II C 1711/20
Podsumowanie
Przejdź do pełnego tekstuPowód P. G. wniósł pozew przeciwko spółce (...) sp. z o.o. o zapłatę 30 000 zł odszkodowania za szkodę niemajątkową, 198 zł za szkodę majątkową oraz o ustalenie odpowiedzialności pozwanej za przyszłe szkody wynikające z wycieku danych osobowych. Powód argumentował, że naruszenie przepisów RODO przez pozwaną, administratora danych, doprowadziło do ujawnienia jego danych osobowych, co spowodowało u niego lęk i niepokój. Pozwana wniosła o oddalenie powództwa, kwestionując podstawę prawną i wysokość roszczeń oraz wskazując na błąd pracownika podmiotu przetwarzającego dane. Sąd Okręgowy w Warszawie, po analizie materiału dowodowego, ustalił, że doszło do naruszenia ochrony danych osobowych powoda. Zasądził na rzecz powoda 3 197 zł odszkodowania, uwzględniając szkodę majątkową (koszty alertów BIK i ChrońPESEL) oraz niemajątkową (krzywdę psychiczną). Powództwo w pozostałym zakresie zostało oddalone, a powód został obciążony kosztami postępowania.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaOdpowiedzialność administratora danych za naruszenie ochrony danych osobowych, w tym w kontekście działań podmiotu przetwarzającego oraz stosowania art. 429 k.c. w sprawach RODO. Uzasadnienie zasądzenia zadośćuczynienia za krzywdę psychiczną związaną z wyciekiem danych.
Orzeczenie dotyczy konkretnego stanu faktycznego i interpretacji przepisów RODO oraz k.c. w kontekście odpowiedzialności za naruszenie ochrony danych.
Zagadnienia prawne (5)
Czy administrator danych osobowych ponosi odpowiedzialność za szkodę majątkową i niemajątkową wynikającą z naruszenia przepisów RODO, w tym w przypadku błędu pracownika podmiotu przetwarzającego dane?Ratio decidendi
Odpowiedź sądu
Tak, administrator ponosi odpowiedzialność, chyba że udowodni, że w żaden sposób nie ponosi winy za zdarzenie. W przypadku powierzenia przetwarzania danych profesjonalnemu podmiotowi, art. 429 k.c. nie zwalnia administratora od odpowiedzialności.
Uzasadnienie
Sąd uznał, że pozwana nie wykazała, iż dochowała wszelkich obowiązków wynikających z RODO w zakresie zabezpieczenia danych. Nawet jeśli błąd popełnił pracownik podmiotu przetwarzającego dane, nie zwalnia to administratora z odpowiedzialności, zwłaszcza że nie przedstawiono dowodów na istnienie umowy powierzenia ani nadzór nad tym podmiotem. Odpowiedzialność jest solidarna.
Czy naruszenie ochrony danych osobowych, polegające na ujawnieniu danych, uzasadnia zasądzenie odszkodowania za szkodę niemajątkową (krzywdę)?Ratio decidendi
Odpowiedź sądu
Tak, jeśli naruszenie spowodowało u osoby, której dane dotyczą, negatywne odczucia psychiczne, takie jak lęk, obawy czy poczucie niepewności.
Uzasadnienie
Sąd uznał, że wyciek danych spowodował u powoda lęki i obawy o potencjalne wykorzystanie jego danych, co uzasadnia zasądzenie zadośćuczynienia. Jednakże, biorąc pod uwagę ograniczone skutki (brak wykorzystania danych przez osoby trzecie, brak leczenia specjalistycznego), kwota została ustalona na 3000 zł.
Czy wydatek na alerty BIK i ChrońPESEL stanowi szkodę majątkową podlegającą zwrotowi w związku z wyciekiem danych?Ratio decidendi
Odpowiedź sądu
Tak, jeśli wydatek był racjonalnym działaniem mającym na celu ochronę przed negatywnymi konsekwencjami wycieku danych.
Uzasadnienie
Sąd uznał, że wykupienie alertów było uzasadnionym działaniem powoda w celu monitorowania potencjalnego wykorzystania jego danych po ich wycieku, co stanowiło szkodę majątkową.
Czy sąd cywilny powinien zawiesić postępowanie w sprawie o odszkodowanie za naruszenie ochrony danych osobowych do czasu zakończenia postępowań administracyjnych przed Prezesem UODO?Ratio decidendi
Odpowiedź sądu
Nie, jeśli sprawy administracyjne nie mają charakteru prejudycjalnego dla sprawy cywilnej i nie zachodzi ryzyko sprzecznych rozstrzygnięć.
Uzasadnienie
Sąd uznał, że sprawy administracyjne nie dotyczyły bezpośrednio roszczeń cywilnoprawnych powoda i nie miały charakteru prejudycjalnego, a ich zawieszenie mogłoby pozbawić powoda prawa do ochrony sądowej.
Czy powód ma interes prawny w żądaniu ustalenia odpowiedzialności pozwanej za przyszłe szkody wynikające z wycieku danych?Ratio decidendi
Odpowiedź sądu
Nie, jeśli powód nie wykaże, że nie może określić lub przewidzieć skutków zdarzenia, a samo ustalenie nie zwalnia z obowiązku wykazania szkody w przyszłości.
