ECLI: ECLI:CZ:OSPH07:2021:10.C.474.2020.1 Datum: 2021-06-17 Předmět: O zaplacení 10 500 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 120 z. č. 99/1963 Sb.", "§ 132 z. č. 99/1963 Sb.", "§ 2951 z. č. 89/2012 Sb.", " ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce""znalecký posudek"]
O co šlo: O zaplacení 10 500 Kč s příslušenstvím (["§ 142 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 120 z. č. 99/1963 Sb.", "§ 132 z. č. 99/)
1. Žalobkyně v podané žalobě uvedla, že si za účelem provádění nákupů zřídila v internetovém obchodě [webová adresa] provozovaném žalovanou uživatelský účet, kdy k registraci použila svojí emailovou adresu [email]. V rámci tohoto uživatelského účtu byly do databáze žalované uloženy, vedle uvedené emailové adresy, též další osobní údaje žalobkyně – nejméně jméno, příjmení, telefonní číslo. Žalobkyně odsouhlasila shromažďování a zpracovávání těchto svých osobních údajů v databázi žalované, přičemž žalovaná i v rámci žalobkyní odsouhlasených obchodních podmínek deklarovala, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaná nepředává s výjimkou dopravců žádným dalším osobám. Žalovaná tedy měla povinnost tyto osobní údaje chránit před zneužitím a proti předání třetím osobám bez souhlasu žalobkyně. Nejpozději v průběhu roku 2017 došlo u žalované k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních údajů jejích klientů, a to v rozsahu emailové adresy, přístupového hesla (v šifrované podobě), jména, příjmení a telefonního kontaktu. Mezi poškozenými byla žalobkyně, o čemž svědčí i skutečnost, že její emailová adresa je v databázi [webová adresa] vedena jako adresa, která byly nalezena v souboru dat uniklých z databáze žalované. Uniklá klientská data byla následně volně zpřístupněna veřejnosti na webovém uložišti [webová adresa], a to nejméně od 23. 7. 2017 do 27. 8. 2017. Předmětná data měla dále prokazatelně k dispozici redakce internetového magazínu [název], která s databází dále pracovala. V současné době jsou předmětná data v rozsahu emailu a šifrovaného hesla dále dostupná např. na webovém uložišti [webová adresa]. Žalobkyně poukázala na to, že žalovaná není schopna účinně zajistit ukončení distribuce uniklé databáze. Žalovaná nejenže data žalobkyně nezabezpečila dostatečným způsobem, ale neměla implementovány ani takové mechanismy, které by únik dat odhalily. Žalobkyně poukázala znalecký posudek [jméno] [příjmení] ohledně účelu webových stránek [webová adresa] a následky spojené s únikem klientských dat. Zdůraznila, že žalovaná porušila povinnost plynoucí z § 13 odst. 1 zákona č. 101/2000 Sb., tedy jako správce přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití, což bylo potvrzeno i v rozhodnutí Úřadu pro ochranu osobních údajů, kterým byla žalované uložena pokuta ve výši 1 500 000 Kč. Žalobkyně dodala, že v důsledku nedostatečné ochrany jejích osobních údajů žalovanou došlo k jejich volnému zveřejnění, přičemž žalovaná tuto okolnost ani sama nezjistila a neměla ani implementovány postupy, které by důsledky úniku osobních údajů mohly alespoň zmírnit. Žalobkyně tak ztratila možnost svobodného uvážení a rozhodnutí, zda vůbec, příp. v jakém rozsahu a jakým způsobem mají být její osobní údaje zpřístupněny dalším subjektům. Zásah do jejích práv trvá a je umocněn tím, že jednou zveřejněné osobní údaje (např. email, telefon), nelze z prostředí sítě internet zcela odstranit a zamezit jejich zneužití třetími osobami, např. ve formě odesílání nevyžádané pošty a zásah do osobnostního práva tak v čase neoslabuje. Žalobkyně poukázala na skutkově totožnou věc projednávanou zdejším soudem pod sp. zn. [spisová značka], kde bylo žalobci přiznáno přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení ve výši 10 000 Kč. Žalobkyně zdůraznila rozdíl od odkazovaného případu, spočívající v tom, že není subjektem, který by své osobní údaje předem dobrovolně zveřejnil v síti internet, pročež má za to, že by přiměřené zadostiučinění mělo být nepatrně zvýšeno. Dodala, že na výzvu reagovala žalovaná toliko tím, že v celé záležitosti nijak nepochybila. Úrok z prodlení požadovala žalobkyně výslovně od podání žaloby.
