Advokátní kancelář Jansa, Mokrý, Otevřel & partneři - specialisté na problematiku IT práva

Náhrada újmy podle nařízení GDPR (2. díl)

Autor: Mgr. Petr Otevřel | Vloženo: 9. 10. 2022 14:59 | Přečteno: 5817X

minulém díle jsme probírali předpoklady vzniku odpovědnosti za újmu způsobenou porušením Nařízení. Nyní se budeme zabývat otázkou, jak vlastně vyčíslit újmu způsobenou porušením Nařízení a jaká kritéria jsou relevantní.

Újma majetková a nemajetková

Jedním z předpokladů pro vznik práva na náhradu újmy je samozřejmě vznik újmy (škody). Újma se rozlišuje na újmu majetkovou a nemajetkovou.

Majetková újma pro poškozeného znamená ztrátu na jeho majetku, ať už ve formě zmenšení majetku, nebo ve formě ušlého zisku, kdy v důsledku porušení povinnosti škůdce nedošlo ke zhodnocení majetku poškozeného, k němuž by jinak došlo. V případě nemajetkové újmy k bezprostřední ztrátě na majetku poškozeného nedochází, přesto mu vzniká nárok na přiměřené zadostiučinění, které může být vyjádřeno v penězích.

Jako majetkovou újmy (škodu) označil německý soud náklady na advokáta ve výši 887 EUR, které vznikly ještě před podáním samotné žaloby a nemohly být tedy přiznány ve formě náhrady nákladů řízení (OLG Schleswig, 17 U 15/21, popř. OLG Düsseldorf, 16 U 275/20). Jiná přímá hmotná újma vzniká v důsledku porušení Nařízení spíše jen výjimečně, i když si lze představit značnou hmotnou újmu např. v důsledku ztráty identity nebo zpřístupnění citlivých osobních údajů. Zatím se však většina dosavadní judikatury týká náhrady nemajetkové (osobnostní) újmy.

České právo přiznává poškozenému právo na „přiměřené“ zadostiučinění, přičemž také podle české právní teorie je relevantní rozsah a intenzita zásahu. Pokud je rozsah zásahu malý, může jít o tzv. bagatelní újmu, a v takovém případě nelze zadostiučinění přiznat.

Extenzivní výklad pojmu „újma“

Jak vyplývá z třetí věty bodu 146 odůvodnění Nařízení, „výklad pojmu „újma“ by měl být široký a opírat se o judikaturu Soudního dvora při plném zohlednění cílů tohoto nařízení.“ Soudy by tedy neměly bez dalšího aplikovat zaběhnutou výkladovou praxi, ale měly by přihlížet k cílům Nařízení. To samozřejmě působí jisté obtíže a rozdíly ve výkladu čl. 82 Nařízení.

Některé německé soudy tak konstatovaly, že výklad odpovědnosti dle čl. 82 odst. 1 Nařízení by měl působit preventivně a měl by být pro správce pobídkou k přijetí opatření na ochranu osobních údajů. Takto své rozhodnutí odůvodnil např. mnichovský soud ve sporu souvisejícím s užíváním Google Fonts (LG München, 3 O 17493/20), který přiznal žalujícímu náhradu újmy ve výši 100 EUR, nebo hessenský soud ve sporu ohledně neoprávněného sledování zaměstnance detektivem (LAG Hessen, 16 Sa 380/20), který přiznal žalujícímu náhradu škody ve výši 1.500 EUR.

Méně extenzivní výklad pojmu „újma“

Jiné německé soudy naopak ve svých rozhodnutích přistoupily k výkladu pojmu nemateriální újma jinak a zdůrazňují, že porušení Nařízení musí vyvolat následky určité intenzity, aby bylo možno přiznat poškozenému nárok na náhradu újmy, a v případě bagatelní újmy se zdráhají přiznat poškozeným náhradu nehmotné újmy. Např. soud ve Frankfurtu nad Mohanem zamítnutí žaloby na náhradu újmy dle čl. 82 odůvodnil tím, že k přiznání práva je nezbytný určitý rozsah újmy, musí se jednat o pojmenovatelné a skutečné porušení práv poškozeného. Pokud není překonána hranice od pouhých obtíží či nepříjemností k reálné újmě, nevzniká škůdci povinnost takovou (bagatelní) újmu nahradit, i když žalovaný prokazatelně Nařízení nějakým způsobem porušil (AG Frankfurt am Main, 30 C 2705/19).

