facebook LinkedIN LinkedIN - follow
IT SYSTEMS 11/2021 , IT Security , IT právo

Jaká je odpovědnost (a případná vymahatelnost náhrad) za škody způsobené kybernetickým incidentem?

JUDr. Jiří Matzner, Ph.D., LLM


Data breachJelikož v důsledků narůstajícího uchovávání a zpracovávání citlivých informací a dat v elektronické podobě čím dál tím více přibývá kybernetických incidentů, ať už se jedná o incidenty spočívající v neúmyslných únicích způsobených lidskou chybou nebo incidenty způsobené úmyslným útokem na informační systémy, je nedílnou součástí tohoto problému i otázka odpovědnosti za škody a následky vzniklé v důsledku kybernetického incidentu. Především z toho důvodu, že škody způsobené kybernetickým incidentem se mohou vyšplhat do závratných výšin. Zejména, spočívají-li v úniku citlivých dat například o klientech banky, zdravotní pojišťovny nebo o pacientech určitého lékařského zařízení.


V tomto článku bychom se věnovali výhradně soukromoprávní odpovědnosti za kybernetický incident a vynechali bychom tak případnou trestně-právní či správně-právní odpovědnost. Vznik případné soukromoprávní odpovědnosti za škodu způsobenou kybernetickým incidentem by se primárně posuzoval podle ustanovení § 2894 a násl. zákona č. 89/2012 Sb., občanského zákoníku, v platném znění (dále jen „občanský zákoník“), upravující deliktní odpovědnost škůdce nahradit poškozenému vzniklou újmu. V otázce případné vymahatelnosti vzniklé škody je třeba se na problematiku podívat jednak z pohledu osoby škůdce, která by měla mít povinnost škodu v konečném důsledku hradit, jakož i z pohledu prokazatelnosti výše vzniklé škody a příčinné souvislosti mezi protiprávním jednáním škůdce a vzniklou škodou. Reálně se totiž bude vymahatelnost náhrady škody zásadně lišit v případech, kdy osobou škůdce bude neznámý hacker, zaměstnanec nadnárodní společnosti či nadnárodní společnost jako taková.

Odpovědnost za škodu vzniklou porušením smluvní povinnosti

Podle občanského zákoníku se lze domáhat náhrady škody po škůdci, který poruší svou povinnost z uzavřené smlouvy. Jako modelový příklad můžeme uvést ztrátou citlivých údajů o kreditních kartách klientů bankou, která měla podle smlouvy povinnost takovéto údaje patřičně zabezpečit a chránit před únikem či zneužitím a tuto povinnost porušila. V takovém případě by klientům s největší pravděpodobností vzniklo právo domáhat se vůči bance náhrady škody. Klienti by v řízení před soudem samozřejmě museli unést důkazní břemeno, a to především k prokázání výše vzniklé újmy a příčinné souvislosti mezi jejím vznikem a porušením smluvní povinnosti bankou, což by bezesporu nebylo jednoduché. Na bance by se však plnění v konečném důsledku mohli domoci, zejména pokud by klientům vznikla škoda spočívající ve ztrátě či krádeži finančních prostředků.

Povinnosti k náhradě škody by se v uvedeném modelovém případě banka zprostila pouze v případě, kdy by prokázala, že ji ve splnění smluvní povinnosti dočasně nebo trvale zabránila mimořádná nepředvídatelná a nepřekonatelná překážka vzniklá nezávisle na její vůli (např. živelní pohroma, válka nebo generální stávka). Tento liberační důvod však nebude v praxi moc použitelný. Nadto pokud by ke kybernetickému incidentu došlo např. pochybením konkrétního zaměstnance banky, který zneužití citlivých dat zavinil v důsledku porušení bezpečnostních pravidel banky, odpovídala by za škodu vůči svým klientům stále banka, a nikoliv dotyčný zaměstnanec. Banka by se následně sice mohla v rámci regresní odpovědnosti domáhat náhrady škody po takovémto zaměstnanci, který porušil bezpečnostní pravidla stanovená vnitřními předpisy (např. vynesl citlivá data klientů mimo pracoviště nebo použil nezabezpečené internetové připojení), pouze však ve velmi omezeném rozsahu – a to maximálně do výše čtyřapůlnásobku jeho průměrného výdělku před porušením povinnosti. Primární odpovědnost za škody vzniklou kybernetickým incidentem by tak v uvedeném případě stejně nesla banka.

Odpovědnost za škodu vzniklou porušením zákona

V případě kybernetického incidentu by mohla vzniknout i odpovědnost za škodu způsobenou porušením zákona. Občanský zákoník v této souvislosti stanoví, že škůdce, který vlastním zaviněním poruší povinnost stanovenou zákonem a zasáhne tak do absolutního práva poškozeného, nahradí poškozenému, co tím způsobil. Hlavní rozdíl oproti vzniku odpovědnosti za škodu v důsledku porušení smlouvy zde spočívá v tom, že odpovědnost za škodu v důsledku porušení zákona vzniká jen tomu, kdo zákonnou povinnost porušil zaviněně (u odpovědnosti za škodu v důsledku porušení smlouvy se obecně zavinění nevyžaduje). Občanský zákoník však při porušení zákona automaticky presumuje zavinění z nedbalosti.

Odpovědnost za kybernetický incident v důsledku porušení zákona může v praxi být navázána například na povinnosti povinných osob stanovené v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti, v platném znění (dále jen „zákon o kybernetické bezpečnosti“). V případě porušení povinností stanovených zákonem o kybernetické bezpečnosti by v teoretické rovině bylo možné po dotyčném subjektu požadovat náhradu škody – musela by však být před soudem i v tomto případě dostatečně prokázána její výše a příčinná souvislost mezi vznikem škody a porušením zákona. Za porušení povinností plynoucích ze zákona o kybernetické bezpečnosti by nadto mohly povinnému subjektu hrozit i nemalé správní pokuty a sankce.

Závěr

Odpovědnost za škodu způsobenou kybernetickým incidentem může zcela reálně vzniknout, a to bez ohledu na to, zda půjde o odpovědnost vzniklou porušením smlouvy nebo porušením zákona. Zásadní otázkou je však vymahatelnost takové škody, která bude záviset na mnoha faktorech. Pomineme-li problematiku dokazování výše škody a příčinné souvislosti, která u žalob na náhradu škody nebývá vždy jednoduchá, může se vymahatelnost vzniklých škod zkomplikovat i s ohledem na osobu žalovaného. Pokud totiž bude žalovaným například zaměstnanec, který kybernetický incident způsobil, nelze očekávat, že bude vzniklá škoda nahrazena v plné výši, jelikož zákoník práce v tomto směru odpovědnost zaměstnanců drasticky omezuje. Obdobná situace může nastat i v případě, kdy bude škůdcem „neznámý hacker“, kterého nebude možné v žalobě patřičně identifikovat a náhradu škody po něm tudíž ani vymáhat. V ostatních případech však efektivní vymahatelnost náhrady škody nelze vyloučit, jakkoliv vždy bude záviset na konkrétních okolnostech daného případu.

JUDr. Jiří Matzner, Ph.D., LLM. JUDr. Jiří Matzner, Ph.D., LLM.
Autor článku je zakladatelem advokátní kanceláře MATZNER et al.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Fortinet představil první bezpečné síťové řešení s podporou Wi-Fi 7

FortiAP 441KNový přístupový bod Wi-Fi 7 a 10gigabitový switch s podporou napájení PoE nabízí 2x vyšší rychlost a zvýšenou kapacitu v rámci integrovaného portfolia bezpečných pevných a bez­drá­to­vých řešení společnosti Fortinet.