Zodpovednosť prevádzkovateľa pri hackerskom útoku podľa Súdneho dvora EÚ (časť I.)

Každý z nás sa môže stať obeťou hackerského útoku. Avšak, splnením sanačných, notifikačných a dokumentačných povinností podľa GDPR sa vec ani zďaleka nekončí. Čo spravidla nasleduje, je vyvodenie zodpovednosti. Pri ňom síce súdy pracujú s klasickými právnymi inštitútmi, ale ich aplikáciu môže komplikovať pre súdy stále pomerne nová právna úprava - GDPR. V sérii blogov budeme sledovať prípad C-340/21 pred Súdnym dvorom EÚ, ktorý môže posunúť vývoj v tejto oblasti ďalej.

Prejudiciálne otázky, ktoré v najbližších mesiacoch zodpovie Súdny dvor EÚ vo veci C-340/21 sa pokúsime zjednodušiť takto:

1. Znamená každá kompromitácia dát v dôsledku hackerského útoku automaticky záver, že prevádzkovateľ neprijal primerané bezpečnostné opatrenia podľa čl. 24 a 32 GDPR?

2. Čo by vlastne mali súdy skúmať pri určovaní, či boli prijaté bezpečnostné opatrenia podľa čl. 32 GDPR primerané?

3. Ak prevádzkovateľa žaluje dotknutá osoba o náhradu nemajetkovej ujmy, kto nesie dôkazné bremeno ohľadne toho, či boli prijaté bezpečnostné opatrenia primerané? Môže byť znalecký posudok dostatočným dôkazom na účely zistenia primeranosti prijatých bezpečnostných opatrení?

4. Je „hackerský útok“ udalosťou, za ktorú prevádzkovateľ nenesie žiadnu zodpovednosť podľa čl . 82 ods. 3 GDPR?

5. Spadajú pod pojem "nemajetkovej ujmy" aj starosti, obavy a strach dotknutej osoby pred možným budúcim zneužitím osobných údajov aj keď k nemu ešte nedošlo?

V tomto blogu (časť I.) sa pokúsime najprv vysvetliť skutkový stav tohto prípadu a rozobrať prvé tri prejudiciálne otázky.

Čo sa stalo v tomto prípade?

V roku 2019 unikli bulharskému finančnému úradu citlivé finančné informácie o viac než 6 miliónoch občanov. Uniknuté informácie sa týkali najmä daňových priznaní,  sociálnych odvodov, platieb do zdravotného poistenia a obsahovali aj mená, priezviská, telefónne čísla, emailové adresy, údaje o pokutách, nedoplatkoch, daniach, vrátkach, a pod. Rozsahom, ale aj citlivosťou išlo teda o incident obrovských rozmerov. Finančný úrad oznámil porušenie ochrany osobných údajov dozornému orgánu ako aj orgánom činným v trestnom konaní a umožnil dotknutým osobám zistiť, či unikli aj ich dáta.

Dá sa teda predpokladať, že finančný úrad postupoval pri manažmente incidentu v súlade s čl. 33 aj 34 GDPR. Finančnému úradu bola udelená správna pokuta za porušenie čl. 32 GDPR, t.j. porušenie povinnosti prijať primerané bezpečnostné opatrenia.

Nasledovali stovky žalôb dotknutých osôb o náhradu nemajetkovej ujmy. Bulharské vnútroštátne súdy údajne nerozhodovali v týchto prípadoch konzistentne . V tomto konkrétnom prípade, ktorý vyvolal položenie prejudiciálnych otázok, síce došlo k neoprávnenému prístupu k údajom žalobkyne (jej dáta unikli), ale fakticky nenastalo ich zneužitie a žaloba bola zamietnutá. Voči hackerom bolo začaté trestné konanie, ale do dnešného dňa neboli odsúdení, resp. nie je ani jasné, či bola zistená ich identita.

Prečo súd zamietol žalobu o náhradu nemajetkovej ujmy?

Finančný úrad tvrdil, že sa stal obeťou hackerského útoku osôb konajúcich v zlej viere a že za vzniknutú nemajetkovú ujmu nezodpovedá. Vnútroštátny súd potvrdil, že prevádzkovateľ nemal absolútnu povinnosť zabrániť akémukoľvek neoprávnenému prístupu k údajom. Vnútroštátny súd v zásade tvrdil, že žalobkyňa neuniesla dôkazné bremeno na preukázanie toho, že prijaté bezpečnostné opatrenia finančného úradu neboli primerané. Podľa súdu mala žalobkyňa objasniť, ktoré technické úkony mal finančný úrad vykonať, ale ich nerealizoval v dôsledku čoho nastal hackerský útok. Zároveň súd neuznal, že by prežitá psychická záťaž z obavy o možné zneužitie uniknutých dát (ktoré ale nenastalo) mohla predstavovať nemajetkovú ujmu. Proti prvostupňovému rozsudku podala dotknutá osoba odvolanie a o veci teraz rozhoduje Najvyšší správny súd, ktorý sa obrátil na Súdny dvor EÚ.

Znamená hackerský útok automaticky porušenie podľa čl. 32 GDPR?

Myslíme si, že nie. Zásada integrity a dôvernosti, ktorá je pretavená do povinnosti prijať primerané bezpečnostné opatrenia podľa čl. 32 GDPR nie je absolútna. Nemožno od prevádzkovateľov očakávať, že zaručia absolútnu bezpečnosť a ochránia dáta pred akýmkoľvek hackerským útokom. Nie je to ani objektívne možné. Nie každé porušenie ochrany osobných údajov v dôsledku úspešného hackerského útoku preto automaticky znamená záver, že bezpečnostné opatrenia neboli primerané. GDPR totiž chráni zodpovedných prevádzkovateľov, ktorí skutočne vynaložili všetko primerané úsilie tomu, aby ochránili svoje dáta, avšak, nepodarilo sa im to napríklad preto, lebo útok bol príliš sofistikovaný na to, aby mu mohol konkrétny prevádzkovateľ zabrániť. Nezaškodí si pripomenúť znenie čl. 32 GDPR:

„Prevádzkovateľ a sprostredkovateľ prijmú so zreteľom na najnovšie poznatky (state of the art), náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku...“

Neexistuje žiadna dozornými orgánmi univerzálne akceptovaná tabuľka, ktorou by sa dalo vypočítať, či konkrétne opatrenia konkrétneho prevádzkovateľa sú alebo nie sú primerané, aj keď niektoré kvantitatívne metódy analyzovania rizík vedú k aritmetickým prepočtom s cieľom tieto veličiny exaktnejšie uchopiť. Posúdenie dozorného orgánu, či dané opatrenie je alebo nie je primerané musí byť urobené na pomyselnej váhe protichodných argumentov a pod tiažou konkrétnych okolností daného prípadu. Z praxe sa nám javí, že ako prvý krok dozorné orgány najprv ustália, či ide skôr o prípad:

A.     Absolútneho zlyhania: bezpečnostnému incidentu bolo možné jednoducho predísť prijatým bežného opatrenia, ktoré absentovalo, nebolo správne implementované alebo bolo po správnej implementácii aplikované nesprávnym spôsobom;

B.     Sofistikovaného útoku zneužívajúceho doposiaľ neznáme zraniteľnosti: buď stále nie je úplne jasné, ako bol útok vykonaný alebo to už známe je, ale stále ide o vysoko sofistikovaný útok, ktorého presný spôsob realizácie by prevádzkovateľ aj pri zachovaní odbornej starostlivosti pri riadení rizík nevedel vopred predpokladať a preventívne naň reagovať  (možno aj v dôsledku toho, že také opatrenia nebudú s ohľadom na stav poznania v danom čase existovať alebo už nasadené opatrenia nebudú správne fungovať predpokladaným spôsobom).

Podľa tohto úvodného ustálenia sa v konaniach pred dozornými orgánmi prispôsobuje procesná taktika, overovanie informácií a spôsob získavania ďalších dôkazov. Historicky, väčšina prípadov, ktoré Úrad na ochranu osobných údajov SR riešil pri pokutovaní čl. 32 GDPR spadali práve pod tie jednoduchšie prípady absolútneho zlyhania. Avšak, to platilo v minulosti. Dnes na takmer všetkých dozorných orgánoch existuje špeciálny odbor informačnej bezpečnosti, ktorý sa zameriava práve na porušenia čl. 24 alebo 32 GDPR a posudzuje primeranosť bezpečnostných opatrení. Na Úrade na ochranu osobných údajov SR ide o samostatný odbor informačnej bezpečnosti a certifikácií, ktorý nezriedka býva súčasťou kontrol resp. aj sám žiada o súčinnosť prevádzkovateľov, napr. po oznámení porušenia podľa čl. 33 GDPR.

