Skrytá pravda o zodpovednosti firiem: Prečo sa pri porušení GDPR musíte báť občianskeho práva viac ako pokút od úradu

Skrytá pravda o zodpovednosti firiem: Prečo sa pri porušení GDPR musíte báť občianskeho práva viac ako pokút od úradu

Väčšina podnikateľov a manažérov na Slovensku vníma GDPR predovšetkým cez optiku drakonických pokút, ktoré môže udeliť Úrad na ochranu osobných údajov. Strach z miliónových sankcií je pochopiteľný, no v praxi predstavuje len jednu stranu mince. Skutočné finančné a existenčné riziko sa totiž čoraz viac presúva do sféry občianskeho práva. Zatiaľ čo dozorný orgán má obmedzené kapacity na kontrolu každej firmy, každý jeden dotknutý jednotlivec – či už zákazník, zamestnanec alebo obchodný partner – má dnes v rukách silný nástroj v podobe práva na náhradu škody. Práve rozmach súdnych sporov o nemajetkovú ujmu a príchod hromadných žalôb menia pravidlá hry. V tomto článku rozoberieme, prečo je civilná zodpovednosť pre firmy nebezpečnejšia než štátny dohľad a ako sa judikatúra Súdneho dvora EÚ stáva nočnou morou pre nepripravených prevádzkovateľov.

1. Administratívna pokuta verzus náhrada škody: Kde končia peniaze?

Základný rozdiel medzi pokutou od úradu a úspešnou žalobou jednotlivca spočíva v tom, komu peniaze smerujú a čo je cieľom sankcie. Administratívna pokuta je trestom za porušenie verejného práva a jej výnos putuje do štátnej pokladnice. Pre firmu je to síce finančná strata, ale často ide o jednorazovú udalosť, po ktorej nasleduje náprava. Naopak, občianskoprávna zodpovednosť slúži na kompenzáciu poškodeného. Ak firma stratí databázu s údajmi 10 000 klientov, úrad jej môže udeliť jednu pokutu. Avšak teoreticky môže čeliť 10 000 individuálnym žalobám o náhradu škody.

Tento multiplikačný efekt je to, čo robí civilné právo takým nebezpečným. Aj keď by súd priznal každému poškodenému relatívne nízku sumu, napríklad 500 eur za stres a stratu kontroly nad údajmi, celková suma pri tisíckach dotknutých osôb môže prevýšiť akúkoľvek pokutu, ktorú by reálne uložil dozorný orgán. Navyše, zatiaľ čo úrad pri ukladaní pokuty zohľadňuje obrat a ekonomickú silu firmy, pri náhrade škody súd primárne skúma rozsah ujmy jednotlivca, čo môže byť pre menšie firmy likvidačné.

Článok 82 GDPR: Právny základ pre žaloby

Kľúčovým ustanovením, ktoré otvára dvere súdnym sieňam, je Článok 82 Všeobecného nariadenia o ochrane údajov (GDPR). Ten jasne hovorí, že každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia tohto nariadenia, má právo na náhradu škody od prevádzkovateľa alebo sprostredkovateľa. V praxi to znamená, že:

• Majetková škoda: Je ľahšie vyčísliteľná (napr. finančná strata v dôsledku zneužitia platobnej karty po úniku údajov).
• Nemajetková ujma: Zahŕňa psychické utrpenie, stratu súkromia, strach zo zneužitia údajov v budúcnosti alebo poškodenie dobrej povesti. Práve táto kategória je v súčasnosti najväčším rizikom.

Podstatným faktom je, že dôkazné bremeno v otázke zavinenia nesie firma. Ak došlo k porušeniu bezpečnosti, predpokladá sa, že firma nepostupovala v súlade so zákonom, pokiaľ nedokáže opak. Táto presumpcia zavinenia stavia žalobcov do veľmi výhodnej pozície.

Súdny dvor EÚ a koniec „prahovej hodnoty“ pre ujmu

Dlhé roky sa v slovenskom právnom prostredí argumentovalo, že na priznanie náhrady nemajetkovej ujmy musí poškodený prekročiť určitú „prahovú hodnotu“ závažnosti. Inými slovami, že drobný nepokoj alebo krátkodobý stres nestačia. Prelomové rozsudky Súdneho dvora Európskej únie (napr. vo veci C-300/21 Österreichische Post) však toto vnímanie zmenili. Súd judikoval, že GDPR nepozná žiadnu minimálnu hranicu závažnosti ujmy.