Uzasadnienie
Sąd oddalił żądanie ustalenia, argumentując, że powód musi wykazać konkretną szkodę i jej związek przyczynowy ze zdarzeniem, a samo ustalenie odpowiedzialności za przyszłe szkody nie jest wystarczające.
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| P. G. | osoba_fizyczna | powód |
| (...) spółka z ograniczoną odpowiedzialnością w likwidacji | spółka | pozwany |
Przepisy (9)
Główne
RODO art. 82
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Administrator odpowiada za szkody spowodowane przetwarzaniem naruszającym rozporządzenie, chyba że udowodni, że w żaden sposób nie ponosi winy.
RODO art. 5 § 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
RODO art. 32
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Administrator i podmiot przetwarzający muszą zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym poprzez pseudonimizację, szyfrowanie, zapewnienie poufności, integralności, dostępności i odporności systemów, oraz regularne testowanie środków bezpieczeństwa.
Pomocnicze
u.o.d.o. art. 92
Ustawa o ochronie danych osobowych
Do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych stosuje się przepisy kodeksu cywilnego.
k.c. art. 448
Kodeks cywilny
Sąd może zasądzić od sprawcy odpowiednią sumę tytułem zadośćuczynienia za doznaną krzywdę.
k.c. art. 429
Kodeks cywilny
Kto powierza wykonanie czynności drugiemu, jest odpowiedzialny za szkodę wyrządzoną przez sprawcę przy wykonywaniu powierzonej mu czynności, chyba że nie ponosi winy w wyborze albo że wykonanie czynności powierzył osobie, przedsiębiorstwu lub zakładowi, które w zakresie swej działalności zawodowej trudnią się wykonywaniem takich czynności. Sąd uznał, że przepis ten nie powinien mieć zastosowania w sprawach ochrony danych osobowych.
k.p.c. art. 100
Kodeks postępowania cywilnego
O kosztach procesu orzeka się stosunkowo je rozdzielając lub równoważąc.
k.p.c. art. 189
Kodeks postępowania cywilnego
Powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny.
k.c. art. 481 § 1
Kodeks cywilny
Jeżeli dłużnik opóźni się ze spełnieniem świadczenia pieniężnego, wierzyciel może żądać odsetek za czas opóźnienia.
Argumenty
Skuteczne argumenty
Naruszenie przepisów RODO przez administratora danych. • Wyciek danych osobowych powoda. • Szkoda niemajątkowa w postaci krzywdy psychicznej. • Szkoda majątkowa w postaci kosztów ochrony danych. • Odpowiedzialność administratora za działania podmiotu przetwarzającego dane.
Odrzucone argumenty
Brak podstawy prawnej roszczeń. • Brak wykazania szkody niemajątkowej. • Brak winy administratora danych. • Zastosowanie art. 429 k.c. zwalniającego z odpowiedzialności. • Uzasadnienie żądania ustalenia odpowiedzialności za przyszłe szkody. • Konieczność zawieszenia postępowania do czasu zakończenia spraw administracyjnych.
Godne uwagi sformułowania
Pozwana nie wykazała, że przetwarzanie danych osobowych odbywało się w sposób zapewniający odpowiednie ich bezpieczeństwo. • W ocenie Sądu, w sprawach dotyczących ochrony danych osobowych art. 429 k.c. nie powinien znajdować zastosowania. • Z samego ustalenia bowiem odpowiedzialności za szkody mogące powstać w przyszłości nie wynika, że konkretna szkoda, jakiej doznał poszkodowany, pozostaje w związku przyczynowo - skutkowym z danym zdarzeniem. • art. 95 UODO należy uznać za sprzeczny z RODO, gdyż w praktyce pozbawia osoby możliwości skorzystania z sądowej ochrony praw, gdy sprawę rozpocznie PUODO
Skład orzekający
Eliza Kurkowska
przewodniczący
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Odpowiedzialność administratora danych za naruszenie ochrony danych osobowych, w tym w kontekście działań podmiotu przetwarzającego oraz stosowania art. 429 k.c. w sprawach RODO. Uzasadnienie zasądzenia zadośćuczynienia za krzywdę psychiczną związaną z wyciekiem danych."
Ograniczenia: Orzeczenie dotyczy konkretnego stanu faktycznego i interpretacji przepisów RODO oraz k.c. w kontekście odpowiedzialności za naruszenie ochrony danych.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy powszechnego problemu wycieku danych osobowych i odpowiedzialności firm za ich ochronę, co jest tematem budzącym duże zainteresowanie społeczne i prawnicze. Interpretacja przepisów RODO w kontekście błędów ludzkich i odpowiedzialności podwykonawców jest kluczowa.
“Wyciek danych z portalu pożyczkowego: Sąd zasądził odszkodowanie. Czy firma odpowiada za błąd pracownika podwykonawcy?”
Dane finansowe
WPS: 30 198 PLN
odszkodowanie: 3197 PLN
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.