Co wynika z RODO?
Już na samym wstępie stajemy przed zasadniczym pytaniem - czy przepisy RODO w ogóle przewidują również możliwość wniesienia powództwa do sądu cywilnego w zakresie naruszenia przepisów rozporządzenia? Odpowiedź na to pytanie jest twierdząca. Wskazać bowiem należy, że zgodnie z art. 79 RODO, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych w sposób z nim niezgodny. Zgłoszenia naruszenia do sądu osoba ta może dokonać niezależnie od złożenia skargi do organu nadzoru, jakim jest w tym wypadku Prezes Urzędu Ochrony Danych Osobowych. Należy nadmienić, że w takich sprawach sądem właściwym będzie sąd okręgowy.
Z kolei art. 82 RODO przewiduje, że każda osoba fizyczna, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Podkreślenia wymaga, że szkoda ta może mieć zarówno charakter majątkowy, jak i niemajątkowy. W przypadku szkody niemajątkowej naruszenie będzie dotyczyło dóbr osobistych, a więc ewentualnie wnoszone powództwo będzie powództwem o zadośćuczynienie.
Wyrok Sądu Okręgowego Warszawa-Praga w Warszawie, II Wydział Cywilny z dnia 17 marca 2022 roku, sygn. akt II C 1228/19
Jak się okazuje, polskie sądy cywilne rozpatrywały już pozwy o zadośćuczynienie wnoszone w oparciu o art. 82 RODO. Przykładem jest sprawa o sygnaturze akt II C 1228/19, rozpatrywana przez Sąd Okręgowy Warszawa-Praga w Warszawie, II Wydział Cywilny i zakończona wyrokiem z dnia 17 marca 2022 roku. W dalszej części artykułu postaramy się przyjrzeć stanowisku sądu w powyższej sprawie.
Stan faktyczny
Powódka B. N. w pozwie wnosiła o zasądzenie na jej rzecz od podmiotu będącego Spółką z ograniczoną odpowiedzialnością odszkodowania w wysokości 20.000 złotych na podstawie art. 82 RODO oraz stwierdzenie naruszenia przez pozwaną spółkę danych osobowych Powódki.
6 lutego 2019 roku pracownik pozwanej Spółki wskutek błędu wysłał do jednego z klientów spółki drogą mailową plik z załącznikiem – dokumentem finansowym zawierającym dane osobowe innych klientów, w tym dane osobowe Powódki. W tym pliku były dane osobowe klientów, m.in.: imię, nazwisko, PESEL, adres, dane zawartej ze Spółką umowy, zestawienie wszystkich wystawionych w związku z umową dokumentów finansowo-księgowych. O błędzie pracownika pozwana Spółka dowiedziała się w dniu 24 kwietnia 2019 roku, w piśmie od innego niż Powódka klienta (M. S.), który otrzymał drogą mailową plik z ww. danymi. Klient M. S., wystąpił z zapytaniem do Spółki, czy posiadane przez niego dane powinien przekazać odpowiednim organom.
Pozwana Spółka, niezwłocznie po powzięciu informacji o omyłkowym udostępnieniu danych osobowych klientów osobie nieuprawnionej (M. S.), złożyła zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych. Jednocześnie Spółka wysłała do swoich klientów, w tym do Powódki B. N., zawiadomienie o naruszeniu ochrony danych osobowych, w którym wskazała m.in., jakie dane zostały ujawnione, jakie środki bezpieczeństwa mogą podjąć klienci w celu zapobieżenia negatywnym skutkom naruszenia oraz jakie ewentualne konsekwencje wyniknąć mogą z faktu udostępnienia danych osobie nieuprawnionej. Spółka wezwała również M. S. do usunięcia omyłkowo otrzymanych danych.
W dniu 9 maja 2019 roku zawiadomienie od Spółki o naruszeniu danych osobowych klientów, zostało doręczone Powódce B. N. i jeszcze tego samego dnia złożyła ona skargę do Prezesa Urzędu Ochrony Danych Osobowych na utratę przez pozwaną Spółkę jej danych osobowych. Ponadto, Powódka zwróciła się do pozwanej Spółki o rozwiązanie łączącej ich umowy za porozumieniem stron, ze względu na utratę zaufania do Spółki.
W odpowiedzi z dnia 14 sierpnia 2019 roku Spółka ponownie przeprosiła za narażenie powódki B. N. na niedogodności związane z naruszeniem danych osobowych Powódki. Spółka wskazała, że dokłada wszelkich starań, aby usunąć wszelkie skutki tego naruszenia oraz poinformowała, że kontrahent, do którego omyłkowo zostały przesłane dane osobowe Powódki, otrzymał od Spółki wezwanie do usunięcia danych oraz zaprzestania naruszeń oraz że Spółka zażądała od kontrahenta zaprzestania bezprawnego przetwarzania danych osobowych Powódki, powstrzymywania się od ujawniania ich osobom trzecim lub wykorzystywania w jakikolwiek inny sposób oraz trwałego usunięcia pliku zawierającego te dane z wszelkich nośników pamięci.
Ponadto Pozwana Spółka wskazała, że naruszenie ochrony danych osobowych Powódki poprzez ich jednorazowe udostępnienie osobie nieupoważnionej nie stanowi rażącego naruszenia postanowień umowy zawartej z Powódką, a co za tym idzie, nie daje podstawy do rozwiązania umowy w trybie natychmiastowym, ani na zasadzie porozumienia stron.
