Dopis pana Joury
Velice mne znepokojil způsob, jakým společnost RadioMobil v současné době umožňuje tarifním a twist zákazníkům přístup k získání prvních čtyř číslic kódu PUK2. Domnívám se, že zvolený způsob, který spočívá v získání tohoto kódu prostřednictvím hlasového profilu infolinky T-Mobile, aniž by byla jakkoli jinak ověřena další oprávnění volajícího k přístupu k tomuto údaji, vystavuje uživatele Vašich služeb nepřiměřenému riziku. Toto nebezpečí dále zvyšuje fakt, že první čtyři číslice kódu PUK2 lze ze stejného telefonního čísla, není-li zákazník již registrován na t-zones, získat stejným způsobem i opakovaně bez žádných omezení.
Rád bych Vás upozornil, že zvolené řešení může vyvolat podezření z porušení Všeobecných podmínek společnosti RadioMobil a.s. ze strany RadioMobilu. Kód PUK2 dle poznámky pod čarou č. 2 Všeobecných podmínek je „číselný kód identifikující SIM kartu za účelem její registrace a ochrany“. Článek, z jehož porušení může být RadioMobil podezírán, je v kapitole 4 „Práva a závazky RadioMobilu“ a jedná se o článek 4.1.4, ve kterém se RadioMobil zavazuje „předat Účastníkovi či jeho zástupci veškeré informace o bezpečnostních kódech nezbytných k užívání Služeb, a to v zapečetěné obálce nebo doporučenou poštou do vlastních rukou na poslední známou adresu Účastníka.“ Pakliže by kód PUK2 sloužící k ochraně SIM karty měl být považován za bezpečnostní kód ve smyslu článku 4.1.4, mohlo by jeho sdělování prostřednictvím hlasového profilu infolinky T-Mobile být považováno za jednoznačné porušení uvedeného závazku společnosti RadioMobil.
Dovoluji si v této souvislosti zároveň upozornit na článek v kapitole 7 „Opatření proti zneužití Služeb“, článek 7.5, na jehož základě je uživatel zavázán „chránit veškerá hesla a bezpečnostní kódy související s poskytovanými Službami.“ Za výše popsané situace dodržení tohoto závazku významně ztěžuje samotný operátor, který zavedeným opatřením naopak sám zvyšuje riziko zneužití kódu PUK2 uživatele.
Ve stejné kapitole upozorňuji rovněž na článek 7.2, na jehož základě je uživatel oprávněn podat žádost o vydání nové SIM karty také v případě „prozrazení kteréhokoliv z PUK kódů“. Podle článku 7.1.4 je pak uživatel zavázán neprodleně informovat RadioMobil i o „důvodném podezření“ z tohoto prozrazení. Na základě proběhlých testů bylo zjištěno, že k případnému získání prvních čtyř číslic kódu PUK2 pomocí hlasového profilu infolinky T-Mobile neoprávněnou osobou by tato osoba potřebovala zhruba dvě minuty času. Důvodné podezření z prozrazení kódu PUK2 tedy může teoreticky vzniknout pokaždé, když uživatel ponechá zapnutý telefon bez dohledu na více než dvě minuty. Prakticky je poté uživatel oprávněn podat žádost o vydání nové SIM karty a zároveň požadovat, aby si RadioMobil za vydání nové SIM karty neúčtoval částku podle článku 7.2 Všeobecných podmínek s poukazem na výše uvedené podezření, že k prozrazení kódu PUK2 došlo v důsledku porušení článku 4.1.4 Všeobecných podmínek ze strany RadioMobilu.
Závěrem si dovoluji poznamenat, že zvolené řešení registrace na t-zones (dříve click) považuji od počátku za velmi nevhodné právě proto, že registraci v prostředí internetu, jehož bezpečnost je a pravděpodobně vždy bude limitována, podmiňuje zadáváním části kódu, který unikátně identifikuje SIM kartu a jehož ochrana podléhá závaznému režimu upravenému v citovaných článcích Všeobecných podmínek. Pakliže se již společnost RadioMobil pro takovéto řešení rozhodla, v žádném případě ji to neopravňuje vytvářet pro kód PUK2 jakýsi zvláštní status, který není upraven ve Všeobecných podmínkách, naopak může být s těmito Všeobecnými podmínkami v rozporu.
Na základě výše uvedeného, v zájmu bezpečnosti uživatelů, v zájmu jednoznačného výkladu Všeobecných podmínek a pro vyloučení veškerých pochybností či případných pozdějších nedorozumění, navrhuji, aby položka „pro zjištění kódu PUK2“ byla z hlasového profilu infolinky T-Mobile úplně odstraněna.
Odpověď od T-Mobilu
Vážený pane Jouro,
děkujeme Vám za Vaši e-mailovou zprávu ze dne 19. února 2003, ve které nás informujete o možném riziku zneužití počátečního čtyřčíslí kódu PUK 2.K Vašim připomínkám či návrhům bychom rádi uvedli následující:
Úvodem, prosím, přijměte informaci, že k opatření, kterým jsme zajistili dostupnost prvních čtyř číslic kódu PUK 2 na Hlasovém profilu, jsme přistoupili ve snaze zjednodušit přístup zákazníků sítě T-Mobile k portálu t-zones, a tím i k široké škále dalších služeb.
