ECLI: ECLI:CZ:OSPH07:2021:15.C.251.2020.1 Datum: 2021-08-04 Předmět: O zaplacení 10 500 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 1970 z. č. 89/2012 Sb.", "§ 149 z. č. 99/1963 Sb.", "§ 160 z. č. 99/1963 Sb.", "§ 2 nař. vl. č. 351/2013 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce"]
Čeho se rozhodnutí týká: Rozhodnutí se týká: O zaplacení 10 500 Kč s příslušenstvím. Aplikuje: § 142 (99/1963 Sb.), § 1970 (89/2012 Sb.), § 149 (99/1963 Sb.), § 160 (99/1963 Sb.).
1. Žalobce se žalobou doručenou Obvodnímu soudu pro Prahu 7 dne 26. 8. 2020 domáhal vydání rozsudku, kterým by soud rozhodl, že žalovaný je povinen zaplatit žalobci částku 10 500 Kč s příslušenstvím. Žalobce uvedl, že si za účelem provádění nákupů zřídil v internetovém obchodě [webová adresa] provozovaném žalovaným uživatelský účet, když k registraci použil svojí e-mailovou adresu [email]. V rámci tohoto účtu byly do databáze žalovaného uloženy vedle uvedené e-mailové adresy též další osobní údaje žalobce – nejméně jméno, příjmení, telefonní číslo. Žalobce odsouhlasil shromažďování a zpracovávání těchto svých osobních údajů v databázi žalovaného, přičemž žalovaný i v rámci žalobcem odsouhlasených obchodních podmínek deklaroval, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaný nepředává s výjimkou dopravců žádným dalším osobám. Žalovaný měl povinnost tyto osobní údaje chránit před zneužitím a proti předání třetím osobám bez souhlasu žalobce. Nejpozději v průběhu roku 2017 došlo u žalovaného k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních dat klientů žalovaného, a to v rozsahu e-mailové adresy, přístupového hesla, jména, příjmení a telefonního kontaktu. V rámci incidentu došlo k úniku celkem 766 421 elektronických záznamů a 735 956 unikátních e-mailových adres. Mezi poškozenými byl i žalobce, jehož identifikační a kontaktní údaje byly uloženy v jeho uživatelském účtu. V případě žalobce se jednalo o jméno, příjmení, e-mailovou adresu, telefon, heslo. O tom, že žalobce byl postižen únikem svých osobních údajů z databáze žalovaného, byl žalobce žalovaným informován e-mailem ze dne 27. 8. 2017. V tomto e-mailu žalovaný žalobci sdělil, že se žalovaný stal obětí neoprávněného přístupu neznámého útočníka k některým zákaznickým údajům. Tomu, že žalobce byl postižen únikem svých osobních údajů, nasvědčovala i skutečnost, že jeho e-mailová adresa je v databázi [webová adresa] vedena jako adresa, která byla nalezena v souboru dat uniklých z databáze žalovaného. Klientská data zpracovávaná žalovaným, jejichž součástí byly i osobní data žalobce ve shora uvedeném rozsahu, byla po jejich úniku volně zpřístupněna veřejnosti ve stáhnutelné podobě na webovém úložišti [webová adresa], a to nejméně od 23. 7. 2017 do 27. 8. 2017. Předmětná data měla dále prokazatelně k dispozici redakce internetového magazínu [webová adresa], která s databází dále pracovala. V současné době jsou předmětná data v rozsahu e-mailu a šifrovaného hesla dále volně dostupná například na webovém úložišti [webová adresa]. Je tedy zjevné, že žalovaný není schopen účinně zajistit ukončení distribuce uniklé databáze. O tom, že klientská data z databáze žalovaného jsou volně přístupná na síti internet, byl žalovaný upozorněn třetí osobou, přičemž na toto upozornění žalovaný svými opatřeními reagoval až po několika dnech. Žalovaný nejenže data žalobce nezabezpečil dostatečným způsobem, nýbrž žalovaný neměl implementovány ani takové mechanismy, které by únik dat odhalily. Podle ustanovení § 13 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v tehdy platném a účinném znění (dále jen„ zákon č. 101/2000 Sb.“) byl žalovaný jako správce povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití. S ohledem na výše uvedené je zjevné, že žalovaný porušil zákonnou povinnost správce osobních údajů podle zákona č. 101/2000 Sb., přijmout taková opatření, aby nedošlo k neoprávněnému přístupu k osobním údajům žalobce a jejich zneužití. Tato skutečnost byla potvrzena i v rozhodnutí Úřadu pro ochranu osobních údajů, který žalovaného uznal vinným za přestupek podle ustanovení § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., za což žalovanému uložil pokutu ve výši 1 500 000 Kč. Tím, že žalobce žalovanému svěřil ke zpracování své osobní údaje a žalovaný porušil svoji zákonnou povinnost zabezpečit tyto údaje před neoprávněným přístupem a zneužitím, došlo ze strany žalovaného k zásahu do ústavně zaručeného práva žalobce na soukromí zakotveného v ustanovení článku 10 odst. 3 Listiny základních práv a svobod (dále jen„ Listina“), z něhož vyplývá i právo na informační sebeurčení. Skutkově totožná věc byla nadepsaným soudem již rozhodována v řízení sp. zn. [spisová značka] a v následném odvolacím řízení vedeném Městským soudem v Praze pod sp. zn. [spisová značka]. V rámci tohoto řízení dospěl soud k závěru, že za přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení lze považovat částku 10 000 Kč. Podle ustanovení § 13 zákona č. 89/2012 Sb., občanský zákoník (dále jen „o.z.“), platí, že každý, kdo se domáhá právní ochrany, může důvodně očekávat, že jeho právní případ bude rozhodnut obdobně jako jiný právní případ, který již byl rozhodnut a který se s jeho právním případem shoduje v podstatných znacích.
2. Žalovaný ve vyjádření k podané žalobě uvedl, že nerozporuje, že k bezpečnostnímu incidentu, na který je odkazováno žalobcem, skutečně došlo. Nadále je však přesvědčen, že žádnou svoji povinnost neporušil. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. I proto žalovaný nesouhlasil s tvrzením žalobce, že přístup žalovaného k osobním údajům zákazníků byl nedůsledný. Žalovaný v předmětné věci ihned reagoval na nastalé události a učinil nezbytné kroky jak k zabezpečení celé databáze, tak k informování všech potenciálně dotčených osob, incident rovněž bez zbytečného odkladu, zcela v souladu s povinnostmi vyplývajícími mu z příslušných právních předpisů, ohlásil Úřadu pro ochranu osobních údajů. Považuje proto za významné připomenout, že rozhodnutí Úřadu pro ochranu osobních údajů, jímž byl shledán vinným ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmětem přezkumu ve správním soudnictví, přičemž konečné rozhodnutí nebylo dosud vydáno. I kdyby se však soud ztotožnil se závěrem o existenci odpovědnosti žalovaného za bezpečnostní incident (únik osobních údajů), žalobní tvrzení žalobce jsou zcela nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění, které je požadováno. Žalovanému byla dne 4. 8. 2020 doručena předžalobní výzva, ve které se žalobce domáhá v předmětné věci zaplacení částky 10 500 Kč jako přiměřeného zadostiučinění za zásah do jeho práva na soukromí a informační sebeurčení. Ani ve výzvě, ani v následně podané žalobě však žalovaný neuvedl žádné konkrétní skutečnosti vztahující se k jím pociťované újmě a požadovanému odškodnění, pouze odkazuje na rozhodnutí v obdobné věci. Žalovaný v tomto směru odkazuje především na fakt, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku. V tomto případě žalobce nijak neuvádí, jakým způsobem se musel s tímto zásahem do svých práv vypořádat, neuvádí ani, jakým způsobem se ho tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. Při absenci těchto tvrzení pak logicky žaloba postrádá jakoukoli schopnost údajně vzniklou újmu individualizovat a umožnit určení částky, která by ji mohla kompenzovat, k čemuž žalovaný poukázal na judikaturu Nejvyššího soudu České republiky. Žalovaný vyjádřil přesvědčení, že tvrzení uvedená žalobcem v žalobě jsou zcela nedostatečná pro účely rozhodnutí o výši náhrady škody, respektive, že z těchto tvrzení nevyplývá, jakou konkrétní újmu žalobce pociťuje. Žalobce proto nesplnil svou povinnost tvrzení, tím méně povinnost důkazní, když k předmětným skutečnostem v žalobě ani neoznačil žádný důkaz, natož aby takový důkaz předložil. Za těchto okolností žalobce neunesl procesní břemena tvrzení a důkazní, pročež žalovaný navrhl zamítnutí žaloby.
3. Na základě zjištění učiněných po provedeném dokazování a jejich zhodnocení ve smyslu § 132 o.s.ř. dospěl soud k následujícímu závěru o skutkovém stavu ve věci samé. Přitom vzhledem k tomu, že mezi účastníky byla nesporná zejména skutečnost, že došlo k úniku e-mailové adresy žalobce a hesla z důvodu hackerského útoku (protiprávní vniknutí do informačního systému žalovaného zvenčí), vzal soud za svá skutková zjištění též shodná tvrzení účastníků (§ 120 odst. 3 o.s.ř.).
4. Žalovaný je provozovatelem e-shopu [webová adresa] a je správcem osobních údajů. Žalovaný po bezpečnostním incidentu, ke kterému došlo v přesně nezjištěném období od 31. 12. 2014 do 23. 6. 2017, písemně informoval dotřené subjekty osobních údajů prostřednictvím e-mailu o této události, což je prokázáno e-mailem zákazníkům o hackerském útoku a výroční zprávou úřadu pro ochranu osobních údajů za rok 2018. Žalovaný byl uznán vinným ze spáchání přestupku, neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních údajů tím, ž
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.