Stanowisko sądu. Stwierdzenie naruszenia
Sąd Okręgowy stwierdził, że udostępnienie przez Pozwaną Spółkę danych osobowych Powódki nieuprawnionej osobie (M. S.), jest naruszeniem ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Pozwana Spółka nie dopełniła bowiem obowiązków na niej spoczywających, określonych w RODO. W konsekwencji, zdaniem sądu, Pozwana Spółka na odstawie art. 82 ust. 2 RODO jako podmiot uczestniczący w przetwarzaniu danych odpowiadała za szkody spowodowane przetwarzaniem danych naruszającym rozporządzenie RODO.
Ochrona danych osobowych a prawo do prywatności
Sąd powołał się w uzasadnieniu przedmiotowego orzeczenia na art. 23 Kodeksu cywilnego (k.c.), który określa otwarty katalog dóbr osobistych człowieka. Do tego katalogu należy również, zdaniem sądu, prawo do prywatności, którego naruszenie podnoszone było w postępowaniu przez jego obie strony. Sąd podkreślił, że Powódka zgodziła się na przetwarzanie swoich danych osobowych przez pozwaną Spółkę, lecz nie na udostępnianie tych danych osobom trzecim. W sprawie doszło zatem nie do zagrożenia cudzym działaniem, lecz do naruszenia dobra osobistego Powódki w postaci prawa do prywatności. Z tego względu sąd stwierdził, że ochrona wynikająca z art. 24 k.c. w zw. z art. 448 k.c. (zadośćuczynienie za naruszenie dobra osobistego) przysługuje Powódce.
Zbieg podstaw odpowiedzialności do naprawienia szkody. Art. 82 RODO
Sąd wskazał również, że w przedmiotowej sprawie zachodzi zbieg podstaw odpowiedzialności do naprawienia szkody niemajątkowej w oparciu o art. 82 ust. 1 RODO oraz naprawienia krzywdy (szkody niemajątkowej) spowodowanej naruszeniem dobra osobistego powódki – prawa do prywatności w zakresie autonomii informacyjnej co do decydowania o ujawnianiu informacji o swojej osobie z art. 23 k.c. w zw. z art. 24 k.c. w zw. z art. 448 k.c.
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Ocena działań Pozwanej Spółki
W ocenie sądu, działania Pozwanej Spółki finalnie doprowadziły do usunięcia pliku z danymi osobowymi u podmiotu nieuprawnionego (M. S.) do ich posiadania oraz dalszego przetwarzania i udostępniania. Pozwana Spółka doprowadziła do usunięcia dalszej możliwości trwania krzywdy (szkody niemajątkowej) Powódki. Te działania Pozwanej Spółki doprowadziły bardzo wydatnie do zmniejszenia zakresu szkody niemajątkowej (krzywdy wyrządzonej) Powódce.
Zdaniem sądu, jedynie w okresie czasu od kwietnia 2019 roku, czyli od udostępnienia danych osobowych podmiotowi nieuprawnionemu do 18 listopada 2019 roku czyli do usunięcia przez organy ścigania z komputera M. S. pliku z danymi osobowymi Powódki, istniała obawa wykorzystania tych danych osobowych przez podmiot nieuprawniony oraz obawa ich dalszego udostępnienia innym podmiotom. Przez ten czas kilku miesięcy Powódka, oprócz obawy o możliwość zaciągnięcia kredytu na jej dane osobowe lub wykorzystania jej danych osobowych w innych celach i naruszenia jej prywatności, nie doświadczyła żadnych negatywnych konsekwencji spowodowanych naruszeniem Pozwanej Spółki, dane Powódki nie zostały w żaden sposób wykorzystane. W ocenie sądu, oprócz tego oraz obaw Powódki o wykorzystanie jej danych osobowych w przyszłości, nie dotknęły jej żadne dalsze konsekwencje.
Częściowe uwzględnienie żądania Powódki. Uzasadnienie
Biorąc pod uwagę powyższe argumenty, sąd wskazał, że szkoda niemajątkowa, krzywda Powódki w związku z naruszeniem ochrony jej danych osobowych oraz prawa do prywatności była niewielka i nie odpowiadała żądaniu zadośćuczynienia w kwocie 20.000 złotych. Zdaniem sądu, odpowiednią kwotą zadośćuczynienia, która pozwoli naprawić szkodę niemajątkową Powódki, spowodowaną naruszeniem rozporządzenia o ochronie danych osobowych oraz naruszeniem dobra osobistego Powódki w postaci prawa do prywatności, była kwota 1.000 złotych i taką kwotę sąd w wyroku zasądził od Pozwanej Spółki na rzecz Powódki, wobec braku przesłanek i podstaw do zasądzenia wyższego odszkodowania (zadośćuczynienia) za szkodę niemajątkową.
Podsumowanie
Podsumowując, wskazać należy, że istnieje możliwość dochodzenia zasądzenia odszkodowania i zadośćuczynienia z tytułu naruszenia RODO na drodze postępowania cywilnego.
Zaciekawił Cię ten post? A może mierzysz się z podobną zagwozdką? Marcin Kuźniak, nasz doradca ds. ochrony danych jest do Twojej dyspozycji. Skontaktuj się z nim i sprawdź, co możesz zrobić w Twojej sytuacji.
Należy jednak mieć na uwadze fakt, że sąd cywilny będzie indywidualnie rozpatrywał każde powództwo i zasądzając zadośćuczynienie weźmie pod uwagę nie tylko sam fakt naruszenia rozporządzenia o ochronie danych osobowych oraz naruszenia dóbr osobistych strony powodowej, ale także działania podjęte przez stronę pozwaną celem usunięcia skutków naruszenia oraz realne szkody, jakie poniosła strona powodowa w związku z naruszeniami.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jako podstawy prawne zasądzenia odszkodowania (zadośćuczynienia) z tytułu naruszenia RODO w postępowaniu cywilnym należy wskazać: