Za únik dat se platí

Historicky jednu z nejvyšších pokut za porušování ochrany osobních údajů, 1,5 milionu korun, obdržel loni známý internetový obchod, když neuhlídal osobní údaje svých zákazníků včetně hesel k jejich uživatelským účtům. Letos na něj dopadl navazující problém. Jednotlivec uspěl u soudu se svým nárokem na náhradu nemajetkové újmy, kterou mu obchod únikem dat způsobil.

Únik dat oznámil obchodník v roce 2017. Hned dva měsíce poté ho dotyčný zažaloval o 125 000 korun jako náhradu újmy za narušení soukromí. Prvoinstanční soud nárok v celé výši nepřiznal s odůvodněním, že některé uniklé osobní údaje žalobce zveřejnil na internetu sám a především že používal slabá hesla opakovaně pro přístup k různým službám, což nelze klást za vinu obchodu. Přiznal ovšem žalobci přiměřené zadostiučinění ve výši 10 000 korun z důvodu nutnosti měnit vyzrazená hesla.

Odvolací soud nedávno rozhodl, že byť jsou tyto argumenty do jisté míry oprávněné, žalobci přísluší náhrada újmy v přiznané výši nikoliv kvůli újmě způsobené nutností měnit hesla, ale pro porušení práva na informační sebeurčení. To je součástí ústavně garantovaného práva na soukromí, jakožto práva rozhodnout, komu a jak člověk poskytne skutečnosti a informace ze svého soukromí. Soud při svém rozhodování přihlédl i k významnému tržnímu postavení žalovaného e-shopu a s tím souvisejícímu rozsahu spravovaných dat. Zdůraznil také preventivně-sankční charakter svého rozhodnutí.

Rozsudek je již pravomocný a žalovaný obchod jej dle svého vyjádření respektuje. V okamžiku publikace rozhodnutí odvolacího soudu prý podobný případ neevidoval. Vzhledem k tomu, že nároky ostatních poškozených ještě nejsou promlčeny, je ovšem možné, že se dotčení tímto případem inspirují. Na druhou stranu úspěch v této konkrétní věci neznamená v českém právním prostředí automaticky úspěch pro případné další žalobce, obzvlášť když argumentace soudu je v některých ohledech více než problematická.

Podobné případy také může v budoucnu silně ovlivnit připravovaná právní úprava hromadných žalob. Ta by měla poškozeným umožnit domáhat se svých práv hromadně prostřednictvím společných zástupců. Dá se proto očekávat, že se počet žalob v této souvislosti navýší. Jejich úspěch může pro správce osobních údajů v důsledku znamenat vyšší sankce než pokuty udělené dle GDPR.
Proti udělené rekordní pokutě se obchod brání v aktuálně probíhajícím řízení u správního soudu.