Dôsledky porušenia ochrany osobných údajov z praktického pohľadu

Ochrana osobných údajov má právny základ nielen v zákone o ochrane osobných údajov, ale taktiež v čl. 19 ods. 3 Ústavy, v zmysle ktorého: „Každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe.“

Porušením ochrany osobných údajov sa v zmysle GDPR a usmernenia pracovnej skupiny k čl. 29 rozumie porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú alebo neoprávnený prístup k nim.

 

Dôsledky pre prevádzkovateľov (a iné subjekty)

Medzi najciteľnejší dôsledok porušenia ochrany osobných údajov patria pokuty, ktoré môže Úrad na ochranu osobných údajov uložiť za správne delikty vymedzené v piatej hlave zákona o ochrane osobných údajov. Úrad je v zmysle § 104 zákona oprávnený uložiť pokutu až do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, alebo pri závažnejších správnych deliktoch až do výšky 20 000 000 eur alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia.

Kauze úniku osobných údajov čelil napr. aj Facebook, ktorý dovoľoval tretím stranám prevádzkovať svoje aplikácie na facebookovej platforme a umožňoval im získavať osobné údaje o užívateľoch, ktorí si nainštalovali danú aplikáciu alebo boli „priateľ“ s niekým, kto mal túto aplikáciu nainštalovanú. Užívatelia však o získavaní údajov neboli informovaní. Predmetná aplikácia získavala meno, pohlavie, dátum narodenia, mesto, fotografie, posty, stránky, zoznam priateľov, email a dokonca aj obsah správ. Za takýto hlboký zásah do osobných údajov a súkromia jednotlivcov Britský Úrad komisára pre informácie vyrubil pokutu vo výške 500 000 libier.

Ukladanie pokút sa však netýka len prevádzkovateľov, sprostredkovateľov, certifikačných a monitorujúcich subjektov, ale zodpovednosť môže byť vyvodená aj voči akejkoľvek inej osobe, a to za neposkytnutie súčinnosti až do výšky 2 000 eur. V zmysle § 109 zákona o ochrane osobných údajov, každý je povinný poskytnúť Úradu potrebnú súčinnosť pri výkone jeho úloh a umožniť mu vykonať dozor nad dodržiavaním povinností a rozhodnutí vydaných na základe zákona. Sankcia vo forme poriadkovej pokuty 2 000 eur teda môže postihnúť kohokoľvek, kto neposkytne Úradu pri výkone dozoru požadovanú súčinnosť.

V civilnoprávnej rovine sa subjekt, ktorý spôsobil porušenie ochrany osobných údajov, vystavuje riziku hrozby žaloby na náhradu škody, prípadne žaloby na zdržanie sa konania, na odstránenie nezákonného stavu a pod. Zákon o ochrane osobných údajov priznáva poškodenej dotknutej osobe právo na náhradu škody, pričom dotknutá osoba musí svoj nárok uplatniť u prevádzkovateľa alebo sprostredkovateľa. Podaním žaloby však nie je dotknutá možnosť poškodenej osoby paralelne uplatniť ochranu svojich práv aj pred Úradom ako dozorným orgánom.

V trestnoprávnej rovine porušenie ochrany osobných údajov môže vyústiť až do naplnenia skutkovej podstaty trestného činu neoprávneného nakladania s osobnými údajmi podľa § 374 Trestného zákona, za ktorý hrozí pri kvalifikovanej skutkovej podstate, napr. pri spôsobení vážnej ujmy na právach dotknutej osoby alebo ak páchateľ spácha trestný čin verejne, trest odňatia slobody až na dva roky.

Okrem uvedených finančných a právnych dôsledkov porušenia ochrany osobných údajov by si prevádzkovatelia mali byť tiež vedomí reputačného a podnikateľského rizika. Medializácia prípadov porušenia ochrany osobných údajov, obzvlášť pri rozsiahlych škodách, môže prevádzkovateľovi priniesť častokrát závažnejšie dôsledky ako spomenuté civilné konanie. Následkom negatívnej reklamy totiž môže byť strata konkurenčnej výhody podnikateľa a postavenia na trhu, čo z finančného hľadiska môže spoločnosť zlikvidovať.