Pre ilustráciu nižšie uvádzame niektoré zahraničné aj slovenské prípady týkajúce sa bezpečnosti osobných údajov:

British Airways (Spojené Kráľovstvo)

POKUTA: 26 miliónov eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Neschopnosť zistiť vlastnými opatreniami a kapacitami „data breach“ obrovských rozmerov;

• Neprijatie primeraných preventívnych opatrení, ktoré mohli účinne predísť úspechu hackerského útoku, ako je napr. 2FA na vlastné používateľské účty, hardening (obmedzovanie používania nepotrebných aplikácií a nástrojov), testovanie vlastných systémov, vrátane penetračných testov.

Marriot International (Spojené Kráľovstvo)

POKUTA: 20,7 milióna eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Neschopnosť vlastnými opatreniami celé roky zistiť, že ich systém je od základu kompromitovaný cudzím útočníkom, ktorý vykrádal databázy osobných údajov

• Nedostatočné monitorovanie privilegovaných používateľských účtov a ich aktivít

• Slabá kontrola prevádzkovateľa nad kritickými systémami spracúvajúcimi obrovské množstvá citlivých údajov

• Nedostatočné šifrovanie citlivých údajov (čísla kreditných kariet, cestovné pasy).

Uitvoeringsinstituut Werknemersverzekeringen (UWV) (Holandsko)

POKUTA: 450 tisíc eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Nedostatočné riadenie elektronickej pošty;

• Nedostatočné riadenie prístupových práv k spracúvaným osobným údajom, vrátane tých citlivých osobných údajov;

• Neboli zavedené žiadne  procesy na vyhodnocovanie, interné kontrolovanie a implementovania vhodných bezpečnostných opatrení.

BraBank (Nórsko)

POKUTA: 40 tisíc eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Nevykonanie analýzy rizík pred prijatím bezpečnostných opatrení;

• Nevykonanie testovania bankovej aplikácie pred spustením portálu pre zákazníkov bankových služieb.

Mermaid Charity (Spojené kráľovstvo)

POKUTA: 30 tisíc eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Koncepčne nedbanlivostný prístup k celkovej IT bezpečnosti;

• Neprijatie žiadnych bezpečnostných politík ani tréningov vlastného personálu;

• Nezašifrovanie ani nepseudonymizovanie; citlivých dát z osobitnej kategórie osobných údajov;

• Neriadenie prístupov do emailovej konverzačnej skupiny, v ktorej boli dostupné aj citlivé údaje.

Súkromná spoločnosť (Slovenská republika)

POKUTA: 2 300 eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Neprehodnocovanie primeranosti prijatých opatrení na pravidelnej báze

• Rozpory v obsahu pokynov s deklarovaným stavom v bezpečnostnej dokumentácii

Súkromná spoločnosť (Slovenská republika)

POKUTA: 1 000 eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Nevhodné umiestnenie a nezabezpečenie monitoru zobrazujúce výstupy z CCTV aj neoprávneným osobám.

Nemocnica s poliklinikou (Slovenská republika)

POKUTA: 1 000 eur

KONKRÉTNE PORUŠENIE ČL. 32 GDPR:

• Nebolo konštatované;

• Porušenie mlčanlivosti zdravotníckym pracovníkom, ktorý prezradil cez WhatsApp údaj týkajúci sa diagnózy pacienta neoprávnenej osobe, ku ktorému nemal prečo v systéme pristupovať – logovanie pomohlo identifikovať zamestnanca;

• Protiprávne konanie zamestnanca bolo  v rozpore s pokynmi prevádzkovateľa;

• Prevádzkovateľ vyvodil pracovno-právnu zodpovednosť, vrátane finančného postihu voči zamestnancovi.

Pre úplnosť, v poslednom prípade (nemocnica s poliklinikou) nebolo porušenie čl. 32 GDPR konštatované resp. pokutované, nakoľko napriek prijatiu primeraných bezpečnostných opatrení došlo v dôsledku excesu zamestnanca k narušeniu bezpečnosti resp. k neoprávnenému prístupu. Zodpovednosť prevádzkovateľa podľa čl. 32 GDPR teda nie je absolútna. Je samozrejmé, že vždy bude existovať skupina prípadov, ktoré bude ťažké kategorizovať do určitej skupiny. Tým sa dostávame dostávame k centrálnemu bodu primeranosti bezpečnostných opatrení, a tým je analýza rizika.

Po identifikácii rizika, jeho analýze a vyhodnotení považujeme za potrebné, aby súčasťou výstupov každej analýzy rizík boli prijaté opatrenia, ktorých cieľom je eliminovať alebo minimalizovať identifikované riziká. Na druhej strane by výstupom mali byť aj všetky ošetrené riziká, vrátane zostatkových rizík , ktoré neboli úplne eliminované prijatím bezpečnostných opatrení a ktoré sú akceptované. Existuje mnoho metodík na vykonávanie analýzy rizík v rovine manažérskeho rozhodovania riadenia operačných, environmentálnych, BOZP rizík (napr. ISO 31000, ISO 31010), či v rovine  riadenia informačnej bezpečnosti (napr. ISO 27005). Sme toho názoru, že to ako konkrétne túto analýzu vykoná prevádzkovateľ je na ňom, avšak § 78 ods. 11 zákona o ochrane osobných údajov nabáda k tomu, aby sa pri prijímaní bezpečnostných opatrení primerane postupovalo podľa (bližšie nedefinovaných) medzinárodných noriem a štandardov bezpečnosti.

Ak prevádzkovateľ preukáže dozornému orgánu také analýzy rizík, ktoré budú dokumentovať reálne prijaté opatrenia korektným spôsobom a zároveň medzi ošetrenými a akceptovanými rizikami budú mať uvedené prvky priamo stotožniteľné s úspešným sofistikovaným kybernetickým útokom, bude potom prevádzkovateľ objektívne zodpovedný za porušenie čl. 32 GDPR?

Otázne tiež je, či pri spätnom hodnotení, či boli alebo neboli bezpečnostné  opatrenia primerané, sa má brať do úvahy aj konečný negatívny dopad alebo rozsah porušenia ochrany osobných údajov, ktorý napokon nastal v dôsledku hackerského útoku. Aj tento prípad ilustruje, že obrovský rozsah a negatívny dopad tohto incidentu automaticky zvádza k záveru absolútneho zlyhania. Stále však môže platiť aj opačný výklad, podľa ktorého prevádzkovateľ mohol byť obeťou tak sofistikovaného hackerského útoku, že mu jednoducho vopred nevedel zabrániť prijatím žiadnych opatrení, o ktorých mohol alebo mal v čase ich prijatia vedieť. Túto otázku nevieme posúdiť a zrejme sa ňou ani nebude meritórne zaoberať Súdny dvor EÚ. Ten by mal vyložiť len všeobecné pravidlo. Avšak, ak má platiť všeobecné pravidlo, že nie každý hackerský útok automaticky znamená porušenie čl. 32 GDPR, potom musí platiť taký výklad bez ohľadu na skutočnú škodu, ktorá daným útokom môže dotknutým osobám resp. obetiam vzniknúť, aj keď to nemusí byť na prvý pohľad spravodlivé, najmä ak nie je možné identifikovať útočníka.

Aká je úloha súdov pri hodnotení primeranosti bezpečnostných opatrení?

Bulharský súd sa pýta aký predmet a rozsah by mala súdna kontrola vo vzťahu k primeranosti prijatých bezpečnostných opatrení, ak čl. 32 GDPR prenecháva prevádzkovateľovi priestor pre voľnú úvahu a subjektívne posúdenie tejto primeranosti.  Inými slovami, či si súd „má špiniť“ ruky a ísť do obsahu analýzy rizík, prijatých opatrení a skúmať ich správnosť a primeranosť po objektívnej meritórnej stránke. Prečo je podľa nás táto otázka prekvapujúca?