Podobně v jiném sporu soud konstatoval, že ne každé porušení povinností při zpracování osobních údajů představuje automaticky vznik práva poškozeného na náhradu újmy v penězích. V daném případě šlo o vrácení podkladů žalujícího klienta vč. jeho osobních údajů (včetně jeho finančních dat, např. kopií podkladů pro přiznání k dani) na nezaheslovaném USB flash disku, které byly odeslány běžnou poštou a došlo ke ztrátě zásilky. Soud jednak konstatoval, že v samotném zasílání nezašifrovaných dokumentů v elektronické formě prostřednictvím pošty nespatřuje porušení povinností správce, protože i písemné dokumenty nejsou vzhledem k jejich povaze zašifrované. K porušení povinnosti však došlo tak, že správce nesplnil ohlašovací povinnost dle čl. 33 Nařízení. Samotný nárok na náhradu újmy soud označil za nedůvodný a zdůraznil, že pouhý „nedobrý pocit“ žalobce nestačí pro vznik nároku na náhradu peněžité újmy. Žalobce nedoložil žádné negativní důsledky vyvolané ztrátou flash disku, navíc je dost dobře možné, že došlo k fyzickému poškození zásilky a ke zničení uvedených dat (LG Essen, 6 O 190/21).

Objasnit výklad toho, jaká újma je relevantní pro vznik peněžitého nároku na náhradu nehmotné újmy, by mohl SDEU ve věci C 687/21, který se bude zabývat mj. právě otázkou, zda ke vzniku nehmotné újmy postačuje už samotné „zneklidnění“ subjektu údajů.  

Výše náhrady nehmotné újmy v německé judikatuře

Rozpětí částky, kterou v jednotlivých sporech přiznaly soudy poškozeným subjektům údajů, je značné. Od částky 100 EUR v případě zmíněném shora (LG München, 3 O 17493/20), až k částce 5 000 EUR.

Náhrada újmy ve výši 5 000 EUR byla přiznána ve sporu s inkasní agenturou, která neoprávněně zapsala (oznámila) žalobce do německého registru dlužníků SCHUFA. Žalobce sice byl v prodlení s úhradou pohledávky po splatnosti, ale žalovaná inkasní agentura nedodržela striktní ustanovení německého zákona o ochraně osobních údajů, který podmiňuje oznámení do registru dlužníků předchozím doručením výzvy k úhradě, k němuž musí dojít alespoň dvakrát a mezi doručením první výzvy a oznámením do registru dlužníků musí uplynout alespoň 14 dnů (LG Mainz, 3 O 12/20).

V jiném případě byla přiznána náhrada újmy ve výši 2000 EUR vůči zdravotní pojišťovně. Poškozený žalobce měl zájem se zdravotně připojistit u soukromého subjektu, proto se obrátil na svou (zákonnou) zdravotní pojišťovnu s žádostí o zaslání výpisu ze svého zdravotního spisu. Zdravotní pojišťovna však omylem odeslala tento výpis na špatnou e-mailovou adresu, protože zaměstnanec zdravotní pojišťovny si nechal e-mailovou adresu nadiktovat telefonicky a zapsal si nesprávně přesné znění jména. Osobní údaje následně odeslal prostým e-mailem, aniž by osobní údaje pseudonymizoval nebo přílohu zašifroval či jinak zajistil před možností neoprávněného zpřístupnění třetí osobou. Žalobce požadoval náhradu újmy ve výši 15 000 EUR. Soud však argumentoval při stanovení výše újmy ve výši „pouhých“ 2 000 EUR tím, že sama žalobkyně si vyžádala odeslání výpisu mailem a nepožadovala přitom zašifrování nebo pseudonymizaci, navíc nebylo prokázáno, že by vedle „ztráty kontroly nad citlivými osobními údaji“ došlo k jejich šíření či zveřejnění. Zdravotní pojišťovna totiž na uvedenou e-mailovou adresu, na kterou omylem výpis odeslala, za několik dnů odeslala zprávu o tom, že došlo k mylnému zaslání citlivých osobních údajů, které nesmí být šířeny a podle provozovatele e-mailu šlo o neaktivní e-mailovou schránku, do které se nikdo nepřihlašoval a která byla následně deaktivována (OLG Düsseldorf, 16 U 275/20). Vedle náhrady nehmotné újmy soud přiznal žalobci náhradu hmotné újmy ve výši 255 EUR, vzniklé v důsledku vynaložených nákladů za služby advokáta vzniklých ještě před podáním samotné žaloby.

Na tomto místě je zatím možné shrnout, že ani ze shora uvedených rozhodnutí německých soudů nelze vysledovat nějakou jednotnou linii pro určování výše náhrady újmy. Soud přiznal poměrně vysokou náhradu ve výši 5 000 EUR, ačkoliv v odůvodnění zdůraznil, že žalobci reálně nevznikla žádná újma. V případě mylného odeslání citlivých zdravotních dat ve značném rozsahu naopak soud neakceptoval široký výklad pojmu újma a podrobně se zabýval v odůvodnění tím, že zdravotní pojišťovna osobní údaje zaslala ke svému štěstí do schránky, kterou patrně nikdo nepoužíval.

