Riziko úniku osobních údajů v podnicích a náhrada škody

Rizika obklopující podnikové řízení zahrnují krize v řízení, nehody způsobené porušením povinnosti podniku dbát na bezpečnost, ale v posledních letech se stává velkým problémem také riziko úniku osobních údajů a s tím spojené náhrady škody.

Tokyo Shoko Research oznámil, že v roce 2019 (Gregorian calendar year 2019) 66 společností uvedených na burze a jejich dceřiných společností oznámilo úniky a ztráty osobních údajů, počet incidentů dosáhl 86 a uniklé osobní údaje dosáhly 9 031 734 osob. K tomu, pokud přidáme nekótované společnosti, zahraniční společnosti, vládní úřady, místní samosprávy, školy atd., může se počet dramaticky zvýšit.

https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]

Mezi úniky a ztrátami osobních údajů je stále největší incident, který byl odhalen v červenci 2014 (Gregorian calendar year 2014), kdy zaměstnanec společnosti, které bylo svěřeno zpracování údajů, neoprávněně získal informace o zákaznících společnosti Benesse Holdings (Japonská Benesse Corporation) a uniklo tak 35,04 milionu osobních údajů. V roce 2019 (Gregorian calendar year 2019) se v několika soudních případech týkajících se tohoto incidentu objevily nové vývoje.
Zatímco se snažíme vyřešit problém Benesse, zamysleme se nad rizikem úniku osobních údajů a náhrady škody pro podniky.

Co je incident úniku osobních údajů společnosti Benesse

Kolem června 2014 začali zákazníci společnosti Benesse dostávat přímé e-maily od společnosti “Just System”, která poskytuje vzdělávání na dálku. To vyvolalo nárůst dotazů, zda tyto e-maily nevyužívají osobní údaje, které byly zaregistrovány pouze u společnosti Benesse, a zda nebyly tyto údaje nějak unikly.

27. června společnost Benesse zahájila interní vyšetřování a 30. června o tom informovala policii a Ministerstvo hospodářství, obchodu a průmyslu. Dne 9. července na tiskové konferenci oznámila, že došlo k úniku osobních údajů, jako jsou jména, adresy, telefonní čísla, pohlaví a data narození dětí a jejich rodičů, kteří jsou zákazníky jejích vzdělávacích programů, jako je “Shinken Seminar”.

17. července byl zatčen 39letý systémový inženýr, který měl přístup k zákaznickým údajům a byl odpovědný za správu databázového systému společnosti Synform, která byla subdodavatelem společnosti Benesse pro správu zákaznických informací. Bylo zjištěno, že tento inženýr odnesl osobní údaje a prodal je firmě zabývající se prodejem adresářů.

V září společnost Benesse na tiskové konferenci oznámila, že počet případů úniku zákaznických informací dosáhl 35,04 milionu. Společnost uvedla, že již připravila 20 miliard jenů (cca 4,6 miliard Kč) jako kompenzaci pro oběti úniku osobních údajů. Společnost také oznámila, že znovu odeslala omluvný dopis potvrzeným zákazníkům a podle jejich volby jim poskytne dárkové poukázky v hodnotě 500 jenů (cca 115 Kč) (elektronický peněžní dárek nebo knižní poukázky platné po celé zemi) nebo daruje 500 jenů za každý případ úniku na nadaci Benesse Children’s Foundation, která byla založena s cílem podporovat děti postižené tímto únikem.

Na toto oznámení reagovala skupina obětí tím, že zformovala několik právnických týmů a podala hromadnou žalobu. V roce 2019 bylo v této věci zaznamenáno několik vývojů. Co se týče trestního řízení, systémový inženýr, který byl obviněný z odcizení osobních údajů, byl obviněn z porušení zákona o prevenci nespravedlivé soutěže (kopírování a zveřejňování obchodních tajemství). Dne 21. března 2017 byl vynesen konečný rozsudek Tokijského vrchního soudu, který ho odsoudil k trestu odnětí svobody na 2 a půl roku a pokutě 3 miliony jenů (cca 690 tisíc Kč) bez možnosti odkladu.

Rozhodnutí Nejvyššího soudu a odvolací řízení po vrácení případu

V případě, kdy muž a dítě trpěli duševním stresem kvůli úniku jména, adresy, telefonního čísla atd., požadoval muž od společnosti Benesse náhradu škody ve výši 100 000 jenů. Nejvyšší soud zrušil rozsudek původního soudu, tedy Ósackého vrchního soudu, a vrátil případ k dalšímu projednání, protože nebylo provedeno dostatečné zkoumání.

Před vrácením případu první instance, tedy Okresní soud v Himeji, dne 2. prosince 2015 uznal jako nesporný fakt, že jméno muže, které spravovala společnost Benesse, uniklo. Soud však zamítl nárok muže, protože nebyly doloženy konkrétní okolnosti, které by dokázaly, že k tomu došlo vinou společnosti Benesse.

Na to muž podal odvolání a odvolací soud (Ósacký vrchní soud, rozsudek ze dne 29. června 2016) uznal, že uniklo jméno, pohlaví, datum narození, poštovní směrovací číslo, adresa, telefonní číslo a jméno zákonného zástupce (jméno žalobce) dítěte, které spravoval žalovaný. Soud dále uznal, že na základě toho lze konstatovat, že unikly osobní údaje žalobce, včetně jeho jména, poštovního směrovacího čísla, adresy, telefonního čísla a jména, pohlaví a data narození jeho rodinných příslušníků. Soud uznal, že únik těchto osobních údajů žalobce může v běžném vnímání člověka vyvolat nejen nepříjemné pocity, ale také obavy. Nicméně, pokud se cítíte jen nepříjemně, nemůžete okamžitě požadovat náhradu škody jako narušený zájem. Odvolání bylo zamítnuto, protože nebyly doloženy žádné důkazy o škodě přesahující výše uvedené nepříjemné pocity atd.

Rozhodnutí Nejvyššího soudu

Odvolatel podal proti tomu dovolání, které Nejvyšší soud přijal. Nejvyšší soud konstatoval, že i když bylo možné říci, že odvolatel byl narušen v jeho soukromí v důsledku úniku informací, Osaka High Court (Japonský Vrchní soud v Ósace) zamítl nárok odvolatele bez dostatečného zkoumání existence a míry duševní škody odvolatele způsobené porušením soukromí, pouze na základě skutečnosti, že nebylo prokázáno tvrzení o vzniku škody přesahující nepohodlí. Nejvyšší soud dále uvedl, že takové rozhodnutí původního soudu bylo nezákonné, protože došlo k nesprávné interpretaci a aplikaci zákonů týkajících se škod v případě protiprávního jednání a nedostatečnému zkoumání výše uvedených bodů, a zrušil původní rozsudek. Pro další zkoumání existence a míry duševní škody odvolatele a existence nedbalosti ze strany žalovaného, byla věc vrácena zpět do Vrchního soudu (Rozhodnutí Nejvyššího soudu ze dne 23. října 2017 (2017)).

https://monolith.law/reputation/privacy-invasion[ja]

Rozhodnutí odvolacího soudu o vrácení případu

V případě vrácení případu rozhodl Vrchní soud v Ósace (20. listopadu 2019) o tom, že zaměstnanec v daném případu neoprávněně získal osobní údaje pomocí metody přenosu dat pomocí MTP komunikace tím, že připojil smartphone kompatibilní s MTP k pracovnímu počítači pomocí USB kabelu přes USB port a prodal je seznamovací agentuře. Společnost Shinform měla povinnost dbát na to, aby se smartphone kompatibilní s MTP nedostal do výše uvedené kanceláře a aby se nedostal k osobním údajům v daném případu, ale tuto povinnost zanedbala. Benesse porušila svou povinnost řádně dohlížet na společnost Shinform, která byla pověřena správou daných osobních údajů, což vedlo k úniku údajů zaměstnancem. Proto bylo rozhodnuto, že obě společnosti nesou společnou odpovědnost za protiprávní jednání (článek 719 odstavec 1 občanského zákoníku) za škodu způsobenou tímto jednáním.

