CS · EN DE FR brzy

4 C 379/2020-25 — Obvodní soud pro Prahu 7

ECLI: ECLI:CZ:OSPH07:2021:4.C.379.2020.1
Datum: 2021-05-19
Předmět: O zaplacení 10 500 Kč s příslušenstvím
Ustanovení: ["§ 142 z. č. 99/1963 Sb.", "§ 1970 z. č. 89/2012 Sb.", "§ 2 nař. vl. č. 351/2013 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č. 177/1996 Sb.", "§ 120 z. č. 99/1963 Sb
["náhrada nemajetkové újmy""nemajetková újma""ochrana osobních údajů""peněžité plnění""zadostiučinění / satisfakce""znalecký posudek"]
O co šlo: O zaplacení 10 500 Kč s příslušenstvím (["§ 142 z. č. 99/1963 Sb.", "§ 1970 z. č. 89/2012 Sb.", "§ 2 nař. vl. č. 351/2013 Sb.", "§ 13 vyhl. č. 177/1996 Sb.", "§ 7 vyhl. č. 177/1996 Sb.", "§ 11 vyhl. č)
1. Žalobce v podané žalobě uvedl, že si za účelem provádění nákupů zřídil v internetovém obchodě [webová adresa] provozovaném žalovanou uživatelský účet, kdy k registraci použil svojí e-mailovou adresu [email]. V rámci tohoto účtu byly do databáze žalované uloženy vedle uvedené e-mailové adresy, též další osobní údaje žalobce – nejméně jméno, příjmení, telefonní číslo. Žalobce odsouhlasil shromažďování a zpracovávání těchto svých osobních údajů v databázi žalované, přičemž žalovaná i v rámci žalobcem odsouhlasených obchodních podmínek deklarovala, že osobní údaje zákazníků jsou plně zabezpečeny proti zneužití a osobní údaje žalovaná nepředává s výjimkou dopravců žádným dalším osobám. Žalovaná měla povinnost tyto osobní údaje chránit před zneužitím a proti předání třetím osobám bez souhlasu žalobce. Nejpozději v průběhu roku 2017 došlo u žalované k bezpečnostnímu incidentu, při kterém došlo k rozsáhlému úniku osobních údajů klientů žalované, a to v rozsahu e-mailové adresy, přístupového hesla, jména, příjmení a telefonního kontaktu. V rámci incidentu došlo k úniku celkem 766 421 elektronických záznamů a 735 956 unikátních e-mailových adres. Mezi poškozenými byl i žalobce, jehož identifikační a kontaktní údaje byly uloženy v jeho uživatelském účtu. V případě žalobce se jednalo o jméno, příjmení, e-mailovou adresu, telefon, heslo. O tom, že žalobce byl postižen únikem svých osobních údajů z databáze žalované, byl žalobce žalovanou informován e-mailem dne 27. 8. 2017. V tomto e-mailu žalovaná žalobci sdělila, že se žalovaná stala obětí neoprávněného přístupu neznámého útočníka k některým zákaznickým údajům. Tomu, že žalobce byl postižen únikem svých osobních údajů, nasvědčovala i skutečnost, že jeho e-mailová adresa je v databázi [webová adresa] vedena jako adresa, která byly nalezena v souboru dat uniklých z databáze žalovaného. Klientská data zpracovávaná žalovanou, jejichž součástí byly i osobní údaje žalobce ve shora uvedeném rozsahu, byla po jejich úniku volně zpřístupněna veřejnosti ve stáhnutelné podobě na webovém uložišti [webová adresa], a to nejméně od 23. 7. 2017 do 27. 8. 2017. Předmětná data měla dále prokazatelně k dispozici redakce internetového magazínu LUPA.CZ, která s databází dále pracovala. V současné době jsou předmětná data v rozsahu e-mailu a šifrovaného hesla dále volně dostupná např. na webovém uložišti [webová adresa]. Je tedy zjevné, že žalovaná není schopna účinně zajistit ukončení distribuce uniklé databáze. O tom, že klientská data z databáze žalované jsou volně přístupná na síti internet, byla žalovaná upozorněna třetí osobou, přičemž na toto upozornění žalovaná svými opatřeními reagovala až po několika dnech. Žalovaná nejenže data žalobce nezabezpečila dostatečným způsobem, nýbrž žalovaná neměla implementovány ani takové mechanismy, které by únik dat odhalily. Podle ustanovení § 13 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, v tehdy platném a účinném znění (dále jen„ zákon č. 101/2000 Sb.“), byla žalovaná jako správkyně povinna přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jejich jinému zneužití. S ohledem na výše uvedené je zjevné, že žalovaná porušila zákonnou povinnost správce osobních údajů podle zákona č. 101/2000 Sb., přijmout taková opatření, aby nedošlo k neoprávněnému přístupu k osobním údajům žalobce a jejich zneužití. Tato skutečnost byla potvrzena i v rozhodnutí Úřadu pro ochranu osobních údajů, který žalovanou uznal vinnou za přestupek podle ustanovení § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., za což žalované uložil pokutu ve výši 1 500 000 Kč. Tím, že žalobce žalované svěřil ke zpracování své osobní údaje a žalovaná porušila svoji zákonnou povinnost zabezpečit tyto údaje před neoprávněným přístupem a zneužitím, došlo ze strany žalované k zásahu do ústavně zaručeného práva žalobce na soukromí zakotveného v ust. čl. 10 odst. 3 Listiny základních práv a svobod (dále jen„ Listina“), z něhož vyplývá i právo na informační sebeurčení. Skutkově totožná věc byla nadepsaným soudem již rozhodována v řízení sp. zn. 4 C 13/2017 a v následném odvolacím řízení vedeném Městským soudem v Praze pod sp. zn. 22 Co 147 / 2019. V rámci tohoto řízení dospěl soud k závěru, že za přiměřené zadostiučinění za zásah do ústavně zaručeného práva na soukromí a informačního sebeurčení lze považovat částku 10 000 Kč. Podle ustanovení § 13 zákona č. 89/2012 Sb., občanský zákoník (dále jen „o. z.“), platí, že každý, kdo se domáhá právní ochrany, může důvodně očekávat, že jeho právní případ bude rozhodnut obdobně jako jiný právní případ, který již byl rozhodnut a který se s jeho právním případem shoduje v podstatných znacích. 2. Žalovaná ve vyjádření k podané žalobě uvedla, že nerozporuje, že k bezpečnostnímu incidentu, na který je odkazováno žalobcem, skutečně došlo. Nadále je však přesvědčena, že žádnou svou povinnost neporušila. Zabezpečení používané v době útoku bylo dostačující, odpovídající stavu techniky v dané době, a tak incidentu nešlo nijak předejít. I proto žalovaná nesouhlasila s tvrzením žalobce, že přístup žalované k osobním údajům zákazníků byl nedůsledný. Žalovaná v předmětné věci ihned reagovala na nastalé události a učinila nezbytné kroky jak k zabezpečení celé databáze, tak k informování všech potenciálně dotčených osob, incident rovněž bez zbytečného odkladu, zcela v souladu s povinnostmi vyplývajícími jí z příslušných právních předpisů, ohlásila Úřadu pro ochranu osobních údajů. Považuje proto za významné připomenout, že rozhodnutí Úřadu pro ochranu osobních údajů, jímž byla shledána vinnou ze spáchání přestupku v souvislosti s předmětným bezpečnostním incidentem, je aktuálně předmět přezkumu ve správním soudnictví, přičemž konečné rozhodnutí dosud nebylo vydáno. I kdyby se však soud ztotožnil se závěrem o existenci odpovědnosti žalované za bezpečnostní incident (únik osobních údajů), žalobní tvrzení žalobce jsou zcela nedostatečná, pokud jde o popis tvrzené újmy a odůvodnění výše odškodnění, které je požadováno. Žalované byla doručena předžalobní výzva, ve které se žalobce domáhá v předmětné věci zaplacení částky 10 500 Kč jako přiměřeného zadostiučinění za zásah do jeho práva na soukromí a informační sebeurčení. Ani ve výzvě, ani v následně podané žalobě však žalovaný neuvedl žádné konkrétní skutečnosti vztahující se k jím pociťované újmě a požadovanému odškodnění, pouze odkazuje na rozhodnutí v obdobné věci. Žalovaná v tomto směru poukazuje především na fakt, že výpočet přiměřeného zadostiučinění nelze vyčíslit obecně, protože z podstaty tohoto institutu jednoznačně vyplývá nutnost personifikace každého jednotlivého nároku. V tomto případě žalobce nijak neuvádí, jakým způsobem se musel s tímto zásahem do svých práv vypořádat, neuvádí ani, jakým způsobem se ho tento zásah osobně dotkl a v čem konkrétně spatřuje vzniklou újmu. Při absenci těchto tvrzení pak logicky žaloba postrádá jakoukoli schopnost údajně vzniklou újmu individualizovat a umožnit určení částky, která by ji mohla kompenzovat, k čemuž žalovaná poukázala na judikaturu Nejvyššího soudu. Žalovaná vyjádřila přesvědčení, že tvrzení uvedená žalobcem v žalobě jsou zcela nedostatečná pro účely rozhodnutí o výši náhrady škody, resp. že z těchto tvrzení nevyplývá, jakou konkrétní újmu žalobce pociťuje. Žalobce proto nesplnil svou povinnost tvrzení, tím méně pak povinnost důkazní, když k předmětným skutečnostem v žalobce ani neoznačil žádný důkaz, natož aby takový důkaz předložil. Za těchto okolností žalobce neunesl procesní břemena tvrzení a důkazní, pročež žalovaná navrhla zamítnutí žaloby. 3. Na základě zjištění učiněných po provedeném dokazování k následujícímu závěru o skutkovém stavu ve věci samé. Přitom vzhledem k tomu, že relevantní skutkový stav byl mezi stranami nesporný, zejména skutečnost, že k předmětnému úniku osobních údajů došlo v důsledku hackerského útoku (protiprávního vniknutí do informačních systémů žalované zvenčí), jakož i to, že v tomto případě e-mailová adresa žalobce již byla v minulosti předmětem podobného útoku, vzal soud za svá skutková zjištění též shodná tvrzení účastníků (§ 120 odst. 3 o. s. ř.). 4. Žalovaná je provozovatelkou e-shopu [webová adresa] a je správkyní osobních údajů. Žalovaná po bezpečnostním incidentu, ke kterému došlo v přesně nezjištěném období od 31. 12. 2014 do 23. 6. 2017, písemně informovala dotčené subjekty osobních údajů prostřednictvím e-mailu o této události (viz e-mail zákazníkům o hackerském útoku, výroční zpráva Úřadu pro ochranu osobních údajů za rok 2018). Žalovaná byla uznán vinnou ze spáchání přestupku, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních údajů tím, že nezabezpečila osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem v obd

Citovaná ustanovení

§ 13 (101/2000 Sb.)§ 45 (101/2000 Sb.)§ 13 (89/2012 Sb.)§ 1970 (89/2012 Sb.)§ 2951 (89/2012 Sb.)§ 81 (89/2012 Sb.)§ 120 (99/1963 Sb.)§ 135 (99/1963 Sb.)§ 142 (99/1963 Sb.)
DomůŽivotní situacePrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.