Hlavní navigace

Unikátní rozsudek: Mall.cz musí zaplatit uživateli odškodnění za únik hesla

23. 10. 2019
Doba čtení: 5 minut

Sdílet

 Autor: Lupa.cz
Verdikt, který nemá v Česku příliš obdoby, dává lidem, kterým z nějaké online služby unikly osobní údaje, naději na podobné odškodnění.

Obří předloňský únik údajů o stovkách tisíc zákazníků online nákupní galerie Mall.cz má dohru u soudu. Jeden z postižených uživatelů uspěl s žalobou na náhradu nemajetkové újmy a obchod mu musí zaplatit odškodné ve výši 10 tisíc Kč (plus úroky a náhradu výdajů na soudní řízení). 

Vyplývá to z verdiktu v odvolacím řízení u Městského soudu v Praze, který má Lupa.cz k dispozici (celé znění najdete na konci článku). Rozsudek je pravomocný a Mall se proti němu už nemůže odvolat. 

Jde přitom o ojedinělý verdikt, který nemá v Česku příliš obdoby. Lidem, kterým z nějaké online služby unikly osobní údaje, dává naději, že mohou podobným způsobem získat u soudu odškodnění i oni.

Odvolací soud přiznal žalobci náhradu na základě narušení tzv. práva na informační sebeurčení, které dává člověku právo rozhodovat o tom, komu, v jaké podobě a kombinaci své osobní údaje poskytne.

Mall.cz (respektive firma Internet Mall a.s., která obchod provozuje) podle soudu únikem nepřípustně zasáhl do soukromí, i když žalobce některé z uniklých údajů (jméno, e-mailovou adresu či číslo telefonu) už dříve sám na internetu zveřejnil.

Internetový obchod podle své mediální zástupkyně Veroniky Polákové bude verdikt soudu respektovat a odškodné zaplatí v plné výši. 

Případ není promlčen

E-shopu Mall.cz uniklo 735 956 unikátních e-mailových adres a celkem 766 421 hesel v čitelné podobě. Šlo nejspíš o hesla, která Mall v minulosti chránil slabším zabezpečením. Data někdo zveřejnil na serveru Uloz.to, kde byla asi měsíc dostupná komukoli. Ověřit, zda byla v úniku konkrétní e-mailová adresa, je i dnes možné na službě Have I Been Pwned?

Jak konkrétně údaje unikly, není dodnes známo. Ještě v roce 2018 Mall.cz tvrdil, že přesný způsob úniku nedokázal zjistit a žádné nové informace nechce prozrazovat ani dnes. „Je to součástí řešení věci vedené u správního soudu,“ zdůvodňuje to Veronika Poláková. U správního soudu se Mall.cz brání pokutě 1,5 milionu Kč, kterou mu za únik udělil Úřad pro ochranu osobních údajů (ÚOOÚ). V tomto případě dosud soud nerozhodl.

Podle Polákové dnes Mall.cz neeviduje žádný další případ, kdy by zákazník požadoval náhradu škody za předloňský únik soudní cestou. Čeští uživatelé patrně nejsou zvyklí se v takových případech s firmami soudit, potvrzuje i právník Josef Aujezdský z advokátní kanceláře Mašek, Kočí, Aujezdský:

„Vzhledem k současné absenci hromadných žalob v českém právu je motivace na straně poškozených k uplatňování takovýchto práv u soudu spíše nízká (prakticky se to nevyplatí). Podobných případů, které skončí u soudu, tak nebude mnoho,“ říká.

Aktuální verdikt by ale mohl motivovat i další uživatele, kteří byli únikem postiženi. Případ totiž ještě není zdaleka promlčen. „Obecná promlčecí doba činí 3 roky. Pokud to zjednodušíme, promlčecí doba počíná běžet v takovémto případě od okamžiku, kdy se poškozený dozvěděl o existenci škody a o tom, kdo za ni odpovídá (§ 620 odst. 1 občanského zákoníku). Není tedy vyloučeno, aby se s podobným nárokem na soud obrátili v současné době i jiní poškození. Promlčecí doba však běží u každého z nich zvlášť,“ doplňuje Aujezdský.

Vzhledem k počtu uživatelů, kterých se únik dat z Mall.cz týkal, by mohlo hypoteticky jít o desítky či stovky tisíc dalších potenciálních případů. Rozhodnutí soudu v jednom řízení sice automaticky nepředjímá, že by museli uspět všichni žalobci, ale verdikt pro ně může být určitým návodem, jak postupovat. A nemusí se to týkat jen Mall.cz. Velký únik osobních údajů má za sebou i operátor T-Mobile, kterému v roce 2016 bývalý zaměstnanec ukradl data 1,2 milionu zákazníků.

Právo na informační sebeurčení

V aktuálním případu žaloby na Mall.cz se uživatel na soud obrátil už v říjnu 2017, tedy asi dva měsíce poté, co Mall.cz únik dat přiznal. Původně za poškození svých práv související s únikem informací o dvou účtech, které na Mall.cz měl, požadoval náhradu nemajetkové újmy ve výši 125 tisíc Kč (plus úroky). 

Mall žalobu u první instance rozporoval tvrzením, že dodržel všechny povinnosti týkající se zabezpečení databází, které po něm bylo spravedlivé požadovat. Namítal také, že vzhledem k tomu, že je žalobce podnikatelem, jsou jeho osobní údaje na internetu volně dostupné jednak v živnostenském rejstříku a také na jeho vlastním webu.

Jediným uniklým údajem, který nebyl volně dostupný, bylo heslo. „Žalobce musel použít jednoduchá hesla, pokud byla ‚prolomena‘. Pokud stejná hesla používá u jiných účtů, není možné negativní důsledky takového jednání přičítat žalované,“ shrnuje další argumenty Mallu odůvodnění rozsudku. I v odvolacím řízení pak obchod namítal, že tvrzení žalobce o negativních dopadech úniku jsou jen hypotetická a nebyla prokázána žádná skutečná újma.

Odvolací soud uznal, že pokud žalobce používal stejná hesla i na jiných účtech a musel je po úniku měnit, je to jeho odpovědnost a odškodnění si za to nezaslouží. Právo na náhradu nemajetkové újmy ale podle verdiktu má kvůli narušení práva na informační sebeurčení.

„Jedná se o právo jednotlivce rozhodnout podle vlastního uvážení, zda a popřípadě v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům,“ uvádí soud.  

„Přestože žalobce sám zveřejnil některé ze svých osobních údajů na veřejně přístupných internetových stránkách, nejednalo se nikdy o spojení těchto údajů nejméně s heslem k zákaznickému účtu žalované. Zveřejněním dat v kombinaci: jméno, příjmení, telefonní číslo, e-mailová adresa a heslo k účtu v důsledku úniku z databáze žalované bylo tedy porušeno žalobcovo právo na informační sebeurčení, čímž bylo nepřípustně zasaženo do soukromí,“ dodává v odůvodnění rozsudku.

Peněžité odškodnění odůvodňuje také přihlédnutím k významnému postavení Mall.cz na trhu a k rozsahu dat, která spravuje. Finanční náhrada podle něj má také „prevenčně sankční“ funkci. 

UX DAy - tip 2

Odvolací soud tak souhlasil s odškodněním ve výši 10 tisíc Kč (plus úroky) a nařídil Mall.cz uhradit žalobci i soudní výlohy ve výši celkem 5300 Kč.

Přečtěte si kompletní odůvodnění rozsudku (anonymizováno):

Byl pro vás článek přínosný?

Autor článku

Šéfredaktor Lupa.cz a externí spolupracovník Českého rozhlasu Plus. Dříve editor IHNED.cz, předtím Aktuálně.cz a Českého rozhlasu. Najdete mě na Twitteru nebo na LinkedIn

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).