Pierwszy wyrok przyznający zadośćuczynienie za bezprawne udostępnienie danych osobowych jest tylko przedsmakiem tego, z czym będą musiały się liczyć firmy w niedługim czasie.
We wtorkowym wydaniu DGP opisaliśmy wyrok, w którym sąd prawdopodobnie po raz pierwszy w Polsce w oparciu o RODO zasądził zadośćuczynienie za naruszenie ochrony danych osobowych. Pozew w tej sprawie złożyła właścicielka pojazdu, który uczestniczył w kolizji. Kobieta nie prowadziła auta, ale na nią wystawiona była polisa OC. Poszkodowany w kolizji zwrócił się do firmy ubezpieczeniowej o przesłanie mu dokumentacji dotyczącej szkody. Otrzymał ją bez jakiejkolwiek anonimizacji. Trafiły do niego również pełne dane właścicielki auta – jej imię i nazwisko, adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu.
Sąd odwołując się do zawartej w RODO zasady minimalizacji i celowości przetwarzania danych, uznał, że firma ubezpieczeniowa wykroczyła poza to, co wolno jej było ujawniać. Numer telefonu czy PESEL nie są bowiem konieczne do dochodzenia roszczeń związanych z kolizją.
„Przekazanie tych dodatkowych danych powódki wykraczało poza upoważnienie ustawowe wynikające z przywołanych wyżej przepisów, a więc było bezprawne” – można przeczytać w opublikowanym niedawno uzasadnieniu wyroku Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19.
Powódka żądała 10 tys. zł zadośćuczynienia, sąd przyznał jej 1,5 tys. zł. Ważniejsze od samej wysokości jest potwierdzenie możliwości dochodzenia roszczeń za naruszenie ochrony danych. Dużo jednak będzie zależeć również od podejścia sądów do zasądzania kosztów. W tej sprawie sąd kierując się zasadą słuszności, odstąpił od obciążania powódki kosztami zastępstwa procesowego, co jest często spotykane w sprawach o zadośćuczynienie. Gdyby jednak je zasądził, to kobieta mogłaby być stratna, gdyż wysokość wynagrodzenia nie pokryła kosztów pełnomocnika ubezpieczyciela.
– Trudno porównywać wysokość zasądzonych kwot, bo zależą one od konkretnej sprawy, ale w Niemczech sądy przyznawały już dużo wyższe odszkodowania czy zadośćuczynienia. Ostatnio głośno było o wyroku na 1000 euro za bezpodstawne przekazanie przez bank danych klienta do rejestru długów. Odszkodowanie wyniosło „tylko” tyle, ponieważ negatywna ocena kredytowa widniała przez zaledwie 14 dni. Sąd wyszedł z założenia, że odszkodowanie powinno mieć efekt odstraszający, co można osiągnąć jedynie poprzez przyznanie wysokiej rekompensaty – zauważa Tomasz Borys, specjalista ds. ochrony danych osobowych.
Kwota 1,5 tys. zł może wydawać się niewielka wobec maksymalnej kary 20 mln euro (lub 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), jaką może nałożyć Urząd Ochrony Danych Osobowych. W rzeczywistości jednak zadośćuczynienia czy odszkodowania wypłacane osobom, których prywatność została naruszona, mogą być jednak dużo bardziej dotkliwe dla firm. Zwłaszcza gdy wyciekają dane dziesiątek czy nawet setek tysięcy osób. Gdyby każdej z nich zasądzono nawet po 1,5 tys. zł, to skutki finansowe wielokrotnie przewyższałyby kary nakładane przez organ. Dotychczas najwyższą z kar – 2,8 mln zł – UODO nałożył na spółkę Morele.net.
Problem ten będzie dla firm dużo bardziej poważny, gdy Polska wdroży przyjętą w listopadzie 2020 r. dyrektywę 2020/1828 w sprawie powództw przedstawicielskich wytaczanych w celu ochrony zbiorowych interesów konsumentów. Zacznie wówczas być dopuszczalne także składanie pozwów zbiorowych w sprawach o naruszenie ochrony danych osobowych. Uprości to poszkodowanym, np. w wyniku wycieku danych, dochodzenie roszczeń, a przede wszystkim nie będzie wymagało samodzielnego pokrywania kosztów sądowych (choć ostatecznie będzie je ponosić strona przegrywająca, to nawet jeśli pozew zostanie oddalony, koszty rozłożą się na wiele osób). Pozew zbiorowy będzie mogła złożyć np. organizacja konsumencka. ©℗