Sąd Okręgowy: 1000 zł zadośćuczynienia za naruszenie ochrony danych

Poszerza się baza orzeczeń dotyczących zasądzenia od administratora danych zadośćuczynienia za naruszenie ochrony danych osobowych na podstawie art. 82 RODO.

W opublikowanym, w styczniu 2023 r., uzasadnieniu orzeczenia Sądu Okręgowego Warszawa-Praga w Warszawie możemy przeczytać bardzo istotne konkluzje funkcjonowania zadośćuczynienia przewidzianego w RODO.

Sąd ten zajmował się sprawą, w której:

6 lutego 2019 r. pracownik Pozwanej spółki wskutek błędu wysłał do jednego z klientów spółki – (…), emailem plik z załącznikiem dokumentem finansowym zawierającym dane osobowe innych klientów, w tym dane osobowe Powódki.

w tym pliku były dane osobowe klientów, takie jak: imię, nazwisko, PESEL, adres tj. ulica, numer budynku i lokalu, kod pocztowy, miejscowość, numer klienta (…) numer zawartej ze Spółką umowy, numer rachunku przypisanego każdemu klientowi z osobna do dokonywania wpłat, numery faktur i faktur korygujących wraz z zawartymi w nich informacjami, saldo (na dzień 6 lutego 2019 r.), zestawienie wszystkich wystawionych faktur oraz korekt, data sprzedaży, data wystawienia, termin płatności, dzień zapłaty, KWh, kwota akcyzy w złotówkach, wartość netto, brutto, kwota VAT, stan płatności.

Co znaczące administrator nie wykrył samodzielnie powyższego naruszenia ochrony danych, a dowiedział się o błędzie pracownika dopiero w dniu 24 kwietnia 2019 roku, pismem od klienta M. S. (1), który otrzymał emailem plik z danymi. Klient M. S. (1), wystąpił z zapytaniem do Spółki, czy posiadane przez niego dane ma przekazać odpowiednim organom.

Administrator danych niezwłocznie po powzięciu informacji o omyłkowym udostępnieniu danych osobowych klientów, osobie nieuprawnionej (M. S. (1)), złożyła zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.

Jednocześnie Spółka wysłała do swoich klientów, w tym do B. N., zawiadomienie o naruszeniu ochrony danych osobowych, w którym wskazała jakie dane zostały ujawnione, jakie środki bezpieczeństwa mogą podjąć klienci w celu zapobieżenia negatywnym skutkom naruszenia oraz jakie ewentualne konsekwencje wyniknąć mogą z faktu udostępnienia danych osobie nieuprawnionej, np.: uzyskanie przez osoby trzecie na szkodę Pokrzywdzonego kredytów w instytucjach pozabankowych, uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej, które przysługują Pokrzywdzonemu; wyłudzenie ubezpieczenia; korzystanie przez osoby trzecie z praw obywatelskich Pokrzywdzonego.

Powódka, która “ucierpiała” w efekcie tego naruszenia ochrony danych, gdy otrzymała zawiadomienie o nim złożyła skargę do Prezesa UODO oraz zwróciła się do Spółki o rozwiązanie umowy z dnia 2 października 2019 r. za porozumieniem stron, ze względu na utratę zaufania do Spółki.

Osoba ta założyła konto w Biurze Informacji Kredytowej, obawiając, się iż jej dane osobowe mogą zostać wykorzystane przez osoby trzecie do zaciągnięcia na nią zobowiązań kredytowych. B. N. płaci rocznie 25 zł abonamentu w BIKu.

W ocenie Sądu:

Pozwana Spółka odpowiada za szkody spowodowane przetwarzaniem danych naruszającym rozporządzenie RODO na podstawie art. 82 ust. 2 RODO.

Istotne jest, że Sąd przyjął zbieg podstaw odpowiedzialności do naprawienia szkody niemajątkowej i wskazał, że:

w oparciu o art. 82 ust. 1 RODO oraz naprawienia krzywdy (szkody niemajątkowej) spowodowanej naruszeniem dobra osobistego powódki – prawa do prywatności w zakresie autonomii informacyjnej co do decydowania o ujawnianiu informacji o swojej osobie z art. 23 k.c. w zw. z art. 24 k.c. w zw. z art. 448 k.c.

w zakresie ustalenia szkody niemajątkowej z art. 82 ust. 1 RODO oraz szkody niemajątkowej z art. 448 k.c. w zw. z art. 24 k.c. wynikłych z tego samego zdarzenia – udostępnienia przez Pozwaną Spółkę pliku z danymi osobowymi Powódki osobie nieuprawnionej, Sąd wziął pod uwagę, iż Pozwana spółka już po wyrządzeniu tej szkody niemajątkowej, podjęła szereg celowych czynności w celu usunięcia skutków tej szkody i zapobieżenia dalszemu powiększaniu się zakresu tej szkody niemajątkowej.

Miarkując kwotę zadośćuczynienia Sąd argumentował, że przyznanie 20 000 zł jest wygórowane i nieadekwatne do zakresu szkody oraz:

Przez ten czas kilku miesięcy Powódka oprócz obawy o możliwość zaciągnięcia kredytu na jej dane osobowe lub wykorzystania jej danych osobowych w innych celach i naruszenia jej prywatności, nie doświadczyła żadnych negatywnych konsekwencji spowodowanych naruszeniem Pozwanej, dane Powódki nie zostały w żaden sposób wykorzystane. Ponadto, w toku niniejszego postępowania oraz postępowania karnego, ustalone zostało, że nieuprawniona osoba trzecia nie korzystała z otrzymanych danych, nie udostępniała ich dalej, ani w żaden sposób nie przetwarzała. Dane osobowe klientów, w tym Powódki, zostały usunięte z urządzenia osoby nieuprawnionej. Oprócz tego oraz obaw Powódki o wykorzystanie jej danych osobowych w przyszłości, nie dotknęły jej żadne dalsze konsekwencje. Biorąc powyższe pod uwagę, należy zauważyć, że szkoda niemajątkowa krzywda Powódki w związku z naruszeniem ochrony jej danych osobowych oraz prawa do prywatności jest niewielka. Zatem żądanie zadośćuczynienia w kwocie 20.000,00 zł jest wygórowane i nieadekwatne do zakresu szkody niemajątkowej (krzywdy) jakiej doznała na skutek niezgodnego z rozporządzeniem RODO ochrony jej danych osobowych oraz naruszeniem jej prawa do prywatności o decydowaniu jakie informacje o sobie i komu chce przekazać.

Odpowiednią kwotą zadośćuczynienia, która pozwoli naprawić szkodę niemajątkową (krzywdę) Powódki, spowodowaną naruszeniem rozporządzenia o ochronie danych osobowych oraz naruszeniem dobra osobistego powódki w postaci prawa do prywatności, w ocenie Sądu jest 1.000,00 zł.

Taka kwota spełnia funkcję kompensacyjną zadośćuczynienia w niniejszej sprawie. Pozostaje przysporzeniem majątkowym i jednocześnie rekompensuje krzywdę (szkodę niemajątkową), którą Pozwana wyrządziła Powódce.