I CSK 597/16

Sygn. akt I CSK 597/16
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 1 czerwca 2017 r.
Sąd Najwyższy w składzie:
SSN Jan Górowski (przewodniczący)
‎
SSN Wojciech Katner (sprawozdawca)
‎
SSN Karol Weitz
w sprawie z powództwa N. N.
‎
przeciwko P. spółce z o.o. w [...]
‎
z udziałem po stronie pozwanej interwenienta ubocznego T. Poland spółki z o.o. w [...]
‎
o ochronę dóbr osobistych,
‎
po rozpoznaniu na posiedzeniu niejawnym w Izbie Cywilnej
‎
w dniu 1 czerwca 2017 r.,
‎
skargi kasacyjnej powoda od wyroku Sądu Apelacyjnego w [...]
‎
z dnia 23 września 2015 r., sygn. akt VI ACa .../14,
uchyla zaskarżony wyrok i przekazuje sprawę Sądowi
‎
Apelacyjnemu w [...] do ponownego rozpoznania
‎
wraz z rozstrzygnięciem o kosztach postępowania
‎
kasacyjnego.
UZASADNIENIE
Wyrokiem z dnia 28 kwietnia 2014 r. Sąd Okręgowy w [...] uwzględnił częściowo powództwo S. L. (obecnie N. N.) w ten sposób, że nakazał pozwanej P. sp. z o.o. w [...] usunięcie skutków naruszenia dóbr osobistych powoda przez przeproszenie go w formie listu poleconego, wysłanego na jego adres zamieszkania, podpisanego przez członków zarządu pozwanej spółki o następującej treści: „Zarząd spółki P. sp. z o.o. w [...] - operatora sieci telefonii komórkowej […] przeprasza Pana S. L., zamieszkałego w K. za naruszenie jego dóbr osobistych w postaci: godności, wizerunku i prawa do prywatności, w tym prawa do ochrony danych osobistych – w ten sposób, że bez jego zgody, jako administrator tych danych dopuściła do przetworzenia przez nieupoważnione osoby danych, poprzez umieszczenie ich na stronie portalu internetowego
[…]
w postaci pliku graficznego ze skanem dowodu osobistego S. L”. Ponadto zasądził na rzecz powoda kwotę 4000 złotych z ustawowymi odsetkami tytułem zadośćuczynienia pieniężnego za doznaną krzywdę. W pozostałym zakresie powództwo zostało oddalone.
Z ustaleń Sądu wynikało, że powód prowadził działalność gospodarczą pod nazwą „U.” i zawarł z pozwaną umowę o świadczenie usług telekomunikacyjnych. Powód odkrył w kwietniu 2010 r., że w Internecie zamieszczony jest zrzut z ekranu komputera przedstawiający plik z wizerunkiem awersu jego dowodu osobistego, znajdujący się pod wskazanym adresem internetowym z dodatkiem „s.”. Zwrócił się pisemnie do pozwanej z żądaniem zaniechania naruszeń jego dóbr osobistych, usunięcia ze strony internetowej pliku zawierającego zdjęcie jego dowodu osobistego oraz zapłaty zadośćuczynienia w kwocie 10 000 000 złotych. Pozwana nie zareagowała na to wezwanie, toteż powód wystąpił dnia 22 listopada 2011 r. z powództwem. Wnosił o nakazanie pozwanej przeproszenia go listem poleconym podpisanym przez cały zarząd pozwanej Spółki, nakazanie pozwanej dopełnienia na jej koszt czynności potrzebnych do usunięcia skutków naruszenia dóbr osobistych, przez umieszczenie na serwerach www pliku zawierającego instrukcje dla wyszukiwarek internetowych, w celu usunięcia z zasobów internetowych wyszukiwania dotyczącego zapytań odnośnie do „S.”, zobowiązanie pozwanej do dokonania wpłat na rzecz 27 różnych, wskazanych przez powoda instytucji kwot po 1 111 000 złotych, 2 222 000 złotych lub 3 3333 000 złotych, zasądzenie od pozwanej na rzecz powoda kwoty 55 000 złotych, płatnej każdego tygodnia.
