Sąd Okręgowy: 1000 zł zadośćuczynienia za naruszenie ochrony danych

Poszerza się baza orzeczeń dotyczących zasądzenia od administratora danych zadośćuczynienia za naruszenie ochrony danych osobowych na podstawie art. 82 RODO.

W opublikowanym, w styczniu 2023 r., uzasadnieniu orzeczenia Sądu Okręgowego Warszawa-Praga w Warszawie możemy przeczytać bardzo istotne konkluzje funkcjonowania zadośćuczynienia przewidzianego w RODO.

Sąd ten zajmował się sprawą, w której:

6 lutego 2019 r. pracownik Pozwanej spółki wskutek błędu wysłał do jednego z klientów spółki – (…), emailem plik z załącznikiem dokumentem finansowym zawierającym dane osobowe innych klientów, w tym dane osobowe Powódki.

w tym pliku były dane osobowe klientów, takie jak: imię, nazwisko, PESEL, adres tj. ulica, numer budynku i lokalu, kod pocztowy, miejscowość, numer klienta (…) numer zawartej ze Spółką umowy, numer rachunku przypisanego każdemu klientowi z osobna do dokonywania wpłat, numery faktur i faktur korygujących wraz z zawartymi w nich informacjami, saldo (na dzień 6 lutego 2019 r.), zestawienie wszystkich wystawionych faktur oraz korekt, data sprzedaży, data wystawienia, termin płatności, dzień zapłaty, KWh, kwota akcyzy w złotówkach, wartość netto, brutto, kwota VAT, stan płatności.

Co znaczące administrator nie wykrył samodzielnie powyższego naruszenia ochrony danych, a dowiedział się o błędzie pracownika dopiero w dniu 24 kwietnia 2019 roku, pismem od klienta M. S. (1), który otrzymał emailem plik z danymi. Klient M. S. (1), wystąpił z zapytaniem do Spółki, czy posiadane przez niego dane ma przekazać odpowiednim organom.

Administrator danych niezwłocznie po powzięciu informacji o omyłkowym udostępnieniu danych osobowych klientów, osobie nieuprawnionej (M. S. (1)), złożyła zgłoszenie naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Jednocześnie Spółka wysłała do swoich klientów, w tym do B. N., zawiadomienie o naruszeniu ochrony danych osobowych, w którym wskazała jakie dane zostały ujawnione, jakie środki bezpieczeństwa mogą podjąć klienci w celu zapobieżenia negatywnym skutkom naruszenia oraz jakie ewentualne konsekwencje wyniknąć mogą z faktu udostępnienia danych osobie nieuprawnionej, np.: uzyskanie przez osoby trzecie na szkodę Pokrzywdzonego kredytów w instytucjach pozabankowych, uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej, które przysługują Pokrzywdzonemu; wyłudzenie ubezpieczenia; korzystanie przez osoby trzecie z praw obywatelskich Pokrzywdzonego.

Powódka, która “ucierpiała” w efekcie tego naruszenia ochrony danych, gdy otrzymała zawiadomienie o nim złożyła skargę do Prezesa UODO oraz zwróciła się do Spółki o rozwiązanie umowy z dnia 2 października 2019 r. za porozumieniem stron, ze względu na utratę zaufania do Spółki.

Osoba ta założyła konto w Biurze Informacji Kredytowej, obawiając, się iż jej dane osobowe mogą zostać wykorzystane przez osoby trzecie do zaciągnięcia na nią zobowiązań kredytowych. B. N. płaci rocznie 25 zł abonamentu w BIKu.

W ocenie Sądu:

Pozwana Spółka odpowiada za szkody spowodowane przetwarzaniem danych naruszającym rozporządzenie RODO na podstawie art. 82 ust. 2 RODO.

Istotne jest, że Sąd przyjął zbieg podstaw odpowiedzialności do naprawienia szkody niemajątkowej i wskazał, że:

w oparciu o art. 82 ust. 1 RODO oraz naprawienia krzywdy (szkody niemajątkowej) spowodowanej naruszeniem dobra osobistego powódki – prawa do prywatności w zakresie autonomii informacyjnej co do decydowania o ujawnianiu informacji o swojej osobie z art. 23 k.c. w zw. z art. 24 k.c. w zw. z art. 448 k.c.

w zakresie ustalenia szkody niemajątkowej z art. 82 ust. 1 RODO oraz szkody niemajątkowej z art. 448 k.c. w zw. z art. 24 k.c. wynikłych z tego samego zdarzenia – udostępnienia przez Pozwaną Spółkę pliku z danymi osobowymi Powódki osobie nieuprawnionej, Sąd wziął pod uwagę, iż Pozwana spółka już po wyrządzeniu tej szkody niemajątkowej, podjęła szereg celowych czynności w celu usunięcia skutków tej szkody i zapobieżenia dalszemu powiększaniu się zakresu tej szkody niemajątkowej.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Miarkując kwotę zadośćuczynienia Sąd argumentował, że przyznanie 20 000 zł jest wygórowane i nieadekwatne do zakresu szkody oraz:

Przez ten czas kilku miesięcy Powódka oprócz obawy o możliwość zaciągnięcia kredytu na jej dane osobowe lub wykorzystania jej danych osobowych w innych celach i naruszenia jej prywatności, nie doświadczyła żadnych negatywnych konsekwencji spowodowanych naruszeniem Pozwanej, dane Powódki nie zostały w żaden sposób wykorzystane. Ponadto, w toku niniejszego postępowania oraz postępowania karnego, ustalone zostało, że nieuprawniona osoba trzecia nie korzystała z otrzymanych danych, nie udostępniała ich dalej, ani w żaden sposób nie przetwarzała. Dane osobowe klientów, w tym Powódki, zostały usunięte z urządzenia osoby nieuprawnionej. Oprócz tego oraz obaw Powódki o wykorzystanie jej danych osobowych w przyszłości, nie dotknęły jej żadne dalsze konsekwencje. Biorąc powyższe pod uwagę, należy zauważyć, że szkoda niemajątkowa krzywda Powódki w związku z naruszeniem ochrony jej danych osobowych oraz prawa do prywatności jest niewielka. Zatem żądanie zadośćuczynienia w kwocie 20.000,00 zł jest wygórowane i nieadekwatne do zakresu szkody niemajątkowej (krzywdy) jakiej doznała na skutek niezgodnego z rozporządzeniem RODO ochrony jej danych osobowych oraz naruszeniem jej prawa do prywatności o decydowaniu jakie informacje o sobie i komu chce przekazać.

Odpowiednią kwotą zadośćuczynienia, która pozwoli naprawić szkodę niemajątkową (krzywdę) Powódki, spowodowaną naruszeniem rozporządzenia o ochronie danych osobowych oraz naruszeniem dobra osobistego powódki w postaci prawa do prywatności, w ocenie Sądu jest 1.000,00 zł.

Taka kwota spełnia funkcję kompensacyjną zadośćuczynienia w niniejszej sprawie. Pozostaje przysporzeniem majątkowym i jednocześnie rekompensuje krzywdę (szkodę niemajątkową), którą Pozwana wyrządziła Powódce.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności