Czy możliwe jest roszczenie o usunięcie danych osobowych?

Na tak postawione pytanie Sąd Okręgowy w Łodzi wypowiedział się twierdząco, a pogląd ten skutkował uchyleniem wyroku Sądu Rejonowego i przekazaniem sprawy do rozpoznania Sądowi Okręgowemu.

Omawiana sprawa miała swój początek w czerwcu 2014 r. gdy J.N., będąc w podróży służbowej, prowadził powierzonym mu przez pracodawcę samochód.

Doszło wtedy do szkody w pojeździe polegającej na pęknięciu szyby przedniej kierowanego przez niego pojazdu spowodowanej uderzeniem w nią kamienia podniesionego przez poprzedzający go samochód.

Taką szkodę, w ramach ubezpieczenia autocasco, pracodawca zgłosił ubezpieczycielowi. Na pojeździe ustanowiony był leasing. Ubezpieczyciel, zgodnie z ustawą z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r., poz. 473 ze zm.), w postępowaniu likwidacyjnym przekazał do Ubezpieczeniowego Funduszu Gwarancyjnego informacje o zdarzeniu, wskazując J. N. jako kierującego pojazdem w nim uczestniczącym. 

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

J.N. po pewnym czasie od tego wydarzenia chciał ubezpieczyć swój prywatny pojazd – wtedy podczas weryfikacji jego danych dokonany przez wybranego przez niego ubezpieczyciela, pojawiły się informacje o opisanej wyżej szkodzie z ryzyka autocasco.

Pismem z dnia 29 października 2015 r. J. N. zwrócił się do (…) o korektę wpisu szkodowości, wskazując, że odpowiedzialność za zgłoszoną szkodę i zaistniałe w dniu 27 czerwca 2014 r. zdarzenie przejmuje właściciel pojazdu tj. firma: (…) Sp. z o.o., a w odpowiedzi poinformowano go, że odpowiedzialność za jakość i kompletność danych ponoszą całkowicie towarzystwa ubezpieczeniowe, zaś do wprowadzania w nich korekty uprawniony jest jedynie ten ubezpieczyciel, który je uprzednio nadesłał. 

W październiku 2018 r. J. N. zasięgał mailowo informacji, czy wpis w bazie (…) o szkodzie z ryzyka AC ma wpływ na wysokość składki za ubezpieczenie pojazdu i uzyskał odpowiedź twierdzącą od (…) SA, (…) SA, (…) SA, (…) SA oraz z biura ubezpieczeń i agencji ubezpieczeniowej w P.. W bazie Ośrodka (…), w odnoszącej się do powoda części dotyczącej zdarzeń szkodowych w okresie od dnia 8 marca 2011 r. do dnia 24 sierpnia 2018 r., znajduje się informacja o szkodzie z dnia 27 czerwca 2014 r. z ryzyka AC, gdzie figuruje on jako kierujący pojazdem, nie zaś jako poszkodowany czy sprawca szkody.

Zdaniem Sądu Rejonowego, powództwo okazało się niezasadne, więc należało je oddalić. Sąd podniósł, że powód domagał się zobowiązania pozwanego do usunięcia wpisu o szkodowości przypisanego do powoda, zatem uwzględnienie powództwa wymagałoby w pierwszej kolejności wykazania, że pozwany działał w sposób sprzeczny z prawem.

W ocenie Sądu Rejonowego to, że (…) SA odmówiło powodowi zniżek za bezszkodową jazdę z powodu informacji o tej szkodzie, jest okolicznością leżącą poza odpowiedzialnością pozwanego. Przede wszystkim, nie wiadomo, w jaki sposób dokładnie ubezpieczyciel pozyskuje te dane, skoro, zgodnie z informacjami pochodzącymi z (…), J. N. w historii swojego ubezpieczenia nie ma przypisanej tej szkody, a z wydruku z portalu (…) nie wynikają żadne szczegóły dotyczące jego związku z tą szkodą.

Judykatura.pl – Jeden dostęp do wszystkich spraw RODO!

Przechodząc do stanowiska Sądu Okręgowego dotyczącego ochrony danych osobowych należy wskazać kilka szalenie istotnych stwierdzeń.

