Německý Spolkový soudní dvůr na konci minulého roku rozhodoval v případě úniku osobních údajů více než 500 milionů uživatelů Facebooku.[1] Osobní údaje byl získány pomocí tzv. scrapingu a byly zveřejněny na internetu. Soud uzavřel, že ztráta kontroly uživatelů nad vlastními osobními údaji sama o sobě představuje nemajetkovou újmu a další konkrétní nepříznivý dopad na uživatele není třeba zkoumat. Jako přiměřenou náhradu újmy přiznal částku 100€. Znamená to tedy do budoucna, že za pouhou ztrátu kontroly nad osobními údaji při úniku dat bude moci každý uživatel požadovat náhradu újmy ve výši 100 €? Podpoří to nové hromadné žaloby v ČR a jaké dopady lze očekávat na firmy, které zpracovávají velké množství osobních údajů?
V dubnu 2021 došlo k masivnímu úniku dat, při němž byly zveřejněny osobní údaje přibližně 533 milionů uživatelů Facebooku, včetně uživatelských ID, jmen, zaměstnání, pohlaví a telefonních čísel. Tyto údaje byly získány tzv. scrapingem, který zneužil funkci Facebooku umožňující vyhledávání uživatelů podle jejich telefonního čísla. Jeden z dotčených uživatelů tvrdil, že Facebook jako správce osobních údajů nezavedl dostatečná opatření k zabránění tohoto zneužití a požadoval náhradu újmy.
Rozhodnutí Německého Spolkového soudního dvora
Německý Spolkový soudní dvůr („BGH“) předně zdůraznil, že podle judikatury Soudního dvora EU[2] může i pouhá a dočasná ztráta kontroly nad osobními údaji v důsledku porušení GDPR představovat nemajetkovou újmu podle čl. 82 odst. 1 GDPR. Subjekt údajů proto dále nemusí prokazovat konkrétní zneužití svých osobních údajů nebo jiné negativní důsledky, aby mohl požadovat náhradu nemajetkové újmy.
BGH dále uvedl, že standardní nastavení viditelnosti „všichni“ pro vyhledávání uživatelů prostřednictvím jejich telefonních čísel není v souladu se zásadou minimalizace údajů podle čl. 5 odst. 1 písm. c) GDPR a požadavky na záměrnou a standardní ochranu osobních údajů podle čl. 25 odst. 2 GDPR. Facebook tedy porušil povinnost zavést vhodná technická a organizační opatření („TOMs“) a nezajistil, že standardně budou zpracovávány pouze údaje nezbytné pro konkrétní účel zpracování. K tomu BGH poznamenal, že v případech nedodržení povinností správce údajů podle GDPR neleží důkazní břemeno ohledně neexistence škody na subjektu údajů, ale právě na správci.
BGH uvedl, že považuje za adekvátní přiznání náhrady nemajetkové újmy ve výši přibližně 100 €, a to za pouhou ztrátu kontroly nad osobními údaji, aniž by bylo vyžadováno prokázání dalších citových útrap nebo finanční ztráty. Tato částka má sloužit jako přiměřené odškodnění za porušení práv subjektu údajů podle GDPR.
Co se týče Soudního dvora EU, ten zatím v otázkách náhrady nemajetkové újmy rozhodl, že pouze porušení GDPR není k náhradě újmy dostačující, ale je nutno prokázat (i) skutečnou újmu, (ii) porušení GDPR a (iii) příčinnou souvislost mezi porušením GDPR a újmou.[3] Dále že nemajetková újma subjektu údajů musí být vykládána široce ale musí být vždy skutečná, nikoliv hypotetická a může jí být například i strach z budoucího zneužití osobních údajů.[4] Subjekty údajů mohou také dle Soudního dvora EU požadovat náhradu nemajetkové újmy bez ohledu na závažnost újmy nebo délku ztráty kontroly nad údaji, pokud je újma skutečná a nikoli pouze hypotetická.[5]
Vliv nových hromadných žalob v ČR
Předmětný únik dat se týkal přibližně 533 milionů uživatelů Facebooku. Kdyby zmíněná částka 100 € byla přiznána většině dotčených uživatelů, kteří utrpěli nemajetkovou újmu pouhou ztrátou kontroly nad svými osobními údaji, odškodnění, které by musel Facebook vyplatit, by bylo v desítkách miliard eur. Otázkou však je, kolik dotčených uživatelů by se pouštělo do právní bitvy kvůli relativně nízké částce.
