X

Serwis Internetowy Portal Orzeczeń używa plików cookies. Jeżeli nie wyrażają Państwo zgody, by pliki cookies były zapisywane na dysku należy zmienić ustawienia przeglądarki internetowej. Korzystając dalej z serwisu wyrażają Państwo zgodę na używanie cookies , zgodnie z aktualnymi ustawieniami przeglądarki.

BIP
Rozmiar tekstu
Kontrast

III C 280/22 - wyrok z uzasadnieniem Sąd Okręgowy w Warszawie z 2023-02-07

Sygn. akt III C 280/22

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 7 lutego 2023 r.

Sąd Okręgowy w Warszawie III Wydział Cywilny w składzie następującym:

Przewodniczący:

SSO Kamila Spalińska

Protokolant:

Żaneta Ignaczak

po rozpoznaniu w dniu 7 lutego 2023 r. w Warszawie na rozprawie

sprawy z powództwa A. C.

przeciwko (...) Sp. z o.o. z siedzibą w W.

o zapłatę

1.  zasądza od pozwanego (...) Sp. z o.o. z siedzibą w W. na rzecz powoda A. C. kwotę 1500,00 zł (jeden tysiąc pięćset złotych) wraz z ustawowymi odsetkami za opóźnienie od dnia 20 kwietnia 2022 r. do dnia zapłaty,

2.  oddala powództwo w pozostałym zakresie,

3.  zasądza od powoda A. C. na rzecz pozwanego (...) Sp. z o.o. z siedzibą w W. kwotę 3179,75 zł (trzy tysiące sto siedemdziesiąt dziewięć złotych siedemdziesiąt pięć groszy) z ustawowymi odsetkami za opóźnienie od dnia uprawomocnienia się wyroku do dnia zapłaty tytułem zwrotu kosztów procesu.

Sygn. akt III C 280/22

UZASADNIENIE

A. C. pozwem złożonym w dniu 01 lipca 2020 r. (koperta k. 33) wniósł o zasądzenie od pozwanej (...) sp. z o.o. z siedzibą w W. kwoty:

1.  30.000 zł z tytułu odszkodowania za poniesioną szkodę niemajątkową wynikającą z naruszenia przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE)216/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04 maja 2016r.) wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia wniesienia pozwu do dnia zapłaty;

2.  149 zł z tytułu odszkodowania za szkodę majątkową wynikającą z naruszenia przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE)216/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04 maja 2016r.) wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia wniesienia pozwu do dnia zapłaty;

3.  ustalenie odpowiedzialności pozwanej (...) sp. z o.o. z siedzibą w W. za wszelkie szkody na majątku powoda A. C., które mogą się ujawnić w przyszłości, a pozostające w związku z wyciekiem danych osobowych z prowadzonego przez pozwaną portalu (...).pl w dniach od 03 do 134 marca 2020r.;

4.  zasądzenie od pozwanej na rzecz powoda kosztów procesu wraz z kosztami zastępstwa procesowego według norm przepisanych.

W uzasadnieniu pozwu powód wskazał, że był użytkownikiem portalu pożyczkowego (...).pl, znajdującego się pod adresem (...) którego właścicielem jest pozwana spółka. Jest ona również, jak wskazał powód, administratorem danych osobowych, o którym stanowi art. 4 rozporządzenia Parlamentu Europejskiego Parlamentu Europejskiego i Rady (UE)216/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04 maja 2016r.).

Powód wskazał, że w dniu 14 marca 2020r. otrzymał od pozwanej informację o rozpoczęciu automatycznego resetowania hasła dostępu do konta użytkownika, pomimo, że wskazał, że resetowanie hasła dostępu nie było zalecane przez pozwanego. Natomiast w dniu 16 marca 2020r. pozwana poinformowała powoda, że dane osobowe zapisane na koncie użytkownika zostały ujawnione osobie trzeciej wskutek błędu pracownika podmiotu, któremu (...) powierzył przetwarzanie danych osobowych. Do ujawnienia danych powoda doszło w dniach 3-14 marca 2020r. przez podmiot współpracujący z (...).pl. Powód podniósł, że na serwerze (...) w dniu 03 marca 2020r. znaleźć można było bazę(...), w której znajdowały się dane ponad 200.000 klientów firmy (...). Informacje te dotyczyły m.in. danych z wniosków o pożyczkę, imienia i nazwiska, adresu email, PESEL, nr dowodu osobistego, paszportu, hasła oraz numeru rachunku bankowego. Powód zaznaczył, że administrator dowiedział się o powyższym w dniu 09 marca 2020r., jednakże dopiero w dniu 14 marca 2020 r. wykonano reset hasła użytkownika. Dodatkowo, jak wskazał powód, o powyższym powód został poinformowany dopiero w dniu 16 marca 2020r., tj.7 dni od momentu ujawnienia naruszenia. Powód wskazał nadto, że ujawnione dane zostały usunięte, a w ich miejscu pojawił się komunikat o konieczności wpłacenia okupu w celu ich odzyskania.