2. Žalovaná nárok neuznala a žalobu navrhla zamítnout. Nerozporovala, že k bezpečnostnímu incidentu, na který je odkazováno v žalobě, skutečně došlo. Zdůraznila však, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. Nesouhlasila s tvrzením, že její přístup k osobním údajům zákazníků byl nedůsledný. Uvedla, že v předmětné věci reagovala na nastalé události ihned, učinila nezbytné kroky jak k zabezpečení celé databáze, informovala všechny potenciálně dotčené osoby a incident bez zbytečného odkladu ohlásila Úřadu pro ochranu osobních údajů. Poukázala na to, že shora uvedené rozhodnutí ÚOOÚ, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmět přezkumu ve správním soudnictví. Zvlášť však zdůraznila, že žalobní tvrzení považuje za nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění. Dostatečné vylíčení pociťované újmy neobsahovala ani předžalobní výzva k zaplacení částky 10.500 Kč jako přiměřeného zadostiučinění, doručená jí dne 4. 8. 2020. Podotkla, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku, přičemž v posuzované věci se neuvádí, jakým způsobem se žalující strana musela s tímto zásahem do svých práv vypořádat, jakým způsobem se jí tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. V této souvislosti odkázala na judikaturu Nejvyššího soudu ČR. Namítala, že žalobkyně uváděla, že únikem dat bylo dotčeno jméno a příjmení [celé jméno žalobkyně] a telefonní číslo [tel. číslo], avšak tento údaj není pravdivý, jelikož předmětem úniku nikdy nebyl. Zároveň email zmiňovaný žalobkyní evidují u úplně jiného klienta.
3. Na základě zjištění učiněných po provedeném dokazování a jejich zhodnocení ve smyslu § 132 o.s.ř. dospěl soud k následujícímu závěru o skutkovém stavu ve věci samé. Přitom vzhledem k tomu, že mezi stranami bylo nesporné, zejména skutečnost, že došlo k úniku e-mailové adresy žalobkyně a hesla v důsledku hackerského útoku (protiprávního vniknutí do informačního systému žalované zvenčí), jakož i to, že v tomto případě e-mailová adresa žalobkyně již byla v minulosti předmětem podobného útoku, vzal soud za svá skutková zjištění též shodná tvrzení účastníky (§ 120 odst. 3 o.s.ř.).
4. Z e-mailu zákazníkům o hackerskému útoku a z výroční zprávy ÚOOÚ za rok 2018 soud zjistil, že žalovaná je provozovatelem e-shopu [webová adresa] a je správcem osobních údajů. Žalovaná po bezpečnostním incidentu, ke kterému došlo v přesně nezjištěném období od 31.12.2014 do 23.6.2017, písemně informovala dotčené subjekty osobních údajů prostřednictvím e-mailu o této události. Z rozhodnutí Úřadu pro ochranu osobních údajů ze dne 23.5.2018 [číslo jednací] [anonymizováno] [číslo], rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne 21.9.2018 [číslo jednací] zjistil, že žalovaná byla uznána vinnou ze spáchání přestupku, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečila osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem v období minimálně od 31.12.2014 do srpna 2017, v důsledku čehož došlo v době od 27.7.2017 do 25.8.2017 k jejich zpřístupnění na serveru [webová adresa], čímž žalovaná porušila povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajů, k jejich změně, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, případně jinému zneužití osobních údajů, za což byla žalované uložena pokuta ve výši 1 500 000 Kč. Z výpisu stránek„ have i been pwned“ – [webová adresa] soud zjistil, že údaje k uživatelskému účtu [email] jsou v souboru uniklých dat při úniku informací ze stránky [webová adresa]. Ze znaleckého posudku [jméno] [příjmení] soud zjistil, že cílem krádeží osobních údajů je jejich prodej k provádění marketingu či zasílání spamu s cílem vylákání dalších osobních údajů nebo získání přístupu k zařízení uživatele. Vzhledem k tomu, že únik nebyl dlouhodobě odhalen, nemohl na něj uživatel reagovat. Po odhalení mohl uživatel měnit hesla a přístupy, obrana proti marketingu je pouze ve změně emailu a telefonního čísla. Z všeobecných obchodních podmínek soud zjistil, že žalovaná se ve všeobecných obchodních podmínkách zavazuje k plnému zabezpečení osobních údajů zákazníků proti zneužití. Z výzvy soud zjistil, že žalobkyně vyzvala žalovanou k náhradě nemajetkové újmy dne 15.7.2020. Z rozsudku zdejšího soudu ve věci sp.zn. [spisová značka] a z rozsudku odvolacího soudu sp. zn. [spisová značka] soud zjistil, že jinému uživateli [webová adresa], jehož osobní data byla postižena totožným únikem, byla v soudním řízení pravomocně přiznána náhrada nemajetkové újmy 10 000 Kč. Z výpovědi žalobkyně soud zjistil, že v
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.