V tejto súvislosti možno spomenúť jeden z najkurióznejších prípadov úniku osobných údajov týkajúci sa úverovej kancelárie Equifax, ktorá patrí do trojice najväčších úverových kancelárií v USA. V danom prípade sa útočníci nabúrali do serverov spoločnosti a ukradli osobné údaje o 143 miliónoch amerických občanov, čo je viac ako polovica dospelej populácie v Amerike. Medzi ukradnutými osobnými údajmi boli rodné čísla, adresy, čísla sociálneho zabezpečenia, čísla kreditných kariet a ďalšie citlivé dokumenty, ako i osobné údaje o spotrebiteľoch z iných krajín. Rozsah získaných údajov by podvodníkom úplne stačil na to, aby mohli ukradnúť identitu daných osôb, čo mohlo mať nesmierne negatívny vplyv na životy, zdravie a bezpečnosť dotknutých osôb. Odcudzené údaje týkajúce sa sociálneho zabezpečenia môžu spôsobiť závažné problémy aj rodinám poberajúcim rôzne sociálne dávky, pretože vláda môže prestať vyplácať dávky sociálneho zabezpečenia v prípade zistenia podvodnej aktivity s číslom sociálneho poistenia, čo ohrozuje najmä rodiny s nízkymi príjmami, ktoré sú na tieto dávky odkázané. Verejnosť bola o incidente informovaná až šesť týždňov po zistení útoku. Následne spoločnosť Equifax začala čeliť obrovskému množstvu žalôb a medializácii prípadu, čo sa okamžite odzrkadlilo v strate reputácie spoločnosti a jej postavení na trhu. Kvôli danému incidentu hodnota akcií spoločnosti spadla v priebehu najbližších dní po prevalení sa celého incidentu až o jednu tretinu.[1]

 

Dôsledky pre dotknuté osoby

Z pohľadu dotknutých osôb, dôsledky porušenia ochrany osobných údajov možno rozdeliť na majetkovú a nemajetkovú ujmu. Podľa zákona o ochrane osobných údajov: „každá osoba, ktorej vznikla majetková ujma alebo nemajetková ujma, v dôsledku porušenia tohto zákona, má právo na náhradu škody od prevádzkovateľa alebo sprostredkovateľa”.

Pod nemajetkovou ujmou možno vo všeobecnosti rozumieť akúkoľvek ujmu, ktorá pre poškodeného nepredstavuje priamu stratu na majetku, a teda nie je vyjadriteľná v peniazoch. Postihuje inú ako majetkovú sféru poškodeného - sféru osobnostnú, pod ktorú možno podradiť aj sféru citovú. Najčastejšou nemajetkovou ujmou v súvislosti s porušením ochrany osobných údajov môže byť poškodenie dobrého mena, poškodenie vážnosti či dobrej povesti v spoločnosti.

K zneužitiu osobných údajov môže dôjsť napríklad prostredníctvom uverejnených fotografií, ktoré môžu byť použité napríklad na vytvorenie falošného profilu, ktorý bude vzbudzovať dojem, že je pravý a že je za ním skutočne osoba, ktorej údaje budú zneužité. Aj takýto falošný profil sa môže stať prostriedkom pomsty, zosmiešnenia, či poškodenia dobrého mena, kedy nepochybne bude spôsobená nemajetková ujma.

V zmysle uznesenia Najvyššieho súdu SR z 29. júna 2011, sp. zn. 4 Cdo 232/2010: „Podmienkou priznania náhrady nemajetkovej ujmy v peniazoch (t.j. materiálnej satisfakcie) je – vždy – v závislosti na individuálnych okolnostiach daného prípadu – existencia závažnej ujmy. Za závažnú ujmu treba podľa právneho názoru dovolacieho súdu považovať ujmu, ktorú fyzická osoba vzhľadom na okolnosti, za ktorých k porušeniu práva došlo, intenzitu zásahu, jeho trvanie alebo dopad a dôsledky považuje za ujmu značnú. Pritom však nie sú rozhodujúce jej subjektívne pocity, ale objektívne hľadisko, teda to, či by predmetnú ujmu takto v danom mieste a čase (v tej istej situácii, prípadne spoločenskom postavení a pod.) vnímala aj každá iná fyzická osoba.