Powyższe jak wskazał powód stanowiło naruszenie przepisów RODO, a w szczególności art. 5 ust. 1 lit. F, art. 32 ust. 1 lit. B i art. 32 ust. 2. Uzasadniając żądanie pozwu powód powołał się na art. 5 ust. 1 lit. F ustawy RODO. Podniósł, że pozwany jako administrator był zobowiązany wdrożyć zasadę określoną w art. 5 w/w ustawy uwzględniając stan wiedzy technicznej, koszt wdrażania, charakteru, zakresu i kontekstu. Także z uwzględnieniem celu przetwarzania, ryzyka naruszenia praw lub wolności osób fizycznych. Powód wskazał również, że odpowiedzialność pozwanego wynika z art. 82 RODO. Powołał się nadto na art. 92 ustawy z dnia 10 maja 2018r. o ochronie danych osobowych wskazując, że do roszczeń z tytułu naruszenia danych osobowych należy stosować przepisy kodeksu cywilnego. Powód wskazał, że od otrzymania informacji o wycieku danych osobowych odczuwa silny lęk związany ze swoją sytuacją finansową. Każdego dnia sprawdza swoje konto bankowe, a także stale monitoruje swoją sytuację w BIK. Stał się też nerwowy, niespokojny, drażliwy co utrudnia mu codzienne funkcjonowanie. Stracił również zaufanie do instytucji finansowych, nie korzysta już w takim zakresie z internetu jak kiedyś. Co do żądania opartego na art. 445 § 1 k.c. powód argumentował, że uzasadnionym jest, aby w sytuacji gdy pozwana jako administrator naruszyła dane osobowe powoda, zrekompensowała wszystkie szkody do jakich doszło w ich wyniku. Podniósł, że nie ma i nie będzie miał pewności, iż w przyszłości ktoś nieuprawniony nie posłuży się jego danymi osobowymi. W związku z tym, zdaniem powoda, uzasadnionym jest uznanie, że jego roszczenie o ustalenie zasługuje na uwzględnienie.

Co do poniesionej szkody materialnej wynikającej z naruszenia jego danych osobowych, powód podniósł, że wykupił ubezpieczenie nr (...) (...), które jak wskazał ma go ochronić w przypadku wystąpienia konsekwencji powstałych w wyniku wycieku danych osobowych (pozew wraz z załącznikami k. 3-33).

Pozwana odpowiedzią na pozew z dnia 25 kwietnia 2022r. (data prezentaty) wniosła o oddalenie powództwa oraz o zasądzenie od powoda na rzecz pozwanej zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