Będąc w kancelarii notarialnej w styczniu 2012 r. powód wpisał w komputerze notariusza adres wskazanej strony i po jej otwarciu pojawił się czytelny skan awersu dowodu osobistego powoda oraz nad skanem takie dane, jak numer klienta w pozwanej spółce, osobę skanującą, datę dokumentu i skanowania oraz PESEL klienta. Został z tej czynności sporządzony akt notarialny. Powód po skontaktowaniu się z administratorem serwisu internetowego doprowadził do usunięcia stamtąd skanu dowodu osobistego, ale nie miał możliwości wydobycia skanu swojego dowodu osobistego z bazy danych pozwanej. Obawiał się wykorzystania danych dotyczących jego osoby, łącznie z podpisem, w sposób przestępczy. Uważał, że wyrządzona mu została krzywda przez wyciek adresu jego dowodu osobistego z systemu pozwanej, z opatrzeniem go kpiącym komentarzem „d.”. Pozwana wniosła o przypozwanie T.W. Poland sp. z o.o. w [...], ze względu na zawarcie z nią umowy zlecenia obsługi telefonicznego centrum obsługi klienta (Call Center), która to spółka była upoważniona do przetwarzania danych osobowych klientów pozwanej; spółka ta przystąpiła do sprawy w charakterze interwenienta ubocznego po stronie pozwanej, żądając oddalenia powództwa.
Sąd Okręgowy uznał, że doszło do naruszenia dóbr osobistych powoda w postaci godności, wizerunku i prawa do prywatności, w tym do ochrony danych osobowych, w ten sposób, że pozwana jako administrator danych osobowych dopuściła do ich przetworzenia - awersu jego dowodu osobistego - przez nieupoważnione do tego osoby, na stronie portalu internetowego. Skan został wykonany przez pracownika pozwanej spółki w związku z zawieraniem umowy o świadczenie usług telekomunikacyjnych, a w sposób nieuprawniony opuścił on bazę danych pozwanej i za pośrednictwem Internetu doszło do ujawnienia nieograniczonej liczbie osób awersu dowodu osobistego powoda wraz z innymi danymi osobistymi i jego wizerunkiem, a to podlega ochronie prawnej. Strona pozwana nie udowodniła, że jej działania nie były bezprawne, powód nie wyraził także zgody na przetwarzanie jego danych w podany sposób. Ochronę danych osobowych obowiązany był zapewnić administrator danych na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (jedn. tekst Dz.U. z 2015 r. poz. 2135, dalej jako u.o.d.o.), przewidującej za niedopełnienie obowiązków sankcje karne (art. 51 i 52 u.o.d.o.). Pozwanej nie zwalnia od odpowiedzialności zlecenie administrowania bazą danych podmiotowi profesjonalnemu – T. Poland sp. z o.o., a ponadto system ochrony danych osobowych pozwanej zatwierdził Generalny Inspektor Danych Osobowych. Sąd Okręgowy, przyznając powodowi zadośćuczynienie przypisał pozwanej winę w postaci „co najmniej” niedbalstwa.
W wyniku wniesionych apelacji powoda, pozwanego i interwenienta ubocznego, Sąd Apelacyjny w [...] wyrokiem z dnia 23 września 2015 r. zmienił zaskarżony wyrok i oddalił powództwo w części dotyczącej nakazania pozwanej usunięcia skutków naruszenia dóbr osobistych powoda oraz zasądzenia od pozwanej na jego rzecz kwoty 4 000 złotych; oddalił apelację pozwanej i interwenienta ubocznego w pozostałym zakresie i oddalił apelację powoda, rozstrzygając o kosztach postępowania. Sąd drugiej instancji uznał brak legitymacji biernej pozwanej w niniejszym procesie, gdyż czynu niedozwolonego wobec powoda dopuszczono się, gdy bazą danych klientów pozwanej spółki zarządzał interwenient uboczny. Oddalając powództwo Sąd uznał także, że interwenient uboczny nie mógł zostać wezwany do udziału w sprawie w charakterze pozwanego ze względu na brak naruszenia art. 194 § 1 i 2 k.p.c., co było zarzucane w apelacji pozwanej.
