Portal Orzeczeń Sądu Okręgowego w Warszawie

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Warszawa, dnia 28 lutego 2025 roku

Sąd Okręgowy w Warszawie I Wydział Cywilny

w składzie:

Przewodniczący sędzia Marcin Polit

Protokolant sekretarz sądowy Zuzanna Kurek

po rozpoznaniu w dniu 7 lutego 2025 roku w Warszawie

na rozprawie

sprawy z powództwa A. K.

przeciwko Towarzystwu (...) S.A. w W.

o zapłatę

I.  zasądza od pozwanego Towarzystwa (...) S.A. w W. na rzecz powódki A. K. kwotę 1 500 (tysiąc pięćset) złotych wraz z ustawowymi odsetkami za opóźnienie od dnia 14 kwietnia 2020 roku do dnia zapłaty;

II.  w pozostałej części oddala powództwo;

III.  znosi wzajemnie między stronami koszty procesu.

Sygn. akt I C 874/22

UZASADNIENIE

Pozwem z dnia 4 maja 2020 roku (data stempla pocztowego – k. 18) wniesionym do Sądu Okręgowego w Lublinie A. K. (poprz. S.) wniosła o zasądzenie od Towarzystwa (...) Spółki Akcyjnej z siedzibą w W. (dalej: (...) S.A., ubezpieczyciel) kwoty 20 000 zł z ustawowymi odsetkami za opóźnienie od dnia 14 kwietnia 2020 roku do dnia zapłaty oraz o zasądzenie od pozwanego na rzecz powódki zwrotu kosztów procesu, w tym kosztów zastępstwa procesowego wg norm przepisanych. Wniosła o orzeczenie powyższego nakazem zapłaty w postępowaniu upominawczym. W wypadku wniesienia sprzeciwu podtrzymała główne żądanie pieniężne oraz wniosła o zasądzenie od pozwanego na rzecz powódki zwrotu kosztów procesu wg spisu kosztów, który złożony zostanie na ostatniej rozprawie, a w przypadku jego braku – wg norm przepisanych. Powódka dochodziła ww. kwoty w związku z naruszeniem jej danych osobowych z winy pozwanego (pozew – kk. 3-5).

Postanowieniem z dnia 1 czerwca 2021 roku referendarz sądowy w Sądzie Okręgowym w Lublinie stwierdził niewłaściwość i sprawę do rozpoznania przekazał Sądowi Okręgowemu w Warszawie (postanowienie – k. 19).

Pozwany (...) S.A. w odpowiedzi na pozew wniesionej w dniu 19 maja 2023 roku (data stempla pocztowego – k. 78) wniósł o oddalenie powództwa w całości oraz o zasądzenie od powódki na rzecz pozwanego zwrotu kosztów procesu. Pozwany zarzucił, że powódka nie wskazała podstawy prawnej, w związku z którą dochodzi żądanej kwoty, oraz nie wskazała, czy w niniejszym postępowaniu dochodzi zadośćuczynienia czy odszkodowania. Pozwany zarzucił, że powódka nie przedstawiła żadnych dowodów na to, iż doszło do powstania jakiejkolwiek szkody majątkowej lub niemajątkowej u powódki. Przyznał jednak, że do naruszenia danych osobowych doszło w wyniku błędu pracownika, błędu ludzkiego, któremu nie udało się zapobiec pomimo zachowania najwyższych standardów ochrony danych oraz stosowanych procedur. Niezwłocznie po przesłaniu decyzji o wypłacie odszkodowania do kontrahenta powódki (podmiotu, od którego powódka wynajmowała pojazd zastępczy), zamiast do samej powódki, pozwany zwrócił się pisemnie i telefonicznie do tego podmiotu o trwałe zniszczenie otrzymanego dokumentu oraz usunięcie danych osobowych powódki z jego bazy danych. Podniósł także, że M. D. (1) jeszcze przed omyłkowym otrzymaniem decyzji, posiadał już dane osobowe powódki, albowiem zawarł z nią umowę najmu pojazdu zastępczego. Pozwany podniósł też, że żądana w pozwie kwota jest rażąco zawyżona i nieadekwatna (odpowiedź na pozew – kk. 64-66).

Sąd ustalił następujący stan faktyczny:

A. K. jest właścicielką pojazdu marki M. (...) o nr rej. (...), który uczestniczył w kolizji drogowej w dniu 7 października 2019 roku. W dacie kolizji pojazd był w zakresie odpowiedzialności cywilnej posiadaczy pojazdów mechanicznych ubezpieczony w (...) S.A. Podczas kolizji A. K. nie była osobą kierującą pojazdem (okoliczności bezsporne).