To znamená, že aj subjektívny pocit straty kontroly nad údajmi alebo obava z ich budúceho zneužitia môže byť dostatočným dôvodom na priznanie finančnej kompenzácie. Pre firmy to znamená koniec éry, kedy sa mohli spoliehať na to, že „nikomu sa v podstate nič nestalo“. Dnes stačí, aby poškodený preukázal porušenie GDPR, existenciu ujmy (hoci len psychickej) a príčinnú súvislosť medzi nimi.

Riziko hromadných žalôb: Nová realita na Slovensku

Slovenský právny poriadok prešiel zásadnou zmenou zavedením inštitútu hromadných žalôb (zákony o žalobách na ochranu kolektívnych záujmov spotrebiteľov). Toto je moment, kedy sa individuálne riziko mení na systémovú hrozbu. Ak firma poruší ochranu údajov tisícok ľudí, spotrebiteľské organizácie môžu v mene všetkých týchto osôb podať jednu spoločnú žalobu.

Výhody pre poškodených a nevýhody pre firmy sú zrejmé:

• Zníženie nákladov na súdny spor: Jednotlivec sa často bál žalovať firmu kvôli nákladom na právnika. Pri hromadnej žalobe tieto náklady nesie združenie.
• Mediálny tlak: Hromadné žaloby priťahujú pozornosť médií, čo devastuje reputáciu značky omnoho viac ako jedna správa o pokute od úradu.
• Vyjednávacia sila: Firma je pod tlakom hromadnej žaloby oveľa náchylnejšia pristúpiť na mimosúdne vyrovnanie, ktoré môže stáť milióny eur.

Ako sa efektívne brániť proti civilným žalobám?

Obrana proti žalobám na náhradu škody musí začať dlho predtým, než príde prvá predžalobná výzva. Základom je princíp zodpovednosti (accountability). Firma musí byť schopná v každom okamihu preukázať, že prijala primerané technické a organizačné opatrenia. Nestačí mať vypracovanú dokumentáciu „v šuplíku“, je nevyhnutné, aby opatrenia reálne fungovali v praxi.

Kľúčovými prvkami obrany sú pravidelné penetračné testy, šifrovanie údajov, striktné riadenie prístupových práv a najmä precízne vedené záznamy o spracovateľských činnostiach. Ak firma dokáže súdu predložiť dôkazy, že urobila maximum pre zabezpečenie údajov a k incidentu došlo napriek tomu (napr. sofistikovaným útokom tretej strany), jej šance na oslobodenie sa od povinnosti nahradiť škodu dramaticky stúpajú. Prevencia v oblasti kybernetickej bezpečnosti už nie je len technickou otázkou, ale priamou ochranou cash-flow firmy pred nárokmi tretích osôb.

Súčasná právna architektúra v Európskej únii jasne smeruje k posilňovaniu práv jednotlivca na úkor korporátnej nečinnosti. Firmy by mali prehodnotiť svoje riadenie rizík a prestať sa pozerať na GDPR len ako na byrokratickú prekážku, ktorú kontroluje jeden štátny úrad. Skutočný protivník nesedí v kancelárii regulátora, ale na druhej strane klientskej databázy. Ak dôjde k narušeniu ochrany osobných údajov, pokuta od úradu môže byť nepríjemná, ale lavína civilných žalôb o náhradu nemajetkovej ujmy môže byť pre spoločnosť osudná. Investícia do robustnej ochrany údajov, pravidelných auditov a kvalitného právneho poradenstva v oblasti ochrany súkromia nie je nákladom, ale poistkou proti hromadným nárokom, ktoré sa v digitálnom veku stávajú bežným nástrojom vymáhania spravodlivosti. V dobe, kedy je strata kontroly nad identitou vnímaná citlivejšie než kedykoľvek predtým, sa schopnosť ochrániť dáta stáva základným pilierom prežitia na trhu. Ignorovanie civilnoprávnych aspektov GDPR je hazardom s dôverou zákazníkov a stabilitou celého podnikania.