W skardze kasacyjnej, w której wartość przedmiotu zaskarżenia została określona na 1 100 000 złotych powód zarzucił Sądowi Apelacyjnemu naruszenie zaskarżonym wyrokiem przepisów prawa materialnego, tj. art. 429 w związku z art. 415 k.c., przez błędne zastosowanie polegające na uznaniu, że pozwana skutecznie zwolniła się od odpowiedzialności, powierzając obowiązki przetwarzania danych T.W. Poland sp. z o.o. bez uprzedniego dokonania wykładni umowy wiążącej pozwaną z tą Spółką; art. 415 w związku z art. 429 k.c. przez jego niezastosowanie; art. 429 k.c. przez przyjęcie, że pozwana została zwolniona od odpowiedzialności za szkodę przez podmiot zawodowo trudniący się wykonywaniem powierzonych czynności; art. 415 k.c. przez jego niezastosowanie w stosunku do pozwanej; art. 24 § 1 w związku z art. 429 k.c. i art. 23 ust. 1 pkt 1 u.o.d.o. przez uznanie, że doszło w stosunku do pozwanej do uchylenia bezprawności jej działania; art. 7 lit. a dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L 95.281.31) w związku z art. 47 Konstytucji RP. Skarżący wniósł o zmianę zaskarżonego wyroku i uwzględnienie apelacji, ewentualnie o uchylenie tego wyroku i przekazanie sprawy do ponownego rozpoznania wraz z zasądzeniem kosztów nieopłaconej pomocy prawnej udzielonej powodowi z urzędu.
W odpowiedzi na skargę kasacyjną pozwana wniosła o jej oddalenie i zasądzenie kosztów postępowania kasacyjnego.
Sąd Najwyższy zważył, co następuje:
Istotą wniesionej skargi kasacyjnej jest podważenie przez powoda zwolnienia pozwanej Spółki od odpowiedzialności za naruszenie jego dóbr osobistych dowiedzionym czynem niedozwolonym, ze względu na wypełnienie, według Sądu drugiej instancji, przesłanek określonych w art. 429 k.c., to znaczy powierzenia czynności przetwarzania danych osobowych klientów Spółki P., w tym powoda, firmie profesjonalnie zajmującej się takimi usługami. Sąd Apelacyjny uznał za wadliwe ustalenie przez Sąd pierwszej instancji, jakoby to pozwana Spółka P. naruszyła dobra osobiste powoda, podczas gdy bezprawnego przetworzenia jego danych osobowych w postaci skanu dowodu osobistego na stronie portalu internetowego dopuściła się T. Poland sp. z o.o. i wobec niej powinien być skierowany pozew. Skan ten pochodził z Systemu Archiwizacji Dokumentów zarządzanego przez tą spółkę, a pozwana jej zleciła w drodze umowy przetwarzanie danych, przy czym nie był kwestionowany profesjonalizm tej spółki jako działającej w branży telekomunikacyjnej.
Jednocześnie Sąd przyznał, że zgodnie z art. 31 ust. 3 u.o.d.o. podmiot, któremu administrator danych osobowych powierzył przetwarzanie danych jest obowiązany, przed rozpoczęciem przetwarzania podjąć środki zabezpieczające, o których mowa w art. 36-39 tej ustawy oraz spełnić wymagania określone w art. 39a. Przestrzeganie tych przepisów należy do podmiotu przetwarzającego dane i on ponosi taką odpowiedzialność jak administrator danych. Sąd wskazał także na odpowiedzialność samego administratora danych za przestrzeganie przepisów u.o.d.o. przez podmiot przetwarzający dane, niezgodnie z zawartą z nim umową (art. 31 ust. 4 u.o.d.o.), ale jak stwierdził nie jest to odpowiedzialność cywilna administratora danych wobec osoby, której dobra zostały naruszone, tylko odpowiedzialność przed Generalnym Inspektorem Ochrony Danych Osobowych w zakresie wypełniania obowiązków zawartych w art. 36-39 u.o.d.o.
