Portal Orzeczeń Sądu Okręgowego w Warszawie

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 7 października 2025 r.

Sąd Okręgowy w Warszawie, I Wydział Cywilny w składzie:

Przewodniczący: Sędzia Agnieszka Nakwaska-Szczepkowska

Protokolant: Sekretarz sądowy Karolina Stańczuk

po rozpoznaniu w dniu 7 października 2025 r. w Warszawie na rozprawie

sprawy z powództwa B. C.

przeciwko Zakładowi Ubezpieczeń Społecznych

o zadośćuczynienie

I.  oddala powództwo;

II.  odstępuje od obciążania powódki obowiązkiem zwrotu kosztów procesu na rzecz pozwanego.

Sędzia Agnieszka Nakwaska-Szczepkowska

Sygn. akt I C 321/24

UZASADNIENIE

B. C. pozwem z dnia 16 listopada 2023 r., skierowanym do Sądu Okręgowego w Płocku, wniosła o zasądzenie od pozwanego Zakładu Ubezpieczeń Społecznych na jej rzecz kwoty 4000 zł wraz z ustawowymi odsetkami za opóźnienie od dnia 3 listopada 2022 r. do dnia zapłaty, tytułem zadośćuczynienia za naruszenie przepisów „rozporządzenia RODO” - bezprawne naruszenie przepisów o ochronie danych osobowych.

Powódka domagała się także zasądzenia od pozwanego zwrotu kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych.

W uzasadnieniu pozwu powódka wskazała, że jej dane osobowe w postaci imienia, nazwiska, numeru PESEL, nazwy ośrodka rehabilitacyjnego, w którym przebywała, okresu trwania świadczenia rehabilitacyjnego oraz przyczyny skrócenia trwania świadczenia rehabilitacyjnego zostały przesłane ze służbowej skrzynki poczty elektronicznej na adres prywatnej skrzynki mailowej w formie niezaszyfrowanego pliku, a więc przetwarzane były i udostępniane w sposób niezgodny z prawem, co - jak przyznał sam pozwany, informując o tym zdarzeniu powódkę – stanowiło zagrożenie w postaci potencjalnego uzyskania nieuprawnionego dostępu do tych danych podczas ich transmisji, jak również odczytu z serwerów pocztowych. W związku z tym zdarzeniem doszło u powódki do powstania szkody niemajątkowej, związanej nie tylko z naruszeniem ochrony danych osobowych, ale również naruszeniem dóbr osobistych powódki, w tym prywatności. U powódki pojawiła się obawa przed wykorzystaniem jej danych osobowych w celu zaciągnięcia pożyczki lub wyłudzenia towarów i usług, a także przed innym wykorzystaniem jej danych osobowych. Powódka zmuszona była wymienić dowód osobisty oraz zastrzec dokument w bankach. Z powodu przedmiotowego zdarzenia powódka przeżywa ogromny stres, nasiliły się u niej problemy ze snem, ma ogromne poczucie krzywdy.

W ocenie powódki, działanie pracownika Zakładu Ubezpieczeń Społecznych stanowiło naruszenie przepisów ustawy o ochronie danych osobowych, przede wszystkim Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. „RODO”).

(pozew – k. 3-4v)

Postanowieniem z 30 listopada 2023 r. Sąd Okręgowy w Płocku stwierdził swoją niewłaściwość miejscową i przekazał sprawę do Sądu Okręgowego w Warszawie.

(postanowienie z 30.11.2023 r. - k. 17)

W odpowiedzi na pozew pozwany Zakład Ubezpieczeń Społecznych wniósł o oddalenie powództwa w całości oraz zasądzenie na rzecz Zakładu Ubezpieczeń Społecznych kosztów postępowania według norm przepisanych.

W uzasadnieniu pozwany przyznał, iż doszło do incydentu, który skutkował zagrożeniem dla poufności danych powódki, zakwestionował natomiast ażeby na skutek tego incydentu doszło do naruszenia dóbr osobistych powódki i powstania szkody niemajątkowej. Pozwany zaznaczył, że pracownik Zakładu Ubezpieczeń Społecznych przez pomyłkę wysłała plik (zawierający ograniczony zakres danych powódki) na swój prywatny adres e-mail, jednocześnie oświadczając, że dane zawarte w pliku nie zostały udostępnione osobom trzecim, a ponadto zostały usunięte z prywatnej skrzynki mailowej tego samego dnia. Przedmiotowy incydent w ocenie pozwanego nie prowadził w istocie do naruszenia prawa do prywatności powódki jako dobra osobistego, a jedynie mógł stwarzać zagrożenie dla tego dobra. Pozwany wskazał, że jako marginalne należy postrzegać ryzyko ujawnienia danych na skutek samej transmisji danych pomiędzy serwerem pocztowym Zakładu a serwerem prywatnej skrzynki pocztowej pracownika. Pozwany wskazał dalej, że powódka nie wykazała, że zdarzenie miało jakikolwiek wpływ na jej stan zdrowia.

(odpowiedź na pozew – k. 37-40v)

W toku postępowania stanowiska stron nie uległy zmianie.

(protokół rozprawy z 7 października 2025 r. – k. 78-82 /skrócony/)

Sąd Okręgowy ustalił następujący stan faktyczny:

B. C. podlega obowiązkowemu ubezpieczeniu społecznemu. Latem 2022 r. przebywała w ośrodku rehabilitacyjnym. Pobyt swój skróciła z uwagi na śmierć swojej matki, o czym powiadomiła ZUS, wnosząc, aby nie obciążano jej kosztami świadczeń w okresie, o który jej pobyt w ośrodku został skrócony.

W dniu 26 lipca 2022 r. pracownik Zakładu Ubezpieczeń Społecznych (dalej: ZUS) analizował sprawę powódki i omyłkowo przesłał pocztą elektroniczną ze swojej służbowej skrzynki email na swoją prywatną skrzynkę email niezabezpieczony hasłem (niezaszyfrowany) plik Excel, zawierający dane osobowe B. C.: imię i nazwisko, nr PESEL, nazwę ośrodka rehabilitacyjnego, okres pobytu oraz przyczynę skrócenia pobytu w tym ośrodku. Plik usunięty został z prywatnej skrzynki mailowej w tym samym dniu. Dane powódki nie zostały udostępnione osobom trzecim.

Pismem z dnia 18 sierpnia 2022 r. ZUS poinformował powódkę o naruszeniu ochrony danych osobowych, realizując obowiązek nałożony na ZUS jako administratora danych osobowych przez RODO. W piśmie opisano, na czym polegało zdarzenie. Zakład Ubezpieczeń Społecznych przeprosił powódkę za zaistniałe zdarzenie i poinformował, że naruszenie ochrony danych osobowych zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.

W piśmie poinformowano B. C. o możliwych, potencjalnych konsekwencjach naruszenia ochrony danych osobowych. Wskazano m.in. na ich nieuprawnione wykorzystanie w celu: uzyskania przez osoby trzecie, na jej szkodę, kredytów w instytucjach pozabankowych, uzyskania dostępu do korzystania z przysługujących jej świadczeń opieki zdrowotnej lub do danych o stanie zdrowia, korzystania z należnych jej praw obywatelskich, np. do głosowania nad środkami budżetu obywatelskiego, wyłudzenia świadczeń ubezpieczeniowych, zawarcia umowy o świadczenie usług, np. w zakresie telewizji kablowej, telefonu, Internetu, zarejestrowania przedpłaconej karty telefonicznej. Powódce podano przy tym przykładowe środki zaradcze, jakie może podjąć, aby zminimalizować ewentualne negatywne skutki naruszenia ochrony danych osobowych, wskazując np. na skorzystanie z możliwości założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania prób uzyskania kredytu i sprawdzenia czy jej dane nie ą wykorzystywane do nieuczciwych celów; zalecono zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

Pismem z 2 września 2022 r. (na piśmie omyłkowa data roczna 2021 r.) powódka wezwała pozwanego do zapłaty 10.000 zł tytułem zadośćuczynienia za bezprawne przetwarzanie jej danych osobowych i naruszenie dóbr osobistych, w szczególności prawa do prywatności. Pozwany w odpowiedzi na wezwanie odmówił zapłaty.

