ECLI: ECLI:CZ:OSPH02:2024:45.C.56.2019.1 Datum: 2024-03-22 Předmět: O zaplacení 287 987,59 Kč Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 373 z. č. 513/1991 Sb.", "§ 376 z. č. 262/2006 Sb.", "§ 382 z. č. 262/2006 Sb."] ["bytové družstvo""software""ušlý zisk"]
O co šlo: O zaplacení 287 987,59 Kč (["§ 142 z. č. 99/1963 Sb.", "§ 373 z. č. 513/1991 Sb.", "§ 376 z. č. 262/2006 Sb.", "§ 382 z. č. 262/2006 Sb."])
1. Žalobce se domáhal po žalovaném náhrady škody ve výši 287.987,59 Kč s příslušenstvím. Uvedl, že na základě uzavřené Smlouvy o správě a provozním servisu výpočetní techniky na zajištění softwarové a hardwarové funkčnosti pracovních stanic a serverů v lokální síti žalobce se žalovaný zavázal k tomu, že poskytne žalobci služby, které jsou stanoveny přílohou této Smlouvy a budou upřesňovány v průběhu spolupráce. Mezi základní služby poskytované žalovaným patřil mimo jiné také systém zálohování a ochrany dat. Dne 9.8.2017 došlo neoprávněně vzdáleným přístupem k poškození počítačového systému žalobce, když dosud nezjištěný pachatel překonal heslo a přihlašovací jméno k tomuto počítačovému systému a nakopíroval na server žalobce šifrovací program označený jako RANSOMWARE WANNYCRY VIRUS, který následně spustil a zašifroval firemní datové a aplikační soubory o velikosti 100GB, čímž je žalobci znepřístupnil, včetně jejich obsahu, který byl pro činnost žalobce klíčový. Dne 16.8.2017 pak byl žalobce v důsledku tohoto neoprávněného přístupu k počítačovému systému a následnému vydírání ze strany neznámého pachatele donucen uhradit ze svého účtu formou virtuální měny BTC částku ve výši 140.630,59 Kč. Tato skutečnost byla předmětem trestního oznámení žalobce a je vedena Policií České republiky pod č.j. KRPA-307066-26/TČ-2017-001378-VES. Při následné obnově obsahu zašifrovaných datových souborů žalobce zjistil, že žalovaný řádně nezajistil systém zálohování a ochrany dat žalobce, ke kterému byl podle uzavřené Smlouvy povinen a datové soubory tak nebylo možné z aktuálních záloh obnovit. V důsledku chybného, resp. nefunkčního systému zálohování, byla dostupná data pouze k 19.9.2016, a to i přesto že bylo povinností žalovaného zajistit funkční systém zálohování datových souborů a data žalobce ochránit. Smlouva byla následně dne 31.8.2017 ze strany žalobce vypovězena pro neplnění povinností žalovaného a její platnost tak zanikla dnem 30.9.2017. V příčinné souvislosti s porušením shora uvedených povinnosti žalovaného podle uzavřené Smlouvy došlo ke vzniku škody na straně žalobce, a to ve výši 287.987,59 Kč, když žalobce vyčíslil tuto škodu na základě vynaložených mezd na přesčasy svých zaměstnanců a související odvody za práci při obnově datových souborů v celkové výši 132.837,- Kč, dále ve výši 140.630,59 Kč za úhradu obnovy dat (jejich zpřístupnění) podle usnesení Policie České republiky a dále ve výši 14.520,- Kč za úhradu obnovy dat účetní firmě , právnická osoba2. Žalovaný nároky žalobce neuznal ani zčásti. Učinil nesporným, že mezi účastníky byla uzavřena dne 1.10.2003 smlouva o správě a provozním servisu výpočetní techniky ve znění dodatku ze dne 7.2.2005 a že byla ukončena výpovědí žalovaného ke dni 30.9.2017. Nesporným rovněž učinil skutečnost, že dne 9.8.2017 došlo k napadení počítačového systému žalobce, kdy nezjištěný pachatel zašifroval soubory žalobce o velikosti cca 100GB, znemožnil mu tak přístup k jejich obsahu, přičemž žalovaný na základě výslovné žádosti žalobce zprostředkoval komunikaci s pachatelem (do každého zašifrovaného názvu souboru žalobce byla pachatelem, který vystupoval pod jménem , jméno FO, , vložena emailová adresa , e-mail, ). Pachatel požadoval za zpřístupnění napadených souborů úhradu v bitcoinech, a to ve výši 1,5 BTC, což odpovídá částce 140.630,59 Kč. Žalobce na požadavek pachatele přistoupil a provedl úhradu s pomocí žalovaného. Pachatel však svůj slib nesplnil a požadoval další úhradu ve výši 1 BTC, na což však žalobce již nepřistoupil. Žalovaný však především sporoval příčinnou souvislost mezi tvrzeným porušením svých povinností a vznikem škody, když jako bezprostřední příčinu vzniku škody žalobce označil skutečnost, že došlo k napadení jeho počítačové sítě neznámým útočníkem. Zdůraznil, že žádný počítačový systém není zcela imunní vůči hackerskému útoku, o čemž svědčí zkušenosti uživatelů po celém světě včetně amerického ministerstva obrany (, Anonymizováno, ). Obecně tak není objektivně v silách uživatele sítě a ani jejího správce, zabránit útoku zvenčí ani při vynaložení veškeré odpovídající péče. Žalovaný rovněž popřel, že by porušil jakoukoli svou smluvní či zákonnou povinnost správce sítě. Pokud jde o škodu, vzniklou úhradou požadované částky pachateli útoku, vznikla tato v důsledku přistoupení žalobce na