CS · EN DE FR brzy

69 Co 392/2024-325 — Městský soud v Praze

ECLI: ECLI:CZ:MSPH:2024:69.Co.392.2024.325
Datum: 2024-11-20
Předmět: o zaplacení částky 287 987,59Kč s příslušenstvím
Ustanovení: ["§ 132 z. č. 99/1963 Sb.", "§ 142 z. č. 99/1963 Sb.", "§ 212 z. č. 99/1963 Sb.", "§ 212a z. č. 99/1963 Sb.", "§ 219 z. č. 99/1963 Sb.", "§ 224 z. č. 99/1963 Sb.", "§ 237 z. č. 99/1963 Sb.", "§ 373 z.
["software"]
O co šlo: o zaplacení částky 287 987,59Kč s příslušenstvím (["§ 132 z. č. 99/1963 Sb.", "§ 142 z. č. 99/1963 Sb.", "§ 212 z. č. 99/1963 Sb.", "§ 212a z. č. 99/1963 Sb.", "§ 219 z. č. 99/1963 Sb.", "§ 224 z. č. 99/1963 Sb)
1. Napadeným rozsudkem soud prvního stupně uložil žalované povinnost zaplatit žalobci 147 357 Kč do tří dnů od právní moci rozsudku (výrok I.), žalobu co do požadavku na zaplacení částky 140 630,59 Kč zamítl (výrok II.), a současně rozhodl, že žádný z účastníků nemá právo na náhradu nákladů řízení (výrok III.).2. Takto soud prvního stupně rozhodl o žalobě, kterou se žalobce domáhal náhrady škody, jež mu vznikla tím, že žalovaná řádně nezajistila systém zálohování a ochrany dat žalobce, k čemuž se zavázala ve smlouvě uzavřené dne 1. 10. 2003, a žalobci se tak nepodařilo, po napadení jeho počítačové sítě třetí osobou, obnovit soubory ze zálohovaných dat. Výši škody žalobce vyčíslil součtem vynaložených mezd na přesčasy svých zaměstnanců a související odvody za práci při obnově datových souborů v celkové výši 132 837 Kč a za úhradu obnovy dat účetní firmě , společnost 2, ve výši 14 520 Kč, a dále za úhradu obnovy dat (jejich zpřístupnění) vyděrači ve výši 140 630,59 Kč.3. Žalovaný se v řízení bránil především nedostatkem příčinné souvislosti mezi vzniklou škodou a tvrzeným porušením jeho povinností, když jako bezprostřední příčinu vzniku škody označil skutečnost, že došlo k napadení jeho počítačové sítě neznámým útočníkem. Zdůraznil, že žádný počítačový systém není zcela imunní vůči hackerskému útoku, o čemž svědčí zkušenosti uživatelů po celém světě včetně amerického ministerstva obrany (Pentagonu). Obecně tak není objektivně v silách uživatele sítě a ani jejího správce zabránit útoku zvenčí ani při vynaložení veškeré odpovídající péče.4. Soud prvního stupně ve věci již jednou rozhodl, když rozsudkem ze dne 11. 10. 2022, č. j. 45 C 56/2019-178, žalobu v plném rozsahu zamítl. Odvolací soud k odvolání žalobce usnesením ze dne 26. 6. 2023, č. j. , spisová značka, , rozsudek soudu prvního stupně v plném rozsahu zrušil a věc vrátil zpět k dalšímu řízení.5. Soud prvního stupně po provedeném dokazování dospěl k závěru, že mezi účastníky byla 1. 10. 2003 uzavřená smlouva o správě a provozním servisu výpočetní techniky, na jejímž základě se žalovaný jakožto zhotovitel zavázal provádět pro žalobce jakožto objednatele správu a provozní servis výpočetní techniky včetně konfigurace síťového prostředí, antivirové politiky, bezpečnostní politiky, systému zálohování a ochrany dat, údržby serverů, doplňování a výměny běžného spotřebního materiálu a dalších prací. Podle uvedené smlouvy žalovaný plně odpovídá za antivirovou ochranu svěřených zařízení k termínu poslední provozní údržby v rámci použitého a schváleného antivirového software. Současně byla mezi stranami sjednána pravidelná profylaxe 2x ročně vždy první čtvrtek v měsíci dubnu a říjnu. Poslední profylaxe proběhla ve čtvrtek 27. 