ECLI: ECLI:CZ:OSPH07:2021:12.C.239.2020.1 Datum: 2021-04-15 Předmět: O zaplacení 15 000 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 149 z. č. 99/1963 Sb.", "§ 160 z. č. 99/1963 Sb.", "§ 137 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 8 vyhl. č. 177/1996 Sb.", "§ 1970 nař. vl. č. 351/2013 Sb. ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce"]
O co šlo: O zaplacení 15 000 Kč s příslušenstvím (["§ 142 z. č. 99/1963 Sb.", "§ 149 z. č. 99/1963 Sb.", "§ 160 z. č. 99/1963 Sb.", "§ 137 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 8 vyhl. č. 177/199)
1. Žalobkyně se na žalované domáhala zaplacení částky 15 000 Kč s příslušenstvím a náhrady nákladů řízení s odůvodněním, že žalovaná je provozovatelem e-shopu [webová adresa]. Žalobkyně si za účelem nákupu zřídila účet u žalované, přičemž v rámci registrace uvedla své jméno, příjmení, e-mailovou adresu [email]) a zvolila přístupové heslo. Žalovaná se v rámci obchodních podmínek zavázala ochránit tyto údaje před zneužitím a předání třetím osobám bez souhlasu žalobkyně. Žalobkyně zdůraznila, že na straně žalované došlo k úniku uvedených osobních údajů nejen ve vztahu k ní, ale i tisícům dalších zákazníků o čemž proběhla informace v tisku. Únik dat potvrdila i žalovaná v e-mailu žalobkyni ze dne 27. 8. 2017. Osobních data zákazníků pak byla dočasně volně přístupná na webu [webová adresa]. Žalobkyně si sama ověřila, prostřednictvím webové služby [webová adresa], že její osobní data v rozsahu jméno, příjmení, e-mailová adresa vstupní heslo byly předmětem úniku od žalované. Žalovaná byla navíc rozhodnutím Úřadu pro ochranu osobních údajů uznána vinnou ze spáchání přestupku pro porušení povinnosti správce osobních údajů ve smyslu odst. 1 zákona č. 101/2000 Sb. a byla jí uložena pokuta. Žalobkyně dodala, že zveřejněním jejich osobních údajů bez jejího souhlasu vzniklo riziko jejich zneužití a dále riziko, že tyto údaje budou použity k přihlášení do dalších služeb, kde používala stejné přihlašovací údaje. Únikem údajů byla rovněž vystavena hrozbě obtěžování formou nevyžádaných e-mailů. Jednáním žalované, která porušila povinnost řádně spravovat a chránit osobní údaje žalobkyně tak došlo k zásahům do práva žalobkyně na informační sebeurčení a vznikla jí nemajetková újma ve výši 15 000 Kč. Výši újmy žalobkyně stanovila se s přihlédnutím újmě přisouzené v obdobné věci projednávané Obvodním soudem pro Prahu 7 pod sp. zn. [spisová značka], přičemž přisouzené zadostiučinění žalobkyně navýšila, neboť v odkazované věci byly předmětem úniku údaje podnikatelského subjektu, které tento o sobě sám zveřejňoval. Při stanovení výše újmy zohlednila i postavení žalované na trhu. Dodala, že žalovanou marně vyzývala k úhradě újmy přípisem ze dne 6. 8. 2020, v němž stanovila lhůtu k zaplacení do 17. 8. 2020.
2. Žalovaná nárok neuznala a žalobu navrhla zamítnout. Nerozporovala, takže na její straně došlo k bezpečnostnímu incidentu spojenému s únikem dat. Zdůraznila však, že neporušila žádnou svoji povinnost, když v době útoku bylo zabezpečení jejích databází dostatečné a odpovídající dobovému stavu techniky. Poukázala na to, že rozhodnutí Úřadu pro ochranu osobních údajů je aktuálně předmětem přezkumu správním soudem. Podotkla, a že žalobkyně neuvádí žádné konkrétní skutečnosti o jí pociťované újmě a výši újmy odvozuje pouze od újmy přisouzené v jiné věci. Újma žalobkyně tak není dostatečně personifikována. V této souvislosti poukázal na judikaturu Nejvyššího soudu. Zdůraznila, že žalobkyni nemohla vzniknout vyšší újma tím, že byla nucena změnit své přístupové údaje v rámci dalších používaných služeb, neboť se jedná o její vlastní bezpečnostní riziko.
3. Ze shodných tvrzení účastníků, která mezi nimi nebyla sporná (§ 120 odst. 3 o. s. ř.) a z provedených důkazů, o jejichž pravosti a pravdivosti neměl žádné pochybnosti, zjistil soud následující:
4. Žalovaná je provozovatelem e-shopu [webová adresa] a je správcem osobních údajů, přičemž se v rámci vlastních obchodních podmínek zavázala k plnému zabezpečení osobních údajů zákazníků proti zneužití (nesporné, potvrzeno výpisem ze stránek [webová adresa]).
5. Žalobkyně si za účelem nákupu zboží u žalované zřídila uživatelský účet, kde v rámci registrace uvedla přinejmenším své jméno, příjmení, emailovou adresu [email]) a zvolila si přístupové heslo (nesporné, potvrzeno výsledkem dotazu na službu [webová adresa])
6. Žalovaná informovala žalující stranu o pokusu o narušení bezpečnosti a zablokování jejího klientského účtu a vyzvána ke změně hesla emailem ze dne 27. 8. 2017 (nesporné).