Przede wszystkim Sąd Rejonowy:

przy wstępnej analizie treści pozwu zaniedbał zadania sobie pytania, czy z twierdzeń składających się na podstawę faktyczną żądania pozwu wynika, że pomiędzy stronami procesu istnieje jakikolwiek stosunek cywilnoprawny, z którego powód wywodziłby dochodzone roszczenie – a w efekcie orzekł o niezasadności powództwa, kierując się niezbyt jasnymi i nie wiadomo skąd wywiedzionymi kryteriami

Taką ocenę roszczenia powoda można przeprowadzić jedynie wówczas, gdy Sąd jest w stanie wskazać normę prawa materialnego, z której potencjalnie można je wyprowadzić i stwierdzi, że okoliczności ustalone w toku postępowania nie wypełniają przesłanek, od których owa norma uzależnia powstanie i przysługiwanie roszczenia.

W zakresie istnienia albo konieczności istnienia stosunku cywilnoprawnego Sąd Okręgowy powiedział tak:

Odnotować jednak trzeba, że J. N. nie twierdził w toku procesu, że pomiędzy nim i pozwanym ubezpieczycielem istnieje jakikolwiek stosunek cywilnoprawny, a jedynie wywodził, że przekazanie przez pozwanego dotyczących go danych do (…) nastąpiło z naruszeniem art. 102 ust. 4 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r. poz. 473 ze zm.), domagając się przywrócenia stanu zgodnego z prawem.

Co zupełnie umknęło Sądowi Rejonowemu, a zostało zauważone przez Sąd Okręgowy to to, że Sąd Rejonowy w dacie wydania wyroku

W ocenie Sądu odwoławczego w sprawie niniejszej zachodziła sytuacja pierwotnego braku istnienia pozytywnej przesłanki procesowej w postaci dopuszczalności drogi sądowej, ponieważ sprawa o przywrócenie stanu zgodnego z prawem poprzez usunięcie określonych danych osobowych ze zbioru danych przetwarzanych przez inny podmiot niezgodnie z prawem nie należała (w stanie prawnym z chwili wniesienia pozwu) do żadnej z kategorii spraw wymienionych w art. 1 k.p.c. – nie była bowiem sprawą ze stosunków z zakresu prawa cywilnego, rodzinnego i opiekuńczego oraz prawa pracy, sprawą z zakresu ubezpieczeń społecznych, ani wreszcie inną sprawą, do której przepisy Kodeksu postępowania cywilnego stosuje się z mocy ustaw szczególnych.

Dla rozpoznania takiej sprawy przewidziany był tryb administracyjny. W pierwszej kolejności stwierdzić trzeba, że informatyczna baza danych (…), o której mowa w art. 102a ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r. poz. 473 ze zm.) była zbiorem danych w rozumieniu art. 7 pkt. 1 ówcześnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej u.o.d.o. z 1997 r., zaś przez przetwarzanie danych, w myśl art. 7 pkt. 1 tejże ustawy należało rozumieć jakiekolwiek operacje wykonywane na danych osobowych, m.in. ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; za dane osobowe uważało się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 u.o.d.o. z 1997 r.).

Sąd Okręgowy oceniając wyrok Sądu I Instancji podkreślił, że:

reżim ochrony dóbr osobistych, oparty na przepisach Konstytucji oraz kodeksu cywilnego, i reżim ochrony danych osobowych, oparty na przepisach Konstytucji oraz ustawy o ochronie danych osobowych, są wobec siebie niezależne.

Skoro jednak o potencjalnym zakwalifikowaniu sprawy do drogi cywilnej decyduje nie tylko przedstawione pod osąd roszczenie, ale także przytoczony przez powoda stan faktyczny, to stwierdzić trzeba, że J. N. nie powołał okoliczności i twierdzeń wskazujących na naruszenie jakichkolwiek jego dóbr osobistych, co skutkować musi przyjęciem, że powód nie zamierzał korzystać z roszczeń przewidzianych w art. 24 k.c. i w konsekwencji zastosować tu należało reżim ochrony danych osobowych przewidziany w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 ze zm.) – a to z kolei implikowało przyjęcie, że załatwienie niniejszej sprawy należy do drogi administracyjnej.