4. 2017. Již 14. 3. 2017 však vydala společnost , společnost 3, kritickou bezpečnostní záplatu, která měla zabránit neoprávněnému vniknutí do počítačových systémů svých uživatelů. Dne 12. 5. 2017 poté došlo k celosvětovému šíření viru , název, . Žalobce následně zjistil, že jeho data byla napadena hackerem , jméno FO, , který za zpřístupnění dat žalobce požadoval výkupné. v Bitcoinech ve výši 1,5 BTC, což odpovídá částce 140 630,59 Kč. Žalobce na požadavek pachatele přistoupil a provedl úhradu s pomocí žalovaného. Pachatel však svůj slib nesplnil a požadoval další úhradu ve výši 1 BTC, na což však žalobce již nepřistoupil. V rámci obnovy dat se podařilo získat data ke dni 19. 9. 2016.6. Ze znaleckého posudku a následných výslechů znalce vyplynulo, že systém zálohování dat na úložiště , název, , který žalovaný zvolil, nebylo možné pravidelně kontrolovat, a data nebyla provázána s externími zařízeními, se kterými pracoval zaměstnanec žalobce. Kontrola těchto dat ze strany obou stran nebyla prováděna dostatečně. Znalec dále uvedl, že se jednalo o ransom virus využívající k přístupu neošetřený protokol , název, v rámci síťových sdílení, přičemž je pravděpodobné, že právě uváděná kritická záplata (která byla vydána ještě před pravidelnou servisní kontrolou) měla tomuto přístupu a tím pádem zranitelnosti systému zabránit (jak se ukázalo u 99 % systémů). Znalec výslovně uvedl, že předpokladem vzniku bezpečnostního incidentu a ztráty dat byla nedostatečná aplikace bezpečnostních záplat správy systému. Žalovaná tedy porušila svou povinnost vyplývající ze smlouvy o správě a provozním servisu dbát o maximální bezpečnosti dat žalobce. Protože žalovaná tuto svou povinnost porušila, došlo ke ztrátě dat žalobce a tento byl nucen veškerá data (včetně účetnictví) obnovit. Za tímto účelem pak vynaložil náklady na práci svých zaměstnanců, kteří ztracená data obnovovali, ve výši 132 837 Kč a dále platbu účetní firmě , společnost 2, ve výši 14 520 Kč.7. Ohledně nároku žalobce na náhradu výkupného ve výši 140 630,59 Kč zaplacených vyděrači za zpřístupnění dat soud prvního stupně konstatoval, že v tomto případě byla přetržena příčinná souvislost mezi vznikem škody a výše popsaným porušením povinnosti žalované, když žalobce na základě vlastního rozhodnutí uvedenou částku vyděrači uhradil. Platba výkupného v podobných případech je přitom určitou sázkou na nejistotu, vydíraný přistupuje na účelovou hru vyděrače s nejistým výsledkem, přičemž se nemůže spolehnout na dodržení slova daného vyděračem, který sleduje jen svůj majetkový prospěch. V daném případě se tak jednalo o rozhodnutí žalobce, které žalovaná nemohla nijak ovlivnit. Soud prvního stupně proto v této části žalobu zamítl.8. V dalších podrobnostech odvolací soud odkazuje na odůvodnění rozsudku soudu prvního stupně, které není třeba, v zájmu stručnosti písemného vyhotovení rozsudku odvolacího soudu, podrobně opakovat.9. Proti tomuto rozsudku (jeho vyhovujícímu výroku I.) podala žalovaná včasné odvolání. Zopakovala svá tvrzení uvedená před soudem prvního stupně s tím, že po zrušení prvního rozsudku soudu prvního stupně v podstatě nedošlo k žádné změně. Za primární příčinu vzniku bezpečnostního incidentu považovala (podle závěrů , Anonymizováno, ) prolomení bezpečnostního hesla některého