II C 1711/20

Sygn. akt II C 1711/20 WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ Dnia 25 lipca 2023 r. Sąd Okręgowy w Warszawie II Wydział Cywilny w składzie: Przewodniczący: Sędzia SO Eliza Kurkowska Protokolant: Julia Salwin po rozpoznaniu na rozprawie w Warszawie w dniu 11 lipca 2023 r. sprawy z powództwa P. G. przeciwko (...) spółce z ograniczoną odpowiedzialnością w likwidacji z siedzibą w W. o zapłatę i ustalenie I.zasądza od pozwanego (...) spółki z ograniczoną odpowiedzialnością w (...) z siedzibą w W. na rzecz powoda P. G. kwotę 3 197 zł (trzy tysiące sto dziewięćdziesiąt siedem złotych) wraz z odsetkami ustawowymi za opóźnienie od dnia 1 lipca 2021 r. do dnia zapłaty; II.oddala powództwo w pozostałym zakresie; III.zasądza od powoda P. G. na rzecz pozwanego (...) spółki z ograniczoną odpowiedzialnością w likwidacji z siedzibą w W. kwotę 2 545,16 zł (dwa tysiące pięćset czterdzieści pięć złotych i szesnaście groszy) wraz z odsetkami ustawowymi za opóźnienie od dnia uprawomocnienia się orzeczenia do dnia zapłaty – tytułem zwrotu kosztów postępowania. SSO Eliza Kurkowska Sygn. akt II C 1711/20 UZASADNIENIE Pozwem złożonym w dniu 01 lipca 2020 r. (koperta k. 34) P. G. wniósł o zasądzenie od pozwanej (...) sp. z o.o. z siedzibą w W. kwoty: 30 000 zł tytułem odszkodowania za poniesioną szkodę niemajątkową wynikającą z naruszenia przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE)216/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04 maja 2016r.) wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia wniesienia pozwu do dnia zapłaty; 198 zł tytułem odszkodowania za szkodę majątkową wynikającą z naruszenia przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE)216/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04 maja 2016r.) wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia wniesienia pozwu do dnia zapłaty; ustalenie odpowiedzialności pozwanej (...) sp. z o.o. z siedzibą w W. za wszelkie szkody na majątku powoda P. G. , które mogą się ujawnić w przyszłości, a pozostających w związku z wyciekiem danych osobowych z prowadzonego przez pozwaną portalu (...) w dniach od 03 do 14 marca 2020r.; zasądzenie od pozwanej na rzecz powoda kosztów procesu wraz z kosztami zastępstwa procesowego według norm przepisanych. W uzasadnieniu pozwu powód wskazał, że był użytkownikiem portalu pożyczkowego (...) , znajdującego się pod adresem (...) , którego właścicielem jest pozwana spółka. Jest ona również, jak wskazał powód, administratorem danych osobowych, o którym stanowi art. 4 rozporządzenia Parlamentu Europejskiego Parlamentu Europejskiego i Rady (UE)216/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04 maja 2016r.). Powód wskazał, że w dniu 14 marca 2020 r. otrzymał od pozwanej informację o rozpoczęciu automatycznego resetowania hasła dostępu do konta użytkownika, pomimo, że resetowanie hasła dostępu nie było zalecane przez powoda. Natomiast w dniu 16 marca 2020 r. pozwana poinformowała powoda, że dane osobowe zapisane na koncie użytkownika zostały ujawnione osobie trzeciej wskutek błędu pracownika podmiotu, któremu (...) powierzył przetwarzanie danych osobowych. Do ujawnienia danych powoda doszło w dniach 3-14 marca 2020r. przez podmiot współpracujący z (...) Powód podniósł, że jak wskazał portal (...) na serwerze (...) w dniu 03 marca 2020r. można było znaleźć bazę (...) , w której znajdowały się dane ponad 200.000 klientów firmy (...) . Informacje te dotyczyły m.in. danych z wniosków o pożyczkę, imienia i nazwiska, adresu email, PESEL, nr dowodu osobistego, paszportu, hasła oraz numeru rachunku bankowego. Powód zaznaczył, że administrator dowiedział się o powyższym w dniu 09 marca 2020r., jednakże dopiero w dniu 14 marca 2020 r. wykonano reset hasła użytkownika. Dodatkowo, powód o powyższym został poinformowany dopiero w dniu 16 marca 2020r., tj. 7 dni od momentu ujawnienia naruszenia. Powód wskazał nadto, że ujawnione dane zostały usunięte, a w ich miejscu pojawił się komunikat o konieczności wpłacenia okupu w celu ich odzyskania. Powyższe jak wskazał powód stanowiło naruszenie przepisów RODO, a w szczególności art. 5 ust. 1 lit. f, art. 32 ust. 1 lit. b i art. 32 ust. 2. Uzasadniając żądanie pozwu powód powołał się na art. 5 ust. 1 lit. f ustawy RODO. Podniósł, że pozwany jako administrator był zobowiązany wdrożyć zasadę określoną w art. 5 w/w ustawy uwzględniając stan wiedzy technicznej, koszt wdrażania, charakteru, zakresu i kontekstu. Także z uwzględnieniem celu przetwarzania, ryzyka naruszenia praw lub wolności osób fizycznych. Powód wskazał również, że odpowiedzialność pozwanego wynika z art. 82 RODO. Powołał się nadto na art. 92 ustawy z dnia 10 maja 2018r. o ochronie danych osobowych wskazując, że do roszczeń z tytułu naruszenia danych osobowych należy stosować przepisy kodeksu cywilnego . Powód wskazał, że od otrzymania informacji o wycieku danych osobowych odczuwa silny lęk związany ze swoją sytuacją finansową. Każdego dnia