ECLI: ECLI:CZ:OSPH07:2021:16.C.212.2020.1 Datum: 2021-04-21 Předmět: O zaplacení 15 000 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 132 z. č. 99/1963 Sb.", "§ 2951 z. č. 89/2012 Sb.", "§ 81 z. č. 89/2012 Sb.", "§ ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce"]
Čeho se rozhodnutí týká: Rozhodnutí se týká: O zaplacení 15 000 Kč s příslušenstvím. Aplikuje: § 142 (99/1963 Sb.), § 13 vyhl. č. 177/1996 Sb., § 7 vyhl. č. 177/1996 Sb., § 11 vyhl. č. 177/1996 Sb..
1. Žalobkyně v podané žalobě uvedla, že je zákaznicí žalované. Domáhala se přiznání nemajetkové újmy za porušení práva na informační sebeurčení ve výši 15 000 Kč s příslušenstvím. Žalobkyně se v roce 2017 z médií dozvěděla, že došlo k masivnímu úniku osobních údajů zákazníků žalované, a to jména a příjmení, telefonního čísla, e-mailové adresy i hesla k účtům. Množství těchto údajů bylo zpřístupněno prostřednictvím veřejné datové sítě [webová adresa]. Sama žalovaná oznámila únik dat dne 27. 8. 2017 a vyzvala zákazníky ke změně hesla. Žalobkyně si skutečnost, že i její osobní údaje byly zveřejněny a mohly být tak třetími osobami kdykoli zneužity, ověřila na stránce: [webová adresa] V případě žalobkyně unikly osobní údaje: jméno, příjmení, e-mailová adresa a heslo k účtu. Žalovaná jakožto správce osobních údajů žalobkyně a dalších zákazníků svým nedbalostním jednáním, tj. nedostatečnou ochranou a zabezpečením shromážděných osobních údajů, umožnila únik osobních údajů o žalobkyni a dalších zákaznících. Tím došlo k zásahu do práv žalobkyně před neoprávněným zveřejňováním nebo jiným zneužíváním údajů o osobě žalobkyně ve smyslu čl. 10 odst. 3 Listiny základních práv a svobod. Nedbalostním jednáním žalovaná porušila obchodní podmínky i platné bezpečnostní zásady ochrany osobních údajů. Pochybením žalované se zabýval Úřad pro ochranu osobních údajů (dále jen„ ÚOOÚ“), který žalované uložil pokutu 1,5 milionu Kč. Porušením povinností při ochraně osobních dat došlo k zásahu do práva žalobkyně na její soukromí, bezpečí a rodinný život, bylo porušeno právo žalobkyně na informační sebeurčení, tj. právo svobodně určit, v jakém rozsahu budou informace o žalobkyni zpřístupněny jiným subjektům. Žalobkyně uplatnila nárok vůči žalované dne 6. 8. 2020. Žalobkyně odkázala na obdobný případ, který byl projednáván a pravomocně rozhodnut u Obvodního soudu pro Prahu 7 pod sp.zn. [spisová značka]. Oproti tomuto případu však žalobkyně není podnikající fyzickou osobou a její údaje nejsou nikde zveřejněny, proto je zásah do práv žalobkyně závažnější a výše zadostiučinění by tak měla být stanovena na jeden a půl násobek již pravomocně přiznaného zadostiučinění.
2. Žalovaná ve vyjádření k podané žalobě uvedla, že nerozporuje, že k bezpečnostnímu incidentu, na který je odkazováno žalobcem, skutečně došlo. Je však přesvědčena, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. Žalobkyně se neztotožňuje s rozhodnutím ÚOOÚ, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem. Toto rozhodnutí je předmětem přezkumu ve správním soudnictví, přičemž konečné rozhodnutí dosud nebylo vydáno. I proto nesouhlasí s tvrzením žalobce, že jako správkyně osobních dat pochybila. Žalovaná hned reagovala na nastalé události a učinila nezbytné kroky jak k zabezpečení celé databáze, tak k informování všech potenciálně dotčených osob, incident rovněž bez zbytečného odkladu, zcela v souladu s povinnostmi vyplývajícími jí z příslušných právních předpisů, ohlásila ÚOOÚ. Žalobní tvrzení žalobkyně jsou zcela nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění, které je požadováno. Žalobkyně neuvedla žádné skutečnosti ohledně kalkulace požadované náhrady, neuvádí, jak se musela se zásahem do svých práv vypořádat, ani v čem konkrétně spatřuje vzniklou újmu. V této souvislosti žalovaná poukázala na judikaturu Nejvyššího soudu ČR ([spisová značka] ze dne 27. 9. 2017, [spisová značka] ze dne 4. 11. 2009, [spisová značka] ze dne 27. 9. 2012). Žalovaná je přesvědčena, že tvrzení uvedená žalobkyní v žalobě jsou zcela nedostatečná pro účely rozhodnutí o výši náhrady škody, resp. že z těchto tvrzení nevyplývá, jakou konkrétní újmu žalobkyně pociťuje. Žalobkyně nesplnila svou povinnost tvrzení ani důkazní, neboť k předmětným skutečnostem neoznačila ani nepředložila žádný důkaz. Žalovaná proto navrhla žalobu zamítnout.