I co najważniejsze wskazał:

W aktualnym stanie prawnym art. 17 ust. 1 pkt. d Rozporządzenia 2016/679 – podobnie jak uprzednio art. 32 ust. 1 pkt. 6 i art. 35 ust. 1 u.o.d.o. z 1997 r. – stanowi, że osoba, której dane osobowe dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, zaś administrator ma obowiązek bez zbędnej zwłoki te dane usunąć, jeżeli były one przetwarzane niezgodnie z prawem, jednak równocześnie art. 79 ust. 1 Rozporządzenia 2016/679 przyznaje takiej osobie – bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej (w tym prawa do wniesienia skargi do organu nadzorczego) – prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem rozporządzenia.

Przewidziana w tym ostatnim przepisie ochrona sądowa dotyczy zatem również realizacji prawa osoby, której dane osobowe dotyczą, do żądania od administratora tych danych niezwłocznego ich usunięcia, jeśli ten nie zadośćuczynił jej wezwaniu, a jednocześnie nie został spełniony żaden z warunków ich przetwarzania przewidzianych w art. 6 ust. 1 Rozporządzenia 2016/679.

Nie ma wątpliwości, że takie właśnie żądanie zgłosił powód w sprawie niniejszej, domagając się od pozwanego usunięcia jego danych osobowych ze zbioru tych danych i wywodząc, że pozwany przetwarza je bezprawnie – czyli, używając sformułowań Rozporządzenia 2016/679, że nie może powołać się na przesłankę zgodności swych działań z prawem przewidzianą w art. 6 ust. 1, w szczególności w podpunkcie c).

Sąd odwoławczy nie ma też wątpliwości, że pozwanego należy uważać za administratora danych osobowych J. N. (lub ewentualnie podmiot przetwarzający te dane) w rozumieniu art. 4 pkt. 7 i 8 Rozporządzenia 2016/679, a stanowisko takie znajduje też pośrednie potwierdzenie w treści art. 105 ust. 4a ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r. poz. 473 ze zm.) w związku z art. 16 Rozporządzenia 2016/679.

Czyli Sąd Okręgowy widzi, iż sprawa dotycząca usunięcia danych osobowych jest:

od dnia 25 maja 2018 r. sprawa niniejsza stała się sprawą cywilną w rozumieniu art. 1 k.p.c., skoro do dochodzonego w niej roszczenia należy stosować przepisy Kodeksu cywilnego, a ustawodawca nakazał jej rozpoznawanie przez sądy na podstawie unormowań Kodeksu postępowania cywilnego.

Co jeszcze ciekawsze to to, że według Sądu Okręgowego:

art. 79 Rozporządzenia 2016/679 przewiduje nowe samoistne cywilnoprawne roszczenie o ochronę danych osobowych, pozostające w oderwaniu od dotąd funkcjonującej konstrukcji prawa cywilnego dotyczących ochrony dóbr osobistych, którego poszczególne postacie obejmują realizację na drodze sądowej wszelkich praw przewidzianych w rozdziale III Rozporządzenia 2016/679, w tym prawa do usunięcia danych („prawa do bycia zapomnianym”), o którym mowa w art. 17. Z kolei art. 100 u.o.d.o. z 2018 r. stanowi, że do postępowania w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o którym mowa m.in. w art. 79 Rozporządzenia 2016/679, w zakresie nieuregulowanym ustawą stosuje się przepisy Kodeksu postępowania cywilnego

I w zakresie właściwości Sąd Okręgowy wypowiada się tak:

Niemniej jednak analiza obecnie obowiązujących przepisów proceduralnych dotyczących spraw o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych, w szczególności art. 93 u.o.d.o. z 2018 r. i art. 17 pkt. 4 5 k.p.c., prowadzi do wniosku, że do rozpoznawania tych spraw właściwe są wyłącznie sądy okręgowe jako sądy I instancji – a to oznacza, że Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi rozpoznał sprawę niniejszą i wydał w niej wyrok, choć z mocy powołanych unormowań właściwy był do tego sąd okręgowy bez względu na wartość przedmiotu sporu.