(okoliczności bezsporne, pismo z 18.08.2022 r. – k. 8-9, pismo z 02.09.2022 r. – k. 10-11, pismo z 28.10.2022 r. – k. 6-7v, wyjaśnienia informacyjne powódki – protokół skrócony rozprawy z dnia 7.10.2025 r., min. 00:03:10, k.78-79, potwierdzone w zeznaniach powódki – protokół skrócony rozprawy z dnia 7.10.2025 r., min. 00:26:11– k. 81-82)

B. C. bardzo zdenerwowała się incydentem naruszenia jej danych osobowych, obawiała się, że jej dane zostaną wykorzystane w sposób nieuprawniony przez osoby trzecie, które mogły uzyskać do nich dostęp. Powódka zablokowała dostęp do rachunku bankowego i wystąpiła o wydanie nowego dowodu osobistego. Okres, w którym doszło do incydentu w ZUS, był dla powódki szczególnie trudny - było to tuż po śmierci jej mamy.

W okresie od 15 do 24 listopada 2022 r. B. C. była hospitalizowana w Wojewódzkim Szpitalu (...) w P. z rozpoznaniem „innej postaci ostrej choroby niedokrwiennej serca”, diagnostyki w kierunku choroby wieńcowej, zaburzeń lipidowych leczonych statyną, choroby zwyrodnieniowej kręgosłupa piersiowego, szyjnego oraz zaburzeń depresyjnych.

(karta leczenia szpitalnego – k. 12-13, wyjaśnienia informacyjne powódki – protokół skrócony rozprawy z dnia 7.10.2025 r., min. 00:03:10, k.78-79, potwierdzone w zeznaniach powódki – protokół skrócony rozprawy z dnia 7.10.2025 r., min. 00:26:11– k. 81-82)

Powyższy stan faktyczny Sąd ustalił na podstawie twierdzeń stron, uzupełnionych dowodami z dokumentów przedłożonymi do akt sprawy przez obie strony. Stan faktyczny w zakresie istotnym dla rozstrzygnięcia sprawy był w zasadzie bezsporny.

Podkreślenia wymaga, że powódka nie wykazała, że jej dane osobowe zostały ujawnione jakiejkolwiek osobie trzeciej, czy choćby że istniało takie realne ryzyko. Powódka nie przeczyła twierdzeniom pozwanego, że pracownik, który omyłkowo wysłał plik zawierający dane powódki, nie udostępnił tych danych żadnej innej osobie, a sam plik usunął z prywatnej skrzynki email jeszcze tego samego dnia. W ocenie Sądu, przekonanie powódki co do tego, że na skutek wysłania opisanego wyżej pliku Excel z poczty służbowej na pocztę prywatną pracownika ZUS, dostęp do jej danych osobowych uzyskała nieograniczona liczba osób, wynikało z nieznajomości zasad funkcjonowania poczty elektronicznej. Powódka sama przyznała, że jakkolwiek posiada adres email, to nie korzystała nigdy z poczty elektronicznej.

Zeznania powódki oraz świadka – syna powódki, w zakresie, w jakim opisywali oni, jak rozpatrywany w sprawie incydent naruszenia przez ZUS przepisów o ochronie danych osobowych wpłynął na samopoczucie powódki, jawiły się jako wiarygodne w części, w jakiej dotyczyły przeżywanych przez powódkę emocji i jej subiektywnych obaw związanych z konsekwencjami naruszenia przez ZUS przepisów o ochronie danych osobowych w stosunku do powódki. Powódka obawiała się, że jej dane mogą zostać wykorzystane w sposób nieuprawniony, w szczególności, że osoby trzecie zaciągną zobowiązania finansowe na jej nazwisko.

Kwestie dotyczące pogorszenia stanu zdrowia powódki nie mogły natomiast zostać wykazane za pomocą samych zeznań świadka i powódki. Powódka powinna była złożyć wniosek o dopuszczenie dowodu z opinii biegłego sądowego lekarza o specjalności odpowiadającej rodzajowi dolegliwości, które powódka łączyła z naruszeniem jej danych osobowych. Tylko tego rodzaju dowód mógłby stanowić podstawę ustalenia, że na skutek powzięcia informacji o naruszeniu przez ZUS zasad ochrony danych osobowych powódki, stan zdrowia powódki pogorszył się.

Sąd Okręgowy zważył, co następuje:

Powództwo podlegało oddaleniu w całości.

Powódka domagała się w niniejszym postępowaniu zadośćuczynienia w związku z naruszeniem przez pozwanego jej dóbr osobistych, w szczególności prawa do prywatności, w związku z incydentem przesłania przez pracownika ZUS w dniu 26 lipca 2022 r. pliku Excel, zawierającego dane osobowe powódki, ze służbowej skrzynki email na prywatną skrzynkę email tego pracownika.

