Dnia 17 grudnia 2021 roku
Sąd Okręgowy Warszawa- Praga w Warszawie III Wydział Cywilny
w składzie: Przewodniczący: sędzia Błażej Domagała
Protokolant: Sylwia Wojda
po rozpoznaniu w dniu 17 grudnia 2021 roku w Warszawie na rozprawie sprawy z powództwa J. B.
przeciwko (…) Spółce z ograniczoną odpowiedzialnością z siedzibą w W.

o zadośćuczynienie

1. zasądza od pozwanej (…) Spółki z ograniczoną odpowiedzialnością z siedzibą w W. na rzecz powódki J. B. kwotę 1500 (tysiąc pięćset) złotych z ustawowymi odsetkami za opóźnienie od 18 czerwca 2019r. do dnia zapłaty;
2. w pozostałym zakresie oddala powództwo;
3. koszty procesu pomiędzy stronami wzajemni znosi.

UZASADNIENIE

Powódka J. B. pozwem z dnia 15 lipca 2019 r. wniosła o zasądzenie od pozwanej (…) Spółki z ograniczoną odpowiedzialnością w W. kwoty 3.000 zł z odsetkami ustawowymi od 18 czerwca 2019 r. do dnia zapłaty.

Pozwana (obecnie działająca pod firmą (…) Spółka z ograniczoną odpowiedzialnością w W.) wnosiła o oddalenie powództwa.

I. Podstawa faktyczna rozstrzygnięcia.

1. Fakty, które sąd uznał za udowodnione.

a. Strony łączyła umowa sprzedaży energii. Powódka zawarła ją jako osoba fizyczna.

b. Pismem z 26 kwietnia 2019 r. pozwana poinformowała powódkę o naruszeniu ochrony jej danych osobowych jako osoby fizycznej, tj. o zdarzeniu z 6 lutego z 2019 r. – udostępnieniu podmiotowi trzeciemu jej danych osobowych, w tym imienia, nazwiska, numeru PESEL, adresu (ulica, nr budynku, lokalu, miejscowość), kodu pocztowego, numeru klienta, numeru umowy łączącej strony, numeru rachunku bankowego przypisanego powódce.

c. Na skutek powyższego J. B. pismem z 13 maja 2019 r. wezwała stronę pozwaną do zapłaty kwoty 3.000 zł tytułem zadośćuczynienia za szkodę niemajątkową. Jej żądanie spotkało się z odmową.

d. Do naruszenia danych osobowych doszło w wyniku błędu pracownicy pozwanej – wygenerowania pliku obejmującego większą liczbę klientów (ok. 1500) i przesłania go jednemu z kontrahentów (klienta, przedsiębiorcy). Tylko jeden z klientów spółki otrzymał dane innych, w tym powódki. Osoba ta poinformowała o tym pozwaną pismem z 24 kwietnia 2019 r. Nie wskazała ona, aby u niej dostęp do otrzymanych danych miały inne osoby, dokument znajdował się na skrzynce poczty elektronicznej. Incydent miał charakter jednorazowy i przypadkowy.

e. Powyższe zdarzenie zostało zgłoszone – zgodnie z przepisami RODO – do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowani o nim zostali klienci, których dane osobowe zostały przekazane osobie trzeciej. W piśmie otrzymanym m.in. przez powódkę wskazano na możliwe hipotetyczne negatywne konsekwencje zdarzenia oraz jakie środki bezpieczeństwa należy podjąć.

f. Powódka po otrzymaniu od strony pozwanej informacji o naruszeniu ochrony danych osobowych zaniepokoiła się tym, że zauważono to dopiero 2 miesiące po zaistnieniu zdarzenia. Treść informacji, wskazane tam możliwe konsekwencje „wycieku danych”, łącznie z kradzieżą tożsamości spowodowała, że poczuła się ona zagrożona. Obawiała się ewentualnych konsekwencji takiego zdarzenia dla siebie i swojej rodziny. Powódka zadzwoniła na policję i zgłosiła ten fakt, jednak poinformowaną ją, że nie ma podstaw do podejmowania czynności. Skontaktowała się z prawnikami i zapytała się, czy dalej istnieją zagrożenia i co może zrobić. Poinformowano ją, że możliwe jest, że ktoś wykorzysta jej dane. Mąż powódki miał do niej pretensję, że podpisała umowę z pozwaną spółką, ponieważ w gospodarstwie domowym to ona jest odpowiedzialna za tego rodzaju czynności i decyzje. Po otrzymaniu informacji powódką miała kłopoty ze snem, zastanawiała się jak postępować. Czuła się zaniepokojona tym, że nie ma wpływu na to, co się dzieje z informacjami dotyczącymi jej osoby – danymi osobowymi, jak mogą one zostać wykorzystane. Dalej odczuwa obawę, że ktoś może posłużyć się jej danymi, tym bardziej, że nie otrzymała informacji, że naruszenie zostało definitywnie usunięte. Powódce towarzyszy przeświadczenie, że takie zdarzenie może się powtórzyć.