3. Na základě zjištění učiněných po provedeném dokazování a jejich zhodnocení ve smyslu § 132 o.s.ř. dospěl soud k následujícímu závěru o skutkovém stavu ve věci samé:
4. Žalovaná je provozovatelem e-shopu [webová adresa] a správcem osobních údajů. Došlo k úniku osobních údajů, a to jména, příjmení, telefonního čísla, e-mailové adresy a hesla k účtu žalobkyně a dalších tisíců zákazníků žalované. Uvedené údaje byly po neupřesněnou dobu (přibližně měsíc) zpřístupněny prostřednictvím veřejného úložiště na webové stránce [webová adresa] (článek ze serveru [webová adresa] dne 29. 8. 2017). Žalovaná zaznamenala pokus o narušení bezpečnosti databáze uživatelských účtů, o čemž písemně informovala žalobkyni (e-mail ze dne 27. 8. 2017). Žalovaná byla uznána vinnou ze spáchání přestupku, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečila osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem, v období minimálně od 31. 12. 2014 do srpna 2017, v důsledku čehož došlo v době od 27. 7. 2017 do 25. 8.2017 k jejich zpřístupnění na serveru [webová adresa], čímž žalovaná porušila povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajů, k jejich změně, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, případně jinému zneužití osobních údajů, za což byla žalované uložena pokuta ve výši 1 500 000 Kč (rozhodnutí Úřadu pro ochranu osobních údajů ze dne 23. 5. 2018 [číslo jednací] [anonymizováno] [číslo], rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne 21. 9. 2018 [číslo jednací]). Údaje k uživatelskému účtu [email] jsou v souboru uniklých dat při úniku informací ze stránky [webová adresa] (výpis stránek„ have i been pwned“ – [webová adresa]). Žalobkyně se za svobodna jmenovala [příjmení] (průkaz). Žalovaná se ve všeobecných obchodních podmínkách zavazuje k plnému zabezpečení osobních údajů zákazníků proti zneužití (všeobecné obchodní podmínky). Žalobkyně vyzvala žalovanou k náhradě nemajetkové újmy dne 6. 8. 2020 (výzva). Jinému uživateli [webová adresa], jehož osobní data byla postižena totožným únikem, byla v soudním řízení pravomocně přiznána náhrada nemajetkové újmy 10 000 Kč (rozsudek zdejšího soudu ve věci sp.zn. [spisová značka], rozsudek Městského soudu v Praze sp. zn. [spisová značka]).
5. Na základě výše uvedeného závěru o skutkovém stavu posoudil soud věc po právní stránce takto:
6. Podle čl. 10 odst. 3 Listiny základních práv a svobod každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.
7. Podle § 81 odst. 1 a 2 zákona č. 89/2012 Sb., občanský zákoník (dále jen „o.z.“), je chráněna osobnost člověka včetně všech jeho přirozených práv. Každý je povinen ctít svobodné rozhodnutí člověka žít podle svého. Ochrany požívají zejména život a důstojnost člověka, jeho zdraví a právo žít v příznivém životním prostředí, jeho vážnost, čest, soukromí a jeho projevy osobní povahy.
8. Podle § 2951 odst. 2 o.z. nemajetková újma se odčiní přiměřeným zadostiučiněním. Zadostiučinění musí být poskytnuto v penězích, nezajistí-li jeho jiný způsob skutečné a dostatečně účinné odčinění způsobené újmy.
9. Podle § 13 o.z. platí, že každý, kdo se domáhá právní ochrany, může důvodně očekávat, že jeho právní případ bude rozhodnut obdobně jako jiný právní případ, který již byl rozhodnut a který se s jeho právním případem shoduje v podstatných znacích; byl-li právní případ rozhodnut jinak, má každý, kdo se domáhá právní ochrany, právo na přesvědčivé vysvětlení důvodu této odchylky.
10. Soud dospěl k závěru, že bylo prokázáno, že žalovaná porušila své povinnosti správce osobních dat chránit svěřené osobní údaje žalobkyně i dalších zákazníků, což vyplývá ze závěrů kontroly ÚOOÚ, který jednoznačně konstatoval pochybení žalované, která při správě osobních dat nepřijala taková opatření, aby nedošlo k neoprávněnému odcizení databáze zákazníků. Žalovaná jako správce osobních údajů nejen nezabránila neoprávněnému přístupu a odcizení databáze uživatelů, ale ani je nezaznamenala a nezjistila. Žalovaná tak neučinila nezbytné kroky ke snížení rizika zneužití osobních údajů zákazníků, včetně žalobkyně, přičemž za toto přestupkové jednání byla rozhodnutím správního orgánu pravomocně postižena. Jelikož žalovaná byla pravomocně uznána vinnou spácháním přestupku, je jednoznačně dáno její protiprávní jednání (podaná správní žaloba nemá sama o sobě odkladný účinek, není-li soudem přiznán). V příčinné souvislosti s tímto jednáním žalobkyni vznikla nemajetková újma, kterou má soud za prokázanou ze zjištěného skutkového stavu již samotným faktem, že osobní údaje žalobkyně unikly a byly dostupné na internetu ke stažení všem třetím osobám v rámci souhrnné databáze zveřejněné na veřejně dostupném serveru pro ukládání dat, čímž došlo k zásahu do práva na i
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.