Powódka jako podstawę prawną roszczenia powoływała przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz.UE.L Nr 119, dalej: „RODO”) oraz przepisy kodeksu cywilnego o ochronie dóbr osobistych.

W myśl art. 82 RODO każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (ust. 1). Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (ust. 2). Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (ust. 3).

Motyw nr 146 RODO stanowi przy tym, że za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy. Pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele niniejszego rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego.

W doktrynie wskazuje się, że treść art. 82 RODO nawiązuje do reżimu odpowiedzialności deliktowej, a także - z uwagi na okoliczność, że przepis ten nie stanowi kompleksowej regulacji zasad tej odpowiedzialności - przepisy k.c. można stosować w zakresie w nim nieuregulowanym (np. kwestia przedawnienia roszczeń odszkodowawczych) lub szczątkowo uregulowanym (np. w odniesieniu do rodzajów roszczeń odszkodowawczych czy okoliczności wyłączających winę) (J. Barta, A. Kawecki, P. Litwiński w: P. Litwiński, Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, 2021, art. 82 RODO Nb 1).

Jeżeli chodzi o przepisy krajowe, wypada z kolei przypomnieć, że w art. 23 k.c. ustawodawca wskazał, że dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach. Dalej art. 24 § 1 k.c. stanowi: Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego albo zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Zgodnie zaś z art. 448 § 1 k.c.: W razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę albo zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia.

Rozpoznając sprawę w przedmiocie ochrony dóbr osobistych, sąd winien w pierwszej kolejności ustalić, czy doszło do naruszenia dobra osobistego, a - w przypadku pozytywnej odpowiedzi - ustalić, czy działanie pozwanego było bezprawne. Bezprawność należy rozumieć jako zachowanie (działanie bądź zaniechanie) sprzeczne z porządkiem prawnym lub zasadami współżycia społecznego. Dowód, że dobro osobiste zostało zagrożone lub naruszone, ciąży na osobie poszukującej ochrony prawnej na podstawie art. 24 k.c. Natomiast na tym, kto podjął działanie zagrażające dobru osobistemu innej osoby lub naruszające to dobro, spoczywa ciężar dowodu, że nie było ono bezprawne. W nauce prawa cywilnego ukształtował się katalog okoliczności uznawanych za wyłączające bezprawność zachowania naruszającego cudze dobra osobiste, do których należą: działanie w ramach porządku prawnego, tj. działanie dozwolone przez obowiązujące przepisy prawa, wykonywanie prawa podmiotowego, zgoda pokrzywdzonego (ale z zastrzeżeniem uchylenia jej skuteczności w niektórych przypadkach), działanie w obronie uzasadnionego interesu (J. Ciszewski [red.], Kodeks cywilny. Komentarz, wyd. II, 2014).

W okolicznościach tej sprawy poza sporem było, że działanie pracownika ZUS, polegające na przesłaniu w dniu 26 lipca 2022 r. pliku, zawierającego imię i nazwisko powódki, nr PESEL, nazwę ośrodka rehabilitacyjnego, okres pobytu oraz przyczynę skrócenia pobytu, ze służbowej poczty elektronicznej na prywatną pocztę elektroniczną stanowiło naruszenie przepisów „RODO”. Sąd podzielił natomiast stanowisko pozwanego co do tego, że na skutek ww. zdarzenia nie doszło do naruszenia dobra osobistego powódki ani też do poniesienia przez nią szkody niemajątkowej, pozostającej w normalnym związku przyczynowym z tym zdarzeniem.

Należy podkreślić, że nie można utożsamiać naruszenia danych osobowych z naruszeniem dóbr osobistych. Dane osobowe nie są tożsame z dobrami osobistymi, chociaż pewne ich rodzaje mogą złożyć się na elementy tożsamości i prywatności. Zostały one objęte ochroną prawną dedykowaną im bezpośrednio, jako danym osobowym (tak wyrok Sądu Najwyższego z 13 grudnia 2018 r., I CSK 690/17, Legalis).