g. Powódka zawodowo jest przedsiębiorcą. Swoje dane jako przedsiębiorcy, w tym dotyczące miejsca prowadzenia działalności (ulica, nr domu, miejscowość, kod pocztowy) udostępnia na facebook’u, na publicznym profilu związanym z prowadzoną działalnością gospodarczą.

2. Dowody, na których sąd się oparł, i przyczyn, dla których innym dowodom odmówił wiarygodności i mocy dowodowej.

Fakty jak w pkt 1 a, b, c, e były bezsporne i wynikały z dołączonych do pozwu i odpowiedzi na pozew dokumentów, które były wiarygodne (k. 11-21, 37-42).

Fakty jak w pkt 1 d ustalono na podstawie w/w dokumentów oraz zeznań świadka K. K. (k. 109-111). Zeznania świadka były wiarygodne w całości.

Fakty jak w pkt 1 g były bezsporne i dodatkowo wykazane wydrukiem z internetu (k. 43-44).

Fakty jak w pkt 1 f ustalono na podstawie zeznań powódki (k. 141-142). Były one w całości wiarygodne. Brak było dowodów, którym odmówiono wiarygodności i mocy dowodowej.

3. Wyjaśnienie podstawy prawnej wyroku z przytoczeniem przepisów prawa.

Powódka dochodziła zadośćuczynienia w związku z bezspornym faktem naruszenia przepisów o ochronie danych osobowych. Podstawą jej roszczenia były przepisy art. 24 w zw. z art. 448 k.c. oraz art. 79 i art. 82 Rozporządzenia PEiR (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

Stosownie do art. 79 § 1 RODO bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego zgodnie z art. 77, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem niniejszego rozporządzenia.

Zgodnie zaś z art. 82 § 1 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

W sprawie bezsporne było, że pozwana spółka jest administratorem w rozumieniu powołanego aktu prawnego (art. 4 pkt 7). Nie budziło również wątpliwości, że przetwarzała ona dane osobowe powódki, mając na uwadze art. 4 pkt 2 RODO. Dane osobowe natomiast to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO). Bezsporne było również naruszenie przez pozwaną przepisów o ochronie danych osobowych, o czym zresztą powiadomiła zarówno powódkę i innych klientów (art. 34 ust. 1 RODO), jak i – odpowiednio do przepisów prawa – Prezesa UODO (art. 33 RODO).

W związku z naruszeniem RODO oraz powołanymi przepisami dotyczącymi naprawienia szkody, powódka dochodziła zadośćuczynienia na podstawie przepisów o ochronie dóbr osobistych. Zgodnie z art. 23 k.c. musiała więc wykazać fakty: naruszenia konkretnego dobra osobistego oraz doznania krzywdy na skutek takiego naruszenia. Ponadto – zważywszy, że domagała się zadośćuczynienia na podstawie art. 448 k.c., który znajduje się wśród przepisów o odpowiedzialności tzw. deliktowej – konieczne było udowodnienie, że naruszenie miało charakter zawiniony.

W przypadku ochrony dóbr osobistych zasadą jest domniemanie bezprawności ich naruszenia. W związku z tym, to na stronie pozwanej ciążył obowiązek udowodnienia, że nie miało ono charakteru bezprawnego. W niniejszej sprawie pozwana nie przedstawiała ani argumentów, ani dowodów wykazujących brak jej bezprawności i należało uznać, że okoliczność ta była bezsporne. Natomiast w celu przypisania spółce odpowiedzialności odszkodowawczej konieczne było również ustalenie, że jej działanie miało charakter zawiniony. W odpowiedzi na pozew wskazywano, że winy nie można było pozwanej przypisać, bowiem do ujawnienia danych doszło w wyniku „ludzkiego błędu”. Nie sposób było zgodzić się z taką argumentacją. Wina w tym przypadku była oczywista. Spółka ponosi odpowiedzialność za błędy popełnione przez osoby, które świadczą dla niej prace lub usługi. Pracownica pozwanej podjęła błędne działania, które skutkowały przekazaniem danych osobowych wielu klientów osobie nieuprawnionej do ich pozyskania. Błąd ludzki w tym przypadku nie oznaczał umyślnego działania, natomiast niewątpliwie był wynikiem niedbalstwa lub lekkomyślności. Nie mogło budzić wątpliwości, że pozwanej należało przypisać zawinione działanie, z tym, że była to wina nieumyślna.