vyděračského jednání pachatele, což samo o sobě existenci příčinné souvislosti mezi jakýmkoliv jednáním žalovaného a výší vzniklé škody vylučuje. Pokud jde o nárok na náklady vynaložené na obnovu dat, podle uzavřené smlouvy se pravidelná profylaxe (servisní kontrola) spravovaného systému původně prováděla každý měsíc (vždy první čtvrtek v měsíci - viz příloha ke smlouvě). Na základě iniciativy žalobce a za účelem snížení provozních nákladů bylo dodatkem ke smlouvě ze dne 7.2.2005 sjednáno, že profylaxe bude prováděna pouze dvakrát do roka (vždy v měsíci dubnu a říjnu), a to i navzdory názoru žalovaného, že taková frekvence provádění servisní kontroly není dostatečná. Po dobu ostatních měsíců v roce byla ze strany žalovaného zajištěna pouze servisní pohotovost. K předmětnému napadeni sítě žalobce došlo cca po uplynutí čtyř měsíců od poslední kontroly, která byla provedena dne 27.4.2017. Nicméně tak lze spolehlivě konstatovat, že funkčnost zálohovacího systému byla zajištěna, jak o tom svědčí zkušenosti z předešlých incidentů, kdy došlo k zašifrování dat. Funkčnost zálohování spočívá resp. vždy spočívala v tom, že při napadení sítě došlo samozřejmě k zálohování dat zašifrovaných, avšak zároveň zůstaly zálohy stejných dat nezašifrovaných z předchozí zálohy, a to samozřejmě za předpokladu dostatečné kapacity úložiště pro ukládání dat. V minulosti také došlo k napadení sítě žalobce, avšak vždy bylo možné provést bez problémů obnovu zašifrovaných dat, které zůstaly v záloze i po napadení (např. případy z března a května 2016). V daném případě se však počítačový systém žalobce zachoval zjevně nestandardně, když došlo k zálohování zašifrovaných dat a zároveň k výmazu nezašifrovaných dat, tedy dat před napadením, a to přestože kapacita úložného prostoru byla natolik dostatečná, že k výmazu pro její nedostatek dojít nemělo; takové „chování“ počítačového systému však nelze ovlivnit a nelze mu předejít. Pokud se týče ukončení předmětné smlouvy, smluvní strany byly oprávněny smlouvu ukončit výpovědí v jednoměsíční výpovědní lhůtě, tedy bez uvedení důvodů. Dle žalovaného by situaci bylo možné vysvětlit nedostatečným heslem jednoho ze zaměstnanců žalobce, kterým zřizoval vzdálený přímý, přístup na server žalobce, Ing. , adresa, a Ing. , Anonymizováno, (viz emailová zpráva ze dne 11.1.2016), s tím, že takové heslo bylo prolomeno pachatelem. Návrh žalobce však návrh neobsahuje žádná právně relevantní tvrzení, která by mohla založit odpovědnost žalovaného za vznik škody, a potažmo tak ani neobsahuje žádné návrhy důkazů, o něž by mohl tvrzený nárok žalobce opřít. Ani v případě jakéhokoliv, tedy i závadného, jednání žalovaného, by škodlivý následek spočívající ve ztrátě dat ve spojení s jejich obnovou nenastal v příčinné souvislosti, která byla přerušena právě útokem pachatele na počítačovou síť žalobce. Absenci příčinné souvislosti mezi jednáním žalovaného a vzniklou újmou žalobce lze dovodit též z toho důvodu, že správce sítě nemůže ovlivnit rozsah historie v systému, tedy jeho „chování“ v tomto směru, a nemůže tak ani předejít následkům jeho případného nestandardního postupu, jak se stalo v daném případě, když vlivem technické chyby byla smazána nezašifrovaná data z předchozí zálohy. V neposlední řadě žalovaný namítl, že žalobce nepředložil žádný relevantní důkaz o skutečně vynaložených nákladech na obnovu dat, kterou prováděli jeho zaměstnanci v rámci tvrzených přesčasů. Závěrem žalovaný namítal nesprávnost vyúčtování nákladů na tzv. „předžalobní výzvu“, když tato nesplňuje podmínky pro přiznání celého úkonu a měla by v případě úspěchu žalobce v dané věci být přiznána pouze v poloviční výši. S ohledem na shora uvedené žalovaný navrhl, aby soud žalobu v plném rozsahu jako nedůvodnou zamítl a přiznal mu náhradu nákladů řízení.3. Žalobce odpor žalovaného označil za nedůvodný a jeho tvrzení za účelově zavádějící. K námitce žalovaného, že došlo k napadené sítě neznámým útočníkem a že není v silách uživatele sítě ani jejího správce zabránit útoku zvenčí, žalobce zdůraznil, že předmětem žaloby a příčinou vzniku škody není napadení počítačové sítě neznámým útočníkem, ale nefunkční zálohování dat žalobce, když povinností žalovaného podle platné Smlouvy bylo funkční zálohování dat žalobce zajistit. Žalovaný měl jako správce sítě zajistit, ověřit a pravidelně kontrolovat, že systém záloh je plně funkční. V případě, že by žalovaný tuto svoji povinnost neporušil, zjistil by včas, že systém zálohování funkční nebyl a ke škodě na straně žalobce by nedošlo. Smlouva byla ze strany žalobce vypovězena pro neplnění povinností žalovaného dne 31.8.2017 a její platnost zanikla dnem 30.9.2017. V důsledku chybného, resp. nefunkčního syst
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.