sprawdza swoje konto bankowe, a także stale monitoruje swoją sytuację w BIK. Stał się też nerwowy, niespokojny, drażliwy, co utrudnia mu codzienne funkcjonowanie. Stracił również zaufanie do instytucji finansowych, nie korzysta już tak beztrosko z internetu jak kiedyś. Rezygnuje z dokonywania zakupów czy też składania zamówień/ rezerwacji drogą elektroniczną. Co do żądania opartego na art. 445 § 1 k.c. powód argumentował, że uzasadnionym jest, aby w sytuacji gdy pozwana jako administrator naruszyła dane osobowe powoda, zrekompensowała wszystkie szkody do jakich doszło w ich wyniku. Podniósł, że nie ma i nie będzie miał pewności, iż w przyszłości ktoś nieuprawniony nie posłuży się jego danymi osobowymi. W związku z tym, zdaniem powoda, uzasadnionym jest uznanie, że jego roszczenie o ustalenie zasługuje na uwzględnienie. Co do poniesionej szkody materialnej wynikającej z naruszenia jego danych osobowych, powód podniósł, że wykupił stosowne alerty BIK i ChrońPESEL, które mają go chronić w razie wystąpienia negatywnych konsekwencji prawnych zaistniałego wycieku danych osobowych (pozew k. 3-7). Pozwana w odpowiedzi na pozew z dnia 25 marca 2022r. (koperta k. 288) wniosła o oddalenie powództwa oraz o zasądzenie od powoda na rzecz pozwanej zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych. W uzasadnieniu odpowiedzi na pozew pozwana wskazała, że powód nie oparł roszczeń na ważnej podstawie prawnej, nie przedstawił właściwych dowodów, nie wykazał w dostateczny sposób na czym ma polegać szkoda niemajątkowa. Pozwana zakwestionowała, aby do zdarzenia doszło wskutek naruszenia przez nią jako administratora danych osobowych wynikających z art. 32 RODO lub dokonania naruszenia przez podmiot przetwarzający, za który odpowiedzialność miałaby ponosić pozwana. Powołała się na postępowanie prowadzone przez Prezesa UODO pod sygn. (...) ze skargi powoda oraz postępowanie prowadzonym pod sygn. (...) , które to postępowania obecnie znajdują się na etapie postępowania przed Naczelnym Sądem Administracyjnym. Pozwana wskazała, że w świetle art. 82 RODO, administrator lub podmiot przetwarzający poniesie odpowiedzialność za szkody majątkowe lub niemajątkowe powstałe wskutek naruszenia rozporządzenia przy jednoczesnym spełnieniu następujących przesłanek: naruszenia przez administratora lub procesora przepisów rozporządzenia, wystąpienia winy po stronie administratora lub procesora w zajściu zdarzenia, poniesienia przez podmiot danych szkody majątkowej lub niemajątkowej, zaistnienia związku pomiędzy szkodą a naruszeniem. Pozwana wskazała, że nie kwestionuje, że doszło do naruszenia ochrony danych użytkowników portalu (...) , jednakże nie ma podstaw do przyjęcia, że wystąpienie tego zdarzenia było wynikiem zawinionego naruszenia przepisów RODO przez pozwaną jako administratora danych lub przez podmiot przetwarzający, któremu pozwana powierzyła przetwarzanie danych, za które miałaby ponosić odpowiedzialność Pozwana wskazała, że niezwłocznie po uzyskaniu informacji o wycieku danych, podjęła stosowne działania. Zaprzeczyła, aby do udostępnienia danych osobowych doszło na skutek zawinionego działania pozwanej jako administratora danych. W ocenie pozwanej twierdzenie o spóźnionym poinformowaniu osób, nie jest uzasadnione. Pozwana wskazała, że w świetle art. 34 ust. 1 RODO obowiązek zawiadomienia o wycieku danych nie jest obwarowany sztywnymi ramami czasowymi. Podniosła nadto, że Prezes UODO nie dopatrzył się uchybień w zakresie ochrony danych osobowych. Pozwana wskazała, że dochowała obowiązków nałożonych art. 32 RODO. Zapewniła stopień bezpieczeństwa odpowiadający ryzyku naruszenia jego praw i wolności, wdrożyła szereg rozwiązań technicznych oraz organizacyjnych odpowiednich dla zapewniania właściwego stopnia bezpieczeństwa. Wskazała nadto, że naruszenie danych, o których mowa w art. 4 pkt 12 RODO oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowywanych lub w inny sposób przetwarzanych. W odniesieniu do powyższego pozwana argumentowała, że wystąpienie naruszenia danych, których administratorem jest pozwana, nie oznacza per se naruszenia obowiązków prawnych ciążących na administratorze, ponieważ po stronie administratora obowiązek spoczywa na zapewnieniu odpowiednich środków organizacyjnych i technicznych. Pozwana wskazała, że do naruszenia danych nie doszło w wyniku naruszenia przepisów RODO, a błędu pracownika podmiotu przetwarzającego dane, czyli błędu ludzkiego, którego nie udało się uniknąć pomimo zachowania najwyższych standardów ochrony danych oraz stosownych procedur. Pozwana wskazała również, że o udostępnianiu danych osobowych osobom trzecim poinformowała Prokuraturę składając stosowane zawiadomienia o podejrzeniu popełnieniu przestępstwa. Zakwestionowała również wysokość dochodzonego roszczenia wskazując, że żądana kwota jest nieproporcjonalna mając na uwadze realia sprawy. Powyższe stanowisko pozwana uzasadniała tym, że nie można przypisać jej winy nawet przyjmując formy