Uwzględniając stanowiska stron i przedstawiane przez nie argumenty za rzeczywiście sporne w sprawie należało uznać właściwie tylko kwestie wystąpienia po stronie powodowej szkody niematerialnej oraz jej rozmiaru. Nawet naruszenie dóbr osobistych J. B. nie było bowiem kwestionowane przez pozwaną, która podważała jedynie jego zakres, wskazując, że w istocie została naruszona tylko prywatność powódki, a nie wszystkie wskazane przez nią dobra.

W ocenie Sądu nie mogło budzić wątpliwości naruszenie prawa do prywatności. Ponadto naruszona została wolność powódki, w rozumieniu swobody dysponowania i decydowania przez nią o sposobie i zakresie wykorzystania oraz udostępnienia jej danych. Poczucie bezpieczeństwa, wolność od obawy i strachu trudno było uznać za dobra osobiste (pomimo otwartego ich katalogu), zważywszy na ich utrwaloną w nauce prawa definicję. Uznaje się za nie bowiem dobra niemajątkowe przysługujące każdej osobie fizycznej oraz osobie prawnej, związane z ich indywidualnym istnieniem. Odnoszą się one do uznanych przez społeczeństwo oraz system prawny wartości obejmujących psychiczną i fizyczną integralność człowieka, jego indywidualność, godność oraz pozycję w społeczeństwie. Tym samym poczucie bezpieczeństwa, brak obawy i strachu można uznać co najwyżej za przejaw dóbr osobistych, a nie ich istotny element.

Strona pozwana kwestionując zaistnienie szkody niemajątkowej oraz jej rozmiar wskazywała na nieudowodnienie tych faktów przez powódkę. Wywodzono, że nie przedstawiła ona żadnych dowodów, poza własnymi zeznaniami. Ponieważ tego rodzaju szkoda, sprowadzająca się do poczucia psychicznej krzywdy stanowi wewnętrzne przeżycie danego człowieka, trudno było oczekiwać, że powódka będzie w stanie udowodnić jej zakres innymi dowodami niż własnymi zeznaniami. W takim przypadku nie można było przypisać jedynie subsydiarnego charakteru zeznaniom strony (w stosunku do innych środków dowodowych). Przesłuchanie J. B. był wystarczające do poczynienia ustaleń faktycznych. Zeznania powódki były zaś w ramach bezpośredniości i doświadczenia życiowego sądu wiarygodne, strona pozwana nie podjęła żadnej inicjatywny, żeby je podważyć.

Mając powyższe na uwadze, należało przyjąć, że wszelkie przesłanki odpowiedzialności strony pozwanej zostały wykazane. Wobec tego należało rozważyć, czy i w jakiej wysokości należne jest powódce zadośćuczynienie.

W prawie cywilnym przyznanie zadośćuczynienia pieniężnego na podstawie art. 448 k.c. nie jest obligatoryjne, lecz ma charakter fakultatywny, decyzje pozostawiono swobodnemu uznaniu sędziowskiemu. Zasadność przyznania zadośćuczynienia pieniężnego, jak i jego wysokość, zależą od oceny całokształtu okoliczności faktycznych sprawy, takich jak rodzaj naruszonego dobra, rozmiar doznanego uszczerbku, charakter następstw naruszenia, stopień zawinienia sprawcy, stosunki majątkowe zobowiązanego i uprawnionego. Użyte w przepisie pojęcie “odpowiedniej sumy” ma niedookreślony charakter. W judykaturze wypracowane zostały kryteria, którymi należy się kierować, określając rozmiar przysługującego zadośćuczynienia. Skompensowana powinna zostać krzywda, która oznacza szkodę niemajątkową wywołaną naruszeniem dobra osobistego, polegająca na psychicznych cierpieniach pokrzywdzonego. Przy oznaczeniu zakresu wyrządzonej krzywdy należy wziąć pod uwagę czynniki obiektywne, takie jak chociażby czas trwania oraz stopień intensywności cierpień psychicznych oraz czynniki subiektywne, m.in. poczucie pokrzywdzenia, wpływ naruszenia na funkcjonowanie danej osoby, jej stosunki zawodowe, rodzinne. Ustalając wysokość zadośćuczynienia należy mieć na względzie, że ma ono mieć charakter głównie kompensacyjny, a więc przedstawiać ma ekonomicznie odczuwalną wartość, adekwatną do warunków gospodarki rynkowej i rozmiaru doznanej krzywdy. Kwota zadośćuczynienia nie może stanowić źródła wzbogacenia. Nie można przy tym jednak zapominać o dodatkowych funkcjach zadośćuczynienia, tj. prewencyjnej i represyjnej w stosunku do sprawcy naruszenia.