Podľa nás nie je udržateľné, aby súdy prišli o právomoc rozhodovať meritórne o primeranosti konkrétnych bezpečnostných opatrení. Predmet a rozsah súdnej kontroly by mal byť rovnaký aký majú dozorné orgány. V opačnom prípade by neboli súdmi preskúmateľné ani rozhodnutia dozorných orgánov o porušení čl. 32 GDPR, čím by fakticky došlo k obmedzeniu práva na spravodlivý súdny proces. Rovnaký záver platí aj voči rozhodnutiam (vysoko-kvalifikovaných) orgánov v oblasti bezpečnosti / kyber-bezpečnosti.

Pre súdy bude nepochybne náročné posudzovať a rozhodovať podobné veci. Avšak, kontradiktórnosť civilného súdneho konania umožňuje súdom vypočuť si argumenty oboch strán a prísť k záveru na základe posúdenia všetkých dostupných informácií. Pre súdny prieskum nemôže byť prekážkou argument, že sudca nie je analytik bezpečnostných rizík. Súdy musia byť schopné dospieť k rozhodnutiam v takto náročných prípadoch rovnako ako v prípade akéhokoľvek iného neprávneho znaleckého posudzovania skutkového stavu v iných veciach (napr. priemyselné nehody, patentové spory,  alebo medicínske spory).

Mení zásada zodpovednosti dôkazné bremeno v súkromno-právnych sporoch?

Zásada zodpovednosti podľa čl. 5 ods. 2 GDPR vyžaduje, aby prevádzkovateľ vedel preukázať súlad so základnými zásadami podľa čl. 5 ods. 1 GDPR. Vždy sme však zastávali názor, že je potrebné odlišovať zásadu zodpovednosti prevádzkovateľa a unesenie dôkazného bremena zo strany dozorného orgánu v prípade, že chce konštatovať porušenie GDPR v správnom konaní. Podľa nás zásada zodpovednosti neznamená, že ide o porušenie GDPR vždy  pokiaľ prevádzkovateľ nepreukáže opak. Platí, že ide o porušenie GDPR len ak to dokáže dozorný orgán dôkazne ustáť a odôvodniť. To je však rovina správneho práva a následného správneho trestania, ktorá má určitú analógiu s trestným konaním.

Ako je to v čisto súkromno-právnom spore o náhradu nemajetkovej ujmy poškodenej dotknutej osoby, ktorej údaje boli kompromitované v dôsledku úspešného hackerského útoku? Pre priznanie tohto nároku je samozrejme prvoradé určenie, či došlo k porušeniu povinnosti podľa čl. 32 GDPR. Kto má teda povinnosť uniesť dôkazné bremeno a preukázať, či došlo alebo nedošlo k porušeniu tejto povinnosti? Žalobca – dotknutá osoba alebo žalovaný – prevádzkovateľ?

Ak by sme vychádzali z nášho Civilného sporového poriadku, základné pravidlo je, že žalobca musí vedieť preukázať svoje tvrdenia. Obdobne aj vnútroštátny bulharský súd opisuje vnútroštátne právo, podľa ktorého je každý účastník konania o žalobe povinný predložiť dôkaz o skutočnostiach, z ktorých vyvodzuje svoje nároky alebo námietky. Východisko a premisa je teda taká, že žalobca (poškodená dotknutá osoba) by aj pred slovenským súdom musela  preukázať, že prijaté bezpečnostné opatrenia nie sú primerané.

Avšak, nemusí to platiť absolútne. Slovenská judikatúra pripúšťa aj použitie tzv. vysvetľovacej povinnosti žalovaného ako aj obrátenie dôkazného bremena.

Podľa často citovaného rozsudku Najvyššieho súdu SR z 11. apríla 2017, sp. zn. 3 Cdo 2/2016:

„Dôkazné bremeno ohľadom určitých skutočností zaťažuje toto účastníka konania, ktorý z existencie týchto skutočností vyvodzuje pre seba priaznivé právne dôsledky; ide o toho účastníka, ktorý tiež existenciu takýchto skutočností tvrdí. V niektorých prípadoch však strana zaťažená dôkazným bremenom objektívne nemá a nemôže mať k dispozícii informácie o skutočnostiach, významných pre rozhodnutie v spore, pričom protistrana má tieto informácie k dispozícii. V prípade, že strana zaťažená dôkazným bremenom prednesie aspoň „oporné body“ skutkového stavu a zvýši tak pravdepodobnosť svojich skutkových tvrdení, nastupuje „vysvetľovacia povinnosť“ protistrany. Nesplnenie tejto povinnosti bude mať za následok hodnotenie dôkazu v neprospech strany, ktorá „vysvetľovaciu povinnosť“ nesplnila. Zároveň tiež platí, že uvedenú „vysvetľovaciu povinnosť“ nemožno zamieňať s obrátením dôkazného bremena.“