(...) S.A. zajmowało się likwidacją szkody zarejestrowanej pod numerem (...), w efekcie której ustalił zakres powstałych uszkodzeń oraz wyliczył odszkodowanie, w tym za korzystanie z pojazdu zastępczego wynajętego przez powódkę od firmy (...) (...) – M. D. (1) w C. (co zostało stwierdzone fakturą nr (...) na kwotę 9 225 zł). W ramach zawartej umowy najmu pojazdu zastępczego M. D. (1) miał wiedzę jedynie w zakresie imienia, nazwiska i adresu zamieszkania A. K.. W toku postępowania likwidacyjnego ubezpieczyciel ujawnił dane osobowe powódki M. D. (2), a konkretnie: jej imię i nazwisko, markę i nr rej. pojazdu, który uczestniczył w kolizji drogowej, rodzaj szkody (była to szkoda z ubezpieczenia OC), datę szkody, numer rachunku bankowego i wysokość przyznanego odszkodowania. Nadto część odszkodowania należnego A. K. w kwocie 3 136,50 zł ubezpieczyciel omyłkowo wpłacił na rachunek bankowy M. D. (1), co zostało stwierdzone skierowanym do niego pismem z dnia 19 listopada 2019 roku stanowiącym decyzję o wypłacie odszkodowania. M. D. (1) sam skontaktował się z A. K. celem poinformowania, że otrzymał od ubezpieczyciela jej dane osobowe. Również (...) S.A. poinformowało A. K., że kwota odszkodowania została błędnie skierowana na rachunek bankowy M. D. (1) oraz że A. K. powinna się zwrócić do niego celem przekazania tej kwoty. To wywołało u A. K. stres, obawę o swoje bezpieczeństwo w związku z utratą kontroli nad swoimi danymi osobowymi – miała ona poczucie, że jej dane nie są chronione. Pismem z dnia 10 grudnia 2019 roku ubezpieczyciel zwrócił się do M. D. (1) z prośbą o potwierdzenie, iż przesłane dane poszkodowanej zostały usunięte z jego bazy. Następnie nie wydarzyło się nic niepokojącego w związku z ujawnieniem tych danych M. D. (2).

(pismo z 19.11.2019 – kk. 141-142; pismo z 10.12.2019 – k. 74; pisma z 5.12.2019, 11.12.2019, 12.12.2019 i 13.12.2019: akta szkody, płyta CD – k. 151; faktura VAT – k. 77; wiadomość mailowa z 19.12.2019 – k. 76; zeznania świadka G. K. – protokół k. 117v.; zeznania świadka M. D. (1) – protokół kk. 117v.-118; zeznania powódki – protokół kk. 144v.-145).

Pismem z dnia 21 marca 2020 roku pełnomocnik A. K. zwrócił się do (...) S.A. o dobrowolną zapłatę kwoty 20 000 zł wraz z odsetkami za opóxnienie w wysokości ustawowej od dnia doręczenia wezwania do dnia zapłaty, tytułem należnego odszkodowania (zadośćuczynienia) w związku ze szkodą za ujawnienie firmie (...) (...) M. D. (1) w C. z decyzji o wypłacie odszkodowania z dnia 19 listopada 2019 roku – w terminie 7 dni od daty otrzymania wezwania. Pismo doręczono w dniu 6 kwietnia 2020 roku (pismo z 21.03.2020 – k. 9; wydruk ze strony internetowej (...) – kk. 16-17). Żądanie nie zostało przez ubezpieczyciela uznane (bezsporne).

Powyższy stan faktyczny Sąd ustalił na podstawie powołanych wyżej dowodów z dokumentów, które nie budziły wątpliwości co do ich autentyczności, a stwierdzone nimi fakty nie były kwestionowane przez strony postępowania. Niezależnie od tego stan faktyczny sprawy był bezsporny pomiędzy stronami, które pozostawały w sporze jedynie co do prawnych konsekwencji opisanych wyżej faktów. Zeznania świadków oraz powódki stanowiły cenne uzupełnienie i potwierdzenie okoliczności wynikających z przedstawionych dokumentów oraz zgodnie przyznanych twierdzeń stron. Jedynie świadek E. W. nie pamiętała okoliczności przedmiotowej sprawy, w związku z czym jej zeznania nie wpłynęły istotnie na ustalenie stanu faktycznego.

Sąd zważył, co następuje:

Powódka w treści pozwu podnosiła, że działanie pozwanego polegające na ujawnieniu danych osobowych powódki osobie trzeciej przy okazji likwidacji szkody komunikacyjnej nr(...)stanowiło naruszenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) (...) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.; dalej: RODO). Należało się z tym zgodzić, przy czym wyłączną podstawę prawną roszczenia o zadośćuczynienie w przedmiotowej sprawie stanowi art. 82 RODO (zob. K. Ciućkowska, Zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych – glosa do wyroku Sądu Okręgowego Warszawa-Praga w Warszawie z 17.12.2021 r., III C 1169/19, Glosa 2024, nr 1, s. 58-67), zgodnie z którym każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (ust. 1). Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (ust. 2). Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (ust. 3). Jak wynika natomiast z art. 92 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781), przepisy Kodeksu cywilnego do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 RODO, stosuje się jedynie w zakresie nieuregulowanym przez RODO.

Według definicji zawartej w RODO, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO). „Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Natomiast „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone
w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania (art. 4 pkt 7 RODO).

Z przepisów RODO wynika, że przetwarzanie danych osobowych jest zgodne
z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków, określonych m.in. w art. 6 lit. c) o treści: przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, oraz art. 6 lit f) o treści: gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W ramach powództwa opartego na art. 82 RODO okoliczność, iż pracownik administratora omyłkowo przekazuje nieupoważnionej stronie trzeciej dokument zawierający dane osobowe, wystarcza sama w sobie do uznania, że środki techniczne i organizacyjne wdrożone przez odnośnego administratora nie były "odpowiednie" w rozumieniu przepisów RODO (konkretnie art. 24 i 32). Osoba dochodząca roszczenia pieniężnego na podstawie tego przepisu jest zobowiązana wykazać nie tylko naruszenie przepisów tego rozporządzenia, ale również to, iż owo naruszenie wyrządziło jej szkodę majątkową lub niemajątkową, przy czym art. 82 ust. 1 należy interpretować w ten sposób, że w przypadku gdy dokument zawierający dane osobowe został przekazany nieupoważnionej stronie trzeciej, co do której nawet by wykazano, że nie zapoznała się z tymi danymi, "szkodę niemajątkową" w rozumieniu tego przepisu może stanowić sam fakt, iż osoba, której dane dotyczą, obawia się, że w następstwie tego ujawnienia umożliwiającego sporządzenie kopii tego dokumentu przed jego zwróceniem dojdzie w przyszłości do rozpowszechnienia, lub nawet do nadużycia jej danych. Przepis ten, w szczególności w przypadku szkody niemajątkowej, pełni funkcję kompensacyjną, ponieważ świadczenie pieniężne oparte na tym przepisie powinno umożliwić pełne naprawienie szkody poniesionej konkretnie w wyniku naruszenia tego rozporządzenia, nie zaś funkcję represyjną (wyrok TS z 25.01.2024 r., C-687/21, (...), (...) (...), LEX nr 3666347). By administrator danych mógł zostać zwolniony z odpowiedzialności na podstawie ust. 3 tego artykułu, nie jest wystarczające powołanie się na to, że rozpatrywana szkoda została spowodowana uchybieniem osoby działającej z jego upoważnienia w rozumieniu art. 29 tego rozporządzenia (wyrok TS z 11.04.2024 r., C-741/21, (...), LEX nr 3703939).

Przenosząc powyższe na grunt niniejszej sprawy należy uznać roszczenie powódki co do zasady za słuszne. Poprzez omyłkowe przekazanie osobie trzeciej (nie wymienionej choćby w art. 29 ust. 6 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, Dz.U. z 2020 r., poz. 895) danych osobowych powódki, pozwany, jako administrator, doprowadził do powstania po jej stronie szkody niemajątkowej (krzywdy) polegającej na spowodowaniu obawy, że w następstwie nieuprawnionego ujawnienia danych osobowych może dojść do ich dalszego rozpowszechnienia i nadużycia. Na skutek działań pozwanego udostępnione zostały osobie trzeciej – wynajmującej powódce pojazd zastępczy – takie dane osobowe powódki, których osoba ta nie powinna była uzyskać: marka i nr rej. pojazdu, który uczestniczył w kolizji drogowej, rodzaj szkody, data szkody, numer rachunku bankowego i wysokość przyznanego odszkodowania. Niewątpliwie był to znacznie szerszy zakres danych osobowych, niż udostępniony M. D. (2) przez samą powódkę w ramach zawartej umowy najmu pojazdu zastępczego. Na skutek tego incydentu powódka utraciła poczucie bezpieczeństwa, zaczęła odczuwać lęk związany z możliwością nieuprawnionego wykorzystania jej danych osobowych przez inne osoby. Wyrządzona w ten sposób powódce krzywda rodzi po stronie pozwanego obowiązek jej naprawienia poprzez zapłatę na rzecz powódki zadośćuczynienia pieniężnego, stosownie do art. 82 ust. 1 RODO. Nie ma przy tym znaczenia okoliczność, że do naruszenia danych osobowych doszło w wyniku błędu pracownika pozwanego, któremu nie udało się zapobiec pomimo zachowania najwyższych standardów ochrony danych oraz stosowanych procedur.