W uzasadnieniu odpowiedzi na pozew pozwana wskazała, że powód oparł roszczenia na nieważnej podstawie prawnej, nie przedstawił właściwych dowodów, nie wykazał w dostateczny sposób na czym ma polegać szkoda niemajątkowa. Pozwana zakwestionowała, aby do zdarzenia doszło wskutek naruszenia przez nią jako administratora danych osobowych wynikających z art. 32 RODO. Powołała się na postępowanie prowadzone przez Prezesa UODO pod sygn. (...) zakończone decyzją z dnia 25 marca 2021r. Pozwana wskazała, że w świetle art. 82 RODO, administrator lub podmiot przetwarzający poniesie odpowiedzialność za szkody majątkowe lub niemajątkowe powstałe wskutek naruszenia rozporządzenia przy jednoczesnym spełnieniu następujących przesłanek: naruszenia przez administratora lub procesora przepisów rozporządzenia, wystąpienia winy po stronie administratora lub procesora w zajściu zdarzenia, poniesienia przez podmiot danych szkody majątkowej lub niemajątkowej, zaistnienia związku pomiędzy szkodą a naruszeniem. Pozwana wskazała, że nie kwestionuje, że doszło do naruszenia ochrony danych użytkowników portalu (...).pl, jednakże nie ma podstaw do wywodzenia, aby dane osobowe powoda były objęte naruszeniem. Zdaniem pozwanej nawet jeśli powód dokonał rejestracji, a nie otrzymał pożyczki, to nie podał szerokiego zakresu danych osobowych, które są wymagane do złożenia wniosku o pożyczkę. W związku z tym nie ma podstaw do wywodzenia, aby dane osobowe powoda zostały ujawnione osobom trzecim. Pozwana wskazała, że niezwłocznie po uzyskaniu informacji o wycieku danych, podjęła stosowne działania. Zaprzeczyła, aby do udostępnienia danych osobowych doszło na skutek zawinionego działania pozwanej jako administratora danych. W ocenie pozwanej twierdzenie o spóźnionym poinformowaniu osób, nie jest uzasadnione. Pozwana wskazała, że w świetle art. 34 ust. 1 RODO obowiązek zawiadomienia o wycieku danych nie jest obwarowany sztywnymi ramami czasowymi. Podniosła nadto, że Prezes UODO nie dopatrzył się uchybień w zakresie ochrony danych osobowych. Pozwana wskazała, że dochowała obowiązków nałożonych art. 32 RODO. Zapewniła stopień bezpieczeństwa odpowiadający ryzyku naruszenia jego praw i wolności, wdrożyła szereg rozwiązań technicznych oraz organizacyjnych odpowiednich dla zapewniania właściwego stopnia bezpieczeństwa. Wskazała nadto, że naruszenie danych, o których mowa w art. 4 pkt 12 RODO oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych. W odniesieniu do powyższego pozwana argumentowała, że wystąpienie naruszenia danych, których administratorem jest pozwana, nie oznacza per se naruszenia obowiązków prawnych ciążących na administratorze, ponieważ po stronie administratora obowiązek spoczywa na zapewnieniu odpowiednich środków organizacyjnych i technicznych. Pozwana wskazała, że do naruszenia danych nie doszło w wyniku naruszenia przepisów RODO, a błędu pracownika podmiotu przetwarzającego dane, czyli błędu ludzkiego, któremu nie udało się zapobiec pomimo zachowania najwyższych standardów ochrony danych oraz stosownych procedur. Pozwana wskazała również, że o udostępnianiu danych osobowych osobom trzecim poinformowała Prokuraturę składając stosowane zawiadomienia o podejrzeniu popełnieniu przestępstwa. Zakwestionowała również wysokość dochodzonego roszczenia wskazując, że żądana kwota jest nieproporcjonalna mając na uwadze realia. Powyższe stanowisko pozwana uzasadniała tym, że nie można przypisać jej winy nawet przyjmując formy niedbalstwa. Kwota ta zdaniem pozwanej jest nieadekwatna do ewentualnej szkody. Powód, jak wskazała pozwana, pomimo orzecznictwa w zakresie wysokości przyznanego zadośćuczynienia wycenił swoją szkodę powstałą w wyniku krótkotrwałego niezapewnienia odpowiedniego poziomu ochrony danych osobowych ponad szkody osób poszkodowanych w wyniku znacznego pogorszenia stanu zdrowia, czy utraty osoby bliskiej (odpowiedź na pozew wraz z załącznikami k. 112-177).

W kolejnych pismach oraz na rozprawie w dniu 07 lutego 2023r. strony podtrzymały stanowiska w sprawie.

Sąd ustalił następujący stan faktyczny:

Powód korzystał z usług firm pożyczkowych. Z usług (...) korzystał w maju 2018r. Wnioskował o udzielenie pożyczki, ale nie została ona mu udzielona . W 2020r. powód przeczytał artykuł opisujący wyciek danych osobowych klientów serwisu (...). W dniu 13 marca 2020r. na stronie www.(...) opublikowano artykuł pt. „Dane i hasła ponad 260 tysięcy klientów wyciekły z polskiej firmy pożyczkowej” W publikacji wskazano, że dane klientów firmy pożyczkowej (...).pl, dwukrotnie „trafiły w cudze ręce”. W publikacji podano, że Firma (...) zarządzająca serwisem (...).pl zidentyfikowała incydent związany z wyciekiem bazy danych klientów. Wedle publikacji badacz zajmujący się bezpieczeństwem baz danych wstawionych do internetu oraz informowaniem ich właścicieli o problemach, napisał kilka dni wcześniej o odkryciu kolejnej bazy należącej do prywatnej firmy pożyczkowej (publikacja k. 23, zeznania powoda k. 213-213 verte).

