Před dvěma roky vrcholilo šílenství v souvislosti s nadcházející účinností předpisu Všakvyvítejakého. Takže u příležitosti 28. ledna, tedy Mezinárodního dne ochrany osobních údajů bylo jasné, o čem psát.

Léta plynou, nařízení Všakvyvítejaké je tady stále s námi, likvidační firemní a lidské tragédie se neodehrávají (a nebo ano, ale diskrétně) a můj názor na něj je kupodivu shodný s názorem ÚOOÚ, a to ten, že nešlo o žádnou revoluci a většina povinností už tady s námi byla dříve. Jisté pochybnosti mám o smysluplnosti pověřenců, což je ale na delší diskusi, stejně tak mne mrzí množství popsaného papíru, resp. vytížení datových úložišť a přenosových kapacit díky dokumentům typu „Privacy Policy“, jejichž četbě se věnuje málokdo, tedy pokud to nemá za povinnost.

Tím se volně dostávám k tomu, že i letos máme jedno nové nařízení, mezinárodně známé jako „CPC Regulation“ (Consumer Protection Cooperation Regulation), které už tedy účinnosti nabylo, a to 17. ledna. A taky k tomu, že se, rovněž mezinárodně, rozmohl takový nešvar, a to falešné e-shopy. To jsou na rychlo spíchnuté e-shopy s nabídkou nejčastěji oblečení a obuvi světoznámých značek, případně elektroniky, které jsou pověšeny na nově znovuzaregistrované domény (ano, znovuzaregistrované, protože jsou využívány domény, které dříve již registrovány byly) s nesprávnými či často dokonce fiktivními údaji držitele. Jako držitelé jsou ale uváděny fyzické osoby, na adresách, které někdy i existují, každopádně není možné jejich „falešnost“ jednoduše s minimálním zásahem lidské síly poznat.

A proč vlastně o tomhle píšu v souvislosti s ochranou osobních údajů?

Těch důvodů je několik:

• Provozovatelé e-shopů, tedy ti opravdoví obchodníci, kteří jsou pro dozorové orgány dosažitelní, mají vůči spotřebitelům řadu povinností, včetně těch informačních. Napsat obchodní podmínky e-shopu tak, aby byly správně, a aby v nich bylo všechno, co má podle zákona být a vůbec v tomto smyslu nastavit funkčnost e-shopu, není úplně jednoduché. A v obchodních podmínkách je často opsán zákon. Nedostatky jsou sankcionovány. A co myslíte, že dělají spotřebitelé s takto pracně sestavenými obchodními podmínkami a dalšími dokumenty? Ano, správně… nečtou je. Spoléhají ve smyslu obecného právního povědomí na to, že můžou v určité lhůtě odstoupit od smlouvy a dostanou zpátky peníze. Jak by to mohlo být prosté, i bez těch stránek psaných drobným písmem (ne proto, že by neměly být čitelné, ale aby se vešly na rozumné množství stránek).
• Titíž spotřebitelé zcela bez bázně a hany nakupují v zahraničních e-shopech. Hodně zahraničních, tedy neevropských, přesněji neevropskounijních. A platí tam kartou – nebo PayPalem. Třeba takový Aliexpress/Alibaba. A ono to funguje. Že by četli T&C AliExpresu/Alibaby… nemuselo by to být tak strašné, každopádně nějaké tam jsou, systém řešení sporů mezi prodávajícími a kupujícími je nastaven a z vlastní zkušenosti vím, že to funguje. I když tam není to, co vyžadují dozorové orgány po našich e-shopech. Privacy Policy, srozumitelnou, samozřejmě mají též. Spotřebitelé se s nimi můžou seznámit… jestli tak činí… úvahu nechám na vás.
• Spotřebitelé vyhledávají zboží, které si přejí, prostřednictvím Internetu. Okamžitě získají přehled o nabídkách a cenách… a protože je známo, že peníze jsou vždy na prvním místě, jdou za nejlevnějším. A neváhají nakoupit oblečení třeba tady:

nebo boty třeba zde:

Další si můžete najít třeba na seznamu rizikových e-shopů, který vydává Česká obchodní inspekce. O něco horší, protože tam už bez legrace může jít o zdraví nebo život, je nelegální prodej léků (pozor, tady se ale nemusí vždycky jednat o falešné e-shopy, jen prodávající nemá příslušné oprávnění k prodeji daného přípravku, nabízí padělky, nejde o lék registrovaný v ČR a podobně) – seznamy zveřejňuje Státní ústav pro kontrolu léčiv.

Ceny jsou více než lákavé, takže je úplně jedno, že:

• název domény nemá žádnou souvislost s nabízeným zbožím (že by si budoucí podvedený nakupující všiml, že prezentace není na stránce používající zabezpečený protokol https, o zeleném zámečku ani nemluvě, tedy vůbec nelze čekat… důležitá je cena a ta vidět je),
• na žádném z e-shopů nejsou konkrétní údaje o provozovateli, že by se někdo podíval do registru domén na držitele je naprosté sci-fi, a to mám poměrně bujnou představivost,
• obchodní podmínky, které tady v ČR musí všichni e-shopaři mít (viz výše), buď nejsou vůbec nebo je to elaborát ve stylu generátoru náhodných jmen s podivnou verzí češtiny (o tom, že by tam bylo vše, co má být, ani nemluvím), v horším případě jde o převzetí obchodních podmínek jiného subjektu, včetně jeho kontaktních údajů (a dotčený subjekt je pak skutečně velmi negativně dotčený, protože o tomto užití svých OP pochopitelně neví),
• podobná situace, jako u obchodních podmínek, je s tzv. Privacy Policy – roztomilé, že?

A tak přesto, že tady máme nařízení Všakvyyvítejaké, spotřebitel nic nečte (a to ani název domény, na kterém se e-shop nachází), kliká, uvádí své osobní údaje Aninevíkomu, platí kartou Aninevíkomu (pseudoopatrnost v podobě dobírky jde stranou, je to láce) a pak se diví a já vlastně taky a taky dozorové orgány a OČTŘ.

Ano, osobní údaje, včetně údajů o platební kartě (a taky přihlašovacích údajů, které může používat i jinde) jsou v moci Kdovíkoho, který je použije kdovíjak, vybrané zboží nedostane, při troše štěstí dostane místo Adidasek žabky, když bude mít méně štěstí, nedostane nic, a když ho nebude mít vůbec, tak mu ještě někdo jiný začne užívat platební kartu.

K nařízení Všakvyyvítejakému nám tedy v lednu přibylo nové, které má zajistit ještě vyšší ochranu spotřebitele, ze kterého se nám možná trochu stává díky vší té regulaci a ochraně neopatrný jouda (i když náš občanský zákoník říká, že má rozum průměrného člověka… ehm). Implementace do českých právních předpisů zatím neproběhla, se stavem legislativního procesu se můžete seznámit zde.

Co by Vám v této souvislosti nemělo uniknout, je pravomoc, kterou příslušné orgány státní správy (v návrhu vymezeny § 24d, odst. 2), a to v § 24g (informační povinnost, a to i vůči bankám, která je přísnější) a v § 24i, zejména odst. 2):

a znění článku 9 odst. 4, písm. g) bod ii) a iii) nařízení, které je tímto…prováděno:

…a o tom si napíšeme příště.