V Hlasovém profilu sítě T-Mobile sdělujeme pouze počáteční část kódu PUK 2 (nikoli celý, osmimístný kód), který se vztahuje k SIM kartě, z níž zákazník volá, a to pouze v případě, že k této kartě ještě není na portálu t-zones zaregistrován uživatelský účet. Dle našeho názoru tento postup není v rozporu se Všeobecnými podmínkami společnosti RadioMobil a.s., konkrétně s Vámi zmiňovaným článkem 4.1.4, který stanoví, že „RadioMobil se zavazuje předat Účastníkovi či jeho zástupci veškeré informace o bezpečnostních kódech nezbytných k užívání služeb, a to v zapečetěné obálce nebo doporučenou poštou do vlastních rukou na poslední známou adresu Účastníka.“ Tento článek totiž stanoví pravidla pouze pro první předání informací o bezpečnostních kódech nezbytných k užívání služeb (ke kterému zpravidla dochází při uzavření účastnické smlouvy), nikoli pro každé další předávání těchto informací, která mohou následovat po prvním předání. Sdělení prvních čtyř čísel kódu PUK 2 prostřednictvím Hlasového profilu nikdy není prvním sdělením tohoto kódu (tím je předání dokumentace k SIM kartě).
Pokud se týče článku 7.1.4 Všeobecných podmínek, který mj. stanoví, že „Účastník se zavazuje po celou dobu trvání účastnické smlouvy neprodleně informovat RadioMobil v případě důvodného podezření z prozrazení kteréhokoliv z PUK kódů“, jsme přesvědčeni o tom, že jestliže – jak uvádíte ve svém dopise – uživatel ponechá zapnutý telefon bez dohledu více než dvě minuty, nepůjde vždy o důvodné podezření z prozrazení kódu PUK 2 a účastník tedy nebude vždy povinen plnit informační povinnost dle článku 7.1.4 Všeobecných podmínek. Tuto informační povinnost by bylo dle našeho názoru v daném případě nutno splnit pouze za situace, kdy by podezření z prozrazení kódu PUK 2 bylo podloženo konkrétními zjištěními (např.v případě, že oprávněný uživatel si na Infolince ověří, že z jeho mobilního telefonu bylo voláno za účelem získání informace o prvních čtyřech číslech kódu PUK 2).
Chceme Vás ujistit, že nám velmi záleží na názorech zákazníků o našich službách. Přestože jsem přesvědčeni o tom, že způsob sdělování prvních čtyř čísel bezpečnostního kódu PUK 2 nebyl v rozporu se Všeobecnými podmínkami společnosti RadioMobil a.s., rozhodli jsme se přistoupit k odstranění části Hlasového profilu s informací o prvním čtyřčíslí kódu PUK2. Nyní lze zmíněný údaj získat prostřednictvím operátora, po zadání hesla pro komunikaci.
Twist zákazníkům zůstává tato funkcionalita Hlasového profilu nezměněna. Volání z Twist SIM karty, ke které zákazník požaduje sdělení kódu PUK 2 nebo jeho části, nelze považovat za neoprávněné či neautorizované. Z anonymní povahy předplacené služby Twist vyplývá, že nemáme k dispozici žádné údaje o totožnosti zákazníků, neboť tento okruh zákazníků neuzavřel s naší společností řádnou písemnou smlouvu o poskytování služeb, v níž by tyto údaje byly obsaženy. Proto je v případě držitele SIM karty – uživatele předplacené služby Twist - autorizace pro zjištění kódu PUK 2 zcela totožná v Hlasovém profilu i při spojení s operátorem Infolinky.
Věříme, že se nám podařilo poskytnout Vám všechny důležité informace a těšíme se na Vaše další podněty a dotazy.
Kdo má tedy pravdu?
Ať už je názor pana Joury relevantní či nikoliv, tak ukazuje jednu velmi podstatnou věc – a to, že při slušné komunikaci lze i něčeho dosáhnout a lze vést vzájemně přínosnou diskusi. V tomto případě se jedná o jasný střet dvou výkladů jedné normy – tedy Všeobecných podmínek. To, jestli RadioMobil skutečně zveřejněním části PUK2 porušuje své vlastní Všeobecné podmínky či nikoliv, by však musel samozřejmě rozhodnout soud.
Je nutné ale podotknout, že výklad pana Joury u některých článků Všeobecných podmínek je poněkud irelevantní. Výrok „RadioMobil se zavazuje předat Účastníkovi či jeho zástupci veškeré informace o bezpečnostních kódech nezbytných k užívání Služeb, a to v zapečetěné obálce nebo doporučenou poštou do vlastních rukou na poslední známou adresu Účastníka,“ totiž nikterak nevylučuje i jiné formy předání těchto bezpečnostních kódů. Rovněž tak výrok „Zákazník má právo podat žádost o vydání nové SIM karty v případě prozrazení kteréhokoliv z PUK kódů,“ nikterak nehovoří o aplikaci tohoto ustanovení v případě prozrazení první poloviny PUK2. Nicméně pan Joura, stejně jako kterýkoliv jiný účastník sítě T-Mobile, má právo vznést případné dotazy a připomínky týkající se služeb tohoto operátora a operátor by mu měl na ně řádně odpovědět, jak se také stalo.
A jaký je tedy výsledek? Podle mého názoru RadioMobil ve výše uvedených bodech své podmínky neporušuje a pro výklad pana Joury uvedený v dopise neexistuje dostatečná opora ve výrocích, které cituje. Nicméně konečné slovo by měl samozřejmě soud.