Poté, co bylo uznáno, že došlo k porušení soukromí, bylo rozhodnuto, že bylo porušeno ustanovení článku 22 zákona o ochraně osobních údajů (japonský zákon o ochraně osobních údajů), které stanoví, že “pokud subjekt zpracování osobních údajů svěří celou nebo část zpracování osobních údajů, musí provést nezbytný a vhodný dohled nad subjektem, kterému bylo svěřeno zpracování, aby bylo zajištěno bezpečné zpracování osobních údajů”. S ohledem na skutečnost, že adresa, jméno a telefonní číslo odvolatele byly zveřejněny na webových stránkách atd., bylo nařízeno zaplatit 1000 jenů jako náhradu škody.

Tento soud je třetím případem, kdy byla uznána odpovědnost Benesse za náhradu škody. Na začátku tohoto článku jsme napsali, že “v roce 2019 došlo k několika novým vývojům v soudních případech týkajících se této události”, ale všechna tři rozhodnutí uznávající odpovědnost Benesse za náhradu škody byla vydána v roce 2019.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

První soudní případ uznávající odpovědnost společnosti Benesse

Rozhodnutí první instance

Společnost Benesse byla poprvé uznána za odpovědnou v odvolacím soudním rozhodnutí, kdy muž požadoval odškodnění za duševní utrpení způsobené tím, že společnost Benesse umožnila únik osobních údajů o něm, jeho manželce a synovi.

První instance (Yokohama District Court, 16. února 2017) uznala, že společnost Benesse porušila svou povinnost k opatrnosti, ale zamítla žalobu proti společnosti Benesse, protože nebyly doloženy konkrétní skutečnosti, které by dokazovaly, že společnost porušila svou povinnost sledovat zpracování osobních údajů. Muž a další žalobci se proto odvolali.

V první instanci bylo uvedeno, že i když společnost Benesse obdržela doporučení na základě článku 34 odst. 1 Japonského zákona o ochraně osobních údajů (Japanese Personal Information Protection Act) od ministra hospodářství, obchodu a průmyslu za porušení povinností stanovených v článcích 20 a 22 tohoto zákona a za způsobení úniku informací v tomto případě, doporučení podle tohoto ustanovení se vydává, když je uznáno jako nezbytné pro ochranu práv a zájmů jednotlivců, a nevyžaduje existenci povinnosti předvídat výsledky nebo povinnosti zabránit výsledkům nebo porušení těchto povinností v době úniku informací. Proto bylo uvedeno, že pouhé vydání doporučení nestačí k uznání, že společnost Benesse měla v době úniku informací nedbalost podle článku 709 občanského zákoníku (Japanese Civil Code).

Rozhodnutí odvolacího soudu

Na to odvolací soud, Tokyo High Court (27. června 2019), předpokládající skutečnost, že se nejednalo o zločin provedený s využitím vysoké úrovně znalostí nebo speciálních technik, ale o jednoduchý zločin, který byl proveden tím, že se napadlo, že je možné přenést data tím, že se smartphone připojil k pracovnímu počítači pomocí komerčního USB kabelu pro nabíjení, uznal, že společnost Shinform měla povinnost uplatnit kontrolu nad přenosem dat na smartphony podporující MTP a že tuto povinnost zanedbala. Uznal také, že společnost Benesse, která svěřila správu velkého množství osobních údajů, měla v době úniku povinnost řádně dohlížet na svého dodavatele v oblasti správy osobních údajů a že tuto povinnost zanedbala. Soud rozhodl, že tyto nezákonné činy obou společností představují společný nezákonný čin podle článku 719 odst. 1 první části občanského zákoníku (Japanese Civil Code).