W dniu 14 marca 2020r. na stronie (...) ukazał się artykuł pt. „Aktualizacja 2020-03-14”, w którym wskazano, że nadal nie otrzymano od (...) sp. z o.o. żadnej odpowiedzi na zadane pytania. Podano, że klienci nie otrzymali informacji o wycieku ich danych. Podano, że (...) zresetował hasło wszystkim użytkownikom i wysłał im w związku z tym smsy z nowymi hasłami. Wskazano, że jeśli ktoś się zaloguje i zmieni sobie hasło na stronie, to może otrzymać swoje nowe hasło e-mailem. W artykule wskazano, że klienci (...) powinni telefonicznie lub za pomocą emaila, bądź za pośrednictwem infolinii wyjaśnić dlaczego firma nie zresetowała ich hasła. Powyższe, zdaniem autora publikacji, może doprowadzić do sytuacji, w której spółka przyzna się do incydentu. Powołano się również na odpowiedź, jaką otrzymał jeden z klientów spółki, w której informowano go, że jego dane osobowe zapisane na koncie założonym za pośrednictwem strony (...).pl zostały ujawnione osobie trzeciej wskutek błędu pracownika podmiotu, któremu spółka powierzyła przetwarzanie danych osobowych. Podano, że zakres ujawnionych danych osobowych obejmuje imię, nazwisko, PESEL, serię i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres email, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego – jeżeli uległ zmianie, numer telefonu pracodawcy, adres email osoby, której klient rekomendował pożyczkę, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na (...).pl (artykuł k. 25).

Powód w dniu 14 marca 2020r. otrzymał od (...) smsy o treści „Odzyskiwanie hasła do (...) zakończyło się sukcesem. Nowe hasło to (...)”, „Drogi Użytkowniku, informujemy, że ostatnia zmiana hasła była przeprowadzona automatycznie i wynikała ze względów bezpieczeństwa. Więcej na (...) (smsy k. 26).

W dniu 16 marca 2020r. powód otrzymał od „ zespołu (...)” maila z informacją o tym, iż dane osobowe na koncie użytkownika założonym za pośrednictwem strony internetowej (...) zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu (...) powierzył przetwarzanie danych osobowych. Wskazano, że błąd polegał na braku zabezpieczenia danych osobowych w okresie od 03 marca do 14 marca 2020r. przez podmiot współpracujący z (...). Podano, że udostępnione dane osobowych obejmowało imię, nazwisko, PESEL, serię i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres email, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego – jeżeli uległ zmianie, numer telefonu pracodawcy, adres email osoby, której klient rekomendował pożyczkę, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na (...).pl. Poinformowano o skutkach jakie mogą być związane z udostępnieniem danych osobowych osobom nieuprawnionym. Pouczono o konieczności powiadomienia policji w przypadku uzasadnionego podejrzenia zaistnienia sytuacji, które mogą wystąpić w związku z udostępnieniem danych osobowych powoda. Poinformowano również, że podjęto działania mające na celu zaradzenie naruszeniu ochronnych danych osobowych. Wskazano, że niezwłocznie przeprowadzono zmianę haseł użytkowników umożliwiających logowanie się do konta każdego klienta, o czym poinformowano klientów za pośrednictwem smsa oraz maila. Podano również dane do kontaktu w przypadku wystąpienia po stronie klientów jakichkolwiek wątpliwości lub pytań (mail k. 27-28). Po otrzymaniu smsa o zmianie hasła do konta oraz mailu wystosował do serwisu (...) żądanie usunięcia jego konta. Korespondencją mailową z dnia 16 marca 2020r. powód zwrócił się do (...) o usuniecie jego konta z serwisu (mail k. 29). Powyższe żądanie powód ponowił w mailu z dnia 19 marca 2020r. (mail k. 30). Po otrzymaniu powyższego maila powód uświadomił sobie, że i on korzystał z portalu (...). Po dowiedzeniu się o nieuzasadnionym udostępnieniu danych osobowych klientów (...) osobom trzecim powód zastrzegł dowód osobisty, wykupił dniu 17 marca 2020r. polisę ubezpieczeniową (...) (...) nr (...) (polisa k. 22), zgłosił możliwe udostępnienie jego danych osobom trzecim swojemu pracodawcy, wyrobił nowe dokumenty. Po uzyskaniu informacji o wycieku danych osobowych powód stał się nerwowy, kłócił się z żoną, nie poświęcał czasu dzieciom, chciał się dostać do terapeuty, jednakże z racji pandemii nie było to możliwe. Wystąpiły u niego problemy ze snem. (zeznania powoda k. 213-213 verte).

W związku z wyciekiem danych osobowych pozwana za pośrednictwem strony biznes.gov.pl złożyła „zgłoszenie naruszenia ochrony danych osobowych”, w którym informowała o nieuprawnionym uzyskaniu dostępie do informacji na skutek wewnętrznego działania niezamierzonego oraz zewnętrznego działania zamierzonego (zgłoszenia k. 135-150).