W okolicznościach tej sprawy, zważywszy na to, jakie dane zawarte były w pliku wysłanym przez pracownika ZUS 26 lipca 2022 r., można było rozważać jedynie naruszenie dobra osobistego w postaci prawa do prywatności powódki. Dane dotyczące pobytu powódki w ośrodku rehabilitacyjnym i przyczyny skrócenia tego pobytu (śmierć matki) nie mogły być rozpatrywane w kategoriach naruszenia innych dóbr osobistych, w tym dobrego imienia czy godności powódki. Natomiast zdaniem Sądu do naruszenia prawa do prywatności powódki, ani nawet do realnego zagrożenia tego prawa nie doszło.

Powódka niezasadnie twierdziła, że na skutek przesłania pliku z jednego adresu email na inny adres email tej samej osoby (pracownika ZUS), dostęp do jej danych osobowych uzyskało nieograniczone grono osób trzecich. Powódka zdawała się utożsamiać przesłanie danych pocztą elektroniczną z opublikowaniem ich na ogólnodostępnej stronie internetowej. Tymczasem, w sytuacji, gdy sam pracownik ZUS, który przesłał ww. plik i który był przy tym właścicielem obu skrzynek email, nie udostępnił danych żadnej osobie trzeciej, do poznania tych danych przez osoby nieuprawnione mogłoby dojść jedynie na skutek bezprawnych działań innych osób, polegających na przykład na włamaniu na skrzynkę email rzeczonego pracownika ZUS. Powódka nie wykazała, że do takiego zdarzenia faktycznie doszło, a dopiero wówczas można by rozważać przypisanie całemu incydentowi charakteru naruszającego jej dobra osobiste w znaczeniu realnym, a nie jedynie potencjalnym.

W świetle zasad doświadczenia życiowego oraz przy uwzględnieniu podstawowej wiedzy dotyczącej zasad funkcjonowania poczty elektronicznej, ryzyko, że dane znajdujące się w przesłanym pliku mogły zostać „wykradzione” lub wykorzystane przez osoby trzecie, należy uznać za znikome. Treści przesyłane na adres e-mail są dostępne co do zasady wyłącznie dla właściciela danego konta (adresu poczty e-mail). Dostęp do takiego konta jest chroniony za pomocą loginu i hasła.

W okolicznościach tej sprawy dodatkowo podkreślić trzeba, że plik zawierający dane powódki został usunięty z prywatnej skrzynki email pracownika ZUS w tym samym dniu, kiedy został wysłany, co dodatkowo wskazuje, że uzyskanie dostępu do tego pliku przez osoby trzecie było bardzo mało prawdopodobne.

Jednocześnie, podkreślić należy, że nie doszło do żadnego zdarzenia, które wskazywałoby na to, że jakakolwiek osoba trzecia rzeczywiście poznała dane powódki zawarte w pliku przesłanym poza system ZUS w dniu 26 lipca 2022 r. W szczególności, wbrew obawom powódki, nikt nie zawarł żadnej umowy podszywając się pod nią.

Obawy powódki co do tego, że jej dane zaczęły krążyć w przestrzeni publicznej i mogły być wykorzystywane w celu zaciągnięcia na jej nazwisko zobowiązań finansowych były czysto subiektywne i nie znajdowały racjonalnego uzasadnienia, a wynikały z braku wiedzy powódki co do zasad korzystania ze skrzynki email.

Sąd nie znalazł także podstaw do uwzględnienia roszczenia wywiedzionego przez powódkę na podstawie samej treści art. 82 ust. 1 RODO.

Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 11 kwietnia 2024 r. (C-741/21) wskazał, że art. 82 ust. 1 należy interpretować w ten sposób, że naruszenie przepisów tego rozporządzenia, które przyznają prawa osobie, której dane dotyczą, samo w sobie nie jest wystarczające, by stanowić "szkodę niemajątkową" w rozumieniu tego przepisu, niezależnie od stopnia wagi szkody poniesionej przez tę osobę. Tak więc osoba dochodząca odszkodowania za szkodę niemajątkową na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej taką szkodę (Wyrok TS z 11 kwietnia 2024 r., C-741/21, GP przeciwko (...), LEX nr 3703939, podobnie wyrok z dnia 25 stycznia 2024 r., (...), C-687/21, LEX nr 3666347).

