ECLI: ECLI:CZ:OSPH07:2021:16.C.164.2020.1 Datum: 2021-04-21 Předmět: O náhradu nemajetkové újmy Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 151 vyhl. č. 254/2015 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 132 z. č. 99/1963 Sb.", "§ 2951 z. č. 89/2012 Sb. ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění"]
Čeho se rozhodnutí týká: Rozhodnutí se týká: O náhradu nemajetkové újmy. Aplikuje: § 142 (99/1963 Sb.), § 13 vyhl. č. 177/1996 Sb., § 7 vyhl. č. 177/1996 Sb., § 151 vyhl. č. 254/2015 Sb..
1. Žalobce v podané žalobě uvedl, že je zákazníkem žalované. Domáhal se přiznání nemajetkové újmy za porušení práva na informační sebeurčení ve výši 12 000 Kč s příslušenstvím. Žalobce se v roce 2017 z médií dozvěděl, že došlo k masivnímu úniku osobních údajů zákazníků žalované, a to jména a příjmení, telefonního čísla, e-mailové adresy i hesla k účtům. Množství těchto údajů bylo zpřístupněno prostřednictvím veřejné datové sítě [webová adresa]. Pochybením žalované se zabýval Úřad pro ochranu osobních údajů (dále jen„ ÚOOÚ“), který žalované uložil pokutu 1,5 milionu Kč. Žalobce odkázal na obdobný případ, který byl projednáván u Obvodního soudu pro Prahu 7 pod sp.zn. [spisová značka]. Oproti tomuto případu však žalobce není podnikatelem a jeho údaje nejsou veřejně přístupné v živnostenském rejstříku. Porušením povinností při ochraně osobních dat způsobila žalovaná obtěžování žalobce nevyžádanými e-maily, čímž bylo zasaženo žalobcovo právo na soukromí, bezpečí a rodinný život. Žalobce se pokoušel se žalovanou vyřešit věc mimosoudně a opakovaně jí písemně kontaktoval. Žalovaná si po prvním dopisu vyžádala další informace, na další dopisy už nereagovala.
2. Žalovaná ve vyjádření k podané žalobě uvedla, že nerozporuje, že k bezpečnostnímu incidentu, na který je odkazováno žalobcem, skutečně došlo. Je však přesvědčena, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. Žalobkyně se neztotožňuje s rozhodnutím ÚOOÚ, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem. Toto rozhodnutí je předmětem přezkumu ve správním soudnictví, přičemž konečné rozhodnutí dosud nebylo vydáno. I proto nesouhlasí s tvrzením žalobce, že jako správkyně osobních dat pochybila. Žalovaná hned reagovala na nastalé události a učinila nezbytné kroky jak k zabezpečení celé databáze, tak k informování všech potenciálně dotčených osob, incident rovněž bez zbytečného odkladu, zcela v souladu s povinnostmi vyplývajícími jí z příslušných právních předpisů, ohlásila ÚOOÚ. Žalobní tvrzení žalobce jsou zcela nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění, které je požadováno. Žalobce v reakci na dotaz žalované ohledně konkrétní újmy uvedl, že jde o porušení práva na informační sebeurčení. Žalobce je nejméně od prosince 2016 součástí seznamu tzv.„ [název] [příjmení] [příjmení] [příjmení]“, což znamená, že jeho e-mail byl veřejně k dispozici. E-mail žalobce je na internetu strojově velmi dobře vyhledatelný, nelze tedy tvrdit, že žalobci zasílané spamy využívají jeho e-mailovou adresu na základě bezpečnostního incidentu u žalované. Žalobce neuvedl žádné skutečnosti ohledně kalkulace požadované náhrady, neuvádí, jak se musel se zásahem do svých práv vypořádat, ani v čem konkrétně spatřuje vzniklou újmu. V této souvislosti žalovaná poukázala na judikaturu Nejvyššího soudu ČR ([spisová značka] ze dne 27. 9. 2017, [spisová značka] ze dne 4. 11. 2009, [spisová značka] ze dne 27. 9. 2012). Žalovaná je přesvědčena, že tvrzení uvedená Žalobcem v žalobě jsou zcela nedostatečná pro účely rozhodnutí o výši náhrady škody, resp. že z těchto tvrzení nevyplývá, jakou konkrétní újmu žalobce pociťuje. Žalobce nesplnil svou povinnost tvrzení ani důkazní, neboť k předmětným skutečnostem neoznačil ani nepředložil žádný důkaz. Žalovaná proto navrhla žalobu zamítnout.
3. Na základě zjištění učiněných po provedeném dokazování a jejich zhodnocení ve smyslu § 132 o.s.ř. dospěl soud k následujícímu závěru o skutkovém stavu ve věci samé:
4. Žalovaná zaznamenala pokus o narušení bezpečnosti databáze uživatelských účtů, o čemž písemně informovala žalobce (e-mail o hackerském útoku ze dne 27. 8. 2017). Žalovaná byla uznána vinnou ze spáchání přestupku, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečila osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem, v období minimálně od 31. 12. 2014 do srpna 2017, v důsledku čehož došlo v době od 27. 7. 2017 do 25. 8.2017 k jejich zpřístupnění na serveru [webová adresa], čímž žalovaná porušila povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajů, k jejich změně, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, případně jinému zneužití osobních údajů, za což byla žalované uložena pokuta ve výši 1 500 000 Kč (rozhodnutí Úřadu pro ochranu osobních údajů ze dne 23. 5. 2018 [číslo jednací] [anonymizováno] [číslo], rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne 21. 9. 2018 [číslo jednací]). Údaje k uživatelskému účtu [email] jsou v souboru uniklých dat při úniku informací ze stránky [webová adresa] (výpis stránek„ have i been pwned“ – [webová adresa]). Žalobcova e-mailová adresa je uvedena na několika internetových stránkách (zobrazení výsledků hledání e-mailové adresy ve vyhledávači Google). Žalobce byl opakovaně obtěžován nevyžádanými e-maily (seznam e-mailů doručených žalobci) Žalobce vyzval žalovanou k mimosoudnímu řešení situace dne 26. 2. 2020 (výzva). Jinému uživateli [webová adresa], jehož osobní data byla postižena totožným únikem, byla v soudním řízení pravomocně přiznána náhrada nemajetkové újmy 10 000 Kč (rozsudek zdejšího soudu ve věci sp.zn. [spisová značka], rozsudek Městského soudu v Praze sp. zn. [spisová značka]).
5. Na základě výše uvedeného závěru o skutkovém stavu posoudil soud věc po právní stránce takto:
6. Podle čl. 10 odst. 3 Listiny základních práv a svobod každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.
7. Podle § 81 odst. 1 a 2 zákona č. 89/2012 Sb., občanský zákoník (dále jen „o.z.“), je chráněna osobnost člověka včetně všech jeho přirozených práv. Každý je povinen ctít svobodné rozhodnutí člověka žít podle svého. Ochrany požívají zejména život a důstojnost člověka, jeho zdraví a právo žít v příznivém životním prostředí, jeho vážnost, čest, soukromí a jeho projevy osobní povahy.
8. Podle § 2951 odst. 2 o.z. nemajetková újma se odčiní přiměřeným zadostiučiněním. Zadostiučinění musí být poskytnuto v penězích, nezajistí-li jeho jiný způsob skutečné a dostatečně účinné odčinění způsobené újmy.
9. Podle § 13 o.z. platí, že každý, kdo se domáhá právní ochrany, může důvodně očekávat, že jeho právní případ bude rozhodnut obdobně jako jiný právní případ, který již byl rozhodnut a který se s jeho právním případem shoduje v podstatných znacích; byl-li právní případ rozhodnut jinak, má každý, kdo se domáhá právní ochrany, právo na přesvědčivé vysvětlení důvodu této odchylky.
10. Soud dospěl k závěru, že bylo prokázáno, že žalovaná porušila své povinnosti správce osobních dat chránit svěřené osobní údaje žalobce i dalších zákazníků, což vyplývá ze závěrů kontroly ÚOOÚ, který jednoznačně konstatoval pochybení žalované, která při správě osobních dat nepřijala taková opatření, aby nedošlo k neoprávněnému odcizení databáze zákazníků. Žalovaná jako správce osobních údajů nejen nezabránila neoprávněnému přístupu a odcizení databáze uživatelů, ale ani je nezaznamenala a nezjistila. Žalovaná tak neučinila nezbytné kroky ke snížení rizika zneužití osobních údajů zákazníků, včetně žalobce, přičemž za toto přestupkové jednání byla rozhodnutím správního orgánu pravomocně postižena. Jelikož žalovaná byla pravomocně uznána vinnou spácháním přestupku, je jednoznačně dáno její protiprávní jednání (podaná správní žaloba nemá sama o sobě odkladný účinek, není-li soudem přiznán). V příčinné souvislosti s tímto jednáním žalobci vznikla nemajetková újma, kterou má soud za prokázanou ze zjištěného skutkového stavu již samotným faktem, že osobní údaje žalobce unikly a byly dostupné na internetu ke stažení všem třetím osobám v rámci souhrnné databáze zveřejněné na veřejně dostupném serveru pro ukládání dat, čímž došlo k zásahu do práva na informační sebeurčení (čl. 10 odst. 3 LZPS). Ze zveřejnění osobních údajů pak plyne zřejmé riziko nevyžádané pošty a obtěžujících volání, stejně jako možnost, že třetí osoba získá na základě zveřejněných údajů přístup do uživatelského účtu [webová adresa], kde bude mít k dispozici údaje např. o historii objednávek, doručovacích adresách, platebních metodách atd. Pokud by žalobce chtěl eliminovat nepříznivé následky úniku těchto osobních údajů, musel by měnit přístupová hesla všude tam, kde užívá stejnou kombinaci e-mailu a hesla, změnit samotnou e-mailovou adresu a telefon. Argumentace žalované, že žalobcova e-mailová adresa je zveřejněna i na jiných místech na internetu, soud nepřesvědčila, neboť projednávaný případ se týká zveřejnění údajů způsobeného pochybením žalované, při kterém navíc došlo nejen ke zveřejnění e-mailové adresy, ale zejména také hesla k účtu, jména a příjmení a telefonního čísla.
11. Jinému z uživatelů [
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.