Koszty sądowe mogą przewyższyć uzyskaną kwotę, nawet gdy wygra się przed sądem.
W orzecznictwie polskich sądów zaczyna się kształtować standardowe zadośćuczynienia za wyciek danych. Niedogodności z nim związane wycenia się zazwyczaj na 1,5 tys. zł. Taką też kwotę zasądzono w ostatnim wyroku w takiej sprawie. Dotyczył on głośnego w 2020 r. wycieku danych klientów serwisu pożyczkowego MoneyMan.pl. Chodziło o 140 tys. osób i takie informacje, jak: imię, nazwisko, adres, PESEL, numer dowodu tożsamości, NIP czy numer rachunku bankowego. Prezes UODO nałożył wówczas na zarządzającą serwisem spółkę ID Finance Poland (dziś w likwidacji) karę ponad mln zł. W 2021 r. została ona uchylona przez sąd, który uznał, że odpowiedzialna za wyciek jest białoruska spółka przetwarzająca dane.
Jeden z niedoszłych klientów (zarejestrował się w serwisie, ale nie udzielono mu pożyczki) pozwał spółkę, żądając 30 tys. zł zadośćuczynienia za szkody niemajątkowe. Twierdził, że po tym, jak dowiedział się o wycieku, stał się nerwowy, miał problemy ze snem, próbował dostać się do terapeuty, co jednak okazało się niemożliwe ze względu na pandemię. Sytuacja miała się też odbić na jego życiu rodzinnym – kłócił się z żoną, nie poświęcał uwagi dzieciom.
Sąd nie miał wątpliwości, że administrator ponosił odpowiedzialność za wyciek, choćby bezpośrednia wina spoczywała na firmie przetwarzającej. Za oczywiste uznał też naruszenie dóbr osobistych w postaci prawa do prywatności. Zauważył jednocześnie, że dane nie zostały wykorzystane przez osoby nieuprawnione (np. do zaciągnięcia pożyczki). Do rozważenia pozostały więc jedynie szkody niemajątkowe. Te zaś sąd wycenił na 1,5 tys. zł.
„To, że powód czuł dyskomfort, czy stres wywołany zaistniałą sytuacją, jest zrozumiałe. Niemniej jednak należy mieć na uwadze, iż potencjalny wyciek danych osobowych powoda nie jest obiektywnie wydarzeniem na tyle wpływającym na życie dorosłego człowieka, męża i ojca, które wywołałoby aż tak poważne skutki” – uzasadnił wyrok Sąd Okręgowy w Warszawie (sygn. akt III C 280/22). Jego zdaniem żądanie 30 tys. zł było zdecydowanie wygórowane. Tym bardziej że wskazywane problemy, jak bezsenność czy izolowanie się od dzieci, ocenił na zbyt nadmiarowe wobec realnych zagrożeń.
– Zwycięstwo powoda jest pyrrusowe. Z jednej strony sąd przyznał mu rację i zasądził zadośćuczynienie w kwocie 1,5 tys. zł. Z drugiej, w związku z tym że powód przegrał sprawę w 95 proc., to musiał ponieść koszty procesu, które wyniosły ponad 3 tys. zł – zauważa Jan Komosa, adwokat z firmy DAPR.
Realna strata
Zapytani przez nas prawnicy podkreślają, że żądania formułowane w związku z wyciekiem danych powinny być racjonalne.
– Wnosząc pozew o zadośćuczynienie za naruszenie zasad ochrony danych osobowych, należy żądać zadośćuczynienia w takiej wysokości, jaka realnie może zostać zasądzona w tego rodzaju sprawach – a ta oscyluje w naszym kraju właśnie w okolicach 1,5 tys. zł. Jeżeli ponieśliśmy szkodę i potrafimy ją wykazać, sprawa wygląda zupełnie inaczej, ale samo zadośćuczynienie z pewnością nas nie wzbogaci – radzi dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński, przypominając, że orzekając o kosztach, sąd kieruje się tym, w jakim stopniu strona wygrała sprawę.
– To może oznaczać, że per saldo zbyt wygórowane powództwo przyniesie stratę – tym większą, że przecież zapłaciliśmy też swojemu pełnomocnikowi – zaznacza prawnik.
We wcześniejszych wyrokach dotyczących wycieków zasądzano takie same lub zbliżone kwoty. Tak było m.in. w sprawie dotyczącej omyłkowego wysłania danych klienta e-mailem. Sąd uznał, że odczuwane emocje, takie jak poczucie zagrożenia, niepewność, strach przed wykorzystaniem danych, wymagają rekompensaty w wysokości 1,5 tys. zł (wyrok Sądu Okręgowego Warszawa-Praga, sygn. akt III C 1169/19). Takie samo zadośćuczynienie zasądził Sąd Okręgowy w Warszawie dla właścicielki pojazdu, który uczestniczył w stłuczce. Ubezpieczyciel przekazał poszkodowanemu jej pełne dane łącznie z numerem PESEL czy numerem telefonu, co – zdaniem sądu – nie było uzasadnione (sygn. akt XXV C 2596/19). W innej sprawie sąd przyznał 1 tys. zł (sygn. akt II C 1228/19).
– Tak długo jak osoby nie będą w stanie wykazać realnej szkody, a będą się opierać wyłącznie na argumentacji odczuwania stresu i braku snu, to można przypuszczać, że kwoty zostaną na podobnym poziomie – ocenia Jan Komosa.
Za granicą podobnie
Czy polskie orzecznictwo odbiega od podejścia sądów w innych państwach UE? Tomasz Borys, specjalista ds. ochrony danych osobowych, który śledzi wyroki wydawane za granicą, uważa, że nie.
– Obserwując orzecznictwo w innych krajach, można uznać, że prawie żadne inne roszczenie nie stwarza obecnie takiej niepewności prawnej, jak roszczenie o odszkodowanie za szkodę niematerialną z powodu naruszenia ochrony danych – mówi ekspert.
– Najwyraźniej widać to w Niemczech. Na ok. 130 postępowań w sprawach szkód niemajątkowych sukcesem zakończyło się zaledwie 40. Kwoty przyznawanego odszkodowania to najczęściej 500 euro. Najwyższe, z jakim się spotkałem, to ok. 11 tys. euro za brak odpowiedzi na żądanie kopii danych. Tu sąd przyjął kwotę 500 euro za każdy miesiąc zwłoki. Sądy austriackie kilkakrotnie orzekały o zadośćuczynienie w kwocie 500 euro, a przy nielegalnym przetwarzaniu danych dotyczących poglądów politycznych 800 euro – wylicza Tomasz Borys.
Polskie sądy uznają, że szkody niemajątkowej nie trzeba specjalnie udowadniać. W jednym z wyroków stwierdzono wręcz, że psychicznego poczucia krzywdy nie sposób dowieść w żaden inny sposób, niż składając zeznania.
– Dominujące orzecznictwo w Niemczech zakłada, że w przypadku szkód niemajątkowych nie wystarczy, że doszło jedynie do naruszenia RODO. Tutaj najpierw ustala się, czy szkoda w ogóle istnieje i czy jest to tylko niewielka szkoda – zauważa Tomasz Borys. ©℗
/>