ECLI: ECLI:CZ:OSPH07:2021:12.C.237.2020.1 Datum: 2021-04-15 Předmět: O zaplacení 10 500 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 149 z. č. 99/1963 Sb.", "§ 160 z. č. 99/1963 Sb.", "§ 137 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 8 vyhl. č. 177/1996 Sb.", "§ 1970 nař. vl. č. 351/2013 Sb. ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce""znalecký posudek"]
O co šlo: O zaplacení 10 500 Kč s příslušenstvím (["§ 142 z. č. 99/1963 Sb.", "§ 149 z. č. 99/1963 Sb.", "§ 160 z. č. 99/1963 Sb.", "§ 137 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 8 vyhl. č. 177/199)
1. Žalobce se na žalované domáhala zaplacení v záhlaví uvedená částky s příslušenstvím s tvrzením, že si za účelem provádění nákupů založil v internetovém obchodě [webová adresa], provozovaném žalovanou, uživatelský účet, přičemž k registraci použil svojí emailovou adresu [email] a další osobní údaje přinejmenším v rozsahu jméno, příjmení a telefonní číslo a zvolil si vstupní heslo. Odsouhlasil shromažďování a zpracovávání těchto svých osobních údajů v databázi žalované, přičemž žalovaná v rámci obchodních podmínek deklarovala, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaný nepředává s výjimkou dopravců žádným dalším osobám. Nejpozději v průběhu roku 2017 došlo u žalované k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních údajů jejích klientů, a to v rozsahu emailové adresy, přístupového hesla (v šifrované podobě), jména, příjmení a telefonního kontaktu. Mezi poškozenými byl i žalobce a svědčí o tom i skutečnost, že jeho emailová adresa je v databázi [webová adresa] vedena jako adresa, která byly nalezena v souboru dat uniklých z databáze žalované. Uniklá klientská data byla následně volně zpřístupněna veřejnosti na webovém uložišti [webová adresa], a to nejméně od 23. 7. 2017 do 27. 8. 2017. Předmětná data měla dále k dispozici redakce internetového magazínu [název], která s databází dále pracovala. V současné době jsou předmětná data v rozsahu emailu a šifrovaného hesla dále dostupná např. na webovém uložišti [webová adresa]. Žalobce poukázal na to, že žalovaná není schopna účinně zajistit ukončení distribuce uniklé databáze. O tom, že klientská data z databáze žalované jsou volně přístupná na síti internet, byla žalovaná upozorněna třetí osobou, přičemž na toto upozornění svými opatřeními reagovala až po několika dnech. Žalovaná nejenže data žalobkyně nezabezpečila dostatečným způsobem, ale neměla implementovány ani takové mechanismy, které by únik dat odhalily. Žalobce poukázal znalecký posudek [jméno] [příjmení] ohledně účelu webových stránek [webová adresa] a následky spojené s únikem klientských dat. Zdůraznil, že žalovaná porušila povinnost plynoucí z § 13 odst. 1 zákona č. 101/2000 Sb., tedy jako správce přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití, což bylo potvrzeno i v rozhodnutí Úřadu pro ochranu osobních údajů, kterým byla žalované uložena pokuta ve výši 1 500 000 Kč. Žalobce dodal, že v důsledku nedostatečné ochrany jeho osobních údajů došlo k jejich volnému zveřejnění a ztratil možnost svobodného uvážení a rozhodnutí, zda vůbec, příp. v jakém rozsahu a jakým způsobem mají být jeho osobní údaje zpřístupněny dalším subjektům. Zásah do jeho práv trvá a je umocněn tím, že jednou zveřejněné osobní údaje (např. email, telefon), nelze z prostředí sítě internet zcela odstranit a zamezit jejich zneužití třetími osobami, např. ve formě odesílání nevyžádané pošty a zásah do osobnostního práva tak v čase neoslabuje. Žalobce poukázal na skutkově totožnou věc projednávanou zdejším soudem pod sp. zn. [spisová značka], kde bylo poškozenému přiznáno přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení ve výši 10 000 Kč. Zdůraznil rozdíl od odkazovaného případu, spočívající v tom, že není subjektem, který by své osobní údaje předem dobrovolně zveřejnil v síti internet, pročež má za to, že by přiměřené zadostiučinění mělo být nepatrně zvýšeno. Dodal, že na předžalobní výzvu reagovala žalovaná toliko tím, že v celé záležitosti nijak nepochybila. Úrok z prodlení požadoval žalobce výslovně od podání žaloby, ač prodlení nastalo dříve.
