ECLI: ECLI:CZ:OSPH07:2021:12.C.238.2020.1 Datum: 2021-04-15 Předmět: O zaplacení 10 500 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 149 z. č. 99/1963 Sb.", "§ 160 z. č. 99/1963 Sb.", "§ 137 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 8 vyhl. č. 177/1996 Sb.", "§ 1970 nař. vl. č. 351/2013 Sb. ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce""znalecký posudek"]
Čeho se rozhodnutí týká: Rozhodnutí se týká: O zaplacení 10 500 Kč s příslušenstvím. Aplikuje: § 142 (99/1963 Sb.), § 149 (99/1963 Sb.), § 160 (99/1963 Sb.), § 137 (99/1963 Sb.).
1. Žalobkyně se na žalované domáhala zaplacení v záhlaví uvedená částky s příslušenstvím s tvrzením, že si za účelem provádění nákupů založila v internetovém obchodě [webová adresa], provozovaném žalovanou, uživatelský účet, přičemž k registraci použila svojí emailovou adresu [email] a další osobní údaje přinejmenším v rozsahu jméno, příjmení a telefonní číslo. Odsouhlasila shromažďování a zpracovávání těchto svých osobních údajů v databázi žalované, přičemž žalovaná v rámci obchodních podmínek deklarovala, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaný nepředává s výjimkou dopravců žádným dalším osobám. Nejpozději v průběhu roku 2017 došlo u žalované k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních údajů jejích klientů, a to v rozsahu emailové adresy, přístupového hesla (v šifrované podobě), jména, příjmení a telefonního kontaktu. Mezi poškozenými byla žalobkyně, o čemž svědčí i skutečnost, že její emailová adresa je v databázi [webová adresa] vedena jako adresa, která byly nalezena v souboru dat uniklých z databáze žalované. Uniklá klientská data byla následně volně zpřístupněna veřejnosti na webovém uložišti [webová adresa], a to nejméně od 23. 7. 2017 do 27. 8. 2017. Předmětná data měla dále prokazatelně k dispozici redakce internetového magazínu [název], která s databází dále pracovala. V současné době jsou předmětná data v rozsahu emailu a šifrovaného hesla dále dostupná např. na webovém uložišti [webová adresa]. Žalobkyně poukázala na to, že žalovaná není schopna účinně zajistit ukončení distribuce uniklé databáze. Žalovaná nejenže data žalobkyně nezabezpečila dostatečným způsobem, ale neměla implementovány ani takové mechanismy, které by únik dat odhalily. Žalobkyně poukázala znalecký posudek [jméno] [příjmení] ohledně účelu webových stránek [webová adresa] a následky spojené s únikem klientských dat. Zdůraznila, že žalovaná porušila povinnost plynoucí z § 13 odst. 1 zákona č. 101/2000 Sb., tedy jako správce přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití, což bylo potvrzeno i v rozhodnutí Úřadu pro ochranu osobních údajů, kterým byla žalované uložena pokuta ve výši 1 500 000 Kč. Žalobkyně dodala, že v důsledku nedostatečné ochrany jejích osobních údajů žalovanou došlo k jejich volnému zveřejnění, přičemž žalovaná tuto okolnost ani sama nezjistila a neměl ani implementovány postupy, které by důsledky úniku osobních údajů mohly alespoň zmírnit. Žalobkyně tak ztratila možnost svobodného uvážení a rozhodnutí, zda vůbec, příp. v jakém rozsahu a jakým způsobem mají být jeho osobní údaje zpřístupněny dalším subjektům. Zásah do jejích práv trvá a je umocněn tím, že jednou zveřejněné osobní údaje (např. email, telefon), nelze z prostředí sítě internet zcela odstranit a zamezit jejich zneužití třetími osobami, např. ve formě odesílání nevyžádané pošty a zásah do osobnostního práva tak v čase neoslabuje. Žalobkyně poukázala na skutkově totožnou věc projednávanou zdejším soudem pod sp. zn. [spisová značka], kde bylo žalobci přiznáno přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení ve výši 10 000 Kč. Žalobkyně zdůraznila rozdíl od odkazovaného případu, spočívající v tom, že není subjektem, který by své osobní údaje předem dobrovolně zveřejnil v síti internet, pročež má za to, že by přiměřené zadostiučinění mělo být nepatrně zvýšeno. Dodala, že na výzvu reagoval žalovaný toliko tím, že v celé záležitosti nijak nepochybil. Úrok z prodlení požadovala žalobkyně výslovně od podání žaloby.