Na scénu však přichází nový zákon o hromadném občanském řízení soudním, který v ČR kodifikuje a usnadňuje hromadné žaloby spotřebitelů. Tématu nového zákona a hromadných žalob se již kolegové opakovaně a detailně na HP blogu věnovali, např. v tomto článku. Hromadná žaloba umožňuje v rámci jednoho soudního řízení projednat podobné spory, týkající se více spotřebitelů proti jednomu podnikateli. V rámci hromadné žaloby se můžou spotřebitelé přihlásit k žalobě s nárokem na konkrétní finanční plnění, tedy i výše zmíněnou náhradu nemajetkové újmy. Přihlášení spotřebitele k hromadným žalobám je navíc jednoduché. Spotřebitelské organizaci, která hromadnou žalobu podává, stačí poskytnout alespoň základní podklady prokazující nárok daného spotřebitele. V případě úniku dat tak bude ze zásady třeba jen dokázat, že k úniku došlo, že se jednalo o osobní údaje daného spotřebitele a že došlo k porušení jeho práv na ochranu osobních údajů.
Můžeme očekávat likvidační hromadné žaloby při úniku dat?
Rozsáhlé úniky osobních údajů, soudem uznaná paušální náhrada újmy ve výši 100 € za pouhou ztrátu kontroly nad osobními údaji a hromadné žaloby, které výrazně ulehčují plošné vymáhání i drobných nároků spotřebitelů, mohou naznačovat těžké období pro společnosti, které zpracovávají velké množství osobních údajů.
Není tomu však nutně tak. Společnosti, u kterých může hrozit únik dat, by se měly soustředit na pravidelné přezkoumávání souladu s předpisy o ochraně osobních údajů a zejména na to, aby jejich TOMs zůstala vhodná a aktuální. Dobře nastavená TOMs mohou často zabránit vzniku incidentů v oblasti ochrany osobních údajů už na počátku.
K úniku dat však může dojít i přes sebedůkladnější snahu o vhodné nastavení TOMs. V těchto případech jsou právě robustní TOMs neocenitelná při obraně proti nárokům spotřebitelů, či pokutám od dozorových úřadů. Podle GDPR i judikatury Soudního dvora EU[6] stačí, když jsou TOMs přiměřená a odpovídají stavu techniky. Společnosti následně nemusí nést odpovědnost, i když dojde k úniku dat nebo „ztrátě kontroly“ subjektů nad údaji. Pokud i tak dojde k uplatnění nároků na náhradu škody či nemajetkové újmy v důsledku úniku dat, měly by společnosti rychle vyhledat odbornou právní pomoc.
Závěr
BGH stanovením náhrady újmy na 100 € za jednotlivého uživatele za pouhou ztrátu kontroly nad osobními údaji bez prokazování škody založil velice zajímavý precedens, který však zatím nereprezentuje ustálenou rozhodovací praxi Soudního dvora EU. Brzy uvidíme, zda se podobné nároky stanou v České republice předmětem nově zavedených spotřebitelských hromadných žalob. Společnosti, které zpracovávají osobní údaje, se nemusí obávat likvidačních nároků, pokud pravidelně kontrolují svůj soulad s GDPR a udržují vhodně zavedená TOMs. Pokud přesto dojde k úniku dat, je zásadní rychle vyhledat vedle technické též odbornou právní pomoc.
Náš specializovaný tým v HAVEL & PARTNERS pro ochranu dat a kyberbezpečnost vám bude k dispozici při realizaci jakýchkoliv projektů. Zaměřujeme se na veškeré právní a odborné otázky spojené s ochranou osobních údajů a dalších dat včetně kyberbezpečnosti. Dokážeme vám tedy efektivně a komplexně pomoci s jakýmkoli problémem, který řešíte. Prostřednictvím sesterské společnosti Fairdata Professionals a.s. poskytujeme též služby pověřence pro ochranu osobních údajů dle GDPR. Máme specializovaný tým i na hromadné žaloby, který se podílel na přípravě nové legislativy v této oblasti. Nedávno jsme otevřeli kontaktní pobočku naší kanceláře ve Frankfurtu, což nám umožňuje ještě lépe pomoci našim klientům ve vstupu na tamní trh. A samozřejmě i naopak, facilitovat obchodní kontakty z Německa směrem do České republiky.
- [1] – Sp. zn. BGH – VI ZR 10/24.
- [2] – Rozsudek SDEU – C‑590/22 - PS (Adresse erronée).
- [3] – Rozsudek SDEU – C 300/21 (Österreichische Post AG).
- [4] – Rozsudek SDEU – C 340/21 (Natsionalna agentsia za prihodite).
- [5] – Rozsudek SDEU – C 456/22 (Gemeinde Ummendorf).
- [6] – Čl. 24 a 32 GDPR; Rozsudek SDEU – C 340/21 (Natsionalna agentsia za prihodite).
