Sąd Okręgowy uchyla zadośćuczynienie z RODO

W marcowym wyroku Sądu Okręgowego w Lublinie pojawia się bardzo istotny wątek dotyczących charakteru odpowiedzialności cywilnej administratora danych w związku z naruszeniem przetwarzania danych osobowych. 

Omawiana sprawa prezentuję się następująco: 

  1. w grudniu 2017 r. dochodzi do niezgodne z prawem przetwarzania danych osobowych Powoda,
  2. we wrześniu 2018 r. składa on pozew do Sądu Okręgowego w Lublinie, 
  3. w październiku 2018 r. Sąd Okręgowy w Lublinie przekazuję sprawę do Sądu Rejonowego,
  4. w grudniu 2020 r. Sąd Rejonowy wydaje wyrok,
  5. w marcu 2022 r. Sąd Okręgowy w Lublinie uchyla ten wyrok i przekazuję sprawę do Sądu właściwego, a więc do Sądu Okręgowego z pkt. 1.

Obywatel, który chce skorzystać ze swojego prawa do dochodzenia zadośćuczynienia (o tym później), które w jego opinii mu się należy, jest w tym samym miejscu, w którym był na początku, ale jest starszy o 5 lat (sic!).

Choć powyższy, tragiczny jak dla mnie, obraz wymiaru sprawiedliwości nie jest wyłącznie spowodowany “pracą” sądu, ale też byle jaką legislacją – w tym przypadku dotyczącą nowelizacji kodeksu postępowania cywilnego w zakresie właściwości sądów okręgowych.

Rzucając trochę więcej światła na sprawę warto wskazać, że:

W pozwie z dnia 21 września 2018 roku, wniesionym do Sądu Okręgowego w L., powód M. K. wniósł o zasądzenie na jego rzecz od pozwanego K. O. kwoty 12 000 zł z odsetkami ustawowymi za opóźnienie od dnia 5 lipca 2018 roku tytułem zadośćuczynienia za naruszenie dóbr osobistych.   W uzasadnieniu pozwu powód wskazał, że do naruszenia dóbr osobistych powoda miało dojść na skutek bezprawnego posłużenia się przez pozwanego danymi osobowymi powoda poprzez użycie danych osobowych powoda (imię i nazwisko, adres zamieszkania) oraz podrobienie jego podpisu w umowie sprzedaży telefonu komórkowego datowanej na dzień 7 grudnia 2017 roku, której powód nie zawierał z pozwanym, nie upoważniał do jej zawarcia ani o niej nie wiedział. Powód dodał, że czyn pozwanego wyczerpuje znamiona przestępstw z art. 190a § 2 k.k. oraz art. 270 § 1 k.k. a ponadto powód nie wyraził zgody na przetwarzanie przez pozwanego jego danych osobowych, czego wymaga art. 6 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

oraz

Powód żądał od pozwanego zapłaty zadośćuczynienia za krzywdę powstałą na skutek naruszenia dóbr osobistych, nie precyzując bliżej w pozwie, jakie jego dobra osobiste zostały naruszone, natomiast jako podstawę faktyczną swojego żądania wskazał bezprawne posłużenie się przez pozwanego danymi osobowymi powoda poprzez użycie danych osobowych powoda (imię i nazwisko, adres zamieszkania) oraz podrobienie jego podpisu w umowie sprzedaży telefonu komórkowego datowanej na dzień 7 grudnia 2017 roku, której powód nie zawierał z pozwanym, nie upoważniał do jej zawarcia ani o niej nie wiedział. Powód dodał również, że pozwany nie wyraził zgody na przetwarzanie przez pozwanego jego danych osobowych, czego wymaga art. 6 ust. 1 lit. a) rozporządzenia Parlamentu Europejskiego Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

W niniejszej sprawie na podstawie art. 448 k.c. w zw. z art. 23 k.c. i art. 24 k.c. powód dochodził ochrony dóbr osobistych w postaci nazwiska i prawa do prywatności poprzez bezprawne użycie danych osobowych powoda (imię i nazwisko, adres zamieszkania) oraz podrobienie jego podpisu w umowie sprzedaży telefonu komórkowego datowanej na dzień 7 grudnia 2017 roku, które to czyn został ujawniony powodowi w następstwie pisma Naczelnika Pierwszego Urzędu Skarbowego w L. z dnia 11 maja 2018 roku.

Sąd Rejonowy zasądził od pozwanego na rzecz powoda kwotę 3 000 zł z odsetkami ustawowymi za opóźnienie od dnia 5 lipca 2018 roku do dnia zapłaty. 

Gdyby taki wyrok został wydany przez Sąd właściwy można by mówić o największym zadośćuczynieniu związanym z naruszeniem ochrony danych osobowych, choć powód żądał kwoty 12 000 zł.

Sąd Okręgowy uchylając powyższy wyrok poruszył bardzo ważne zagadnienia. 