W okolicznościach sprawy ustalono, że na skutek działania strony pozwanej doszło do przekazania danych osobowych powódki osobie trzeciej, która nie miała prawa do ich pozyskania i przetwarzania. Oczywistym musiało być, że w ten sposób spółka naruszyła co najmniej dobro osobiste J. B., w postaci prawa do prywatności. W ocenie Sądu nie mogło również budzić wątpliwości, że doprowadziło to do wystąpienia po jej stronie krzywdy, która stanowiła szkodę niemajątkową. Podkreślić należy, że zakres pokrzywdzenia nie musi być jakiś nadzwyczajny, a rozmiar negatywnych odczuć wielki, aby uznać, że dana osoba doznała krzywdy. Poczucie naruszenia bezpieczeństwa, obawa przed niekontrolowanym wykorzystaniem danych, odczuwanie zagrożenia i niepewności – to emocje, które w sposób oczywisty negatywnie wpływają na psychikę danego człowiek. Nie ma potrzeby posiłkowania się w tym zakresie wiedzą specjalistyczną, jest to zjawisko powszechne i mieszczące się w przeciętnym doświadczeniu życiowym. Takie negatywne emocje wpływają na odczucie krzywdy, samopoczucie danej osoby, jej dobrostan psychiczny. Tak zresztą było w przypadku powódki, która podjęła działania zmierzające do zapewnienia sobie bezpieczeństwa, zwracała się do policji, prawników, czy też odczuła skutki błędu pozwanej poprzez subiektywne poczucie zagrożenia, obawę o skutki wycieku je danych.

Za bezprzedmiotowe należało uznać wywody strony pozwanej dotyczące dobrowolnego udostępniania przez powódkę jej danych za pośrednictwem facebook’a. Zasadnie wskazywała strona powodowa, że czym innym jest dobrowolne, intencjonalne i dokonane za zgodą danej osoby upublicznienie swoich danych jako przedsiębiorcy, a czym innym niekontrolowane przekazanie informacji o osobie fizycznej bliżej nieznanemu podmiotowi, który może wykorzystać je w dowolny sposób. Prywatność to dobro odnoszące się do faktów z życia człowieka, co do których musi on wyraźnie zgodzić się na ich upublicznienie. Przejawem wolności jest możliwość decydowania o tym, jak i przez kogo takie dane zostaną wykorzystane. Ujawnienie pewnych informacji w sieci nie oznacza zgody na przekazywanie własnych danych osobowych innym podmiotom w transakcjach handlowych, które to informacje mogą one następnie wykorzystać w sposób pozbawiony kontroli osoby, której dotyczą. Sens ochrony danych osobowych na gruncie RODO sprowadza się zresztą do tego, jak dane osób fizycznych są wykorzystywane przez inne podmioty, a w szczególności przedsiębiorców. Podkreślić należy, że informacje ujawnione przez powódkę dotyczyły jej danych jako przedsiębiorcy, a nie osoby fizycznej. Danych, które zresztą w ramach działalności gospodarczej i tak musiała upublicznić w ewidencji. W niniejszej sprawie doszło do naruszenia ochrony jej danych osobowych, ale jako osoby fizycznej. Te dwie strefy na gruncie ochrony danych oraz naruszenia dóbr osobistych niewątpliwie wymagają oddzielenia. Tym samym argumentacja pozwanej nie miała znaczenia dla rozstrzygnięcia sprawy.

W okolicznościach sprawy stwierdzono, że na skutek działań pozwanej udostępnione zostały osobie trzeciej dane powódki, których osoba ta nie był uprawniona uzyskać (dane adresowe, PESEL, itd.). Opierając się na wynikach postępowania dowodowego ustalono, że w wyniku tego zdarzenia powódka utraciła poczucie bezpieczeństwa, zaczęła odczuwać lęk związany z możliwością nieuprawnionego wykorzystania jej danych osobowych przez inne osoby, w sposób grożący jej oraz jej rodzinie. Od samego incydentu do jego wykrycia upłynęło trochę czasu, co dodatkowo wzmogło jej obawy. Nie podjęła jednak żadnych dalej idących działań w celu zwiększenia swojego bezpieczeństwa. Faktem jednak musiało być istniejące poczucie zagrożenia, niepewności, braku kontroli nad wykorzystaniem danych osobowych, wynikające z naruszenia jej dóbr osobistych, a więc krzywda. To zaś w ocenie Sądu musiało zrodzić po stronie pozwanej obowiązek jej naprawnienia.

