Artur Piechocki and Katarzyna Gorzkowska in Rzeczpospolita “Compensation for privacy infringement in the Internet”

Bezprawne przetwarzanie danych osobowych, stanowi coraz częstszą przyczynę dochodzenia zadośćuczynienia na drodze sądowej. Warunkiem do wystąpienia z takim roszczeniem jest doznanie przez osobę uprawnioną szkody majątkowej lub niemajątkowej.

Pod koniec sierpnia pojawiły się doniesienia o pozwaniu jednego z gigantów technologicznych za działania polegające na naruszeniu prywatności użytkowników sieci internet. W Północnym Dystrykcie Kalifornii w Sądzie Okręgowym Stanów Zjednoczonych (USA) miał zostać wniesiony pozew zbiorowy przeciwko firmie Oracle. Zapoczątkowane postępowanie ma być związane z działalnością Oracle polegającą na śledzeniu aktywności w internecie 5 mld użytkowników. Działalność miała przynieść spore profity dzięki handlowaniu pozyskanymi danymi za pośrednictwem platformy Oracle Data Marketplace. Z relacji powodów wynika, że bezprawnie przetwarzane dane osobowe zawierają między innymi: nazwiska, adresy domowe, e-maile, informacje o zakupach oraz lokalizacji fizycznej, dochodach, zainteresowaniach, poglądach politycznych oraz zawierają opis działalności w świecie wirtualnym. Według powodów działanie przypisywane Oracle ma stanowić naruszenie zasad prywatności obowiązujących w stanie Kalifornia, jak również naruszać stanowe prawo o nieuczciwej konkurencji. Powodowie twierdzą również, że praktyki Oracle naruszają federalną ustawę o podsłuchach. Sprawa zapewne znajdzie swój finał dopiero za kilka miesięcy, bądź nawet lat.

Sprawa Oracle jest kolejną próbą dochodzenia roszczeń za naruszenia przepisów dotyczących ochrony prywatności i danych osobowych. W przeszłości podejmowano już próby pozywania np. Googla. Coraz częściej podobne sprawy znajdują swój finał również przed sądami w Polsce.

Dopuszczalność dochodzenia odszkodowania

W Polsce (jak również innych państwach członkowskich Unii Europejskiej) zasady, jakim podlega przetwarzanie danych osobowych uregulowane są w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (w skrócie: „RODO”). Jak wynika z art. 82 ust. 1 RODO każda osoba, która w wyniku naruszenia przepisów RODO doznała szkody majątkowej lub niemajątkowej, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Zatem RODO przewiduje możliwość dochodzenia rekompensaty od administratora danych, czyli podmiotu, który odpowiada za proces przetwarzania danych osobowych (art. 4 pkt 7 RODO) lub od podmiotu przetwarzającego, tj. podmiotu wykonującego na zlecenie administratora danych osobowych określone procesy na danych osobowych (art. 4 pkt 8 RODO). Należy zaznaczyć, że w treści RODO nie zostały określone zasady, na jakich dopuszczone zostało dochodzenie roszczeń. Ta materia została natomiast uregulowana w ustawie z 10 maja 2018 r. o ochronie danych osobowych (w skrócie: „Uodo”). Zgodnie z art. 92 wspomnianej ustawy w kwestii dochodzenia roszczeń zastosowanie znajdą zasady określone w Kodeksie cywilnym (w skrócie: „Kc”). Oznacza to, że do roszczeń z tytułu naruszenia przepisów o ochronie danych zastosowanie mogą znaleźć np. przepisy art. 415 Kc dotyczące odpowiedzialności z tytułu czynów niedozwolonych, czy przepisy art. 23 i 24 Kc dotyczące naruszenia dóbr osobistych oraz powiązany z nimi przepis art. 448 Kc.