niedbalstwa. Kwota ta zdaniem pozwanej jest nieadekwatna do ewentualnej szkody. Powód, jak wskazała pozwana, pomimo orzecznictwa w zakresie wysokości przyznanego zadośćuczynienia wycenił swoją szkodę powstałą w wyniku krótkotrwałego niezapewnienia odpowiedniego poziomu ochrony danych osobowych ponad szkody osób poszkodowanych w wyniku znacznego pogorszenia stanu zdrowia, czy utraty osoby bliskiej ( odpowiedź na pozew k. 236-252). W toku postępowania strony podtrzymały stanowiska w sprawie. Sąd ustalił następujący stan faktyczny: Powód był użytkownikiem portalu pożyczkowego (...) działającego pod adresem (...) Właścicielem portalu była (...) sp. z o.o. z siedzibą w W. . Pozwana była również administratorem danych osobowych powoda. Zostało to uwidocznione w klauzuli informacyjnej dostępnej na stronie internetowej (...) ( informacja ze strony internetowej administratora – k. 14-17, niesporne ). Przetwarzanie danych osobowych zostało powierzone przez pozwaną (...) sp. z o.o. w M. na Białorusi, należącej do tej samej grupy kapitałowej co pozwana (niesporne). Powód z usług (...) korzystał w 2020 r. gdyż chciał zaciągnąć pożyczkę. Zakładając konto na tym portalu musiał podać swoje dane. Wnioskował o udzielenie pożyczki, ale nie została ona mu udzielona. W dniu 13 marca 2020r. na stronie (...) opublikowano artykuł pt. „ (...) ” W publikacji wskazano, że dane klientów firmy pożyczkowej (...) , dwukrotnie „trafiły w cudze ręce”. W publikacji podano, że Firma (...) zarządzająca serwisem (...) zidentyfikowała incydent związany z wyciekiem bazy danych klientów. Wedle publikacji badacz zajmujący się bezpieczeństwem baz danych wstawionych do internetu oraz informowaniem ich właścicieli o problemach, napisał kilka dni wcześniej o odkryciu kolejnej bazy należącej do prywatnej firmy pożyczkowej ( publikacja k. 20 , zeznania powoda k. 306v-307). W dniu 14 marca 2020r. na stronie (...) ukazał się artykuł pt. „ (...) ”, w którym wskazano, że nadal nie otrzymano od (...) sp. z o.o. żadnej odpowiedzi na zadane pytania. Podano, że klienci nie otrzymali informacji o wycieku ich danych. Podano, że (...) zresetował hasło wszystkim użytkownikom i wysłał im w związku z tym smsy z nowymi hasłami. Wskazano, że jeśli ktoś się zaloguje i zmieni sobie hasło na stronie, to może otrzymać swoje nowe hasło e-mailem. W artykule wskazano, że klienci (...) powinni telefonicznie lub za pomocą emaila, bądź za pośrednictwem infolinii wyjaśnić dlaczego firma nie zresetowała ich hasła. Powyższe, zdaniem autora publikacji, może doprowadzić do sytuacji, w której spółka przyzna się do incydentu. Powołano się również na odpowiedź, jaką otrzymał jeden z klientów spółki, w której informowano go, że jego dane osobowe zapisane na koncie założonym za pośrednictwem strony (...) zostały ujawnione osobie trzeciej wskutek błędu pracownika podmiotu, któremu spółka powierzyła przetwarzanie danych osobowych. Podano, że zakres ujawnionych danych osobowych obejmuje imię, nazwisko, PESEL, serię i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres email, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego – jeżeli uległ zmianie, numer telefonu pracodawcy, adres email osoby, której klient rekomendował pożyczkę, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na (...) ( artykuł k. 22). Powód w dniu 14 marca 2020r. otrzymał od (...) smsy o treści „Odzyskiwanie hasła do (...) zakończyło się sukcesem. Nowe hasło to (...) ”, „Drogi Użytkowniku, informujemy, że ostatnia zmiana hasła była przeprowadzona automatycznie i wynikała ze względów bezpieczeństwa. Więcej na (...) ( smsy k. 23, zeznania powoda k. 306v-307). W dniu 14 marca 2020 r. pozwana zgłosiła zdarzenie w postaci naruszenia ochrony danych użytkowników portalu (...) do Urzędu Ochrony Danych Osobowych. W dniu 16 marca 2020 r. dokonała zaktualizowania tego zgłoszenia. W których informowała o nieuprawnionym uzyskaniu dostępie do informacji na skutek wewnętrznego działania niezamierzonego oraz zewnętrznego działania zamierzonego ( wstępne zgłoszenie k. 253-260, zgłoszenie uzupełniające k. 261-268). W dniu 16 marca 2020r. powód otrzymał od „ zespołu (...) ” maila z informacją o tym, iż dane osobowe na koncie użytkownika założonym za pośrednictwem strony internetowej (...) zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu (...) powierzył przetwarzanie danych osobowych. Wskazano, że błąd polegał na braku zabezpieczenia danych osobowych w okresie od 03 marca do 14 marca 2020r. przez podmiot współpracujący z (...) . Podano, że udostępnione dane osobowych obejmowało imię, nazwisko, PESEL, serię i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres email, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego – jeżeli uległ zmianie, numer telefonu pracodawcy, adres email osoby, której klient rekomendował pożyczkę, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na (...) . Poinformowano o skutkach jakie mogą być związane z udostępnieniem danych osobowych osobom nieuprawnionym. Pouczono