i Úřad pro ochranu osobních údajů rozhodl pro obdobné a chytré řešení, které mu tak v praxi usnadňuje boj se spammery.[16] Řešení spočívá v elektronickém formuláři umístěním na internetových stánkách úřadu[17], prostřednictvím kterého může kdokoliv nahlásit spammera resp. oznámit, že se stal příjemce nevyžádaného obchodního sdělní, které je odesláno v rozporu se zákonem. Formulář je veřejnosti samozřejmě volně a stále dostupný. Úřad zde rovněž uvádí i informace jak stížnost podat a jakým způsobem v celé věci postupovat. Nejdůležitějšími údaji, které se vyplňují do elektronického formuláře, jsou údaje z hlavičky originálního emailu resp. spamu, které mohou pomoci odhalit skutečnou identitu odesílatele spamu[18]. V případě příslušných profesních samosprávných komor, resp. subjektu, který vykonává regulovanou činnost a zasílá spam, je nejsnazší cesta k podání podnětu elektronicky prostřednictvím oficiální emailové adresy dané komory, kterou lze nalézt na příslušných internetových stránkách. Jako přílohu bude samozřejmě vhodné přiložit k podnětu originální textaci obdrženého spamu a to včetně její hlavičky.

Zákon uděluje orgánům dozoru, tj. Úřadu pro ochranu osobních údajů a profesním samosprávným komorám, poměrně mocný a citelný sankční instrument. V případě sankce za porušení obecných povinností stanovených §7 zákona, která může být udělena Úřadem pro ochranu osobních údajů ve formě pokuty, je stanovena na horní hranici 10 milionů Kč[19]. Za porušení specifických podmínek v rámci výkonu regulovaných činností může příslušná samosprávní komora uložit pokutu až do výše 1 milionu Kč. Při stanovení výše sankce přihlédne orgán dozoru k závažnosti správního deliktu, ke způsobu jeho spáchání a jeho následkům a k okolnostem, za nichž byl spáchán. Jednotlivé typy správních deliktů, kterých se může odesílatel spamu dopustit, jsou obecně uvedeny v § 11 zákona. Jedná se o taxativní výčet celkem deseti skutkových podstat, které zakládají vznik možné správní odpovědnosti. Správní odpovědnost za nevyžádaná obchodní sdělení, resp. její vznik, může být fakticky dán pouze u právnických a podnikajících fyzických osob, přičemž povaha takovéto odpovědnosti je založena na principu tzv. objektivní odpovědnosti, tedy odpovědnosti za výsledek a bez ohledu na zavinění. Zákon však umožňuje v případě vzniku odpovědnosti aplikaci liberačního důvodu, který najdeme v § 12 odst. 1) zákona a který stanoví, že „právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.“ Uvedené librační ustanovení, které nalezneme i v řadě dalších právních předpisů obsahující správní delikty, se samozřejmě též vztahuje i na podnikající fyzické osoby, což mimo jiné plyne z ustanovení § 12 odst. 4) zákona. Zákonem stanovená správní odpovědnost tj. odpovědnost veřejnoprávní za spamming, se netýká odpovědnosti soukromoprávní, která může být za daných okolností dovozena na základě příslušných soukromoprávních předpisů[20]. Pro úplnost informací týkající se odpovědnostních a sankčních aspektů je důležité uvést, že správní odpovědnost osoby za správní delikt zaniká, jestliže orgán dozoru o něm nezahájil řízení do 1 roku, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán. Dále je zákonem stanoveno, že pokuty ukládá a vybírá orgán dozoru[21] a vymáhá je celní úřad podle zvláštního právního předpisu[22], přičemž příjem z pokut, a to i vymožených, je příjmem rozpočtu, ze kterého je hrazena činnost orgánu dozoru, který pokutu uložil.

Komunitární právní úprava antispamové legislativy, která je reprezentována především směrnicemi 2000/31/ES a 2002/58/ES, představuje z pohledu právní regulace spamu solidní legislativu, která by však mohla být do budoucna „optimalizována“ a to zejména s ohledem na výkladové nejasnosti, které jsou popsány výše. Rozdílnost principů obou směrnic co do možných režimů zasílání obchodních sdělení tzv. opt-in a opt-out, se v případě vhodné implementace do příslušného právního řádu daného členského státu a samozřejmě následného dodržování v zásadě příliš neliší. Z pohledu národní legislativy regulující spam, je možno konstatovat, že implementace vycházející z evropského modelu, byla provedena relativně vhodným způsobem bez vážnějších vad či nedostatků. Přes uvedené pozitivní zjištění je však potřeba zachovat v jistých ohledech spíše skeptický náhled na právní regulaci spamu a to zejména co do její aplikovatelnosti, efektivity jakož i případné právní ochrany, jež je dotčeným subjektům zaručena. Hlavní příčinu negativního zjištění spatřuji především díky globální a elektronické povaze spamu, zejména pak spamu zahraničního, kde vypátrání a odhalení skutečného spammera mnohdy připomíná nebo by spíše fakticky znamenalo ono rčení „hledání jehly v kupce sena“. Další příčiny lze spatřovat například též i v osobním přístupu poškozených či dotčených subjektů[23], kteří se většinou spokojí s variantou antispammového SW řešení namísto veřejnoprávní či soukromoprávní ochrany. Ruka zákona je tak za daných okolností v rámci efektivní právní regulace spamu bohužel příliš krátká a nedostatečná.