Warunki wystąpienia z roszczeniem

Jak zostało wspomniane, warunkiem do wystąpienia z roszczeniami jest doznanie przez osobę uprawnioną (podmiot danych) szkody majątkowej lub niemajątkowej (art. 82 ust. 1 RODO). Przez szkodę majątkową należy rozumieć stratę w majątku poszkodowanego, którą da się bezpośrednio wyrazić w pieniądzu (np. w wyniku kradzieży środków zgromadzonych na rachunku bankowym spowodowanej bezprawnym ujawnieniem przez bank danych logowania posiadacza rachunku). Przy czym szkoda majątkowa może mieć także postać utraconych korzyści. Z kolei szkodę niemajątkową należy rozumieć jako krzywdę, czyli wszelkie negatywne skutki w sferze cielesnej i psychicznej poszkodowanego. Krzywdę można zatem rozumieć jako naruszenie dóbr i interesów uprawnionego, które nie wpływa bezpośrednio na stan majątku poszkodowanego, ale powoduje negatywne skutki dla psychiki (np. cierpienia psychiczne), czy ból.

Uzyskanie korzystnego wyroku w postępowaniu cywilnym będzie wymagało spełnienia dodatkowych wymogów, jak chociażby wykazania winy pozwanego (w przypadku próby wykazania zaistnienia deliktu), czy bezprawności (w przypadku naruszenia dóbr osobistych).

Dane osobowe a dobra osobiste

W przypadku dóbr osobistych ochrona prawna jest udzielana w odniesieniu do konkretnego dobra, które zostanie zidentyfikowane jako zagrożone lub naruszone cudzym bezprawnym działaniem. Przy czym należy zaznaczyć, że same dane osobowe nie są tożsame z dobrami osobistymi. Dlatego naruszenie przepisów o ochronie danych osobowych nie będzie automatycznie wiązało się z naruszeniem dóbr osobistych. W praktyce oznacza to, że może dojść do naruszenia przepisów, ale nie oznacza to, że jednocześnie dojdzie do naruszenia dóbr osobistych.

W orzecznictwie uznano, że w wyniku naruszenia przepisów o ochronie danych osobowych może dojść np. do naruszenia dobra osobistego w postaci czci. Jedna ze spraw dotyczyła zaniechania podmiotu prowadzącego wyszukiwarkę internetową (Sąd Najwyższy, sygn. akt I CSK 690/17). Zaniechanie podmiotu polegało na niezaprzestaniu przetwarzania danych osobowych ze względu na szczególną sytuację podmiotu tych danych. Przy czym sąd zaznaczył, że w normalnych warunkach działania wyszukiwarki internetowej nie można uznać za źródło pierwotnego naruszenia czci. Takiego naruszenia dopuszcza się osoba wprowadzająca do sieci treści naruszające cześć innej osoby z mechanizmem zwielokrotniającym i pogłębiającym zasięg dokonanego już naruszenia. Przewinienie dostawcy wyszukiwarki polegało na tym, że mając wiedzę nie zareagował i nie zaprzestał udostępniania w wynikach wyszukiwania treści naruszających dobra powoda. Zaniechanie mogło uzasadniać przypisanie obsługującemu wyszukiwarkę jego własnej odpowiedzialności za naruszenie dóbr osobistych.

Kolejna sprawa dotyczyła naruszenia dóbr osobistych przez bank (Sąd Apelacyjny w Katowicach, sygn. akt I ACa 1202/17). Klient zarzucił bankowi bezprawne przetwarzanie jego danych osobowych i nękanie go propozycjami zawarcia umów dotyczących produktów bankowych. W tej sprawie sąd uznał, że odszkodowanie nie przysługiwało albowiem nie doszło do naruszenia prawa do prywatności. Zdaniem sądu naruszenie miałoby miejsce, gdyby powód, mimo swojego sprzeciwu był zmuszony do odbioru połączeń telefonicznych nachalnych telemarketerów w sposób ciągły. Częstotliwość połączeń musiałaby zakłócać zwykły rytm codziennego życia powoda. Tymczasem powód nie wykazał takiej sytuacji.