Po pierwsze wskazał, że:

Zgodnie z art. 17 pkt 4 prim 5 k.p.c., w brzmieniu obowiązującym od dnia 25 maja 2018 roku, do właściwości sądów okręgowych, bez względu na wartość przedmiotu sporu, należą sprawy o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych.

oraz

Wskazać również należy, że rozporządzenie 2016/679, które znajduje zastosowanie od dnia 25 maja 2018 roku, w art. 82 ust. 1 stanowi, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia tego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

jak i 

Wykorzystanie cudzych danych może również stanowić naruszenie dobra osobistego w postaci prywatności, zaś sama prywatność jest identyfikowana jako odrębne dobro osobiste w postaci prawa każdej osoby do samodzielnego i wyłącznego decydowania o tym, w jakim zakresie chce zachować swą anonimowość, a jakie informacje o niej mogą być udostępniane osobom trzecim. Ochrona życia prywatnego jest wartością chronioną konstytucyjnie w art. 47 Konstytucji RP, a ponadto w zakresie pozyskiwania, gromadzenia i udostępniania danych – w art. 51 ust. 2 Konstytucji RP.

I teraz przechodzimy do najciekawszego, moim zdaniem, zagadnienia poruszonego przez Sąd, a w którym jest jeszcze wiele do “ustalenia”. 

Czy charakter odpowiedzialności cywilnoprawnej wskazanej w art. 82 ust. 1 RODO można rozważać na zasadach odpowiedzialności deliktowej? 

Sąd Okręgowy wskazuje tak:

Zarówno w stanie prawnym obowiązującym przed dniem 25 maja 2018 roku jak i w stanie prawnym obowiązującym od dnia 25 maja 2018 roku, zbieranie, przechowywanie i wykorzystywanie w umowie danych osobowych w postaci imienia i nazwiska oraz adresu zamieszkania jest przetwarzaniem danych osobowych, które jest zgodne z prawem wyłącznie w określonych przypadkach, m. in. w sytuacji, gdy przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, zaś generalnie wymaga zgody osoby, której dane dotyczą (art. 4 pkt 1 i pkt 2, art. 6 i art. 7 rozporządzenia 2016/679, uprzednio art. 6, art. 7 pkt 2 i art. 23 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych). Nieuprawnione przetwarzanie cudzych danych osobowych jest bezprawne.

W doktrynie rozważany jest również charakter odpowiedzialności cywilnoprawnej wprowadzonej w art. 82 ust. 1 rozporządzenia 2016/679, przy czym prezentowane jest stanowisko, że jest to odpowiedzialność deliktowa (podobnie jak w przypadku roszczenia dochodzonego na podstawie art. 448 k.c. w zw. z art. 23 k.c. i art. 24 k.c.); może dość do zbiegu roszczenia z art. 82 ust. 1 rozporządzenia 2016/679 z roszczeniami z tytułu ochrony dóbr osobistych; postuluje się też ukształtowanie nowego dobra osobistego w postaci ochrony danych osobowych (por. M. Gumularz, Wpływ regulacji odpowiedzialności odszkodowawczej w ogólnym rozporządzeniu o ochronie danych osobowych na systemy prawa prywatnego państw członkowskich, „Europejski Przegląd Sądowy” z 2017 roku, nr 5, s. 31-35).

Omówienie wyżej powołanych przepisów w aspekcie ich czasowego obowiązywania było konieczne z tego względu, że zachowanie pozwanego, z którego powód wywodził roszczenie o zadośćuczynienie, miało mieć miejsce przed dniem 25 maja 2018 roku, a zatem, zgodnie z ogólną regułą z art. 3 k.c., zastosowania w niniejszej sprawie nie będą mieć przepisy materialnoprawne obowiązujące od dnia 25 maja 2018 roku, w szczególności art. 82 ust. 1 rozporządzenia 2016/679, natomiast o roszczeniu powoda należy orzec na podstawie art. 448 k.c. w zw. z art. 23 k.c. i art. 24 k.c.

Tym samym, zgodnie z art. 17 pkt 4 prim 5 k.p.c., należało przyjąć, że w sprawie niniejszej właściwy w pierwszej instancji był sąd okręgowy bez względu na wartość przedmiotu sporu (powód dochodził roszczenia majątkowego niższego niż kwota 75 000 zł).

Nie ma podstaw, aby, w braku przepisów przejściowych, zawężać zakres stosowania art. 17 pkt 4 prim 5 k.p.c. tylko do naruszeń dóbr osobistych mających miejsce po dniu 25 maja 2018 roku. Nie można również przyjąć, aby art. 17 pkt 4 prim 5 k.p.c. miał swoim zakresem obejmować wyłącznie roszczenia mające materialnoprawną podstawę w art. 82 ust. 1 rozporządzenia 2016/679.

I co ważne – Sąd dostrzega monetyzację danych osobowych:

Należy jednak uznać, że nie bez znaczenia jest też to, iż sprawy związane z naruszeniem przepisów o ochronie danych osobowych z reguły będą cechować się większą zawiłością faktyczną i prawną, a w dobie monetyzacji danych osobowych mają dużą doniosłość społeczną i ekonomiczną. Byłoby zatem nielogiczne, aby podobne rodzajowo sprawy o roszczenia dochodzone na podstawie art. 82 ust. 1 rozporządzenia 2016/679 rozpoznawały w pierwszej instancji sądy okręgowe, natomiast sprawy majątkowe o roszczenia z tytułu ochrony dóbr osobistych wynikające z naruszenia przepisów o ochronie danych osobowych były rozpoznawane, w zależności od wartość przedmiotu sporu, przez sądy rejonowe bądź sądy okręgowe.