[1] Směrnici Evropského parlamentu a Rady 97/7/ES ze dne 20. května 1997 o ochraně spotřebitele v případě smluv uzavřených na dálku.

[2] Směrnici Evropského parlamentu a Rady 98/43/ES ze dne 6. července 1998 o sbližování právních a správních předpisů členských států ve vztahu k reklamě na tabákové výrobky a sponzorství tabákových výrobků.

[3] Nyní směrnice 2002/58/ES¨.

[4] S jednou výjimkou a to dle ustanovení § 7 odst. 3) zákona č. 480/2004 Sb., o některých službách informační společnosti.

[5] Obdobně jako například v případě americké legislativy regulující spam, viz zákon CAN SPAM Act of 2003.

[6] „Member States which allow the sending of unsolicited commercial communications by electronic mail without prior consent of the recipient by service providers established in their territory have to ensure that the service providers consult regularly and respect the opt-out registers in which natural persons not wishing to receive such commercial communications can register themselves.“

[7] Například v případě firemní domény, pod kterou mají stovky někdy i tisíce zaměstnanců právnické osoby zaměstnavatele zřízeny své pracovní emailové účty. Takovéto emailové účty zaměstnanců pak představují relativně snazší cíl spamového útoku, jehož „úspěch či neúspěch“ proniknout ke koncovým uživatelům, je ve značné míře závislý zejména nastavení emailové serveru či stupně zabezpečení firewall samotného zaměstnavatele.

[8] Obdobně viz citace č.7.

[9] Zákon č. 40/1995 Sb., o regulaci reklamy a o změně a doplnění zákona č. 468/1991 Sb., o provozování rozhlasového a televizního vysílání, ve znění pozdějších předpisů.

[10] Polčák, R. Právo na Internetu, spam a odpovědnost ISP. Computer Press, Brno. 2007. Str. 121

[11] Úřad pro ochranu osobních údajů. Výroční zpráva za rok 2008. [online]. <http://www.uoou.cz/files/vz_2008.pdf>

[12] více viz Polčák, R. Právo na Internetu, spam a odpovědnost ISP. Computer Press, Brno. 2007. Str. 125-126.

[13] Polčák, R. Právo na Internetu, spam a odpovědnost ISP. Computer Press, Brno. 2007. Str. 126

[14] Požadavky Směrnice 2000/31/ES i 2002/58/ES jsou přitom jednoznačné, a to žádné náklady v důsledku obchodních sdělení pro koncové uživatele tj. adresáty spamu.

[15]Celý případ měl nakonec soudní dohru, která představovala pro hlavního aktéra, advokáta Laurence Cantera, velice citelnou sankci. Roku 1997 rozhodl totiž Nejvyšší Soud státu Tennessee o vyloučení advokáta Cantera z advokátní komory, čímž mu fakticky zakázal výkon advokacie.

[16] Tedy alespoň co do odhalování.

[17] Webové stránky Úřadu pro ochranu osobních údajů: http://www.uoou.cz

[18] Identita bývá těžko odhalitelná zejména u zahraničního spamu, kde je hlavička často klamavě měněna.

[19] Například Úřad pro ochranu osobních údajů dle výroční zprávy pro rok 2008 udělil za nevyžádaná obchodní sdělení pokuty v celkové výši 896.000,-Kč.

[20] Zejména tedy na základě zákona č. 40/1964 Sb., občanský zákoník a zákona č. 513/1991 Sb., obchodní zákoník.

[21] Tedy buďto Úřad pro ochranu osobních údajů nebo příslušná profesní samosprávná komora zřízená zákonem.

[22] Zákon č. 337/1992 Sb., o správě daní a poplatků.

[23] A to i přes skutečnost, že je možné se vydat cestou veřejnoprávní ochrany prostřednictvím elektronického oznamovacího formuláře vedeném Úřadem pro ochranu osobních údajů, která na rozdíl od té soukromoprávní představuje cestu relativně snazší, hospodárnější a časově méně náročnou.