Nie można się zgodzić z takim rozumowaniem, lecz przyznać słuszność twierdzeniom skargi kasacyjnej, w której wskazano na odpowiedzialność pozwanej spółki P. na podstawie art. 415 k.c. z tytułu własnego deliktu, niezależnie od tego, że nastąpiło powierzenie wykonywania czynności przetwarzania danych osobowych profesjonalnej firmie. Pozwana odpowiada bowiem za własne zawinione zachowanie jako powierzający czynność osobie trzeciej (por. wyrok Sądu Najwyższego z dnia 26 listopada 2004 r., V CSK 253/04, nie publ.). Odpowiedzialność powierzającego wynika już z samej umowy łączącej powoda z pozwaną, w której powód nie wyraził zgody na wykonywanie obowiązków, wynikających z tej umowy przez inne podmioty, w tym przez firmę T. Poland sp. z o.o. Ponadto uszło uwagi Sądu drugiej instancji, że  w rozpoznawanej sprawie nie mamy do czynienia z klasyczną sytuacją, do rozwiązania której przewidziany został art. 429 k.c., lecz z operatorem sieci komórkowej, którym jest pozwana Spółka i z którym powód, jak tysiące innych konsumentów miał zawartą umowę, dotyczącą odpłatnego świadczenia usług telefonicznych i innych teleinformacyjnych, przewidzianych tą umową, wymagających w interesie pozwanej, a nie powoda przekazania jej przez niego szeregu danych osobowych.
Jest oczywiste, że dane osobowe klientów sieci komórkowej muszą być tak przechowywane, aby konsument czuł się bezpiecznie, a jego uprawnienia i roszczenia nie były przekierowywane z urządzenia elektronicznego strony umowy, którą jest pozwana spółka do podmiotów trzecich, tylko dlatego, że jest to dla niej korzystne organizacyjnie i ekonomicznie. W dodatku, w przekonaniu pozwanego takie przekazanie danych drugiej firmie miało zwalniać go to od ewentualnej odpowiedzialności odszkodowawczej, gdyby dane osobowe nie były właściwie przechowywane, tylko dlatego, że osobę, której się to powierzyło  można określić mianem profesjonalisty w tej akurat dziedzinie techniki telekomunikacyjnej, której dotyczy to przekazanie. To byłaby dla każdej firmy operującej na rynku telekomunikacyjnym wyjątkowo korzystna sytuacja. Można jednak zasadnie przypuszczać, że gdyby kontrahenci firm telefonii komórkowej wiedzieli o zamiarze przekazywania ich danych osobowych, niewiadomym i  nieznanym podmiotom,
‎
z którymi nie łączy ich żaden świadomie i  dobrowolnie zawiązany stosunek prawny, to nie zawieraliby w ogóle umowy z taką firmą, albo uzależniliby jej zawarcie od wyraźnego wyłączenia udziału osób trzecich w realizacji umowy zasadniczej, albo żądali wiarygodnych zabezpieczeń. Sytuacja polegająca na niewiedzy kontrahentów umów w zakresie ryzyka upublicznienia ich danych osobowych, nie może zasługiwać na aprobatę. Skoro więc do takiego upublicznienia doszło, jak w sprawie niniejszej, to znaczy, że pozwana spółka P. nie powierzyła wykonania ciążącej na niej czynności rzeczywistemu profesjonaliście, o którym stanowi art. 429 k.c., tylko podmiotowi uważającemu się za profesjonalistę i tylko formalnie to dokumentującemu.