Celem zasądzenia zadośćuczynienia pieniężnego jest złagodzenie doznanej przez poszkodowanego krzywdy (szkody niemajątkowej) wyrządzonej deliktem. Zadośćuczynienie za doznaną krzywdę, z uwagi na jego kompensacyjny charakter, musi przedstawiać jakąś ekonomicznie odczuwalną wartość. Z drugiej strony, jego wysokość nie może być nadmierna w stosunku do doznanej krzywdy i aktualnych stosunków majątkowych społeczeństwa, gdyż ma ono łagodzić krzywdę, a nie prowadzić do wzbogacenia poszkodowanego. Elementami warunkującymi rozmiar zadośćuczynienia są charakter naruszonego dobra osobistego, stopień winy sprawcy, intensywność ingerencji sprawcy naruszenia w dane dobro czy dobra osobiste
i czas trwania naruszenia, sposób, w jaki pokrzywdzony odczuł w swej psychice bezprawne działanie sprawcy (wyrok SA w Warszawie z 10.06.2011 r., VI ACa 84/11, Legalis nr 363615).

Z materiału dowodowego sprawy jednocześnie nie wynika, by dane osobowe powódki zostały upublicznione lub wykorzystane przez pozwanego czy przez M. D. (1) w sposób niezgodny z prawem w dalszym stopniu. Powódka sama przyznała, że nie doświadczyła żadnych innych negatywnych konsekwencji, które mogłyby świadczyć o tym, że jej dane osobowe zostały przekazane innym osobom nieuprawnionym. Sam fakt bezprawnego przekazania tych danych M. D. (2) nie rodził żadnych takich konsekwencji, bowiem sam M. D. (1) poinformował powódkę o tym, iż otrzymał dokument z jej danymi osobowymi oraz że omyłkowo została wypłacona na jego rachunek część odszkodowania przysługującego powódce. Oprócz deklarowanych przez powódkę obaw związanych z możliwością bezprawnego posłużenia się jej danymi osobowymi przez osobę trzecią, powódki nie spotkały żadne dalsze konsekwencje. Tym samym obawy te w ocenie Sądu były uzasadnione, aczkolwiek jedynie w niewielkim stopniu, co ma wpływ na wysokość zadośćuczynienia. Tym samym należało przychylić się do stanowiska pozwanego, iż żądana przez powódkę kwota 20.000 zł jest wygórowana. W ocenie Sądu odpowiednim zadośćuczynieniem dla powódki w kontekście rozmiaru jej krzywdy będzie kwota 1 500 zł. Taka kwota w ocenie Sądu jest adekwatna w świetle opisanego naruszenia i spełniająca należycie swą funkcję kompensacyjną, a jednocześnie nie jest nadmierna i nie prowadzi do nieuzasadnionego wzbogacenia.

Z opisanych przyczyn należało zasądzić od pozwanego na rzecz powódki kwotę 1 500 zł i oddalić powództwo w pozostałej części, o czym Sąd orzekł jak w punktach I-II sentencji wyroku.

W przedmiocie kosztów postępowania Sąd orzekł na podstawie art. 100 k.p.c., uznając, że skoro roszczenie o zadośćuczynienie – słuszne co do zasady – zostało uwzględnione jedynie w części (a wysokość zasądzonego ostatecznie zadośćuczynienia zawsze zależy od swobodnej oceny Sądu i jest niemożliwa do precyzyjnego przewidzenia przez stronę powodową) to najstosowniejsze będzie wzajemne zniesienie kosztów procesu. W konsekwencji orzeczono jak w punkcie III sentencji wyroku.