ECLI: ECLI:CZ:OSPH07:2021:4.C.357.2020.1 Datum: 2021-05-19 Předmět: O zaplacení 10 500 Kč s příslušenstvím Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 1970 z. č. 89/2012 Sb.", "§ 2 nař. vl. č. 351/2013 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 120 z. č. 99/1963 Sb ["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce""znalecký posudek"]
O co šlo: O zaplacení 10 500 Kč s příslušenstvím (["§ 142 z. č. 99/1963 Sb.", "§ 1970 z. č. 89/2012 Sb.", "§ 2 nař. vl. č. 351/2013 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č)
1. Žalobce v podané žalobě uvedl, že si za účelem provádění nákupů zřídil v internetovém obchodě [webová adresa] provozovaném žalovanou uživatelský účet, kdy k registraci použil svojí e-mailovou adresu [email]. V rámci tohoto účtu byly do databáze žalované uloženy vedle uvedené e-mailové adresy, též další osobní údaje žalobce – nejméně jméno, příjmení, telefonní číslo. Žalobce odsouhlasil shromažďování a zpracovávání těchto svých osobních údajů v databázi žalované, přičemž žalovaná i v rámci žalobcem odsouhlasených obchodních podmínek deklarovala, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaná nepředává s výjimkou dopravců žádným dalším osobám. Žalovaná měla povinnost tyto osobní údaje chránit před zneužitím a proti předání třetím osobám bez souhlasu žalobce. Nejpozději v průběhu roku 2017 došlo u žalované k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních údajů klientů žalované, a to v rozsahu e-mailové adresy, přístupového hesla, jména, příjmení a telefonního kontaktu. V rámci incidentu došlo k úniku celkem 766 421 elektronických záznamů a 735 956 unikátních e-mailových adres. Mezi poškozenými byl i žalobce, jehož identifikační a kontaktní údaje byly uloženy v jeho uživatelském účtu. V případě žalobce se jednalo o jméno, příjmení, e-mailovou adresu, telefon, heslo. O tom, že žalobce byl postižen únikem svých osobních údajů z databáze žalované, byl žalobce žalovanou informován e-mailem dne 27. 8. 2017. V tomto e-mailu žalovaná žalobci sdělila, že se žalovaná stala obětí neoprávněného přístupu neznámého útočníka k některým zákaznickým údajům. Tomu, že žalobce byl postižen únikem svých osobních údajů, nasvědčovala i skutečnost, že jeho e-mailová adresa je v databázi [webová adresa] vedena jako adresa, která byly nalezena v souboru dat uniklých z databáze žalovaného. Klientská data zpracovávaná žalovanou, jejichž součástí byly i osobní údaje žalobce ve shora uvedeném rozsahu, byla po jejich úniku volně zpřístupněna veřejnosti ve stáhnutelné podobě na webovém uložišti [webová adresa], a to nejméně od 23. 7. 2017 do 27. 8. 2017. Předmětná data měla dále prokazatelně k dispozici redakce internetového magazínu LUPA.CZ, která s databází dále pracovala. V současné době jsou předmětná data v rozsahu e-mailu a šifrovaného hesla dále volně dostupná např. na webovém uložišti [webová adresa]. Je tedy zjevné, že žalovaná není schopna účinně zajistit ukončení distribuce uniklé databáze. O tom, že klientská data z databáze žalované jsou volně přístupná na síti internet, byla žalovaná upozorněna třetí osobou, přičemž na toto upozornění žalovaná svými opatřeními reagovala až po několika dnech. Žalovaná nejenže data žalobce nezabezpečila dostatečným způsobem, nýbrž žalovaná neměla implementovány ani takové mechanismy, které by únik dat odhalily. Podle ustanovení § 13 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v tehdy platném a účinném znění (dále jen„ zákon č. 101/2000 Sb.“), byla žalovaná jako správkyně povinna přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití. S ohledem na výše uvedené je zjevné, že žalovaná porušila zákonnou povinnost správce osobních údajů podle zákona č. 101/2000 Sb., přijmout taková opatření, aby nedošlo k neoprávněnému přístupu k osobním údajům žalobce a jejich zneužití. Tato skutečnost byla potvrzena i v rozhodnutí Úřadu pro ochranu osobních údajů, který žalovanou uznal vinnou za přestupek podle ustanovení § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., za což žalované uložil pokutu ve výši 1 500 000 Kč. Tím, že žalobce žalované svěřil ke zpracování své osobní údaje a žalovaná porušila svoji zákonnou povinnost zabezpečit tyto údaje před neoprávněným přístupem a zneužitím, došlo ze strany žalované k zásahu do ústavně zaručeného práva žalobce na soukromí zakotveného v ust. čl. 10 odst. 3 Listiny základních práv a svobod (dále jen„ Listina“), z něhož vyplývá i právo na informační sebeurčení. Skutkově totožná věc byla nadepsaným soudem již rozhodována v řízení sp. zn. 4 C 13/2017 a v následném odvolacím řízení vedeném Městským soudem v Praze pod sp. zn. 22 Co 147 / 2019. V rámci tohoto řízení dospěl soud k závěru, že za přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení lze považovat částku 10 000 Kč. Podle ustanovení § 13 zákona č. 89/2012 Sb., občanský zákoník (dále jen „o. z.“), platí, že každý, kdo se domáhá právní ochrany, může důvodně očekávat, že jeho právní případ bude rozhodnut obdobně jako jiný právní případ, který již byl rozhodnut a který se s jeho právním případem shoduje v podstatných znacích.
2. Žalovaná ve vyjádření k podané žalobě uvedla, že nerozporuje, že k bezpečnostnímu incidentu, na který je odkazováno žalobcem, skutečně došlo. Nadále je však přesvědčena, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. I proto žalovaná nesouhlasila s tvrzením žalobce, že přístup žalované k osobním údajům zákazníků byl nedůsledný. Žalovaná v předmětné věci ihned reagovala na nastalé události a učinila nezbytné kroky jak k zabezpečení celé databáze, tak k informování všech potenciálně dotčených osob, incident rovněž bez zbytečného odkladu, zcela v souladu s povinnostmi vyplývajícími jí z příslušných právních předpisů, ohlásila Úřadu pro ochranu osobních údajů. Považuje proto za významné připomenout, že rozhodnutí Úřadu pro ochranu osobních údajů, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmět přezkumu ve správním soudnictví, přičemž konečné rozhodnutí dosud nebylo vydáno. I kdyby se však soud ztotožnil se závěrem o existenci odpovědnosti žalované za bezpečnostní incident (únik osobních údajů), žalobní tvrzení žalobce jsou zcela nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění, které je požadováno. Žalované byla doručena předžalobní výzva, ve které se žalobce domáhá v předmětné věci zaplacení částky 10 500 Kč jako přiměřeného zadostiučinění za zásah do jeho práva na soukromí a informační sebeurčení. Ani ve výzvě, ani v následně podané žalobě však žalovaný neuvedl žádné konkrétní skutečnosti vztahující se k jím pociťované újmě a požadovanému odškodnění, pouze odkazuje na rozhodnutí v obdobné věci. Žalovaná v tomto směru poukazuje především na fakt, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku. V tomto případě žalobce nijak neuvádí, jakým způsobem se musel s tímto zásahem do svých práv vypořádat, neuvádí ani, jakým způsobem se ho tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. Při absenci těchto tvrzení pak logicky žaloba postrádá jakoukoli schopnost údajně vzniklou újmu individualizovat a umožnit určení částky, která by ji mohla kompenzovat, k čemuž žalovaná poukázala na judikaturu Nejvyššího soudu. Žalovaná vyjádřila přesvědčení, že tvrzení uvedená žalobcem v žalobě jsou zcela nedostatečná pro účely rozhodnutí o výši náhrady škody, resp. že z těchto tvrzení nevyplývá, jakou konkrétní újmu žalobce pociťuje. Žalobce proto nesplnil svou povinnost tvrzení, tím méně pak povinnost důkazní, když k předmětným skutečnostem v žalobce ani neoznačil žádný důkaz, natož aby takový důkaz předložil. Za těchto okolností žalobce neunesl procesní břemena tvrzení a důkazní, pročež žalovaná navrhla zamítnutí žaloby. Žalovaná dále argumentovala, že tento případ se od těch již rozhodnutých odlišuje ve dvou znacích, jednak v tom, že předmětem úniku nebyl osobní údaj – telefonní číslo žalobce a jednak v tom, že e-mailová adresa žalobce, která sice předmětem úniku byla, však již byla předmětem úniku před předmětným incidentem a to i po něm. To jsou skutečnosti, které by měly mít dopad do řešení celé věci, buď v té podobě, že újma žalobci nevznikla vůbec a pokud vznikla, měla být prokázána. Zároveň by toto mělo mít dopad i do výše přiměřeného zadostiučinění za vzniklou nemajetkovou újmu, kdy by mělo být zohledněno v podobě snížení újmy.
3. Na základě zjištění učiněných po provedeném dokazování k následujícímu závěru o skutkovém stavu ve věci samé. Přitom vzhledem k tomu, že relevantní skutkový stav byl mezi stranami nesporný, zejména skutečnost, že k předmětnému úniku osobních údajů došlo v důsledku hackerského útoku (protiprávního vniknutí do informačních systémů žalované zvenčí), jakož i to, že v tomto případě e-mailová adresa žalobce již byla v minulosti předmětem podobného útoku, jakož i to, že v tomto případě nebylo předmětem úniku telefonní číslo žalobce, vzal soud za svá skutková zjištění též shodná tvrzení účastníků (§ 120 odst. 3 o. s. ř.).
4. Žalovaná je pr
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.