Warto zwrócić uwagę, że niezależnie od czynu niedozwolonego, jakim było bezprawne upublicznienie danych przez kontrahenta pozwanej Spółki, to ponosi ona odpowiedzialność za zachowania osób trzecich, którym powierzyła wykonanie całości lub części zawartej umowy (art. 474 k.c.). Wprawdzie powód odwołuje się tylko do odpowiedzialności pozwanej z tytułu popełnionego czynu niedozwolonego, ale nie wyłącza to jej odpowiedzialności za posłużenie się osobą trzecią w wykonaniu ciążących na niej obowiązków umownych.
W sprawie zostało wykazane, że pozwana nie dowiodła braku bezprawności w jej naruszeniu dóbr osobistych powoda, a przesłanka bezprawności tego naruszenia jest domniemana, zgodnie z art. 23 k.c. W okolicznościach sprawy wyłączenie bezprawności mogło nastąpić tylko przez wyrażenie zgody na zachowanie, które w braku tej zgody staje się naruszeniem dobra osobistego. W przypadku powoda dotyczyło to upublicznienia jego danych osobowych i wizerunku.
Przypomnieć także należy, że art. 7 pkt 4 u.o.d.o. określa pojęcie administratora danych i jest nim podmiot zajmujący się przetwarzaniem danych, o ile tylko podejmuje samodzielnie decyzje dotyczące celów i środków przetwarzania. Takie decyzje samodzielnie podejmowała w stosunku do powoda wyłącznie pozwana, decydując o celach i środkach przetwarzania danych swoich klientów. Dokonująca przetwarzania (archiwizowania) danych Spółka T. Poland czyniła to tylko w zakresie określonym umową z pozwaną, nie mając żadnych związków o charakterze cywilnoprawnym z powodem. Wymaga rozważenia, czy w okolicznościach sprawy ponosiłaby odpowiedzialność wobec powoda i czy pozwana P. nie powinna odpowiadać wobec niego w rozpoznawanej sprawie, z możliwością kierowana następnie roszczenia zwrotnego do Spółki wykonującej zlecone jej czynności, a nie twierdzenie, jak to uczynił Sąd Apelacyjny, że to powód ma kierować do niej roszczenie w miejsce pozwanej.
Nie można się również zgodzić, że umowa zawarta przez pozwaną z T. Poland sp. z o.o. jest zleceniem na zewnątrz usługi przetwarzania danych osobowych w rozumieniu art. 31 u.o.d.o. Zawarcie umowy z osobą trzecią względem klienta administratora tych danych, nie może czynić z tego podmiotu kolejnego administratora, który miałby być w dodatku jedynym legitymowanym biernie podmiotem i do którego miałaby musieć kierować roszczenia strona umowy o świadczenie usług przez operatora sieci komórkowej, zamiast bezpośrednio do niego. W rezultacie powód ma słuszność, kwestionując umowę zawartą przez pozwaną z T. Poland sp. z o.o., jako przypadek zlecenia na zewnątrz przetwarzania danych w rozumieniu powołanego przepisu. Pozwana Spółka P., gromadziła dane klientów na swoje własne potrzeby, a nie na potrzeby wynajętej firmy archiwizującej te dane, która jedynie zarządzała tymi danymi w zakresie określonym umową z pozwaną i nie mając wpływu na zakres i sposób przetwarzania danych klientów pozwanej. To pozwana oferowała swoje usługi klientom, w tym powodowi i decydowała o celach i środkach przetwarzania danych osobowych, a więc to ona była administratorem tych danych w rozumieniu powoływanych przepisów u.o.d.o. Przekazując dane osobowe firmie T. Poland sp. z o.o. bez zgody powoda jako osoby, której dane dotyczą, odpowiada za skutki wadliwego przetwarzania tych danych przez tę firmę. Ma rację powód, że to pozwana Spółka P. a nie podmiot, któremu powierzyła dane osobowe klientów była zobowiązana do udzielenia klientom, a więc i powodowi informacji przewidzianych w art. 25 u.o.d.o.