2. Žalovaná nárok neuznala a žalobu navrhla zamítnout. Shodně uvedla, že k bezpečnostnímu incidentu, na který je odkazováno v žalobě, skutečně došlo. Zdůraznila však, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. I proto nesouhlasila s tvrzením, že její přístup k osobním údajům zákazníků byl nedůsledný. Uvedla, že v předmětné věci reagovala na nastalé události ihned, učinila nezbytné kroky jak k zabezpečení celé databáze, informovala všechny potenciálně dotčené osoby a incident bez zbytečného odkladu ohlásila Úřadu pro ochranu osobních údajů. Poukázala na to, že shora uvedené rozhodnutí ÚOOÚ, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmět přezkumu ve správním soudnictví. Zvlášť však zdůraznila, že žalobní tvrzení považuje za nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění. Dostatečné vylíčení pociťované újmy neobsahovala ani předžalobní výzva k zaplacení částky 10 500 Kč jako přiměřeného zadostiučinění, doručená jí dne 18. 8. 2020. Podotkla, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku, přičemž v posuzované věci se neuvádí, jakým způsobem se žalující strana musela s tímto zásahem do svých práv vypořádat, jakým způsobem se jí tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. V této souvislosti odkázala na judikaturu Nejvyššího soudu ČR. Dodala, že není zřejmé, jaké osobní údaje o žalobci unikly, když údaje, které uvedl v žalobě, žalovaná ověřila ve své databázi a v databázi [webová adresa] a těmito lustracemi neprochází.
3. Z provedených důkazů, o jejichž pravosti a pravdivosti neměl důvod pochybovat, učinil soud následující zjištění:
4. Žalovaná je provozovatelem e-shopu [webová adresa] a je správcem osobních údajů, přičemž se v rámci vlastních obchodních podmínek zavázala k plnému zabezpečení osobních údajů zákazníků proti zneužití (nesporné, ověřeno z obchodních podmínek žalované účinných od 15. 12. 2014).
5. Žalobce si, za účelem nákupu zboží u žalované, zřídil uživatelský účet, kde v rámci registrace uvedla své jméno, příjmení, telefonní číslo, emailovou adresu [email]) a zvolil si přístupové heslo (viz výpis ze stránek [webová adresa]). [příjmení] žalované, že tato emailová adresa žalobce nebyla v jejím systému vedena je nedůvodná, neboť shora uvedená služba [webová adresa] shromáždila data uniklá z bezpečnostního incidentu žalované a dotaz ohledně emailu žalobce vychází jako pozitivní.
6. Žalovaná informovala žalující stranu o pokusu o narušení bezpečnosti a zablokování jejího klientského účtu emailem ze dne 27. 8. 2017 (viz email ze dne 27. 8. 2017).
7. Žalovaná byla uznána vinnou ze spáchání přestupku, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečila osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem v období minimálně od 31. 12. 2014 do srpna 2017, v důsledku čehož došlo v době od 27. 7. 2017 do 25. 8. 2017 k jejich zpřístupnění na serveru [webová adresa], čímž žalovaná porušila povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajů, k jejich změně, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, případně jinému zneužití osobních údajů, za což byla žalovanému uložena pokuta ve výši 1.500.000 Kč (viz rozhodnutí Úřadu pro ochranu osobních údajů ze dne 23.5.2018 [číslo jednací] [anonymizováno] [číslo], rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne 21.9.2018 [číslo jednací], výroční zpráva ÚOOÚ za rok 2018, protokol ÚOOÚ o kontrole ze dne 21.3.2018, článek s nadpisem„ V úniku z [příjmení] je přes tři čtvrtě milionu jmen, hesel a telefonních čísel v čitelné podobě“ uveřejněném na server [webová adresa]).
8. Údaje k uživatelskému účtu [email] jsou v souboru dat uniklých žalované ze stránky [webová adresa] (viz výpis stránek [webová adresa]“ ohledně emailu žalobce). Únik osobních údajů klientů z databáze žalované lze ověřit rovněž na stránkách serveru [webová adresa] (viz výpis ze stránek [webová adresa]). Cílem krádeží osobních údajů je jejich prodej k provádění marketingu či zasílání spamu za účelem vylákat další osobní údaje nebo získat přístup k zařízení uživatele. Vzhledem k tomu, že únik nebyl dlouhodobě odhalen, nemohl na něj uživatel reagovat. Po odhalení mohl uživatel měnit hesla a přístupy, obrana proti marketingu je pouze ve změně emailu a telefonního čísla (viz znalecký posudek [jméno] [příjmení] [číslo]).
9. Žalobce vyzval žalovanou k náhradě nemajetkové újmy dne 18. 8. 2020 (viz výzva ze dne 15. 7. 2020, včetně doručenky do DS).
10. Jinému uživateli [webová adresa], jehož osobní data ve stejném rozsahu byla postižena totožným únikem, byla v soudním řízení pravomocně přiznána náhrada nemajetkové újmy 10 000 Kč (rozsudek Obvodního soudu pro Prahu 7 ze dne 21.1.2019, č.j. [čís
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.