2. Žalovaná nárok neuznala a žalobu navrhla zamítnout. Shodně uvedla, že k bezpečnostnímu incidentu, na který je odkazováno v žalobě, skutečně došlo. Zdůraznila však, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. I proto nesouhlasila s tvrzením, že její přístup k osobním údajům zákazníků byl nedůsledný. Uvedla, že v předmětné věci reagovala na nastalé události ihned, učinila nezbytné kroky jak k zabezpečení celé databáze, informovala všechny potenciálně dotčené osoby a incident bez zbytečného odkladu ohlásila Úřadu pro ochranu osobních údajů. Poukázala na to, že shora uvedené rozhodnutí ÚOOÚ, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmět přezkumu ve správním soudnictví. Zvlášť však zdůraznila, že žalobní tvrzení považuje za nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění. Dostatečné vylíčení pociťované újmy neobsahovala ani předžalobní výzva k zaplacení částky 10.500 Kč jako přiměřeného zadostiučinění, doručená jí dne 18. 8. 2020. Podotkla, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku, přičemž v posuzované věci se neuvádí, jakým způsobem se žalující strana musela s tímto zásahem do svých práv vypořádat, jakým způsobem se jí tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. V této souvislosti odkázala na judikaturu Nejvyššího soudu ČR.
3. Z provedených důkazů, o jejichž pravosti a pravdivosti neměl důvod pochybovat, učinil soud následující zjištění:
4. Žalovaná je provozovatelem e-shopu [webová adresa] a je správcem osobních údajů, přičemž se v rámci vlastních obchodních podmínek zavázala k plnému zabezpečení osobních údajů zákazníků proti zneužití (nesporné, ověřeno z obchodních podmínek žalované účinných od 15. 12. 2014).
5. Žalobkyně si za účelem nákupu zboží u žalované zřídila uživatelský účet, kde v rámci registrace uvedla své jméno, příjmení, telefonní číslo, emailovou adresu [email]) a zvolila si přístupové heslo (viz výsledek dotazu na službu [webová adresa])
6. Žalovaná informovala žalující stranu o pokusu o narušení bezpečnosti a zablokování jejího klientského účtu emailem ze dne 27. 8. 2017 (viz email ze dne 27. 8. 2017).
7. Žalovaná byla uznána vinnou ze spáchání přestupku, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečila osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem v období minimálně od 31. 12. 2014 do srpna 2017, v důsledku čehož došlo v době od 27. 7. 2017 do 25. 8. 2017 k jejich zpřístupnění na serveru [webová adresa], čímž žalovaný porušil povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajů, k jejich změně, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, případně jinému zneužití osobních údajů, za což byla žalovanému uložena pokuta ve výši 1.500.000 Kč (viz rozhodnutí Úřadu pro ochranu osobních údajů ze dne 23.5.2018 [číslo jednací] [anonymizováno] [číslo], rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne [datum rozhodnutí] [číslo jednací], výroční zpráva ÚOOÚ za rok 2018, protokol ÚOOÚ o kontrole ze dne 21.3.2018, článek s nadpisem„ V úniku z [příjmení] je přes tři čtvrtě milionu jmen, hesel a telefonních čísel v čitelné podobě“ uveřejněném na server [webová adresa]).
8. Údaje k uživatelskému účtu [email] jsou v souboru dat uniklých žalované ze stránky [webová adresa] (viz výsledek dotazu na službu [webová adresa]). Únik osobních údajů klientů z databáze žalované lze ověřit rovněž na stránkách serveru [webová adresa] (viz výpis ze stránek [webová adresa]). Cílem krádeží osobních údajů je jejich prodej k provádění marketingu či zasílání spamu za účelem vylákat další osobní údaje nebo získat přístup k zařízení uživatele. Vzhledem k tomu, že únik nebyl dlouhodobě odhalen, nemohl na něj uživatel reagovat. Po odhalení mohl uživatel měnit hesla a přístupy, obrana proti marketingu je pouze ve změně emailu a telefonního čísla (viz znalecký posudek [jméno] [příjmení] [číslo]).
9. Žalobkyně vyzvala žalovanou k náhradě nemajetkové újmy dne 4. 8. 2020 (viz výzva ze dne 15. 7. 2020, včetně doručenky do DS).
10. Jinému uživateli [webová adresa], jehož osobní data byla postižena totožným únikem, byla v soudním řízení pravomocně přiznána náhrada nemajetkové újmy 10 000 Kč (rozsudek Obvodního soudu pro Prahu 7 ze dne 21.1.2019, č.j. [číslo jednací], rozsudek Městského soudu v Praze ze dne29. 8. 2019, sp zn. [spisová značka]).
11. Z ostatních provedených důkazů soud nezjistil žádné skutečnosti rozhodné pro posouzení dané věci.
12. Soud k důkazu neprovedl účastnický výslech žalobkyně, neboť jde o důkazní prostředek subsidiární (§ 131 o. s. ř.), a neměl za to, že by byl účastnický výslech nezbytný pro objasnění skutkového stavu.
13. Po stránce právní soud posoudil věc následovně:
<i>14. Podle čl. 10 odst. 3 LZPS každý má právo na
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.