ECLI: ECLI:CZ:OSPH07:2021:30.C.379.2020.1 Datum: 2021-04-22 Předmět: O zaplacení 10 500 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 14 vyhl. č. 177/1996 Sb.", "§ 132 z. č. 99/1963 Sb.", "§ 2951 z. č. 89/2012 Sb." ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce""znalecký posudek"]
Čeho se rozhodnutí týká: Rozhodnutí se týká: O zaplacení 10 500 Kč s příslušenstvím. Aplikuje: § 142 (99/1963 Sb.), § 13 vyhl. č. 177/1996 Sb., § 7 vyhl. č. 177/1996 Sb., § 11 vyhl. č. 177/1996 Sb..
1. Žalobce v podané žalobě uvedl, že si za účelem provádění nákupů zřídil v internetovém obchodě [webová adresa] provozovaném žalovaným uživatelský účet, kdy k registraci použil svojí emailovou adresu [email]. V rámci tohoto účtu byly do databáze žalovaného uloženy, vedle uvedené emailové adresy, též další osobní údaje žalobce – nejméně jméno, příjmení, telefonní číslo. Žalobce odsouhlasil shromažďování a zpracovávání těchto svých osobních údajů v databázi žalovaného, přičemž žalovaný i v rámci žalobcem odsouhlasených obchodních podmínek deklaroval, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaný nepředává s výjimkou dopravců žádným dalším osobám. Žalovaný měl povinnost tyto osobní údaje chránit před zneužitím a proti předání třetím osobám bez souhlasu žalobce. Nejpozději v průběhu roku 2017 došlo u žalovaného k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních údajů klientů žalovaného, a to v rozsahu emailové adresy, přístupového hesla, jména, příjmení a telefonního kontaktu. Mezi poškozenými byl i žalobce, jehož identifikační a kontaktní údaje byly uloženy v jeho Uživatelském účtu. V rámci incidentu došlo k úniku celkem 766 421 elektronických záznamů a 735 956 unikátních emailových adres. V případě žalobce se jednalo o jméno, příjmení, emailovou adresu, telefon, heslo. O tom, že žalobce byl postižen únikem svých osobních údajů z databáze žalovaného, byl žalobce žalovaným informován emailem dne 27.8.2017. V tomto emailu žalovaný žalobci sděluje, že se žalovaný stal obětí neoprávněného přístupu neznámého útočníka k některým zákaznickým údajům. O tom, že žalobce byl postižen únikem svých osobních údajů, svědčí i skutečnost, že jeho emailová adresa je v databázi [webová adresa] vedena jako adresa, která byly nalezena v souboru dat uniklých z databáze žalovaného. Klientská data zpracovávaná žalovaným, jejichž součástí byly i osobní údaje žalobce ve shora uvedeném rozsahu, byla po jejich úniku volně zpřístupněna veřejnosti ve stáhnutelné podobě na webovém uložišti [webová adresa], a to nejméně od 23.7.2017 do 27.8.2017. Předmětná data měla dále prokazatelně k dispozici redakce internetového magazínu [název], která s databází dále pracovala. V současné době jsou předmětná data v rozsahu emailu a šifrovaného hesla dále volně dostupná např. na webovém uložišti [webová adresa]. Je tedy zjevné, že žalovaný není schopen účinně zajistit ukončení distribuce uniklé databáze. O tom, že klientská data z databáze žalovaného jsou volně přístupná na síti internet, byl žalovaný upozorněn třetí osobou, přičemž na toto upozornění žalovaný svými opatřeními reagoval až po několika dnech. Žalovaný nejenže data žalobce nezabezpečil dostatečným způsobem, nýbrž žalovaný neměl implementovány ani takové mechanismy, které by únik dat odhalily. Podle ustanovení § 13 odst. 1 zákona č. 101/2000 Sb., byl žalovaný jako správce povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití. S ohledem na výše uvedené je zjevné, že žalovaný porušil zákonnou povinnost správce osobních údajů podle zákona č. 101/2000 Sb., přijmout taková opatření, aby nedošlo k neoprávněnému přístupu k osobním údajům žalobce a jejich zneužití. Tato skutečnost byla potvrzena i v rozhodnutí Úřadu pro ochranu osobních údajů, který žalovaného uznal vinnou za přestupek podle ustanovení § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., za což žalovanému uložil pokutu ve výši 1.500.000 Kč. Tím, že žalobce žalovanému svěřil ke zpracování své osobní údaje a žalovaný porušil svoji zákonnou povinnost zabezpečit tyto údaje před neoprávněným přístupem a zneužitím, došlo ze strany žalovaného k zásahu do ústavně zaručeného práva žalobce na soukromí zakotveného v ust. čl. 10 odst. 3 Listiny základních práv a svobod, z něhož vyplývá i právo na informační sebeurčení. Skutkově totožná věc byla nadepsaným soudem již rozhodována v řízení sp. zn. [spisová značka] a v následném odvolacím řízení vedeném Městským soudem v Praze pod sp. zn. [spisová značka] [anonymizována tři slova] [rok]. V rámci tohoto řízení dospěl soud k závěru, že za přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení lze považovat částku 10.000 Kč. Podle ustanovení § 13 zákona č. 89/2012 Sb., platí, že každý, kdo se domáhá právní ochrany, může důvodně očekávat, že jeho právní případ bude rozhodnut obdobně jako jiný právní případ, který již byl rozhodnut a který se s jeho právním případem shoduje v podstatných znacích.
2. Žalovaná ve vyjádření k podané žalobě uvedla, že nerozporuje, že k bezpečnostnímu incidentu, na který je odkazováno žalobcem, skutečně došlo. Nadále je však přesvědčena, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. I proto Žalovaná nesouhlasí s tvrzením Žalobce, že přístup Žalované k osobním údajům zákazníků byl nedůsledný. Žalovaná v předmětné věci ihned reagovala na nastalé události a učinila nezbytné kroky jak k zabezpečení celé databáze, tak k informování všech potenciálně dotčených osob, incident rovněž bez zbytečného odkladu, zcela v souladu s povinnostmi vyplývajícími jí z příslušných právních předpisů, ohlásila Úřadu pro ochranu osobních údajů. Považuje proto za významné připomenout, že rozhodnutí ÚOOÚ, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmět přezkumu ve správním soudnictví, přičemž konečné rozhodnutí dosud nebylo vydáno. I kdyby se však soud ztotožnil se závěrem o existenci odpovědnosti Žalované za bezpečnostní incident (únik osobních údajů), žalobní tvrzení Žalobce jsou zcela nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění, které je požadováno. Žalované byla doručena předžalobní výzva, ve které se Žalobce domáhá v předmětné věci zaplacení částky 10.500 Kč jako přiměřeného zadostiučinění za zásah do jeho práva na soukromí a informační sebeurčení. Ani ve výzvě, ani v následně podané žalobě však Žalovaný neuvádí žádné konkrétní skutečnosti vztahující se k jím pociťované újmě a požadovanému odškodnění, pouze odkazuje na rozhodnutí v obdobné věci. Žalovaná v tomto směru poukazuje především na fakt, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku. V tomto případě Žalobce nijak neuvádí, jakým způsobem se musel s tímto zásahem do svých práv vypořádat, neuvádí ani, jakým způsobem se ho tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. Při absenci těchto tvrzení pak logicky žaloba postrádá jakoukoli schopnost údajně vzniklou újmu individualizovat a umožnit určení částky, která by ji mohla kompenzovat, k čemuž žalovaná poukázala na judikaturu Nejvyššího soudu ČR. Žalovaná je přesvědčena, že tvrzení uvedená Žalobcem v žalobě jsou zcela nedostatečná pro účely rozhodnutí o výši náhrady škody, resp. že z těchto tvrzení nevyplývá, jakou konkrétní újmu Žalobce pociťuje. Žalobce proto nesplnil svou povinnost tvrzení, tím méně pak povinnost důkazní, když k předmětným skutečnostem v žalobce ani neoznačuje žádný důkaz, natož aby takový důkaz předložil. Za těchto okolností proto Žalobce neunáší procesní břemena tvrzení a důkazní a jím podaná žaloba proto nemůže být úspěšná a je na místě ji zamítnout.
3. Na základě zjištění učiněných po provedeném dokazování a jejich zhodnocení ve smyslu § 132 o.s.ř. dospěl soud k následujícímu závěru o skutkovém stavu ve věci samé:
4. Žalovaný je provozovatelem e-shopu [webová adresa] a je správcem osobních údajů. Žalovaný po bezpečnostním incidentu, ke kterému došlo v přesně nezjištěném období od 31.12.2014 do 23.6.2017, písemně informoval dotčené subjekty osobních údajů prostřednictvím e-mailu o této události. (e-mail zákazníkům o hackerském útoku, výroční zpráva ÚOOÚ za rok 2018). Žalovaný byl uznán vinným ze spáchání přestupku, neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečil osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem v období minimálně od 31.12.2014 do srpna 2017, v důsledku čehož došlo v době od 27.7.2017 do 25.8.2017 k jejich zpřístupnění na serveru [webová adresa], čímž žalovaný porušil povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajů, k jejich změně, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, případně jinému zneužití osobních údajů, za což byla žalovanému uložena pokuta ve výši 1.500.000 Kč (rozhodnutí Úřadu pro ochranu osobních údajů ze dne 23.5.2018 [číslo jednací] – [číslo], rozhodnu
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.