W wyniku przeprowadzonej analizy, zdaje się nie pozostawiać wątpliwości, że poza tym, co ciąży bezpośrednio na T. Poland sp. z o.o., to względem powoda właśnie pozwana spółka P. nie dopełniła ciążących na niej samej obowiązków w zakresie ochrony przetwarzania danych, o czym stanowi art. 36 ust. 1 u.o.d.o. Przepis ten odpowiada na motywy i przepisy powołanej już wcześniej dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 1995 r., chroniącej osoby fizyczne w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (zwłaszcza pkt 55 motywów i art. 7 pkt a). Niedopełnienie obowiązków polegało na naruszeniu elementarnych zasad zaufania klientów sieci telefonii komórkowej do firmy świadczącej - wśród wielu jej podobnych - usługi w tym zakresie i będącej znanym powodowi administratorem jego danych osobowych, jako klienta. W dobie porządkowania i poszerzania praw konsumentów nie można zgodzić się na swobodne dopuszczenie tych firm do zatrudniania, niewiadomych klientom podwykonawców swoich usług, nawet jeśli określają się mianem  profesjonalistów i przerzucania na nich odpowiedzialności za wadliwie sprawowaną ochronę danych osobowych klientów, ze zwolnieniem samych siebie od odpowiedzialności. Nie po to przecież w szczególnej ustawie, jaką jest u.o.d.o. przewidziane zostały drobiazgowe regulacje, mające gwarantować kontrahentom firm telekomunikacyjnym ochronę ich danych, żeby można uwolnić się od odpowiedzialności cywilnej przez zastosowanie ogólnego przepisu, jakim jest art. 429 k.c. Z tego wynika, że administrator danych osobowych, będący firmą telekomunikacyjną odpowiada na podstawie art. 415 k.c. za własną winę
wobec klienta - strony umowy o świadczenie usług telekomunikacyjnych, jeżeli nadużył zaufania tego klienta, powierzając bez jego zgody i wiedzy wykonywanie części umówionych usług osobie trzeciej - profesjonalnej firmie, która dopuściła do przetworzenia przez nieupoważnione osoby danych strony umowy i
umieszczenia
ich w ogólnie dostępnym portalu internetowym, przez co naruszone zostały jej dobra osobiste (art. 23 k.c.).
Jest charakterystyczne, że w końcowej części uzasadnienia zaskarżonego wyroku Sąd Apelacyjny dostrzegł, iż zastrzeżenia budziła postawa pozwanej Spółki  P., która nie zareagowała w ogóle na wezwanie powoda z 23 maja 2011 r. i nie zbadała okoliczności podniesionych w tym wezwaniu, co świadczyło o lekceważącym potraktowaniu powoda, podczas gdy okazało się, że wykorzystany w sposób bezprawny skan dowodu osobistego pochodził z systemu archiwalnego pozwanej, co skutkowało naruszeniem dóbr osobistych powoda, mógł on więc być przekonany w swoim subiektywnym odczuciu o słuszności żądania. Uzupełniając to stwierdzenie podnieść należy, że powód także - obiektywnie sprawę oceniając - miał podstawę uważać, że prawidłowo wzywa swojego kontrahenta do usunięcia skutków naruszenia dobra osobistego, za co, obok pozwanej Spółki mógł także odpowiadać jej kontrahent (podwykonawca) lub, jak było to wspomniane, do niej skierowałaby ona roszczenia zwrotne, o czym zdecydowałaby umowa łącząca pozwaną Spółkę z T. Poland sp. z o.o.
W tym stanie rzeczy należało na podstawie art. 398
15
§ 1 k.p.c. orzec jak w sentencji, rozstrzygając o kosztach postępowania kasacyjnego na podstawie art. 108 § 2 w związku z art. 398
21
k.p.c.
kc
jw