Pismem z dnia 21 kwietnia 2020r. powód skierował do (...) sp. z o.o. z siedzibą w W. wezwanie do zapłaty kwoty 30.184 zł tytułem odszkodowania za szkody majątkowe i niemajątkowe oraz do uznania odpowiedzialności za szkodę, która może wystąpić w przyszłości na skutek niezgodnego z przepisami RODO przetwarzania danych osobowych powoda (wezwanie do zapłaty k. 31-33).

Prezes Urzędu Ochrony Danych Osobowych decyzja z dnia 25 marca 2021r. w sprawie (...) umorzył postępowanie ze skargi A. C. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez (...) sp. z o.o. w likwidacji z siedzibą w W.. W uzasadnieniu decyzji wskazano m.in. że nie można jednoznacznie stwierdzić, czy naruszenie danych osobowych klientów spółki poprzez ich udostępnienie osobom nieuprawnionym obejmowało również dane osobowe skarżącego. Podano również, że skarżący nie wykazał, aby do takiego zdarzenia polegającego na naruszeniu jego danych osobowych doszło (decyzja k. 171-176).

Powyższy stan faktyczny Sąd ustalił w oparciu o przedłożone do akt sprawy dokumenty, które nie były kwestionowane przez strony. Pozwana w toku postępowania nie zaprzeczyła, aby doszło do wycieku danych osobowych klientów (...). Kwestionowała natomiast swoją odpowiedzialność.

Sąd ustalił stan faktyczny w oparciu o zeznania powoda, których prawdziwości nie kwestionował. W części w jakiej powód powoływał się na korespondencję z pozwaną potwierdzone zostały przedłożonymi dokumentami. Natomiast co do wpływu zeznań powoda na rozstrzygnięcie niniejszej sprawy, Sąd odniesienie się w dalszej części uzasadnienia.

Sąd zważył co następuje.

Roszczenie powoda zasługuje na częściowe uwzględnienie. Powód zasadności roszczenia upatrywał w postanowieniach rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. Bezspornym było w niniejszej sprawie, że doszło do wycieku danych osobowych klientów mających konto na portalu (...).pl. Pozwany nie kwestionował, że jest administratorem danych osobowych.

Zgodnie z art. 4 pkt 1 RODO danymi osobowymi w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Zgodnie z art. 4 pkt 2 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Administratorem danych osobowych zgodnie z art. 4 pkt 7 RODO według rozporządzenia jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Zgodnie natomiast z art. 4 pkt 12 (...)naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W świetle z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia (RODO), ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Zgodnie z art. 82 ust. 2 RODO każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom. Wedle art. 82 ust. 3 RODO, administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody za która pozwana ponosi odpowiedzialność. W świetle powyższego brak było podstaw do uwzględnienia argumentacji pozwanej, że nie ponosi ona odpowiedzialności za udostępnienie danych osobowych osobom nieuprawnionym, z uwagi na fakt, iż doszło do tego z winy pracownika. Odnosząc się do powyższego należało mieć na uwadze art. 429 k.c. Zgodnie z jego treścią, kto powierza wykonanie czynności drugiemu, ten jest odpowiedzialny za szkodę wyrządzoną przez sprawcę przy wykonywaniu powierzonej mu czynności, chyba że nie ponosi winy w wyborze albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności. Pozwana podnosiła, że wyciek danych osobowych był wynikiem błędu pracownika, nie wykazując tym samym przesłanek zwalniających z odpowiedzialności wskazanych w art. 429 kc. W ocenie Sądu pozwany nie wykazał, że zachodziły okoliczności zwalniające go z odpowiedzialności deliktowej za szkodę związaną z wyciekiem danych osobowych użytkowników portalu należącego do pozwanej spółki, do jakiego doszło w marcu 2020r. Z pism pozwanej kierowanych do jej użytkowników w tym powoda wynika, że zakres danych, jakie wskutek wyciekły dotyczył wszystkich tzw. wrażliwych danych osobowych.

W ocenie Sądu za uzasadnioną należy uznać reakcję powoda w postaci obawy co do możliwości wykorzystania jego danych przez osoby nieuprawnione, czego wyrazem było podjęcie działań w postaci wymiany dokumentów i powiadomienia pracodawcy o zaistniałym zdarzeniu.

