CS · EN DE FR brzy

30 C 357/2020-38 — Obvodní soud pro Prahu 7

ECLI: ECLI:CZ:OSPH07:2021:30.C.357.2020.1
Datum: 2021-04-01
Předmět: O zaplacení 10 500 Kč s příslušenstvím
Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 132 z. č. 99/1963 Sb.", "§ 2951 z. č. 89/2012 Sb.", "§ 81 z. č. 89/2012 Sb.", "§
["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce""znalecký posudek"]
O co šlo: O zaplacení 10 500 Kč s příslušenstvím (["§ 142 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 132 z. č. 99/1963 Sb.", "§ 2951 z. č. 89)
1. Žalobkyně v podané žalobě uvedla, že si za účelem provádění nákupů zřídila v internetovém obchodě [webová adresa] provozovaném žalovaným uživatelský účet, kdy k registraci použila svojí emailovou adresu [email]. V rámci tohoto uživatelského účtu byly do databáze žalovaného uloženy, vedle uvedené emailové adresy, též další osobní údaje žalobce – nejméně jméno, příjmení, telefonní číslo. Žalobce odsouhlasil shromažďování a zpracovávání těchto svých osobních údajů v databázi žalovaného, přičemž žalovaný i v rámci žalobcem odsouhlasených obchodních podmínek deklaroval, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaný nepředává s výjimkou dopravců žádným dalším osobám. Žalovaný tedy měl povinnost tyto osobní údaje chránit před zneužitím a proti předání třetím osobám bez souhlasu žalobce. Nejpozději v průběhu roku 2017 došlo u žalovaného k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních údajů klientů žalovaného, a to v rozsahu emailové adresy, přístupového hesla, jména, příjmení a telefonního kontaktu. Mezi poškozenými byl i žalobce, jehož identifikační a kontaktní údaje byly uloženy v jeho Uživatelském účtu. V rámci incidentu došlo k úniku celkem 766 421 elektronických záznamů a 735 956 unikátních emailových adres. O tom, že žalobce byl postižen únikem svých osobních údajů, svědčí i skutečnost, že jeho emailová adresa je v databázi [webová adresa] vedena jako adresa, která byly nalezena v souboru dat uniklých z databáze žalovaného. Klientská data zpracovávaná žalovaným, jejichž součástí byly i osobní údaje žalobce ve shora uvedeném rozsahu, byla po jejich úniku volně zpřístupněna veřejnosti ve stáhnutelné podobě na webovém uložišti [webová adresa], a to nejméně od 23.7.2017 do 27.8.2017. Předmětná data měla dále prokazatelně k dispozici redakce internetového magazínu [název], která s databází dále pracovala. V současné době jsou předmětná data v rozsahu emailu a šifrovaného hesla dále volně dostupná např. na webovém uložišti [webová adresa]. Je tedy zjevné, že žalovaný není schopen účinně zajistit ukončení distribuce uniklé databáze. O tom, že klientská data z databáze žalovaného jsou volně přístupná na síti internet, byl žalovaný upozorněn třetí osobou, přičemž na toto upozornění žalovaný svými opatřeními reagoval až po několika dnech. Žalovaný nejenže data žalobce nezabezpečil dostatečným způsobem, nýbrž žalovaný neměl implementovány ani takové mechanismy, které by únik dat odhalily. K účelu webových stránek [webová adresa] se vyjadřuje soudní znalec [jméno] [příjmení] ve svém znaleckém posudku následovně:„ stránky slouží ke sdílení dat mezi uživateli nebo zálohování dat. Účelem vlastníka je realizace zisku, který roste s vyšší návštěvností a vyšším objemem stahování dat.“ Podle ustanovení § 13 odst. 1 zákona č. 101/2000 Sb., byl žalovaný jako správce povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití. Žalovaný porušil zákonnou povinnost správce osobních údajů podle zákona č. 101/2000 Sb., přijmout taková opatření, aby nedošlo k neoprávněnému přístupu k osobním údajům žalobce a jejich zneužití. Tato skutečnost byla potvrzena i v rozhodnutí Úřadu pro ochranu osobních údajů, který žalovaného uznal vinnou za přestupek podle ustanovení § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., za což žalovanému uložil pokutu ve výši 1.500.000 Kč. Tím, že žalobce žalovanému svěřil ke zpracování své osobní údaje a žalovaný porušil svoji zákonnou povinnost zabezpečit tyto údaje před neoprávněným přístupem a zneužitím, došlo ze strany žalovaného k zásahu do ústavně zaručeného práva žalobce na soukromí zakotveného v ust. čl. 10 odst. 3 Listiny základních práv a svobod, z něhož vyplývá i právo na informační sebeurčení. Konkrétně je žalobce přesvědčen o zásahu do jeho práva na soukromí z toho důvodu, že žalovanému žalobcem poskytnuté osobní údaje byly v rozporu se zákonem nejen nedostatečně chráněny a zabezpečeny, v důsledku čehož došlo k jejích volnému zveřejnění, ale tato skutečnost nebyla žalobcem ani zaznamenána a zjištěna. Žalovaný tedy neměl ani implementována taková opatření a postupy, které by důsledky úniku osobních údajů mohly alespoň zmírnit. Skutečnost, že žalovaný reagoval na upozornění o odcizení klientský dat s několikadenním zpožděním, rovněž svědčí o nedůsledném přístupu žalovaného k ochraně osobních údajů žalobce, ke kterému byl žalovaný povinen nejen podle zákona č. 101/2000 Sb., ale i na základě smluvně převzaté povinnosti vyplývající z obchodních podmínek žalovaného. Předmětné osobní údaje jsou tak doposud veřejnosti k dispozici na síti internet v čitelném formátu a tak, že si je kdokoliv může stáhnout a dále s nimi nakládat. Žalobce tedy neměl a nemá žádnou možnost svobodného uvážení a rozhodnutí, zda vůbec, příp. v jakém rozsahu a jakým způsobem mají být jeho osobní údaje zpřístupněny dalším subjektům. S ohledem na povahu uniklých osobních údajů a způsob jejich úniku má žalobce za to, že zásah do jeho práv trvá a je umocněn tím, že jednou zveřejněné osobní údaje (např. email, telefon), nelze z prostředí sítě internet zcela odstranit a zamezit jejich zneužití třetími osobami, např. ve formě odesílání nevyžádané pošty. Z uvedených důvodů se v daném případě nezákonný zásah do osobnostního práva žalobce v čase neoslabuje. K úniku osobních údajů a s tím spojené závažnosti zásahu do práv žalobce má žalobce k dispozici znalecký posudek. Skutkově totožná věc byla nadepsaným soudem již rozhodována v řízení sp. zn. [spisová značka] a v následném odvolacím řízení vedeném Městským soudem v Praze pod sp. zn. [spisová značka] [anonymizována tři slova] [rok]. V rámci tohoto řízení dospěl soud k závěru, že za přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení lze považovat částku [číslo] Žalobce má za to, že odlišně od citovaného právního případu není subjektem, který by své osobní údaje předem dobrovolně zveřejnil v síti internet, pročež má za to, že by přiměřené zadostiučinění mělo být nepatrně zvýšeno. S ohledem na shora uvedené vyzval žalobce žalovaného k zaplacení přiměřeného zadostiučinění za zásah do práva žalobce na informační sebeurčení ve výši 10.500 Kč. Na uvedenou výzvu reagoval žalovaný toliko tím, že v celé záležitosti nijak nepochybil. Žalobce požaduje úroky z prodlení od podání žaloby. 2. Žalovaná ve vyjádření k podané žalobě uvedla, že nerozporuje, že k bezpečnostnímu incidentu, na který je odkazováno žalobcem, skutečně došlo. Nadále je však přesvědčena, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. I proto Žalovaná nesouhlasí s tvrzením Žalobce, že přístup Žalované k osobním údajům zákazníků byl nedůsledný. Žalovaná v předmětné věci ihned reagovala na nastalé události a učinila nezbytné kroky jak k zabezpečení celé databáze, tak k informování všech potenciálně dotčených osob, incident rovněž bez zbytečného odkladu, zcela v souladu s povinnostmi vyplývajícími jí z příslušných právních předpisů, ohlásila Úřadu pro ochranu osobních údajů. Považuje proto za významné připomenout, že rozhodnutí ÚOOÚ, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmět přezkumu ve správním soudnictví, přičemž konečné rozhodnutí dosud nebylo vydáno. I kdyby se však soud ztotožnil se závěrem o existenci odpovědnosti Žalované za bezpečnostní incident (únik osobních údajů), žalobní tvrzení Žalobce jsou zcela nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění, které je požadováno. Žalované byla dne 18. 8. 2020 doručena předžalobní výzva, ve které se Žalobce domáhá v předmětné věci zaplacení částky 10.500 Kč jako přiměřeného zadostiučinění za zásah do jeho práva na soukromí a informační sebeurčení. Ani ve výzvě, ani v následně podané žalobě však Žalovaný neuvádí žádné konkrétní skutečnosti vztahující se k jím pociťované újmě a požadovanému odškodnění, pouze odkazuje na rozhodnutí v obdobné věci. Žalovaná v tomto směru poukazuje především na fakt, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku. V tomto případě Žalobce nijak neuvádí, jakým způsobem se musel s tímto zásahem do svých práv vypořádat, neuvádí ani, jakým způsobem se ho tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. Při absenci těchto tvrzení pak logicky žaloba postrádá jakoukoli schopnost údajně vzniklou újmu individualizovat a umožnit určení částky, která by ji mohla kompenzovat, k čemuž žalovaná poukázala na judikaturu Nejvyššího soudu ČR. Žalovaná je přesvědčena, že tvrzení uvedená Žalobcem v žalobě jsou zcela nedostatečná pro účely rozhodnutí o výš

Citovaná ustanovení

§ 13 (101/2000 Sb.)§ 45 (101/2000 Sb.)§ 13 (89/2012 Sb.)§ 2951 (89/2012 Sb.)§ 81 (89/2012 Sb.)§ 131 (99/1963 Sb.)§ 132 (99/1963 Sb.)§ 142 (99/1963 Sb.)
DomůŽivotní situacePrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.