Soud dále uvedl, že “je přirozené, že odvolatelé nechtějí, aby byly tyto osobní informace náhodně zveřejněny těm, kteří je nechtějí, a proto jsou tyto osobní informace předmětem právní ochrany jako informace týkající se soukromí odvolatelů, a únik těchto informací by měl být považován za porušení jejich soukromí”. Soud také uvedl, že společnost Benesse okamžitě zahájila reakci po zjištění úniku, přijala opatření k zabránění dalšímu šíření škody z úniku informací, podala zprávu a provedla vyšetřovací zprávu na základě pokynů dozorového orgánu. Společnost také odeslala omluvný dopis zákazníkům, u kterých se předpokládalo, že došlo k úniku informací, a podle volby zákazníka distribuovala kupóny v hodnotě 500 jenů. Soud zohlednil skutečnost, že odvolatelé obdrželi elektronický dárkový poukaz v hodnotě 500 jenů, a nařídil společnosti Benesse, aby každému z nich zaplatila odškodnění ve výši 2000 jenů.

Druhý soudní případ uznávající odpovědnost společnosti Benesse

Verdikt v soudním sporu, ve kterém 13 zákazníků požadovalo od této společnosti a jejích přidružených společností celkem 980 000 jenů jako náhradu škody, byl vydán dne 6. září 2019 (rok 2019 podle gregoriánského kalendáře) u tokijského okresního soudu. Společnostem Benesse a Shinform bylo nařízeno zaplatit 3000 jenů na osobu (jedna osoba 3300 jenů), celkem 42 300 jenů.

Soud neschválil odpovědnost společnosti Benesse jako zaměstnavatele vůči společnosti Shinform, kterou požadovali žalobci, protože se jedná o samostatnou právnickou osobu. Nicméně, společnost Shinform nepřehodnotila nastavení svého bezpečnostního softwaru, což umožnilo přenos dat z pracovních počítačů na smartphony kompatibilní s MTP. Proto měla chybu v porušení povinnosti kontrolovat výstup informací. Společnost Benesse měla při svěření velkého množství informací o zákaznících pro vývoj tohoto systému povinnost vybrat a dohlížet na svého dodavatele podle zásady dobré víry, včetně žalobců a ostatních zákazníků. Soud uznal společné protiprávní jednání (článek 719, odstavec 1, první část, japonského občanského zákoníku) a nařídil jim společně zaplatit žalobcům náhradu škody.

https://monolith.law/reputation/employer-liability-responsibility-in-defamation[ja]

V tomto rozsudku byl citován článek 22 japonského zákona o ochraně osobních údajů, který stanoví, že “když subjekt zpracování osobních údajů svěří zpracování všech nebo části osobních údajů, musí provést nezbytný a vhodný dohled nad subjektem, kterému bylo svěřeno zpracování, aby bylo zajištěno bezpečné řízení osobních údajů”. Dále bylo poukázáno na pokyny ministerstva průmyslu a obchodu z roku Heisei 21 (2009 podle gregoriánského kalendáře), které uvádějí, že “nezbytný a vhodný dohled” zahrnuje výběr vhodného dodavatele, uzavření nezbytné smlouvy s dodavatelem, aby dodržoval bezpečnostní opatření podle článku 20 zákona o ochraně osobních údajů, a sledování zpracování svěřených osobních údajů u dodavatele.

Shrnutí

Původně měla společnost Benesse připraveno 20 miliard jenů jako kompenzaci pro oběti, ale ukázalo se, že to nebude dostačující. V listopadu 2014 Japonská asociace pro podporu informační ekonomiky a společnosti odebrala společnosti Benesse Holdings tzv. “Privacy Mark”, což je označení udělované firmám, které správně spravují osobní údaje. Počet členů “Shinken Seminar” a “Kodomo Challenge” v dubnu 2015 (rok 2015) byl 2,71 milionu, což je o 940 tisíc méně než v předchozím roce. Konsolidované výsledky za období od dubna do června ukázaly, že tržby klesly o 7% oproti stejnému období předchozího roku a provozní zisk klesl o 88%. Provozní zisk se změnil z černých čísel ve výši 3,91 miliardy jenů v předchozím roce na červené číslo 430 milionů jenů. Riziko náhrady škody v důsledku úniku osobních údajů může být pro společnosti otázkou života a smrti.