Naruszenie prawa do prywatności w związku z przetwarzaniem danych osobowych, stanowi coraz częstszą przyczynę dochodzenia zadośćuczynienia na drodze sądowej. Mimo, że nadal nie została wypracowana jedna, uniwersalna definicja prywatności, Sąd Najwyższy uznał, iż dokonując wykładni sfery życia prywatnego należy w każdym przypadku uwzględniać indywidualne okoliczności charakteryzujące określoną sytuację. Z kolei Europejski Trybunał Praw Człowieka (w skrócie: „ETPC”) opowiada się za bardzo szerokim rozumieniem prywatności. Zdaniem ETPC ochrona prywatności powinna obejmować zarówno sferę działalności gospodarczej, jak również zawodowej. Przyjmuje się, że ochronie powinna podlegać min. sfera dotycząca sytuacji majątkowej jednostki, która może doznać naruszenia w przypadku ujawnienia informacji o stanie rachunku bankowego (co powinno dotyczyć także przedsiębiorcy). Podobnie prawo do prywatności może zostać naruszone w przypadku zarejestrowania zachowania za pośrednictwem monitoringu (który jest coraz częściej stosowany min. na prywatnych osiedlach).

Związek przyczynowy

Następną, istotną kwestię w przypadku dochodzenia roszczeń, stanowi konieczność wykazania związku przyczynowego (art. 361 § 1 Kc), tj. udowodnienia, że szkoda wynika z konkretnego działania lub zaniechania w zakresie przepisów o ochronie danych osobowych. Oznacza to, że należy wykazać, iż to dane naruszenie spowodowało negatywne dla poszkodowanego skutki.

Dotychczasowe orzecznictwo

Warto podkreślić, że zostały już wydane wyroki uznające roszczenia związane z naruszeniem przepisów o ochronie danych osobowych. Jako przykład można wskazać sprawę, w której poszkodowany domagał się kwoty 10 tys. zł w ramach zadośćuczynienia za ujawnienie osobie nieuprawnionej jego danych osobowych w ramach prowadzonego postępowania przed ubezpieczycielem. Sąd uwzględnił racje powoda, ale przyznał mu niższe zadośćuczynienie. Rekompensata została zasądzona wyłącznie w kwocie 1,5 tys zł. Zdaniem sądu bezprawne przekazanie danych nie wiązało się z negatywnymi konsekwencjami, jak nękanie czy próby zaciągnięcia zobowiązań na konto poszkodowanego (Sąd Okręgowy w Warszawie, sygn. akt XXV C 2596/19).

Zadośćuczynienie w wyższej kwocie (10 tys. zł) uzyskała kilka lat temu poszkodowana, której dane osobowe zawarte w dokumentach aplikacyjnych wyciekły z jednego z banków (Sąd Apelacyjny w Warszawie, sygn. akt VI ACa 208/12). W wyniku działania hakerów dane poszkodowanej (jak również dane innych osób) wyciekły. W efekcie poszkodowana otrzymywała wiele maili, wiadomości sms i telefonów od obcych osób. Poszkodowana między innymi otrzymywała propozycje erotyczne. W tym przypadku negatywne konsekwencje wycieku danych dla sfery życia prywatnego poszkodowanej były niezaprzeczalne.

To, czy konkretne zdarzenie skutkowało doznaniem krzywdy nie jest jednak oczywiste. Podobnie trudności może przysporzyć wykazanie rozmiaru krzywdy. Przy ocenie rozmiaru doznanej krzywdy należy uwzględnić zarówno czynnik subiektywny (czyli perspektywę samego pokrzywdzonego), jak również czynnik obiektywny (czyli perspektywę obiektywną przeciętnej osoby, której dotknęłoby podobne zdarzenie). Do istotnych, także branych pod uwagę elementów należą min.: nasilenie i czas trwania krzywdy; stopień zawinienia sprawcy, który może powodować zwiększenie ujemnych przeżyć poszkodowanego; motywacja sprawcy, czy doszło do wyrządzenia krzywdy w obecności osób trzecich, w środkach masowego przekazu; zachowanie samego pokrzywdzonego, w szczególności czy z jego strony nastąpiła jakaś forma retorsji za doznaną krzywdę.

Rodzaj i rozmiar doznanego uszczerbku będzie w praktyce przekładał się na wysokość zasądzonego zadośćuczynienia.

Publication: https://www.rp.pl/dane-osobowe/art37097261-odszkodowanie-za-naruszenie-prywatnosci-w-internecie