ze zaměstnanců žalobce, neboť nebýt tohoto prolomení, nedošlo by k napadení systému virem. Ze závěrů znaleckého posudku vyplývá, že důvodem ztráty dat byla nedostatečná aplikace bezpečnostních oprav a zřejmě též zvolená technologie zálohování dat, která nebyla způsobilá svými parametry zabránit natolik masivnímu hackerskému útoku. Žalovaná zdůraznila, že zvolená technologie zálohovacího systému byla vždy výlučně věcí uživatele jako zákazníka žalované, a proto také technologické limity systému byly omezeny finančními možnostmi žalobce, který se vždy přiklonil k co nejlevnější variantě řešení. V kombinaci obou stěžejních faktorů, tedy zvoleného technologického řešení a četnosti servisních prohlídek, nebylo ani v možnostech žalované zabránit vzniku škodné události.10. Žalovaná dále tvrdila, že i přes to, že, vzhledem k opravenému datu vydání bezpečnostní záplaty a datu poslední servisní prohlídky, byla bezpečnostní záplata instalována, nebylo zabráněno zašifrování dat žalobce. Žalovaná tedy nemůže nést za ztrátu dat odpovědnost. Závěrem proto navrhla, aby odvolací soud napadený rozsudek ve výroku I. změnil a žalobu zamítl a ve výroku II. aby byl napadený rozsudek potvrzen.11. Proti tomuto rozsudku (jeho zamítavému výroku II.) podal odvolání žalobce. Nesouhlasil s názorem soudu prvního stupně, že pokud jde o žalobcem požadovanou náhradu výkupného ve výši 140 630,59 Kč za zpřístupnění dat, které žalobce hackerovi zaplatil, byla přetržena příčinná souvislost samotným žalobcem, když na základě vlastního rozhodnutí uvedenou částku vyděrači uhradil. Žalobce poukázal na judikaturu Nejvyššího soudu a uvedl, že se jednalo o řetězení škodního jednání žalovaného a dalších následků, které mělo svůj počátek v porušení smluvní povinnosti žalovaného dbát o maximální bezpečnosti dat žalobce. Zaplacení výkupného jako dalších nákladů vzniklých v důsledku porušení povinnosti žalovaného ve výši 140 630,59 Kč za zpřístupnění dat, které žalovaný aktivně sjednal, a dokonce pomohl žalobci uhradit v Bitcoinech, je pouze dalším následkem protiprávního jednání žalovaného, spočívajícího v tom, že řádně nezajistil systém zálohování a ochrany dat žalobce. Závěrem proto navrhl, aby i v této části bylo žalobě vyhověno.12. Odvolací soud přezkoumal napadené rozhodnutí včetně řízení, které jeho vydání předcházelo (§ 212 a § 212a o. s. ř.), a poté dospěl k závěru, že odvolání účastníků nejsou důvodná.13. Odvolací soud především odkazuje na podrobné odůvodnění napadeného rozsudku. Soud prvního stupně provedl dokazování v dostatečném rozsahu, provedené důkazy hodnotil v souladu se zásadou volného hodnocení důkazů (§ 132 o. s. ř.) a učinil na jejich základě odpovídající skutkové závěry. V návaznosti na to soud prvního stupně věc i přiléhavě právně posoudil a odvolací soud, aniž by parafrázoval či opakoval části dotčeného rozhodnutí, již prakticky nemá k věci co dodat.14. Podle § 3028 odst. 3 zákona č. 89/2012 Sb., občanský zákoník, v platném znění (dále též jen „OZ“), není-li dále stanove

Citovaná ustanovení

§ 373 (262/2006 Sb.)§ 373 (513/1991 Sb.)§ 3028 (89/2012 Sb.)§ 3030 (89/2012 Sb.)§ 3079 (89/2012 Sb.)§ 5 (89/2012 Sb.)§ 132 (99/1963 Sb.)§ 142 (99/1963 Sb.)§ 212 (99/1963 Sb.)§ 212a (99/1963 Sb.)§ 219 (99/1963 Sb.)§ 224 (99/1963 Sb.)
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.