o konieczności powiadomienia policji w przypadku uzasadnionego podejrzenia zaistnienia sytuacji, które mogą wystąpić w związku z udostępnieniem danych osobowych powoda. Poinformowano również, że podjęto działania mające na celu zaradzenie naruszeniu ochronnych danych osobowych. Wskazano, że niezwłocznie przeprowadzono zmianę haseł użytkowników umożliwiających logowanie się do konta każdego klienta, o czym poinformowano klientów za pośrednictwem smsa oraz maila. Podano również dane do kontaktu w przypadku wystąpienia po stronie klientów jakichkolwiek wątpliwości lub pytań ( e-mail k. 24-29, zeznania powoda k. 306v-307). Po uzyskaniu informacji, że jego dane wyciekły powód zaczął czytać z jakimi konsekwencjami może się to wiązać. Obawiał się, że ktoś może na jego dane wziąć pożyczkę lub kredyt, a to powód będzie ponosić konsekwencje finansowe. W dniu 26 marca 2020 r. powód wykupił alerty w BIK i ChrońPESEL za co zapłacił odpowiednio 99 zł i 98 zł. Ponadto powód wymienił dokumenty. Powód nadal wykupuje raporty w BIK, które kosztują około 50 zł na rok. Po wycieku tych danych powód bardzo często sprawdzał swoje konto bankowe. Po tym zdarzeniu powód przestał korzystać z portali pożyczkowych i przestał brać pożyczki tzw. „chwilówki”. Powód nadal korzysta z internetu, ma konto na (...) , którego nie usuwał. W związku z tym zdarzeniem powód nie podejmował leczenia u specjalisty. Żadna osoba trzecia nie wzięła pożyczki bądź kredytu na dane osobowe powoda ( zeznania powoda k. 306v-307, potwierdzenia przelewu k. 18-19). Pismem z dnia 21 kwietnia 2020r. powód skierował do (...) sp. z o.o. z siedzibą w W. wezwanie do zapłaty kwoty 30.197 zł tytułem odszkodowania za szkody majątkowe i niemajątkowe oraz do uznania odpowiedzialności za szkodę, która może wystąpić w przyszłości na skutek niezgodnego z przepisami RODO przetwarzania danych osobowych powoda ( wezwanie do zapłaty k. 30-32). Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie pod sygn. akt (...) , które zakończył wydaniem decyzji z dnia 17 grudnia 2020 r. Od decyzji została wniesiona skarga do WSA. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 5 października 2021 r. sygn. akt II SA/Wa 528/21 uchylił punkt 1 decyzji Prezesa UODO i zasądził od organu na rzecz skarżącego zwrot kosztów postępowania. Od orzeczenia została wniesiona skarga kasacyjna. Postępowanie przed Naczelnym Sądem Administracyjnym jest zarejestrowana pod sygn. akt III OSK 669/22. Prezes Urzędu Ochrony Danych Osobowych decyzja z dnia 25 marca 2021r. w sprawie (...) udzielił upomnienia pozwanej za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 polegające na udostępnieniu danych osobowych P. G. podmiotom nieuprawnionym. W uzasadnieniu decyzji stwierdzono, że w ustalonym w sprawie stanie faktycznym nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych, spośród określonych w art. 6 ust. 1 RODO. Od powyższej decyzji została wniesiona skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie, który wyrokiem z dnia 20 kwietnia 2022 r. sygn. akt II SA/Wa 1850/21 oddalił skargę. Od orzeczenia została wniesiona skarga kasacyjna do Naczelnego Sądu Administracyjnego, obecnie zarejestrowana pod sygn. akt III OSK 2182/22 ( decyzja – k. 64-66, informacja z WSA w Warszawie k. 298, informacje wskazane przez pełnomocnika pozwanego k. 306). W dniu 30 czerwca 2020 r. powód otrzymał informację z (...) , że wykryto podejrzaną aktywność na jego koncie w związku z zamówieniem reklamy za kwotę 375 zł. ( wydruk informacji k. 33). Powyższy stan faktyczny Sąd ustalił w oparciu o przedłożone do akt sprawy dokumenty, które nie były kwestionowane przez strony. Pozwana w toku postępowania nie zaprzeczyła, aby doszło do wycieku danych osobowych klientów (...) . Kwestionowała natomiast swoją odpowiedzialność. Sąd ustalił stan faktyczny w oparciu o zeznania powoda, których prawdziwości nie kwestionował. W części w jakiej powód powoływał się na korespondencję z pozwaną potwierdzone zostały przedłożonymi dokumentami. Zdaniem Sądu brak było podstaw do podważania wiarygodności zeznań powoda. Sąd zważył co następuje. Roszczenie powoda zasługiwało na częściowe uwzględnienie. Podstawę prawną żądania pozwu stanowiły przepisy art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016), zwanego dalej RODO, w zw. z art. 92 ustawy z 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) w zw. z artykułami 23, 24 i 448 k.c. oraz art. 189 k.p.c. Zgodnie z art. 79 RODO, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem RODO. Prawo do odszkodowania oraz przesłanki odpowiedzialności za naruszenie przepisów o ochronie danych osobowych zostały uregulowane w art. 82 RODO. Zgodnie z ust. 1 tego przepisu, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Jak stanowi ust. 2 art. 82 RODO, każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom. Ustęp 3 art. 82 RODO przewiduje, że, administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Pomiędzy naruszeniem RODO a szkodą majątkową