7. Žalovaná byla uznána vinnou ze spáchání přestupku, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečila osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem v období minimálně od 31. 12. 2014 do srpna 2017, v důsledku čehož došlo v době od 27. 7. 2017 do 25. 8. 2017 k jejich zpřístupnění na serveru [webová adresa], čímž žalovaný porušil povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajů, k jejich změně, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, případně jinému zneužití osobních údajů, za což byla žalovanému uložena pokuta ve výši 1.500.000 Kč (viz rozhodnutí Úřadu pro ochranu osobních údajů ze dne 23.5.2018 [číslo jednací] [anonymizováno] [číslo], rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne 21.9.2018 [číslo jednací], výroční zpráva ÚOOÚ za rok 2018).
8. Údaje k uživatelskému účtu [email] jsou v souboru dat uniklých žalované v rámci shora uvedeného bezpečnostního incidentu (viz výsledek dotazu na službu [webová adresa] a Wikipedia článek k funkci služby have I been pwned). Je třeba dodat, že s ohledem na konstrukci e-mailové adresy není pochyb o tom, že jde o email žalobkyně.
9. Žalobkyně vyzvala žalovanou k náhradě nemajetkové újmy ve výši 15 000 Kč a nákladů uplatnění s upozorněním na možnost soudního vymáhání dne 11. 8. 2020 a stanovila lhůtu k zaplacení do 17. 8. 2020. Žalovanou vyzývala opakovaně (viz výzva ze dne 6. 8. 2020, včetně doručenky do DS, výzva ze dne 20. 8. 2020).
10. Jinému uživateli [webová adresa], jehož osobní data byla postižena totožným únikem, byla v soudním řízení pravomocně přiznána náhrada nemajetkové újmy 10 000 Kč (rozsudek Obvodního soudu pro Prahu 7 ze dne 21. 1. 2019, č. j. [číslo jednací], rozsudek Městského soudu v Praze ze dne 29. 8. 2019, sp. zn. [spisová značka] a usnesení Ústavního soudu ČR ze dne 9. 1. 2020, sp. zn. [ústavní nález])
11. Po stránce právní soud posoudil věc následovně:
<i>12. Podle čl. 10 odst. 3 LZPS každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.</i>
<i>13. Podle § 81 zákona č. 89/2012 Sb., občanský zákoník (dále jen o. z.), je chráněna osobnost člověka včetně všech jeho přirozených práv. Každý je povinen ctít svobodné rozhodnutí člověka žít podle svého (odst. 1). Ochrany požívají zejména život a důstojnost člověka, jeho zdraví a právo žít v příznivém životním prostředí, jeho vážnost, čest, soukromí a jeho projevy osobní povahy (odst. 2).</i>
<i>14. Podle § 2951 odst. 2 o. z. se nemajetková újma odčiní přiměřeným zadostiučiněním. Zadostiučinění musí být poskytnuto v penězích, nezajistí-li jeho jiný způsob skutečné a dostatečně účinné odčinění způsobené újmy.</i>
15. S ohledem na shora uvedené závěry Úřadu pro ochranu osobních údajů není pochyb (§ 135 odst. 1 o. s. ř.) o tom, že žalovaná porušila své povinnosti správce osobních dat chránit svěřené osobní údaje žalobkyně i jiných svých zákazníků neboť nepřijala taková opatření, aby nedošlo k neoprávněnému odcizení databáze s údaji zákazníků. Žalovaná jako správce osobních údajů nejen nezabránila neoprávněnému přístupu a odcizení databáze uživatelů, ale ani jej nezaznamenala. Žalovaná neučinila ani nezbytné kroky ke snížení rizika zneužití osobních údajů zákazníků, včetně žalobkyně, přičemž za toto přestupkové jednání byla rozhodnutím správního orgánu pravomocně pokutována. Pakliže žalovaná byla pravomocně uznána vinnou ze spáchání přestupku, je jednoznačně dáno její protiprávní jednání (podaná správní žaloba nemá sama o sobě odkladný účinek, není-li soudem přiznán). V příčinné souvislosti s tímto jednáním pak žalobkyni vznikla nemajetková újma, kterou má soud za prokázanou ze zjištěného skutkového stavu již tím, že osobní údaje žalobkyně unikly a byly dostupné na internetu ke stažení všem třetím osobám v rámci souhrnné databáze zveřejněné na veřejně dostupném serveru pro ukládání dat, čímž došlo k zásahu do práva na informační sebeurčení (čl. 10 odst. 3 LZPS). Ze zveřejnění osobních údajů pak plyne zřejmý stav nejistoty žalobkyně ohledně rizika nevyžádané pošty a obtěžujících volání, stejně jako možnosti, že třetí osoba získá na základě zveřejněných údajů přístup do uživatelského účtu [webová adresa], kde bude mít k dispozici údaje např. o historii objednávek, doručovacích adresách, platebních metodách atd. Pakliže by žalobkyně chtěla eliminovat nepříznivé následky úniku těchto osobních údajů, musela by změnit email. Je třeba dodat, že stejnou újmu by pociťovala každá osoba v postavení žalobkyně.
16. Podle § 13 o. z. každý, kdo se domáhá právní ochrany, může důvodně očekávat, že jeho právní případ bude rozhodnut obdobně jako jiný právní případ, který již byl rozhodnut a který se s jeho právním případem shoduje v podstatných znacích; byl-li právní případ rozhodnut jinak, má každý, kdo se domá
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.