Odnosząc się w pierwszej kolejności do szkody majątkowej podnoszonej przez powoda, której naprawienia domagał się w niniejszej sprawie, należy wskazać, że w ocenie Sądu nie było podstaw do zasądzenia od pozwanego kosztów poniesionych przez powoda w związku z wykupem polisy. Nie negując motywacji powoda i tego, że powód chciał się zabezpieczyć na przyszłość, to zdaniem Sądu, w okolicznościach niniejszej sprawy nie sposób wywieść, że wydatek ten pozostawał w bezpośrednim związku przyczynowo-skutkowym pomiędzy zdarzeniem a szkodą. Związek przyczynowy zachodzi tylko wtedy, gdy w zestawie wszystkich przyczyn i skutków mamy do czynienia jedynie z takimi przyczynami, które normalnie powodują określone skutki. Nie wystarczy więc stwierdzenie istnienia związku przyczynowego jako takiego, wymagane bowiem jest stwierdzenie, że chodzi o następstwo normalne. W orzecznictwie Sądu Najwyższego podkreśla się, że związek przyczynowy jest kategorią obiektywną i należy go pojmować jako obiektywne powiązanie ze sobą zjawiska nazwanego „przyczyną” ze zjawiskiem określonym jako „skutek”. Ustawodawca wprowadził w art. 361 § 1 k.c. dla potrzeb odpowiedzialności cywilnej ograniczenie odpowiedzialności tylko za normalne (typowe, występujące zazwyczaj) następstwa działania lub zaniechania, z których szkoda wynikła. Istnienie związku przyczynowego jako zjawiska obiektywnego jest determinowane określonymi okolicznościami faktycznymi konkretnej sprawy i dlatego istnienie związku przyczynowego bada się w okolicznościach faktycznych określonej sprawy. W niniejszej sprawie nie sposób uznać, że zachodzi związek przyczynowy pomiędzy wyciekiem danych osobowych a uiszczeniem kosztów zakupu polisy ubezpieczeniowej. Dodać należy, że nie wykazano, aby powód poniósł jakiekolwiek negatywne skutki wycieku danych osobowych, które uzasadniałyby po jego stronie taką zapobiegliwość. Zauważyć również należy, że choć fakt wycieku danych osobowych nie był kwestionowany, to jednakże w sprawie nie wykazano, aby doszło do wykorzystania danych osobowych powoda przez osoby nieuprawnione.

W pozwie powód powoływał się na również na szkodę niemajątkową związaną z naruszeniem jego dóbr osobistych wskutek udostępnienia wycieku danych osobowych i w związku z tym żądał zasadzenia zadośćuczynienia w wysokości 30 000 zł.

Stosownie do treści art. 23 k.c. dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach. W świetle przytoczonej w art. 23 k.c. regulacji, która posługuje się sformułowaniem „w szczególności” należy podnieść, że kodeks cywilny nie zawiera wyczerpującego katalogu dóbr osobistych, a jedynie wymienia przykładowe dobra podlegające ochronie. Nie budzi wątpliwości Sądu, że powód godził się na przetwarzanie jego danych osobowych li tylko przez administratora serwisu, nie zaś przez osoby postronne. Jest też oczywiste, że wyciek danych osobowych naruszył dobro osobiste powoda – prawo do prywatności. Owo prawo wyraża się w przyznaniu jednostce prawa do decydowania o swoim życiu osobistym. Jednostka, jako podmiot obdarzony autonomią woli, ma prawo samodzielnie wyznaczać obszar swojej prywatności, w szczególności wytyczać granice dostępności swojego życia osobistego i informacji o nim dla innych (zob. wyrok Trybunału Konstytucyjnego z 12 listopada 2002 r., SK 40/10). Naruszenie prawa do prywatności ma miejsce wówczas, gdy wbrew woli jednostki dostępne stają się dla osób trzecich informacje wrażliwe dotyczące jednostki, co miało miejsce w przypadku powoda.

W niniejszej sprawie zakres roszczenia powoda przyznaje mu uprawnienie do dochodzenia naprawnienia szkody niemajątkowej zarówno w oparciu o przepisy art. 82 RODO, jak i art. 448 k.c. Oceniając zasadność roszczenia powoda, Sąd miał na uwadze, że na gruncie przepisów o ochronie dóbr osobistych ochrona przewidziana w przytoczonym przepisie jest uzależniona od spełnienia dwóch przesłanek, a mianowicie: zagrożenia lub naruszenia dobra osobistego osoby fizycznej oraz bezprawności działania osoby naruszającej cudze dobro. Pierwszą z tych przesłanek musi wykazać osoba żądająca ochrony, natomiast ciężar wykazania, że określone zachowanie nie może być uznane za bezprawne, spoczywa na osobie, która dopuściła się naruszenia. Przesłanka bezprawności ujmowana jest przy tym szeroko, za bezprawne bowiem uznaje się każde zachowanie sprzeczne z obowiązującymi przepisami oraz z zasadami współżycia społecznego. W doktrynie i orzecznictwie przyjęto również pogląd, iż przy ocenie, czy zostało naruszone dobro osobiste człowieka decydują kryteria obiektywne, a nie subiektywne odczucia osoby żądającej ochrony prawnej.