lub niemajątkową musi zaistnieć związek przyczynowy. Wyłączenie odpowiedzialności administratora jest zatem możliwe jedynie w przypadku, gdy zostanie wykazane, że administrator „w żaden sposób” nie ponosi winy za zdarzenie szkodzące. W związku z tego rodzaju przesunięciem ciężaru dowodu na administratora, zostaje on obarczony szeroko zakreśloną odpowiedzialnością starannego działania. Zgodnie z art. 4 pkt 1 RODO danymi osobowymi w rozumieniu tego rozporządzenia, są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Zgodnie z art. 4 pkt 2 RODO przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Administratorem danych osobowych zgodnie z art. 4 pkt 7 RODO według rozporządzenia jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Zgodnie natomiast z art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Art. 5 ust. 1 lit. f RODO nakłada na administratora obowiązek przetwarzania danych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Co więcej, zgodnie z ust. 2 art. 5 RODO, to na administratorze ciąży obowiązek wykazania, że sprostał wymienionym w ust. 1 obowiązkom. Wskazane wyżej normy dają wyraz ogólnej, wyrażającej podstawowe idee i założenia polityki europejskiej, zasadzie ochrony danych osobowych. Stanowi ona nadrzędną regułę rządzącą przetwarzaniem danych. Konkretyzacja powyżej wskazanych obowiązków znajduje odzwierciedlenie w art. 32 RODO. Ust. 1 tego przepisu wskazuje cele, jakie musi osiągnąć administrator i podmiot przetwarzający w celu zabezpieczenia danych osobowych, zachowując odpowiednie środki techniczne. Celami tymi są: pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator może wykazać wywiązanie się z powyższych obowiązków poprzez np. zastosowanie kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji. Tego typu model działania oznacza podejście oparte na ochronie danych proaktywnej, prewencyjnej, o zindywidualizowanym charakterze. Czyni to jednocześnie administratora odpowiedzialnym za naruszenie na zasadzie niewielkiego nawet stopnia zawinienia. W ocenie Sądu w niniejszej sprawie powodowi przysługiwała legitymacja czynna do wystąpienia z powództwem. Ujawnione przez pozwaną dane osobowe były danymi powoda. Chodzi o: imię i nazwisko, numer rachunku bankowego, adres zamieszkania/pobytu, nr PESEL, adres e-mail, nazwę użytkownika i/lub hasło, dane dotyczące majątku i/lub zarobków, serię i nr dowodu osobistego oraz nr telefonu. Naruszenie polegające na znalezieniu się danych powoda w miejscu powszechnie dostępnym dla użytkowników sieci internet było wynikiem przetwarzania danych osobowych powierzonych przez powoda pozwanej w związku z korzystaniem przez powoda z portalu pożyczkowego prowadzonego przez pozwaną. Pozwana pomimo przerzucenia na nią ciężaru dowodu nie wykazała, że przetwarzanie danych osobowych odbywało się w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Żaden z celów, jakim powinna sprostać pozwana (pseudonimizacja i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania) nie został w okolicznościach sprawy osiągnięty. Pozwana wskazywała, że w celu realizacji obowiązków wynikających z RODO zawarła umowę z profesjonalnym podmiotem zajmującym się przetwarzaniem danych, a wyciek danych osobowych m.in. powoda był następstwem błędu pracownika tego podmiotu. Wskazać należy, że stanowisko pozwanej o powierzeniu przetwarzania danych osobowych profesjonalnemu podmiotowi, który udzielił gwarancji zastosowania odpowiednich organizacyjnych i technicznych środków bezpieczeństwa pozostało jedynie na poziomie twierdzeń pozwanej. Pozwana nie przedstawiła żadnego dowodu, który potwierdzałby, że taka umowa została zawarta, że kontrahent pozwanej to rzeczywiście podmiot gwarantujący prawidłową obsługę danych, ani jakiej treści obowiązki zostały na niego nałożone umową. Co więcej, pozwana nie wykazała w żaden sposób, jak nadzorowała przetwarzanie danych osobowych przez wyżej wskazany podmiot. Pozwana ograniczyła się do wskazania, jakie procedury techniczne miały być stosowane w celu zabezpieczenia, jednakże na etapie postępowania dowodowego nie sposób było ustalić, czy te procedury zostały zastosowane. Pozwana wskazując, że za ujawnienie danych odpowiadał pracownik podmiotu, z którym pozwana zawarła umowę, nie wykazała, w jaki sposób ustaliła odpowiedzialność za zdarzenie tego pracownika. W związku z powyższym, niemożliwym była ocena stopnia bezpieczeństwa, jakie miała zagwarantować pozwana, jako administrator danych osobowych. Ponadto w ocenie Sądu, brak było podstaw do uwzględnienia argumentacji pozwanej, że nie ponosi ona odpowiedzialności za udostępnienie danych osobowych osobom nieuprawnionym, z uwagi na fakt, iż doszło do tego z winy pracownika. Odnosząc się do powyższego należało mieć na uwadze art. 429 k.c. Zgodnie z jego treścią, kto powierza wykonanie czynności drugiemu, ten jest odpowiedzialny za szkodę wyrządzoną przez sprawcę przy wykonywaniu powierzonej mu czynności, chyba że nie ponosi winy w wyborze albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności. Przyjęcie możliwości zastosowania art. 429 k.c. do ochrony danych osobowych zwalniałoby w istocie administratora od odpowiedzialności, w razie powierzenia przetwarzania danych innemu podmiotowi zawodowo zajmującemu się taką usługą, co działoby się poza wiedzą i zgodą osób, których dane są przetwarzane, a to z kolei czyniłoby ochronę gwarantowaną RODO iluzoryczną. Z art. 82 ust. 4 RODO wprost wynika, że jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania. Z tych względów w ocenie Sądu w sprawach dotyczących ochrony danych osobowych art. 429 k.c. nie powinien znajdować zastosowania. Zatem nawet gdyby pozwana wykazała, że powierzyła przetwarzania danych profesjonaliście, którego działanie doprowadziło do ujawnienia danych, to nie zwalniałoby jej to od odpowiedzialności. W okolicznościach sprawy należało uznać, że wszystkie przesłanki odpowiedzialności deliktowej zostały spełnione. Dane osobowe powoda powierzone pozwanej, wymienione w stanie faktycznym, chociaż powinny być ściśle chronione, zostały ujawnione. W marcu 2020 roku stały się dostępne dla każdego użytkownika sieci internet. Pozwana nie wykazała, że dochowała wszystkich obowiązków określonych w RODO. Awaria serwera i jej naprawa skutkowały wypłynięciem danych, co świadczyło o nieakceptowalnej słabości systemu ochrony danych. Co oczywiste bazy danych zawierające dane osobowe klientów pozwanej nie powinny być zabezpieczone w tak niedoskonały sposób, że jeden prosty błąd (zresetowanie ustawienia zapory firewall) skutkuje upublicznieniem zawartości całej bazy danych. Jak słusznie podniósł powód, obowiązkiem administratora jest przewidywanie potencjalnych zagrożeń i takie dobieranie środków, aby minimalizować ryzyko ich zaistnienia. Tego w okolicznościach sprawy zabrakło, o czym świadczyło, że prosty błąd popełniony przez pracownika przy naprawie serwera skutkował upublicznieniem całej bazy danych. Z powyższego wynika, że między ujawnieniem przez pozwaną danych powoda a wystąpieniem szkody po stronie powoda w postaci krzywdy zachodził normalny związek przyczynowy. RODO nie definiuje pojęcia szkody niematerialnej wskazanej w art. 82 ust. 1 tego rozporządzenia. Zgodnie z art. 92 ustawy o ochronie danych osobowych , w zakresie nieuregulowanym RODO, do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 RODO, stosuje się przepisy kodeksu cywilnego . Szkodą niemajątkową w rozumieniu k.c. jest krzywda polegająca na doznaniu cierpienia tak fizycznego, jak i psychicznego. Chodzi o stres, obawy, lęki i poczucie niepewności. Może to prowadzić do nerwic, czy chorób psychicznych, np. depresji. Art. 448 przyznaje sądowi możliwość zasądzenia na rzecz poszkodowanego odpowiedniej sumy pieniężnej za doznaną krzywdę. Wysokość zadośćuczynienia jest determinowana rozmiarem krzywdy. Na jej rozmiar mogą mieć przy tym wpływ rozmaite okoliczności, do których – oprócz natężenia doznawanych przez poszkodowanego cierpień – należą m.in. rodzaj naruszonego dobra osobistego, stopień winy sprawcy, czas trwania cierpień poszkodowanego czy ujemne skutki zdrowotne, jakie będzie on zmuszony znosić w przyszłości. Wysokość zadośćuczynienia powinna odzwierciedlać wszelkie okoliczności danego wypadku, które mogą wpływać na rozmiar i intensywność doznawanych przez poszkodowanego cierpień. W toku postępowania powód wykazał, że pozwana będąc administratorem danych osobowych powoda, w wyniku naruszenia przepisów RODO, wyrządziła powodowi szkodę niemajątkową w postaci krzywdy objawiającej się negatywnymi odczuciami psychicznymi. Wyrażały się one tym, że powód odczuwał poczucie zagrożenia, że osoba trzecia zaciągnie na jego dane osobowe pożyczkę lub kredyt, co mogłoby się wiązać z negatywnymi konsekwencjami dla niego. Powód często też sprawdzał konto bankowe by ustalić czy jego dane nie zostały wykorzystane w nieuprawniony sposób. Powyższy wyciek spowodował również, że powód przestał korzystać z portali internetowych udzielających takich pożyczek. Odnosząc się do rozmiarów krzywdy poniesionej przez powoda oraz wysokości roszczenia o zadośćuczynienie, należało zauważyć, że chociaż fakt wystąpienia po stronie powoda negatywnych odczuć psychicznych był bezsporny, o tyle konsekwencje ujawnienia danych osobowych powoda były ograniczone. Sprowadziły się one do przykrych odczuć powstałych na skutek wypłynięcia tych danych do internetu i świadomości powoda, że każda osoba mogła się z nimi zapoznać i je wykorzystać. Lęki i obawy o powstałą w wyniku ujawnienia danych sytuację były dolegliwe dla powoda. Powód czuł się zmuszony do sprawdzania swej sytuacji w BIK i chroń PESEL. Powyższa obawa spowodowała, że powód zdecydował się na wymianę dokumentów, co wiązało się z koniecznością podjęcia stosowanych czynności w urzędach (wystąpienie o dowód osobisty, poinformowanie np. banku o zmianie dokumentu tożsamości). Zdaniem Sądu powód nie doznał dalej idących skutków. Jak wynika z zeznań powoda nikt nie zaciągnął pożyczki na jego nazwisko, a zatem nie doszło do wykorzystania danych powoda przeciwko niemu. Ponadto powód nie podjął żadnego leczenia specjalistycznego, nadal korzysta z internetu (poza korzystaniem z pożyczkowych portali internetowych). Wbrew twierdzeniu pozwu, jak wynika z zeznań powoda nie usunął konta na (...) i nadal z niego korzysta. W ocenie Sądu, uwzględniając zeznania powoda i wskazywaną przez niego krzywdę niemajątkową, adekwatną wysokością zadośćuczynienia jest kwota 3000 zł. W pozostałym zakresie zadośćuczynienie nie było zasadne. W zakresie szkody majątkowej, w ocenie Sądu, zostało wykazane, że wyciek danych osobowych powoda spowodował, że P. G. wykupił alerty w BIK i Chroń PESEL. Powód – jak wynika z potwierdzeń przelewów k. 18-19 wykupił je 26 marca 2020 r. w związku z powyższym poniósł szkodę w wysokości 197 zł (a nie 198 zł jak wskazano w pozwie). Zdaniem Sądu, powód mając wiedzę o tym, że wyciekły jego dane wrażliwe wykupując powyższe alerty podjął racjonalne działania, które pozwalały mu na ustalenie czy ktoś nie wykorzystuje w sposób nieuprawniony jego danych. Skoro powód miał obawy przed ewentualnymi konsekwencjami zaciągnięcia pożyczki lub kredytu, to wykupienie stosownych powiadomień informujących go o nieuprawnionym skorzystaniu z danych było uzasadnione. Podstawę rozstrzygnięcia o odsetkach stanowił art. 481 § 1 w zw. z art. 455 k.c. Powód od kwot zadośćuczynienia i odszkodowania domagał się zasądzenia odsetek od dnia wniesienia pozwu do dnia zapłaty. Strona powodowa wskazała, że przed wszczęciem procesu wezwała pozwaną do zapłaty. Jednakże strona powodowa nie dołączyła dowodu doręczenia powyższego wezwania pozwanej spółce. Stąd brak było podstaw do przyjęcia od kiedy pozwana pozostaje w opóźnieniu ze spełnieniem świadczenia. W tym stanie rzeczy należało przyjąć, że w dacie 1 lipca 2021 r. pozwany pozostawał w opóźnieniu ze spełnieniem świadczenia. W tej bowiem dacie pozwany sporządził pismo, w którym zajął stanowisko wobec żądania pozwu, a zatem wiedział o roszczeniu o zapłatę (k. 82). Wskazać przy tym należy, że pierwotnie Sąd wadliwie doręczył odpis pozwu pozwanej (k.61), zamiast jej ujawnionemu pełnomocnikowi (k. 43). Skoro w dacie 1 lipca 2021 r. osoba umocowana do reprezentowania pozwanego zajęła merytoryczne stanowisko co do żądania zapłaty, uznać należało, że miała świadomość co do żądania zapłaty kierowanego przez powoda. Dlatego też Sąd zasądził odsetki ustawowe za opóźnienie od dnia 1 lipca 2021 r. do dnia zapłaty. W pozostałym zakresie powództwo co do odsetek podległo oddaleniu. Nie zasługiwało na uwzględnienie roszczenie powoda o ustalenie. Zgodnie z art. 189 k.p.c. powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny. Interes prawny w rozumieniu powołanego przepisu, traktowany jest jako szczególny rodzaj klauzuli generalnej i oznacza obiektywną konieczność udzielenia ochrony określonej sferze prawnej, gdy powstała sytuacja, która grozi naruszeniem prawa przysługującego uprawnionemu, bądź powstała wątpliwość co do jego istnienia. Roszczenie o ustalenie jest uzasadnione w sytuacji gdy oczywistym jest, iż w chwili wszczęcia procesu poszkodowany nie może określić, czy przewidzieć skutków danego zdarzenia. Nie oznacza to jednak, iż ma to miejsce w każdym przypadku. W szczególności orzeczenie takie w żadnym zakresie nie zwolni powoda z obowiązku wykazania istnienia szkody oraz jej związku przyczynowego ze zdarzeniem. Z samego ustalenia bowiem odpowiedzialności za szkody mogące powstać w przyszłości nie wynika, że konkretna szkoda, jakiej doznał poszkodowany, pozostaje w związku przyczynowo - skutkowym z danym zdarzeniem. Nawet jeżeli doszłoby do wykorzystania danych osobowych powoda to powód musiałby wykazać, że osoba trzecia uzyskała te dane na skutek wycieku danych z marca 2020 r. Gdyby powód z tego tytułu doznał szkody to przysługiwałoby mu dalej idące roszczenie. Podkreślić należy, że fakt, iż ktoś w przyszłości w sposób nieuprawniony wykorzystałby dane osobowe powoda nie oznacza automatycznie, że nastąpiło to na skutek zdarzenia będącego przedmiotem niniejszego postępowania. Niezależnie od powyższego wskazać należy, że ewentualne uwzględnienie roszczenia o ustalenie nie zniweczy ewentualnych konsekwencji dla powoda, do jakich może dojść w wyniku posłużenia się jego danymi osobowymi przez osoby nieuprawnione. Pozwana wnioskowała o zawieszenie postępowania do czasu zakończenia spraw administracyjnych toczących się przed Prezesem Urzędu Ochrony Danych Osobowych. Podstawą wniosku był art. 95 ustawy o ochronie danych osobowych . W myśl tego przepisu sąd zawiesza postępowanie, jeżeli sprawa dotycząca tego samego naruszenia przepisów o ochronie danych osobowych została wszczęta przed Prezesem Urzędu. Przepis ten należy wykładać łącznie z regulacją zawartą w art. 96 i art. 97 wspomnianej ostatnio ustawy, z których wynika, że po pierwsze sąd cywilny umarza prowadzone przed nim prowadzone w zakresie, w jakim prawomocna decyzja organu nadzorczego oraz prawomocny