Zároveň sú však známe aj spory, kde súdy obrátili dôkazné bremeno zo žalobcu na žalovaného. Najčastejšie ide o prípady, keby by žalobca musel preukazovať reálnu neexistenciu určitej skutočnosti, čo je spravidla objektívne nemožné. Podľa rozsudku Krajského súdu v Košiciach, sp. zn. 3Cob/112/2014 zo dňa 25. 11. 2015:

„V sporovom konaní platí aj tzv. negatívna dôkazná teória, ktorá vychádza z toho, že nemožno od účastníka spravodlivo žiadať, aby preukázal reálnu neexistenciu určitej právnej skutočnosti (napr. tvrdenie, že žalovaný nezaplatil), v dôsledku čoho dochádza k preneseniu dôkazného bremena na žalovaného.“

Predstavme si teda situáciu, kedy osoba, ktorej údaje unikli v dôsledku hackerského útoku formuluje žalobu o náhradu nemajetkovej ujmy a zatiaľ odhliadnime od otázky vzniku a kvantifikácie ujmy. Zrejme sa musíme zamyslieť nad tým, či:

• Vie vôbec dotknutá aké bezpečnostné opatrenia boli prijaté prevádzkovateľom? Môže ich od prevádzkovateľa žiadať napríklad cez info-zákon?

• Dokáže dotknutá osoba preukázať, že prevádzkovateľove bezpečnostné opatrenia neboli primerané?

• Nepredstavujú bezpečnostné opatrenia prijaté prevádzkovateľom zákonom chránené skutočnosti s ktorými sa nemôže dotknutá osoba oboznamovať bez bezpečnostnej previerky?

• Nejde o záujem verejnosti, aby skutočné bezpečnostné opatrenia neboli dostupné komukoľvek?

• Má dotknutá osoba k dispozícii prípadné rozhodnutie dozorného orgánu konštatujúce porušenie čl. 32 GDPR? Bola účastníkom konania?

• Má dotknutá osoba dostatočné informácie o danom porušení priamo od prevádzkovateľa v dôsledku splnenia jeho oznamovacej povinnosti podľa čl. 34 GDPR?

• Má dotknutá osoba vôbec právnu možnosť poveriť externého znalca vykonaním auditu prevádzkovateľa?

V prípade, kedy sú odpovede na tieto otázky negatívne a kedy zároveň nie je známa identita hackera, dotknutá osoba prakticky nemusí vedieť uniesť dôkazné bremeno pri tvrdení, že prevádzkovateľ porušil povinnosť podľa čl. 32 GDPR – bez ohľadu na to, aká vysoká škoda alebo ujma by dotknutej osobe vznikla.

Zdá sa nám teda, že v obdobných prípadoch musí súd pristúpiť k dokazovaniu prípadne aj k dôkaznému bremenu inak, ako je východiskový stav popísaný vyššie. Nie sme si však istí, či by takýto záver mal priamo vyplývať zo zásady zodpovednosti resp. či má vôbec mať zásada zodpovednosti alebo GDPR akýkoľvek vplyv na dokazovanie v civilnom súdnom konaní. Môžu totiž existovať situácie, kedy je porušenie čl. 32 GDPR tak evidentné, že medzi stranami o tejto skutočnosti nie je žiadny spor (napr. prípady absolútneho zlyhania vyššie), kedy vôbec nie je potrebné dôkazné bremeno obracať na prevádzkovateľa a dotknutá osoba ho unesie. Obe situácie môžu nastať aj v spore medzi dvomi právnickými osobami, čo odôvodňuje záver, že na odpoveď by nemalo mať vplyv postavenie dotknutej osoby ako slabšej strany.

Tento prípad pred Súdnym dvorom EÚ budeme pozorne sledovať ďalej. V ďalších blogoch sa pozrieme na ostatné prejudiciálne otázky.

Jakub Berthoty & Ondrej Zimen

Dagital Legal, s.r.o.