Únik osobních údajů z Facebooku: právo na náhradu újmy

Na začátku dubna 2021 došlo na Facebooku k velké krádeži dat, která se dotkla i cca 1,4 milionu uživatelů z České republiky.[1] Ukradená data se objevila na hackerských fórech, což vyvolalo mj. otázky ohledně bezpečnosti osobních údajů na uvedené platformě.

Jednalo se o následující údaje:

• e-mailové adresy
• telefonní čísla  
• a mnoho dalších osobních dat, jako je datum narození či příbuzenský stav.

Jestli se hackerský útok týkal i Vás, si můžete ověřit např. na těchto stránkách:

• https://haveibeenpwned.com/ – i když je v zadávacím poli napsáno pouze „e-mailová adresa“, můžete do něj zadat i telefonní číslo;
• https://sec.hpi.uni-potsdam.de/ilc/search - zde zadáte svou e-mailovou adresu a následně obdržíte e-mailovou odpověď s informacemi o tom, zda jsou Vaše e-mailová adresa, popř. další údaje uloženy v některé z pochybných databází.[2]

Pokud zjistíte, že se únik dat dotkl i Vás, doporučujeme co nejdříve podniknout následující kroky:

• Nastavte si nové a silné heslo, ideálně pro každý ze svých internetových účtů.
• Pokud možno změňte také e-mailovou adresu a číslo mobilního telefonu.
• Aktivujte dvoufaktorové ověřování.
• Zvažte možnost uplatnění nároku na finanční kompenzaci po Facebooku (Metě).

Můžete žádat o kompenzaci, pokud se Vás týká únik dat z Facebooku?

Především v zahraničí se šíří informace, že Facebook bude muset za tuto svou nedbalost zaplatit, a to i samotným dotčeným uživatelům. Soudy přiznávají lidem odškodné až do částek, které v přepočtu převyšují 100.000,- Kč. Podle dosavadních zkušeností se Meta v řízeních brání, ale soudy se stále častěji staví na stranu poškozených uživatelů. I nedávné rozhodnutí Soudního dvora EU hovoří ve prospěch uživatelů. Soudní dvůr v něm totiž přijal mj. závěr, že člověk poškozený porušením GDPR nemusí utrpět újmu o určité závažnosti k tomu, aby mohl požadovat její odčinění.[3] 

Pokud jste byli dotčeni únikem osobních údajů z Facebooku, je zde velká pravděpodobnost, že máte nárok na náhradu škody nebo nemajetkové újmy. Nemajetková újma znamená, že můžete získat (i peněžitou) kompenzaci za to, že Vaše údaje byly ukradeny a dostaly se do oběhu, a to i v případě, že jste (zatím) v důsledku kybernetických útoků neutrpěli žádnou přímou finanční škodu (tou by mohly být např. náklady spojené se změnou telefonního čísla).

Uvedená kompenzace se opírá o proslulé Evropské obecné nařízení o ochraně osobních údajů (GDPR). Toto nařízení ukládá všem, kdo zpracovávají osobní údaje, mj. povinnost tyto údaje chránit. Zpracovatel osobních údajů má i další povinnosti, jako je např. povinnost oznamovací a informační.

Jak došlo k úniku osobních údajů z Facebooku?

Hackeři získali data kvůli bezpečnostní chybě, o níž Facebook (Meta) tvrdí, že byla odstraněna již v srpnu 2019. Podle všeho to však není pravda. Bezpečnostní chybu zneužili tzv. scrapeři, kteří dokázali získat přístup ke jménům, e-mailovým adresám atd. uživatelů Facebooku pomocí nástroje Facebook Contact Import. Zadáním velkého počtu číselných sekvencí do virtuálního adresáře byli útočníci schopni některé číselné sekvence identifikovat jako existující telefonní čísla a přiřadit je ke konkrétním profilům na Facebooku. 

Jakmile některý ze scraperů zjistil, že určité telefonní číslo je spojeno s účtem na Facebooku, zkopíroval veřejně dostupné informace z příslušného uživatelského profilu a přidal telefonní číslo k těmto získaným, veřejně přístupným údajům. Na začátku dubna 2021 byly tyto údaje rozšířeny na internetu, resp. na darknetu.

Co s ukradenými daty dělají zločinci?

Obětem úniku dat často nevzniká újma bezprostředně a ihned. Újma se může projevit až časem. Většinou je uniklé telefonní číslo nebo uniklá e-mailová adresa použita jako určitý „most“. Prvotní SMS zprávy či e-maily jsou často základním kamenem pro postupné získávání dalších údajů. Jejich prostřednictvím se kyberzločinci pokoušejí získat ty nejcitlivější informace, jako jsou hesla a jiné přístupové údaje k účtům. Zločinci se tedy snaží krok za krokem proniknout hlouběji do Vašeho soukromí. Jakmile se zločinci dostanou například k údajům o bankovním účtu, udeří.

Údaje získané z úniku dat z Facebooku tedy mohou být použity k dalším podvodům a manipulacím. Hackeři využívají údaje ukradené z Facebooku k phishingu (zasílání falešných e-mailů, které vypadají jako legitimní nabídky známých společností), nebo dokonce ke krádežím identity. V „lepších“ případech dochází pouze ke zvýšenému množství spamu.

Jedním z mnoha konkrétních příkladů jsou falešná oznámení o zásilkách, která přes odkaz přesměrovávají oběti na stránky se škodlivým softwarem (malwarem). Vzhledem k tomu, že zločinci mají často k dispozici velmi konkrétní informace, jsou zprávy obvykle velmi důvěryhodné. 

Z toho plyne, že každý, koho se únik dat z Facebooku týká, je přinejmenším vystaven riziku, že se stane obětí kyberzločinců. Může jít o phishingové útoky, malware, podvody, vydírání nebo výhrůžky.

Má smysl uplatňovat nároky v souvislosti s únikem dat?

Pokud se Vás únik dat z Facebooku dotkl, zvažte nejprve mimosoudní uplatnění nároků. To může často stačit k úspěchu, zvlášť pokud je prvotní výzva zaslána advokátní kanceláří.

Pokud by výzva k úspěchu nestačila, lze přistoupit k žalobě. Dobrou zprávou je, že můžete Facebook (Metu) zažalovat i u českých soudů. V případě úspěchu při vymáhání Vašich nároků, Vám musí Meta nahradit i náklady soudního řízení.

V závislosti na okolnostech Vašeho konkrétního případu může porušení GDPR vyvolat nárok na kompenzaci až do výše kolem 100.000,- Kč. Výpočet výše kompenzace však do značné míry vychází z úvahy soudu. V konkrétním případě závisí výsledná výše zejména na tom:

• (i) kterých údajů se týká;
• (ii) zda jsou Vaše uniklé údaje veřejně přístupné;
• (iii) nakolik jste byli v důsledku úniku dat dotčeni spamem, phishingovými útoky atd.

Vždy je potřeba uvažovat nad tím, jestli se Vám žaloba vyplatí. Při tom je vhodné porovnat náklady na vymáhání Vašich nároků s rozsahem Vašich uniklých dat a Vaším osobním zájmem na vymáhání práv. Pokud se na nás obrátíte, podíváme se na Váš konkrétní případ a sdělíme Vám, jak dále postupovat a jaké jsou Vaše šance. Obecně jsou šance na úspěch solidní, protože únik dat již byl dostatečně prokázán. Kromě toho již existuje mnoho rozsudků, které vyznívají ve prospěch poškozených uživatelů. 

Závěrem

Únik osobních údajů z Facebooku v roce 2021 byl alarmujícím připomínkou toho, jak důležité je chránit naše osobní údaje v online světě. Pokud jste byli postiženi tímto incidentem, můžete mít právo na náhradu újmy. Nezapomínejte na svá práva a sledujte vývoj situace. Pokud chcete svá práva hájit, neváhejte kontaktovat advokátní kancelář, popř. zkuste sami napsat společnosti Meta.[4]

Prevence je lepší než léčba. To platí i v případě osobních údajů. Každý, kdo (dobrovolně) zveřejňuje osobní údaje, se vystavuje určitému riziku zneužití. Čím méně údajů někomu zpřístupníte, tím menší je pravděpodobnost zneužití údajů k Vaší škodě.

Pokud podnikáte a zpracováváte při tom osobní údaje, měli byste si položit otázku, jestli aktuálně používaná technologie nabízí dostatečné zabezpečení dat Vašich zákazníků a zaměstnanců. Protože podobné úniky dat mohou nastat i mimo platformy sociálních médií. Jako podnikatel byste tedy měli přijmout opatření k zajištění bezpečnosti osobních údajů, abyste se vyhnuli placení náhrady újmy a pokut.