wyrok sądu administracyjnego uwzględniają roszczenie dochodzone przed sądem cywilnym; po drugie sąd cywilny jest związany ustaleniami wskazanymi w prawomocnej decyzji organu nadzorczego lub sądu administracyjnego o stwierdzeniu naruszenia przepisów o ochronie danych osobowych. Ratio legis zawieszenia postępowania sprowadza się zatem do uniknięcia sytuacji, w której sąd cywilny mógłby oddalić roszczenia cywilnoprawne, które stanowiłyby przedmiot rozpoznania w sprawie administracyjnej, gdzie ewentualnie mogłyby zostać uwzględnione; jak też uniknięcia sytuacji, gdy sąd cywilny mógłby stwierdzić brak naruszenia przepisów o ochronie danych, gdy w trybie administracyjnym doszłoby do stwierdzenia takiego naruszenia. Żadna z ostatnio wymienionych sytuacji nie miała jednak miejsca w sprawie. W trybie administracyjnym nie były rozpoznawane roszczenia cywilnoprawne stanowiące przedmiot niniejszego postępowania, a okoliczności sprawy jasno wskazywały na naruszenie przez pozwaną przepisów o ochronie danych osobowych. Z tych względów, w ocenie Sądu, nie istniała konieczność zawieszenia postępowania do czasu zakończenia obu wspomnianych przez pozwaną postępowań administracyjnych toczących się przed Prezesem UODO. Decyzja Prezesa UODO z dnia 17 grudnia 2020 r. w której Prezes UODO stwierdził naruszenie przez pozwaną art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO polegające na niewdrożeniu przez pozwaną odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków, co skutkowało uzyskaniem przez osoby trzecie nieuprawnionego dostępu do przetwarzanych danych osobowych klientów pozwanej, m. in. powoda - została uchylona przez WSA w Warszawie, a skarga kasacyjna nie została rozpoznana przez NSA (k.298). Decyzja z 26 maja 2021 roku Prezes UODO mocą której organ udzielił upomnienia pozwanej za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych P. G. podmiotom nieuprawnionym, została utrzymana w mocy wyrokiem WSA z dnia 20 kwietnia 2022 r. sygn. akt II SA/Wa/1850/21. W wyroku tym (dostępny w lex pod numerem 3363751) WSA wskazał m.in., że Sąd orzekający podziela zapatrywanie Prezesa UODO, że udostępnienie danych osobowych skarżącego, polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajdowało oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych. Decydując się na niezawieszanie niniejszego postępowania Sąd brał też pod uwagę, że zawieszenia postępowania cywilnego z uwagi na tok sprawy administracyjnej ma podstawy, gdy wynik sprawy administracyjne ma charakter prejudycjalny, przesądzi o istnieniu lub nieistnieniu przynajmniej jednej przesłanki odpowiedzialności pozwanego, której przesądzić w trybie cywilnym nie można. Nic takiego nie miało miejsca w sprawie. Warto wreszcie przytoczyć sformułowany w doktrynie pogląd, zgodnie z którym „ze względu na to, że uprawomocnienie – w przypadku rozpoznawania sprawy również przez WSA i NSA – może nastąpić wiele lat po wszczęciu postępowania, art. 95 UODO należy uznać za sprzeczny z RODO, gdyż w praktyce pozbawia osoby możliwości skorzystania z sądowej ochrony praw, gdy sprawę rozpocznie PUODO” ( M. Gawroński, P. Naklicka , w: Ochrona danych osobowych, s. 600). Pogląd ten był w okolicznościach sprawy trafny. Pierwsze z postępowań administracyjnych, które wedle pozwanego powinno stanowić podstawę zawieszenia postępowania dotyczyło całościowego zagadnienia naruszenia przez pozwaną zasad ochrony danych osobowych poprzez ujawnienie całej bazy danych, w której znajdowały się i dane powoda. Sprawa ta wykraczała zatem w znacznym stopniu poza przedmiot niniejszego postępowania i nie byłoby uzasadnionym z powodu jej toku pozbawiać powoda prawa do oceny jego roszczeń cywilnoprawnych przed właściwym sądem powszechnym. Mając powyższe na uwadze orzeczono jak w punktach I, II wyroku. O kosztach postępowania orzeczono w oparciu o art. 100 k.p.c. , zgodnie z zasadą stosunkowego rozdzielenia kosztów. Powód przegrał przedmiotowe postępowanie w 89 %, a zatem w tym zakresie winien zwrócić pozwanemu koszty procesu. Na koszty procesu poniesione przez powoda w kwocie 6 127 zł składa się: opłata od pozwu w kwocie 2.510 zł oraz koszty zastępstwa procesowego w kwocie 3 600 zł powiększone o opłatę od pełnomocnictwa w kwocie 17 zł. Na koszty pozwanego składają się koszty zastępstwa procesowego w kwocie 3 600 zł oraz opłata od pełnomocnictwa w kwocie 17 zł. Mając zatem stosunkowe rozdzielenie kosztów postępowania pozwany winien zwrócić powodowi kwotę 673,97 zł (6127 zł x 11 %), natomiast powód winien zwrócić pozwanemu kwotę 3219,13 zł (3.617 zł x 89 %). Z tych też względów należało zasądzić od powoda na rzecz pozwanego kwotę 2 545,16 zł (3219,13 zł – 673,97 zł). Kwotę zasądzoną w pkt III wyroku powiększono w oparciu o art. 98 § 1 1 k.p.c. , o odsetki, w wysokości odsetek ustawowych za opóźnienie w spełnieniu świadczenia pieniężnego, za czas od dnia uprawomocnienia się orzeczenia, którym je zasądzono, do dnia zapłaty. SSO Eliza Kurkowska ZARZĄDZENIE (...) (...) (...)