Biorąc zatem pod uwagę przepisy o ochronie dóbr osobistych, w szczególności rozkład ciężaru dowodu, to pozwany w toku postępowania winien wykazać, iż jego działanie nie było bezprawne. W ocenie Sądu pozwany powyższej okoliczności nie wykazał. Jak wskazano wcześniej nie było podstaw do wywodzenia, że pozwany nie ponosi odpowiedzialności za wyciek danych osobowych. To na pozwanej jako na administratorze danych osobowych spoczywał obowiązek zabezpieczenia ich w taki sposób, który uniemożliwi dostęp do nich osobom nieuprawnionym. Okoliczności tej nie zmienia przeprowadzone postępowanie przez Prezesa Urzędu Ochrony Danych Osobowych, gdyż w niniejszym postępowaniu Sąd orzeka w oparciu o inne przesłanki. W niniejszej sprawie nie ma co prawda bezpośrednich dowodów na to, iż właśnie dane powoda zostały udostępnione osobom trzecim wskutek wycieku danych. Niemniej jednakże powyższej okoliczności nie można również wykluczyć. Ilość danych, które w sposób nieuprawniony wyciekły do osób nieuprawnionych była znaczna. Powód miał założone konto na serwisie (...), a zatem nie można wykluczyć, że również jego dane osobowe mogły znaleźć się wśród tych danych, które wyciekły. Potwierdza to choćby komunikat o konieczności zmiany hasła skierowany bezpośrednio do powoda.

Z uwagi na fakt, że pozwany nie wykazał, że jego działanie nie było bezprawne roszczenia powoda co do zasądzenia zadośćuczynienia podlegało częściowemu uwzględnieniu. W ocenie Sądu żądanie przez powoda kwoty 30.000 zł było wygórowane w okolicznościach niniejszej sprawy. Nie negując faktu, że powód mógł się obawiać, że również i jego dane osobowe wyciekły i mogą być wykorzystane przez osoby nieuprawnione, to nie można uznać, że uzasadnia to zasądzenie z tego tytułu kwoty aż 30.000 zł. Powód nie wykazał bowiem żadnych skutków faktycznych, poza zagrożeniem i stresem, jakie mogły mieć miejsce w związku z wyciekiem danych, do którego doszło 3 lata temu. W ocenie Sądu powoływanie się przez powoda na tak daleko idące odczucia jak niepokój, problemy ze snem, odizolowanie od dzieci, czy kłótnie z żoną jest nadmiarowe, jeżeli postrzegać jej przez pryzmat naruszenia dóbr osobistych. Szczególnie w sytuacji gdy jego twierdzenia nie znajdują odzwierciedlenia w materiale dowodowym – poza dowodem z przesłuchania powoda. To, że powód czuł dyskomfort, czy stres wywołany zaistniałą sytuacją, jest zrozumiałe. Niemniej jednak należy mieć na uwadze, iż potencjalny wyciek danych osobowych powoda nie jest obiektywnie wydarzeniem na tyle wpływającym na życie dorosłego człowieka, męża i ojca, które wywołałoby aż tak poważne skutki. Doświadczenie zawodowe Sądu w tym zakresie pozwala na stwierdzenie, iż kwoty tego rzędu dochodzone są w sytuacjach związanych z długotrwałymi, uporczywymi dolegliwościami spowodowanymi sytuacjami wysoce stresującymi, mającymi znaczny wpływ na życie osoby, sposób funkcjonowania, czy postrzegania przez innych. Obiektywna ocena roszczenia powoda, nie pozwala na przyjęcie, że uzasadnionym jest, aby szkoda niemajątkowa jaką poniósł powinna być rekompensowana kwotą 30.000 zł. Kwota ta mogłaby w takiej sytuacji prowadzić do nieuzasadnionego wzbogacenia powoda. Stąd też mając na uwadze zakres szkody niemajątkowej, za uzasadnione Sąd uznał przyznanie kwoty 1.500 zł. W ocenie Sądu kwota ta w sposób realny rekompensuje powodowi szkodę powstałą w związku z wyciekiem danych osobowych użytkowników (...). Jest to też kwota zbliżona do kwot zasądzanych w związku z naruszeniem danych osobowych z tego tytułu w sprawach o podobnych stanach faktycznych.

