Z rozhodnutí: Městský soud v Praze rozhodl v senátě složeném z předsedy Milana Taubera, soudce Vadima Hlavatého a soudkyně Pavly Klusáčkové ve věci…
17 A 109/2023- 54 - text
13 17 A 109/2023
[OBRÁZEK]ČESKÁ REPUBLIKA
ROZSUDEK
JMÉNEM REPUBLIKY
Městský soud v Praze rozhodl v senátě složeném z předsedy Milana Taubera, soudce Vadima Hlavatého a soudkyně Pavly Klusáčkové ve věci
žalobkyně:
proti
žalovanému:
Poliklinika IPP s.r.o., IČO 250 57 065,
sídlem Praha 2, Legerova 389/56, PSČ 12000
zastoupena advokátem JUDr. Milanem Vašíčkem, MBA,
sídlem Dominikánské náměstí 656/2, 602 00 Brno
Úřad pro ochranu osobních údajů
sídlem Pplk. Sochora 27, 170 00 Praha 7
o žalobě proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 7. 8. 2023, č. j. UOOU00414/2330,
takto:
I. Žaloba se zamítá.
II. Žádný z účastníků nemá právo na náhradu nákladů řízení.
Odůvodnění:
I.
Základ sporu
1. Žalobou napadeným rozhodnutím předseda Úřadu pro ochranu osobních údajů (dále také jen „ÚOOÚ“) zamítl rozklad žalobkyně proti rozhodnutí ÚOOÚ č. j. UOOU00414/2320 ze dne 10. 5. 2023 a napadené rozhodnutí potvrdil.
2. Rozhodnutím ÚOOÚ byla žalobkyně jako správce osobních údajů přibližného počtu 58 zaměstnanců a 247 000 pacientů (dále jen „subjekty údajů“) podle čl. 4 bodu 7 nařízení (EU) 2016/679 uznána vinnou:
- ze spáchání přestupku spočívajícího v porušení povinnosti dle čl. 5 odst. 2 nařízení (EU) 2016/679 (dále také jen „nařízení“ nebo „nařízení GDPR“), tedy povinnosti správce doložit dodržení souladu se základními zásadami uvedenými v odst. 1 daného článku, čímž spáchala přestupek podle § 62 odst. 1 písm. b) zákona č. 110/2019 Sb.;
- ze spáchání přestupku spočívajícího v porušení povinnosti dle čl. 33 odst. 1 nařízení, tedy povinnosti správce ohlásit dozorovému úřadu jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, čímž spáchala přestupek podle § 62 odst. 1 písm. a) zákona č. 110/2019 Sb.;
- a ze spáchání přestupku spočívajícího v porušení povinnosti dle čl. 33 odst. 5 nařízení, tedy povinnosti správce dokumentovat veškeré případy porušení zabezpečení osobních údajů, včetně uvedení skutečností, které se daného porušení týkají, jeho účinky a přijatá nápravná opatření, čímž spáchala přestupek podle § 62 odst. 1 písm. a) zákona č. 110/20219 Sb.;
3. za což jí byla dle § 41 zákona č. 250/2016 Sb. a v souladu s čl. 83 odst. 4 písm. a) a čl. 83 odst. 5 písm. a) nařízení uložena pokuta ve výši 309 000 Kč, a dále jí byla uložena povinnost nahradit náklady řízení ve výši 1 000 Kč.
II.
Obsah žaloby a související vyjádření
4. Žalobkyně v podané žalobě nejprve popisuje kybernetický útok ze dne 14. 3. 2021, při kterém se útočníkům podařilo osobní údaje o zaměstnancích a pacientech žalobkyně po dobu přibližně jednoho týdne žalobkyni znepřístupnit, přičemž však nedošlo k žádnému úniku dat, jejich ztrátě, poškození, vymazání apod. Zdůrazňuje, že nebylo zjištěno žádné pochybení, pokud jde o způsob nakládání s osobními údaji či jejich zabezpečení před vnějším útokem.
5. Žalobkyně dále zmiňuje, že svěřila svoji notifikační povinnost, kterou má vůči žalovanému, tzv. pověřenci osobních údajů (mateřské společnosti žalobkyně), která kybernetický útok žalovanému nahlásila. Mateřská společnost žalobkyně však v oznámení omylem formálně neuvedla, že se útok týká nikoli přímo jí, ale žalobkyně, což později vedlo k zahájení správního řízení žalovaného s žalobkyní za to, že mu neoznámila kybernetický útok a že subjektům údajů neoznámila, že jsou jejich data znepřístupněna. Žalobkyně přitom své pacienty o porušení zabezpečení osobních údajů řádně informovala prostřednictvím webových stránek, jejichž podobu si ale neuložila, neboť nepředpokládala, že by to bylo v budoucnosti třeba.
6. Žalobkyně podala rozklad proti výroku IV. rozhodnutí I. stupně, tedy proti výroku, jímž jí byla uložena pokuta, protože s výší sankce nesouhlasila. Podanou žalobou se žalobkyně domáhá zrušení rozhodnutí orgánů obou stupňů.
7. Žalobkyně nerozporuje, že formálně mohlo dojít k naplnění skutkové podstaty popisovaných přestupků, ale je přesvědčena, že citelná sankce uložená žalovaným ve výši 309 000 Kč je vzhledem k okolnostem, za kterých došlo k jejich spáchání, nepřiměřeně přísná, neboť správní orgán dostatečně nezohlednil všechny okolnosti, které při stanovení výše pokuty zohlednit měl a mohl. Žalobkyně však nesouhlasí s tím, že by přímo na její straně došlo k zaviněnému spáchání přestupků, neboť žalobkyně evidentně vyvinula prokázanou snahu splnit všechny zákonné povinnosti a žádný přestupek nespáchat. Pokud i přes veškeré snažení žalobkyně k naplnění skutkové podstaty přestupků došlo, nestalo se tak z důvodu nedbalosti přímo žalobkyně, ale vlivem formálního pochybení na straně mateřské společnosti žalobkyně, obchodní společnosti MEDIRECO a.s. (dále též jen „mateřská společnost“), vystupující v systému ochrany osobních údajů jako tzv. pověřenec osobních údajů, prostřednictvím kterého se žalobkyně pokoušela splnit svoji notifikační povinnost vůči žalovanému. Žalobkyně má za to, že ve správním řízení mělo být hodnoceno jako polehčující okolnost, že nešlo o nedbalost přímo žalobkyně, ale mateřské společnosti.
8. Žalobkyně dále uvádí, že v ohlášení porušení zabezpečení osobních údajů je v bodě 11.3. uvedeno, že zaměstnanci budou informováni prostřednictvím emailové zprávy a pacienti budou informováni na webových stránkách; žádný předpis přitom žalobkyni neukládá, že je povinna si uchovávat právě screen-shot svých webových stránek ke splnění povinností plynoucích pro ni z právních předpisů. Má za to, že je to právě její neschopnost doložit obsah svých webových stránek z rozhodné doby, za co je postihována nepřiměřeně vysokou pokutou, přestože informování pacientů na webových stránkách doložila čestným prohlášením své bývalé jednatelky, a žádný předpis jí povinnost doložit obsah svých webových stránek neukládá.
9. Žalobkyně má pocit, že je de facto trestána dvakrát, když už samotný kybernetický útok jí způsobil provozní problémy a újmu, a ještě byla potrestána vysokou pokutou. Zdůrazňuje, že reálné následky kybernetického útoku přitom fakticky nenastaly, neboť nedošlo k odcizení chráněných osobních údajů pacientů a zaměstnanců, ale pouze k jejich znepřístupnění po určitou dobu, a subjektům žádná újma nevznikla. Účinky útoku tak nastaly pouze ve sféře žalobkyně. Nadto nebylo přerušeno ani poskytování lékařské péče. Žalobkyně má to, že tato skutečnost měla být ve správním řízení hodnocena jako polehčující okolnost při vyměřování sankce. Shrnuje, že o útoku informovala kromě svých webových stránek rovněž osobně na recepci polikliniky a jednatelka žalobkyně o útoku informovala také v médiích. I to považuje žalobkyně za polehčující okolnost, kterou měly správní orgány vzít v potaz.
10. Dodává, že prostřednictvím mateřské společnosti nahlásila kybernetický útok také Národnímu úřadu pro kybernetickou bezpečnost a podala trestní oznámení na Policii ČR. Dle názoru žalobkyně jsou i toto okolnosti, které je potřeba považovat za polehčující, přičemž popsané počínání žalobkyně rozhodně nesvědčí o tom, že by přistupovala ke kybernetickému útoku nezodpovědně či ledabyle, jak je naznačováno v napadeném rozhodnutí.
11. Žalobkyně má za to, že polehčující okolnosti v § 39 zákona č. 250/2016, o odpovědnosti za přestupky a řízení o nich (dále jen „přestupkový zákon“), nejsou vyjmenovány taxativně, a proto měl žalovaný při stanovení výše sankce přihlédnout i k takovým okolnostem, které se váží ke spáchaným přestupkům a které nejsou výslovně uvedeny v předmětném ustanovení.
12. Žalovaný užil na případ žalobkyně takové přitěžující okolnosti ve smyslu § 40 přestupkového zákona, které rovněž nejsou v zákoně vyjmenovány. Žalobkyně má za to, že shodně měl žalovaný postupovat i v případě okolností polehčujících. Rovněž považuje za nesprávné, že za přitěžující okolnost byl označen fakt, že se osobní údaje týkaly pacientů, tedy osob ve slabším postavení vůči žalobkyni. Žalobkyně zdůrazňuje, že se žádného zneužití svého silnějšího postavení vůči subjektům nedopustila, a proto charakter vztahu mezi ní a subjekty údajů nemůže hrát žádnou roli z hlediska přitěžujících okolností ani z hlediska stanovení výše sankce.
13. Pokud žalovaný uvádí, že znepřístupnění osobních údajů představuje určitý negativní následek kybernetického útoku, pak žalobkyně poukazuje na to, že na tomto negativním následku nenese žádnou vinu, nemohla mu předejít ani ho zmírnit tím, že by formálně nenaplnila skutkovou podstatu přestupků, za které byla uznána vinnou.
14. Žalobkyně má dále za to, že k formálnímu nezaviněnému porušení z její strany došlo fakticky jednočinným souběhem, a dle jejího názoru nebylo na místě, aby bylo na tuto okolnost nahlíženo jako na přitěžující, pokud se jednání, které jí je kladeno za vinu de facto odehrálo jedním skutkem, a navíc omylem a v návaznosti na mimořádnou nečekanou událost.
15. Žalobkyně dále uvádí, že ze znění výroku III. napadeného rozhodnutí je zřejmé, že při ukládání trestu žalobkyni bylo přihlédnuto také k okolnosti, jež byla závislá na výkladu ze strany žalobkyně, která si špatně vyložil
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.