Oceniając wysokość roszczenia Sąd miał na uwadze, że zakres pokrzywdzenia nie był znaczny. Negatywne odczucia powódki nie utrzymywały się długo. Jej dane osobowe na dzień zamknięcia rozprawy nie zostały wykorzystane przez osobę nieuprawnioną, ani dalej przekazane, czy upublicznione. Powódka nie doznała żadnych konkretnych negatywnych konsekwencji naruszenia przez pozwaną RODO. Nie posłużono się jej danymi w sposób bezprawny, nie nękano jej telefonami. Krzywda wyrządzona powódce na skutek naruszenia jej danych osobowych nie była więc duża, zatem i funkcja kompensacyjna zadośćuczynienia wskazywała, że należna jej kwota nie powinna być wygórowana. Dodatkowo należało mieć na uwadze okoliczności dotyczące strony pozwanej, a więc udostępnienie danych osobowych w ramach nieumyślnego zawinienia, czy niezwłoczne podjęcie działań mających na celu zmniejszenie skutków naruszenia. Z drugiej strony koniecznie było jednak uwzględnienie także funkcji represyjnej i prewencyjnej zadośćuczynienia, w celu zmobilizowania spółki do lepszego czuwania nad zabezpieczeniem danych w przyszłości.

Oceniając te wszelkie okoliczności, w ocenie Sądu odpowiednią kwotą zadośćuczynienia powinna być połowa żądanej przez powódkę sumy, tj. 1500 zł. Stosownie do rozmiaru krzywdy, taka kwota pozwoli na jej zrekompensowanie. Będzie to przysporzenie majątkowe, które powinno dać powódce odpowiednią do stopnia naruszenia satysfakcję. Kwota ta nie jest również wygórowana i nie prowadzi do nadmiernego wzbogacenia powódki. Jest ona również realna do poniesienia przez pozwaną i na tyle wysoka, że powinna mieć również skutek prewencyjny.

Mając powyższe na uwadze, na podstawie powołanych przepisów zasądzono na rzecz powódki od pozwanej tytułem zadośćuczynienia kwotę 1.500 zł, powództwo w pozostałym zakresie oddalając, jako nieudowodnione.

O odsetkach za opóźnienie orzeczono stosownie do art. 481 § 1 k.c. Określając datę wymagalności odsetek, Sąd podzielił dominujący obecnie pogląd, zgodnie z którym orzeczenie przyznające zadośćuczynienie ma charakter rozstrzygnięcia deklaratoryjnego, a nie konstytutywnego, zaś zobowiązanie do jego zapłaty (art. 445 § 1 k.c.) ma charakter zobowiązania bezterminowego, toteż przekształcenie go w zobowiązanie terminowe może nastąpić w wyniku wezwania wierzyciela (pokrzywdzonego) skierowane wobec dłużnika do spełnienia świadczenia (tak wyrok Sądu Najwyższego z 22 lutego 2007 r., I CSK 433/06). Kwestia ta winna być oceniana i rozstrzygana indywidualnie w każdym konkretnym przypadku. W uzasadnieniu wyroku z 18 lutego 2011 r. (I CSK 243/10) Sąd Najwyższy słusznie wskazał, że “wysokość krzywdy, tak jak i szkody majątkowej, może się zmieniać w czasie. Różna zatem w miarę upływu czasu może być też wysokość należnego zadośćuczynienia. W rezultacie początek opóźnienia w jego zapłacie może się łączyć z różnymi datami. Jeżeli więc powód żąda od pozwanego zapłaty określonej kwoty tytułem zadośćuczynienia z odsetkami ustawowymi za opóźnienie od danego dnia, poprzedzającego dzień wyrokowania, odsetki te powinny być zasądzone zgodnie z żądaniem pozwu, o ile tylko w toku postępowania zostanie wykazane, że dochodzona suma rzeczywiście się powodowi należała tytułem zadośćuczynienia od wskazanego przez niego dnia”.

W ocenie Sądu na datę wezwania strony pozwanej przez powódkę do zapłaty, zasadność samego zadośćuczynienia nie mogła budzić wątpliwości i przynajmniej w części zasądzonej w niniejszej sprawie mogło ono być spełnione, bez konieczności angażowania w rozstrzygnięcie sporu sądu. W związku z tym zasądził odsetki od daty wskazanej w pozwie.

Uwzględniając wynik procesu, na podstawie art. 100 k.p.c. koszty procesu pomiędzy stronami wzajemnie zniesiono, mając na uwadze, że obie wygrały ją w takim samym stopniu.