Náhrada újmy v judikatuře českých soudů

Zajímavý je v této souvislosti rozsudek Městského soudu v Praze z roku 2019, který ovšem měl skutkový základ ještě v roce 2017, tedy před nabytím účinnosti Nařízení, takže soudy nerozhodovaly na základě čl. 82 Nařízení. Případ souvisel s únikem osobních údajů více než 730 tisíc uživatelů e-shopu Mall.cz, které byly následně v roce 2017 zveřejněny na serveru ulozto.cz. Společnosti Internet Mall, a.s. v této souvislosti uložil ÚOOÚ pokutu ve výši 1,5 mil Kč. Jeden z poškozených následně požadoval po společnosti Internet Mall, a.s. náhradu nemajetkové újmy ve výši 125.000,-Kč. Soudy přiznaly žalobci částku 10.000,-Kč, bohužel se nijak nevyjádřily k výši finanční satisfakce, takže nám žádná vodítka pro další rozhodovací praxi soudů neposkytují. Rozsudek je dostupný na tomto odkaze.

Je náhrada újmy vůbec relevantní v ČR?

Obecně se v praxi setkávám spíše s přístupem, který by se dal charakterizovat větou: „Pamatujete na tu paniku kvůli GDPR, a přitom taková blbost, že?“ Nedávno se mě jeden potenciální klient ptal, jestli mají pořád ještě používat smlouvu o zpracování osobních údajů, jestli to není zbytečné a otravné, protože „téma GDPR už ztratilo na aktuálnosti.“ Pokut ze strany ÚOOÚ se nikdo moc neobává a české fyzické osoby si řízení před soudem spojují zpravidla s tím, že je pomalé, nejisté a drahé, takže by v naprosté většině případů do sporů popsaných v tomto článku vůbec nešly. Nabízí se proto otázka, jestli je problematika popsaná v tomto článku v České republice vůbec aktuální a relevantní.

Domnívám se, že ano. Jednak nelze vyloučit obdobné případy jako byla shora uvedená kauza Mall.cz. Tedy případy, které budou mediálně známé, dobře zdokumentované ze strany ÚOOÚ, takže případní poškození velice snadno unesou důkazní břemeno a jedinou otázkou pak zůstává, jak soudy jejich zpravidla nemajetkovou újmu vyčíslí. Krom toho se neúprosně blíží implementace hromadných žalob do českého právního řádu. A do konce tohoto roku by měla být implementována evropská směrnice o zástupných žalobách (směrnice Evropského parlamentu a Rady (EU) 2020/1828 ze dne 25. listopadu 2020 o zástupných žalobách na ochranu kolektivních zájmů spotřebitelů), která výslovně zmiňuje také působnost v oblasti ochrany osobních údajů a umožňuje „oprávněným osobám“ z řad spotřebitelských organizací zastupovat hromadně spotřebitele. V důsledku těchto legislativních změn padnou zábrany, které nyní případným poškozeným brání v tom, aby uplatnili svá práva u soudu. I relativně nízká částka peněžitého zadostiučinění může být pro žalovaného citelná, když se bude jednat o hromadnou žalobu podanou v zastoupení stovek nebo dokonce tisíců poškozených.

Vedle toho jsem si při studiu podkladů pro tento článek uvědomil, jak významným „dodavatelem“ judikatury jsou německé specializované pracovní soudy. Zaměstnanci, kteří se soudí se svým zaměstnavatelem, totiž často jako vedlejší nároky uplatňují náhradu újmy dle čl. 82 Nařízení. Toto je tedy další zdroj možných soudních sporů. Zaměstnavatelé přitomv řadě případů problematiku ochrany osobních údajů podceňují a nemají zavedené procesy vedoucí k řádnému splnění povinností v této oblasti (např. jak a v jakých lhůtách se vyypořádat s výzvou zaměstnance na přístup k osobním údajům nebo jeho námitkami vůči zpracování osobních údajů, např. v souvislosti s provozováním kamerových systémů). Právě německé pracovní soudy se přitom častěji přiklánějí k extenzivnějšímu výkladu pojmu „újma“.

Závěr

V podstatě lze téměř zopakovat závěr z prvního dílu tohoto článku. Ustálená judikatura zatím chybí a na výkladu článku 82 Nařízení se v příštím roce bude významně podílet SDEU. Zejména v souvislosti s příchodem hromadných žalob bude v dalších letech soudních sporů o náhradu újmy způsobené porušením Nařízení nepochybně přibývat. Správci osobních údajů by proto neměli oblast ochrany osobních údajů podceňovat.

 

Autor: Mgr. Petr Otevřel, otevrel@lawyer.cz | LinkedIN

Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, autorským a obchodním právem.