Przesłankami odpowiedzialności z art. 82 RODO jest:

1.  poniesienie przez osobę, której dane dotyczą, szkody majątkowej lub niemajątkowej;

2.  naruszenie przez administratora lub podmiot przetwarzający przepisów RODO;

3.  zaistnienie związku przyczynowego pomiędzy szkodą a naruszeniem;

4.  wina po stronie administratora lub procesora (a contrario art. 82 ust. 3 RODO) (tak też: N. Zawadzka w: RODO, s. 1049-1050;, podobnie G. Zanfir-Fortuna, w: The EU General Data Protection Regulation, s. 1175-1176).

Powódka poczuła się dotknięta i urażona działaniem pozwanego, obawiała się dalszych możliwych negatywnych konsekwencji, w szczególności tego, że osoby trzecie mogą zaciągnąć zobowiązania finansowe na jej nazwisko. Natomiast negatywne przeżycia powódki związane z jej obawami nie pozostawały w normalnym związku przyczynowym (w rozumieniu art. 361 § 1 k.c.) z naruszeniem przepisów o ochronie danych osobowych powódki rozpatrywanymi w sprawie działaniami pracownika ZUS.

Z przyczyn opisanych wyżej, ryzyko uzyskania dostępu do danych powódki przez osoby trzecie było znikome, a wręcz realnie nie istniało. Sam zaś pracownik ZUS, który zapoznawał się z danymi powódki zawartymi w opisanym wcześniej pliku Excel, był do tego uprawniony w ramach wykonywania swoich obowiązków służbowych, co w sprawie nie budziło wątpliwości. Działania podjęte przez powódkę po otrzymaniu przez nią pisma ZUS z 18 sierpnia 2022 r., polegające na wymianie dowodu osobistego i zablokowaniu dostępu do jej rachunku bankowego, w świetle zasad doświadczenia życiowego były zupełnie niepotrzebne, a stanowiły dla powódki dodatkowe źródło stresu. Podobnie, nie znajdowało racjonalnego uzasadnienia reagowanie przez powódkę silnym stresem na każdą korespondencję czy telefon, które – zdaniem powódki – mogły mieć związek z zaciągnięciem przez osobę trzecią zobowiązania przy użyciu danych powódki.

Subiektywny punkt widzenia, ponadprzeciętny poziom wrażliwości, skłonność do zamartwiania się, czy też zbyt mała wiedza co do faktycznej możliwości uzyskania dostępu do danych znajdujących się w e-mailowej skrzynce odbiorczej – tak jak w niniejszej sprawie – nie mogą przemawiać za uznaniem, że powódka na skutek działań pozwanego poniosła krzywdę, która uzasadniałaby przyznanie jej zadośćuczynienia.

Wypada też w tym miejscu zauważyć, że na gruncie przepisów kodeksu cywilnego nie każda krzywda uzasadnia przyznanie kompensacji pieniężnej. Pozwany piśmie z 18 sierpnia 2022 r. przeprosił powódkę za zaistniałą sytuację, co – nawet przy uznaniu, że powódka doznała jakiejkolwiek krzywdy pozostającej w normalnym związku przyczynowym z działaniami pozwanego – należałoby zdaniem Sądu uznać za wystarczające dla naprawienia tej krzywdy.

Mając na uwadze powyższe, powództwo podlegało oddaleniu w całości, o czym Sąd orzekł w pkt. I. wyroku.

O kosztach procesu orzeczono w pkt. II wyroku na podstawie art. 102 k.p.c., uznając, że ze względu na podstawę faktyczną powództwa i charakter zgłoszonego żądania, zasadne jest nieobciążanie powódki obowiązkiem zwrotu kosztów procesu na rzecz strony przeciwnej. W swoim subiektywnym odczuciu niewątpliwie powódka pozostawała w przekonaniu zasadności swoich żądań. Była przeświadczona o tym, że jej dane osobowe zostały – jak sama to określała – „wykradzione”, a tym samym że została ona narażona na nieuprawnione wykorzystanie jej danych osobowych. Obawa ta, choć w ocenie Sądu nie znajdująca uzasadnienia w realiach, faktycznie u powódki występowała i rodziła przekonanie o zasadności dochodzonego roszczenia. W sytuacji, gdy poza sporem było, że pozwany dopuścił się naruszenia przepisów o ochronie danych osobowych, zasady współżycia społecznego przemawiały przeciwko wkładaniu na powódkę obowiązku zwrotu kosztów procesu poniesionych przez pozwanego.

Sędzia Agnieszka Nakwaska-Szczepkowska