Nie zasługiwało na uwzględnienie roszczenie powoda o ustalenie. Zgodnie z art. 189 k.p.c. powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny. Interes prawny w rozumieniu powołanego przepisu, traktowany jest jako szczególny rodzaj klauzuli generalnej i oznacza obiektywną konieczność udzielenia ochrony określonej sferze prawnej, gdy powstała sytuacja, która grozi naruszeniem prawa przysługującego uprawnionemu, bądź powstała wątpliwość co do jego istnienia. Roszczenie o ustalenie jest uzasadnione w sytuacji gdy oczywistym jest, iż w chwili wszczęcia procesu poszkodowany nie może określić, czy przewidzieć skutków danego zdarzenia. Nie oznacza to jednak, iż ma to miejsce w każdym przypadku. W niniejszej sprawie jak wskazano powyżej nie ma podstaw do wywodzenia, aby doszło do wykorzystania danych osobowych powoda przez inne – postronne osoby. Co więcej nawet gdyby doszło do wykorzystania danych osobowych powoda przez inne osoby, czy podmioty, to powodowi przysługiwałyby roszczenie dalej idące. Niezależnie od powyższego wskazać należy, że ewentualne uwzględnienie roszczenia o ustalenie nie zniweczy ewentualnych konsekwencji dla powoda, do jakich może dojść w wyniku posłużenia się jego danymi osobowymi przez osoby nieuprawnione.

Zgodnie z art. 481 § 1 k.c. jeżeli dłużnik opóźnia się ze spełnieniem świadczenia pieniężnego, wierzyciel może żądać odsetek za czas opóźnienia, chociażby nie poniósł żadnej szkody i chociażby opóźnienie było następstwem okoliczności, za które dłużnik odpowiedzialności nie ponosi.

Powód dochodził zasądzenia odsetek od dnia wniesienia pozwu do dnia zapłaty, jednakże nie było podstaw do uwzględniania żądania w tym zakresie. Powód co prawda wraz z pozwem przedłożył wezwanie pozwanego do zapłaty datowane na dzień 21 kwietnia 2020r., jednakże nie przedłożył dowodu doręczenia przedmiotowego wezwania. Stąd też w zakresie ustalenia daty początkowej naliczania odsetek, należało przyjąć dzień następny po dniu doręczenia pozwanemu odpisu pozwu. Odpis pozwu doręczono pozwanemu w dniu 19 kwietnia 2022r. (k. 111), a zatem odsetki należało zasądzić od dnia 20 kwietnia 2022r.

Z tych też względów orzeczono jak w pkt 1 i 2 wyroku.

O kosztach postępowania orzeczono w oparciu o art. 98 § 1 k.p.c. Powód przegrał przedmiotowe postępowanie w 95 %, a zatem w tym zakresie winien zwrócić pozwanemu koszty procesu. Na koszty procesu poniesione przez powoda w kwocie 5.128 zł składa się: opłata od pozwu w kwocie 1.508 zł oraz koszty zastępstwa procesowego w kwocie 3.600 zł powiększone o opłatę od pełnomocnictwa w kwocie 17 zł. Na koszty pozwanego składają się koszty zastępstwa procesowego w kwocie 3.600 zł oraz opłata od pełnomocnictwa w kwocie 17 zł. Mając zatem stosunkowe rozdzielenie kosztów postępowania pozwany winien zwrócić powodowi kwotę 256,40 zł (5.128 zł x 5 %), natomiast powód winien zwrócić pozwanemu kwotę 3.436,15 zł (3.617 zł x 95 %). Z tych też względów należało zasądzić od powoda na rzecz pozwanego kwotę 3.179,75 zł (3.436,15 – 256,40). Kwotę zasądzoną w pkt 3 wyroku powiększono w oparciu o art. 98 § 1 1 k.p.c., o odsetki, w wysokości odsetek ustawowych za opóźnienie w spełnieniu świadczenia pieniężnego, za czas od dnia uprawomocnienia się orzeczenia, którym je zasądzono, do dnia zapłaty.

SSO Kamila Spalińska

Dodano:  ,  Opublikował(a):  Iwona Lubańska
Podmiot udostępniający informację: Sąd Okręgowy w Warszawie
Osoba, która wytworzyła informację:  Kamila Spalińska
Data wytworzenia informacji: