Možná i ve vaší datové schránce v nedávných dnech přistála – obsahem sice možná aktuální, ale vámi nejspíše zcela nevyžádaná – nabídka na chirurgické roušky ve formě poštovní datové zprávy. Tedy té datové zprávy, která je během nouzovém stavu (od 24. 3. 2020) zdarma a kterou lze rozesílat mezi fyzickými a právnickými osobami navzájem.
Obsahem (fakticky přílohou) zprávy bylo dvoustránkové PDF: celou první stránku zabírala ona nabídka chirurgických roušek. Druhou stranu pak zabírá upoutávka na e-shop „Skupiny profesionálních sportovců“ na adrese https://www.200life.cz, prosba o příspěvek na krmení psů v psím útulku a konečně dva obrázky, kterými autoři nejspíše chtěli naznačit, že mají rádi datové schránky.
V diskusi, která se o tom rozproudila na Twitteru, to bylo jednoznačně hodnoceno jako nevyžádané obchodní sdělení, alias spam.
Datové schránky dočasně umožňují posílat PDZ zdarma.
— Jakub Bouček (⚠️ shadow profile) (@JakubBoucek) April 8, 2020
Samozřejmě to hned začali využívat spammeři ke rozesílání nevyžádané pošty.
Je tohle vlastně postihnutelné? pic.twitter.com/OB7ORybCpv
Nabídka na roušky zaslaná přímo do datové schránky. Čas 4:00. Nelze nahlásit jako spam, jedná se o nevyžádané obchodní sdělení. Je možné odpovědět placenou datovou zprávou. Provozovatel @vnitro by měl přidat tlačítko "Nahlásit spam" a obratem prošetřit a pokutovat. pic.twitter.com/rQMTgqu189
— Petr Dvorak (@joshis_tweets) April 10, 2020
Z obrázků na Twitteru i z upozornění od laskavých čtenářů mohu vydedukovat, že nešlo o jednu poštovní datovou zprávu rozeslanou do více datových schránek současně (lze až do 50), ale více různých poštovních datových zpráv rozesílaných v delším časovém období. První dnešní obrázek ukazuje zprávu z 8. 4. 2020, zatímco následující dva ukazují různé zprávy z 10. 4. 2020.
A soudě podle následujícího tweetu z 30. 3. 2020 je možné, že rozesílání začalo již mnohem dříve.
Nevyžádané nabídky roušek chodí už i do úřední DS. Kdepak je asi naskladnili?#ICV-Invest s.r.o.
— exekutorka (@exekutorka) March 30, 2020
https://t.co/iGujawxyJl
Pro upřesnění: společnost ICV – Invest s.r.o. (IČO: 06422101), podle OR s kapitálem 10 Kč, je subjektem, který je podepsán pod nově založeným webem na nedávno zřízené doméně koronahelp.cz, na který se rozesílaný leták odkazuje.
Jak je to se spamem v datových schránkách?
Pokud se podíváme do zákona, podle kterého datové schránky fungují (tj. do zákona č. 300/2008 Sb.), najdeme zde i ustanovení, které se týká rozesílání nevyžádaných obchodních sdělení:
Jak je patrné, sankce jsou podstatně mírnější, pokud se přestupku dopustí nepodnikající fyzická osoba. V případě rozesílání nevyžádaných obchodních sdělení je to „pokuta do 10 000 Kč“, zatímco u podnikající fyzické osoby či právnické osoby je to podstatně více, „až do 10 000 000 Kč“. Zajímavé je, že na OVM, coby rozesílatele, zde pamatováno není.
Co víme o odesilateli?
Kdo ale byl odesilatelem zde popisovaných poštovních datových zpráv? Co o něm víme?
Připomeňme si a zdůrazněme, že náš systém datových schránek není systémem pro přenos od konkrétních odesilatelů ke konkrétním příjemcům, ale systémem pro přenos zpráv mezi datovými schránkami. V tom je rozdíl, který se projevuje mj. i tím, co nám (resp. příjemci) systém datových schránek říká: ze které datové schránky nám co přišlo. Nikoli kdo nám to posílá.
Jako odesilatele nám systém datových schránek soustavně podstrkuje držitele datové schránky. Což může být někdo úplně jiný než skutečný odesilatel – tím může být kterákoli z oprávněných osob, ale stejně tak to může být některá pověřená osoba, administrátor, či třeba spisová služba. Naštěstí nám systém datových schránek dnes hlásí alespoň to, v jaké roli vystupoval ten konkrétní uživatel, který zprávu odesílal. Zda jako oprávněná osoba, nebo jako pověřená osoba atd. Ale už nám neřekne, která konkrétní osoba to byla.
Nicméně: v případě zde popisované poštovní datové zprávy je to vlastně jedno. To proto, že datová schránka, ze které bylo odesíláno, s ID f4dvybe, je datovou schránkou (nepodnikající) fyzické osoby. A u datových schránek podnikajících i nepodnikajících fyzických osob je z principu jen jedna oprávněná osoba, která splývá s držitelem datové schránky. Takže když v popisovaném případě ISDS (viz obrázky) hlásí, že odesílající osoba vystupovala v roli oprávněné osoby, lze z toho vydedukovat, která konkrétní fyzická osoba je onou oprávněnou osobou: ta osoba, která je současně držitelem datové schránky.
Ani tím ale není jednoznačně dáno, že odesilatelem skutečně byl držitel předmětné datové schránky. Mohla to být stejně tak aplikace, která se k datové schránce přihlásila jeho přístupovými údaji – ať již s vědomím držitele a na jeho popud, nebo jakkoli jinak. V neposlední řadě nelze vyloučit, že dotyčný držitel bude argumentovat tím, že to byl někdo jiný, kdo pouze disponoval jeho přístupovými údaji oprávněné osoby a jednal bez jeho vědomí a souhlasu.
Ovšem pokud by se tím chtěl držitel datové schránky nějak vyvinit, bude to mít těžké – protože sám má povinnost nakládat se svými přístupovými údaji tak, aby nemohlo dojít k jejich zneužití. Požaduje to § 9 odst. 2 zákona č. 300/2008 Sb.
Osoba oprávněná k přístupu do datové schránky je povinna zacházet s přístupovými údaji tak, aby nemohlo dojít k jejich zneužití.
K čemu došlo v roce 2012?
Z výše citovaného ustanovení § 26c zákona č. 300/2008 Sb. plyne, že rozesílání nevyžádaných obchodních, ale i jiných obtěžujících obchodních sdělení skrze datové schránky je přestupek, který „projednává ministerstvo“, což je v kontextu daného zákona Ministerstvo vnitra. Případné stížnosti, či oznámení o přestupku, by tedy měly směřovat k tomuto resortu, a nikoli k Úřadu pro ochranu osobních údajů, který má jinak agendu spamu na starosti.
Nicméně: je zde jeden zajímavý precedent, o kterém je také dobré vědět. V roce 2012 jsem zde na Lupě psal o jiném případu, kdy Česká pošta rozesílala do datových schránek informaci o své akci „Datový trezor na 2 měsíce zdarma“.
Teprve dodatečně se ukázalo, že jde o tzv. systémovou datovou zprávu, a následně (až po rozeslání nabídky) vydaná verze Provozního řádu ISDS přišla s ustanovením, které umožňuje jak České poště (coby provozovateli), tak i MV ČR (coby zřizovateli) rozesílat hromadné notifikační datové zprávy.
1.6.3. Hromadné systémové zprávy iniciované správcem či provozovatelem ISDS
Ve výjimečných případech má správce systému (Ministerstvo vnitra ČR) možnost rozeslat hromadně zprávu (HSDZ) do všech aktivních schránek.
V případech, kdy je potřeba oslovit vybranou množinu schránek, může Provozovatel (Česká Pošta) hromadně rozeslat zprávu do vybraných schránek.
Ostatně, takového hromadné systémové zprávy (od samotného ISDS) v nedávných dnech zřejmě došly do všech datových schránek – s oznámením o tom, že poštovní datové zprávy jsou zdarma, i s výčtem možností toho, co se skrze datové schránky dá dělat (a také s popisem toho, jak používat tzv. mobilní klíč).
Zpět ale k akci „Datový trezor na 2 měsíce zdarma“ z roku 2012: stížnost od některého z příjemců byla tehdy podána na Úřad pro ochranu osobních údajů (ÚOOÚ). Ten ji nejprve pro svou nepříslušnost předal ministerstvu vnitra, které následně seznalo, že vše je v pořádku (a že Česká pošta dokonce byla povinna informovat o změně poskytované služby).
Nicméně nakonec se ÚOOÚ případu přeci jen ujal a na rozdíl od vnitra seznal, že šlo o nevyžádané obchodní sdělení dle zákona č. 480/2004 Sb. A na svém stanovisku úřad setrval i po námitkách České pošty proti kontrolnímu závěru ÚOOÚ:
Předseda Úřadu se ztotožnil se závěry inspektora, že Česká pošta svým postupem porušila zákon č. 480/2004 Sb. a šířila nevyžádaná obchodní sdělení. Při posuzování postupu České pošty Úřad ani následně předseda neakceptovali argumentaci České pošty, že se nejednalo o obchodní sdělení, ale o systémovou zprávu.
To, zda určitá zpráva naplňuje znaky obchodního sdělení podle zákona č. 480/2004 Sb., je třeba posuzovat podle jejího obsahu a účelu, a nikoliv podle toho, jak je tato zpráva označena nebo kam ji řadí provozní řád.
Stejně tak nebyla akceptována námitka, že tento postup předem schválilo Ministerstvo vnitra jako správce informačního systému datových schránek, neboť zákon žádnou výjimku pro takto schválená obchodní sdělení neobsahuje.
Takže i když zákon hovoří o tom, že přestupky v oblasti datových schránek řeší vnitro, nemusí být bez šance ani obrátit se na ÚOOÚ.
Zapněte si notifikace s rozšířeným obsahem
Pravdou je, že od uvedené doby, a vlastně za celou dobu provozu datových schránek, se kromě právě popsaného – a přeci jen poněkud specifického – případu České pošty žádný klasický (komerční) spam v datových schránkách neobjevil. Nebo, abych byl přesný: o žádném nevím. Nejspíše díky poměrně vysoké ceně za poštovní datové zprávy (dříve 18 Kč za jednu, od března letošního roku za 15 Kč, podrobněji), která dostatečně odrazovala případné zájemce o tento způsob propagace. Jenže nyní, v době nouzového stavu, tato zábrana padla – a poštovní datové zprávy jsou pro odesilatele zdarma.
Spam v datových schránkách přitom má ještě jeden zajímavý aspekt, na který již v roce 2012 (a také dnes, v příspěvcích na Twitteru) upozorňovali někteří uživatelé: že v nich vždy „zatrne“, když jim něco přijde do datové schránky. To proto, že očekávají něco významného, na co by měli ve vlastním zájmu reagovat (a ne žádné zbytečnosti či přímo spamy). A tak hned spěchají k počítači a honem se přihlašují do své datové schránky. Kdyby ale dopředu (z notifikace o dodané zprávě) věděli, o co jde, „zatrnout“ by jim nemuselo a s přihlášením by tak spěchat nemuseli.
Jak jsem i ve svém okolí opakovaně zjistil, ne všichni uživatelé datových schránek vědí, že od roku 2012 přeci jen došlo ke změně v notifikacích od systému datových schránek. Dříve, když jste si nechávali posílat mailem avíza na nově dodané zprávy, tak jste se z nich o samotné zprávě nedozvěděli prakticky nic (jen číslo a zda je, či není do vlastních rukou). Nepoznali jste, od koho je a čeho se týká (jaký má předmět).
Od jisté doby ale existuje možnost, jak si vyžádat, aby notifikační emaily měly „rozšířený obsah“, který již informuje jak o odesilateli, tak i o předmětu zprávy.
Je ale nutné tuto možnost explicitně nastavit, v nastavení příslušné datové schránky (viz obrázek).