Presná vymáhateľná výška nemajetkovej ujmy bude závisieť vždy od konkrétnych okolností prípadu, najmä v závislosti od povahy, trvania, závažnosti ujmy a spôsobených dôsledkov. Jej výška sa však môže vyšplhať až na desiatky tisíce eur, ako napríklad v prípade sp. zn. 9C/25/2012, kedy prvostupňový súd rozhodol, že právo žalobkyne na ochranu pred neoprávneným zhromažďovaním údajov o jej osobe a právo na ochranu pred iným zneužívaním údajov o jej osobe boli porušené. Súd priznal žalobkyni finančné zadosťučinenie vo výške 46.471,49 eur od žalovanej v rade 1. ako aj od žalovanej v rade 2. a súčasne priznal náhradu spôsobenej škody vo výške 3.983,27 eur od žalovaných v rade 1. a 2. V uvedenom prípade išlo o situáciu, kedy žalobkyňa bola neoprávnene evidovaná v zozname dlžníkov Sociálnej poisťovne (žalovanej v rade 1.) v období aj po úhrade jej dlžnej čiastky vo výške 384,- Sk (t.j. 12,75 eur) a následne aj v informačnom systéme žalovanej v rade 2., ktorej Sociálna poisťovňa postúpila pohľadávku voči žalobkyni, avšak až po jej úhrade - došlo teda k postúpeniu pohľadávky, ktorá už zanikla jej splnením, a preto reálne už neexistovala. Napriek tomu, žalovaná v rade 2. evidovala osobné údaje žalobkyne vo svojom informačnom systéme a tieto osobné údaje zverejňovala aj na internetovej stránke v rozsahu meno, priezvisko, rodné číslo, adresa, dlžná suma počas takmer 11 mesiacov. Súd rozhodol, že postupom žalovaných bolo porušené právo žalobkyne na ochranu osobných údajov zakotvené v čl. 19 Ústavy SR a opakovane odôvodnil, že z hľadiska poskytnutia ochrany nie je významné, či neoprávnený zásah bol spôsobený zavinene či nezavinene alebo vedome či nevedome, pričom sa nevyžaduje ani vyvolanie následkov, ale stačí, že neoprávnený zásah bol spôsobilý vyvolať ohrozenie alebo narušenie chránených práv osobnosti fyzickej osoby.

Zneužité fotografie a iné osobné údaje, najmä tie, ktoré zachytávajú majetkové pomery či životný štýl dotknutej osoby, môžu okrem poškodenia dobrého mena v spoločnosti privodiť tiež majetkovú ujmu, ak sa osobné údaje dostanú do rúk podvodníkom alebo zlodejom. Môže ísť o prípady „vybielenia“ bankového účtu, vykradnutia nehnuteľnosti či krádeže osobných vecí, diskriminácie, zamietnutia žiadosti o úver pre nedostatočný credit rating v dôsledku zneužitia identity, stratu nároku na sociálne dávky (ako v kauze Equifax popísanej vyššie) alebo straty zamestnania pre zníženie spoločenskej vážnosti a poškodenie dobrého mena. Uplatnenie nároku na náhradu škody sa nedotýka nárokov na náhradu nemajetkovej ujmy - zákon teda nevylučuje súčasné uplatnenie nároku na náhradu škody aj náhrady nemajetkovej ujmy.

Vzhľadom na uvedené možno uzavrieť, že porušenie ochrany osobných údajov môže mať závažné nepriaznivé dôsledky tak pre subjekty, ktoré sú zodpovedné za ochranu osobných údajov (najmä prevádzkovateľov a sprostredkovateľov) vo forme právnych, obchodných, finančných i reputačných následkov, ako i pre dotknuté osoby z pohľadu ochrany ich osobnosti, dobrého mena, práva na súkromie a ďalších základných ľudských práv.

Publikované na www.epravo.sk 12. 12. 2018

MENKE LEGAL s.r.o.


[1] https://www.epic.org/privacy/data-breach/equifax/