Ile warta jest prywatność ?

31 marca 2021 |

Administratorzy danych główną uwagę skupiają na grożących administracyjnych karach finansowych, nakładanych przez organ nadzorczy w przypadku naruszenia przepisów Rozporządzenia. Zapomina się przy tym jednocześnie o prawach i roszczeniach osób fizycznych, których dane dotyczą. Tymczasem w Polsce zapadł już pierwszy wyrok, w którym zastosowano przepisy RODO pozwalające żądać odszkodowania za naruszenie ochrony danych osobowych przez osobę fizyczną wprost od administratora. Ile zatem warta jest prywatność?

Art. 82 RODO

Skupiając swoją uwagę na karach administracyjnych za naruszenia RODO, administratorzy zapominają o treści art. 82, stanowiącym prawo do odszkodowania. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Art. 82 RODO w praktyce (?)

Jedno z pierwszych orzeczeń (wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r. ) zapadło w sprawie z powództwa właścicielki pojazdu, który uczestniczył w kolizji drogowej, która jednocześnie nie była osobą kierującą pojazdem. Pojazd był ubezpieczony w towarzystwie ubezpieczeniowym, który został pozwany w tym postępowaniu. Po kolizji, Towarzystwo zajmowało się likwidacją szkody. Poszkodowany w kolizji drogowej zgłosił się do pozwanego Towarzystwa o nadesłanie dokumentacji dotyczącej szkody. Pracownik pozwanego Towarzystwa przesłał do poszkodowanego skany dokumentacji dotyczącej szkody, które nie zostały zanonimizowane, tj. zawierające imię i nazwisko powódki, jej adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu.  Ubezpieczyciel pisemnie zawiadomił powódkę o powyższym incydencie, wskazując, iż wskutek wycieku dane osobowe powódki mogły dostać się w niepowołane ręce.

Po otrzymaniu tej informacji powódka zmieniła numer telefonu komórkowego, a w banku zastrzegła, że wypłaty z jej rachunku bankowego mogą być dokonywane tylko na jej osobiste zlecenie. Obawiała się negatywnych konsekwencji udostępnienia jej danych osobowych przez pozwanego, że ktoś nieznajomy będzie do niej dzwonił, że jej dane zostaną przekazane dalej. Finalnie powódka nie spotkała się z negatywnymi konsekwencjami udostępnienia przez pozwanego jej danych osobowych. Poszkodowany w kolizji drogowej nie kontaktował się z powódką ani nie wystąpił z roszczeniem do sądu przeciwko powódce. Właścicielka pojazdu wezwała Towarzystwo ubezpieczeniowe do zapłaty kwoty 10.000 zł tytułem zadośćuczynienia, w związku z naruszeniem ochrony danych osobowych poprzez nieuprawnione ujawnienie ich osobom trzecim. Towarzystwo odmówiło uznania roszczenia podnosząc, że przekazania danych osobowych  poszkodowanemu miało oparcie w przepisach prawa.

Właścicielka pojazdu wniosła w oparciu o art. 82 RODO powództwo o zasądzenie kwoty 10.000 zł z uwagi na naruszenie jej danych osobowych. Pozwane Towarzystwo zaprzeczyło aby doszło do naruszenia przepisów o ochronie danych osobowych, jak również aby w związku z tym doszło do powstania jakiejkolwiek szkody majątkowej lub niemajątkowej u powódki. Udostępnienie danych powódki (ubezpieczonej, właścicielki pojazdu) osobie poszkodowanej było w ocenie Towarzystwa prawnie dopuszczalne a treść pisma zawiadamiającego powódkę o naruszeniu stanowiła omyłkę i nie może rodzić odpowiedzialności odszkodowawczej po stronie pozwanego, skoro nie doszło do ziszczenia się przesłanek tej odpowiedzialności.

Kto w ocenie sądu miał rację i ile jest warta prywatność?

W celu oceny roszczenia powódki Sąd zbadał, czy udostępnienie przez pozwanego danych osobowych powódki osobie poszkodowanej w kolizji drogowej było zgodne z prawem. Wedle prawa dane personalne powódki, jako właściciela pojazdu uczestniczącego w kolizji drogowej, mogły zostać – co do zasady – udostępnione osobie poszkodowanej w tej kolizji, mimo że powódka nie kierowała pojazdem podczas kolizji. Podstawę do przekazania przez pozwanego takich danych powódki stanowiły powołane wyżej regulacje art. 29 ust. 6 ustawy o działalności ubezpieczeniowej i reasekuracyjnej w zw. z art. 44 ust. 12 pkt 4 Prawa o ruchu drogowym. Zgodnie z art. 5 ust. 1 lit. c) RODO przetwarzane (a więc i przekazywane osobie trzeciej) dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne jest do celów, w których są przetwarzane. W ocenie Sądu w tej sprawie pozwany ubezpieczyciel uprawniony był do przekazania poszkodowanemu danych obejmujących imię i nazwisko powódki oraz jej miejsce zamieszkania, ale nie był uprawniony do przekazywania informacji dotyczących numeru PESEL i numeru telefonu powódki. Przekazanie tych dodatkowych danych powódki wykraczało poza upoważnienie ustawowe, a więc było bezprawne.

Poprzez przekazanie osobie trzeciej danych osobowych (personalnych) powódki w zbyt szerokim zakresie, pozwany naruszył prawo powódki do prywatności i doprowadził do powstania po jej stronie szkody niemajątkowej (krzywdy). Na skutek tego incydentu powódka utraciła poczucie bezpieczeństwa, zaczęła odczuwać lęk związany z możliwością nieuprawnionego wykorzystania jej danych osobowych przez inne osoby, poprzez dokonanie w jej imieniu czynności bankowych lub nawiązywania z nią niechcianych połączeń telefonicznych. Wyrządzona w ten sposób powódce krzywda rodzi po stronie pozwanego obowiązek jej naprawienia poprzez zapłatę na rzecz powódki zadośćuczynienia pieniężnego, stosownie do art. 82 ust. 1 RODO oraz art. 448 k.c. w zw. z art. 24 § 1 zd. 2 k.c.

Sąd zasądzając kwotę zadośćuczynienia wziął pod uwagę fakt, że dane osobowe powódki (PESEL, nr telefonu) nie zostały upublicznione lub wykorzystane w sposób niezgodny z prawem przez osobę niepowołaną. „Oprócz deklarowanych przez powódkę obaw związanych z możliwością bezprawnego posłużenia się jej danymi osobowymi przez osobę trzecią, powódki nie spotkały żadne dalsze konsekwencje. Krzywda wyrządzona powódce na skutek naruszenia jej danych osobowych okazała się zatem niewielka, zatem i zadośćuczynienie powinno być w niewielkiej wysokości. Żądane przez powódkę zadośćuczynienie w kwocie 10.000 zł są w tej sytuacji uznał za wygórowane.W ocenie Sądu odpowiednim zadośćuczynienie dla powódki w kontekście rozmiaru jej krzywdy będzie kwota 1.500 zł. Taka kwota zadośćuczynienia pozwoli naprawić krzywdę powódki wywołaną naruszeniem przez pozwanego jej dóbr osobistych.”

I choć w tej sprawie kwota zadośćuczynienia jest relatywnie niska, to należy jednak zwrócić uwagę na inny walor przedmiotowej sprawy. Trzeba mieć bowiem na względzie to, że osoby fizyczne których dane dotyczą mają coraz większą świadomość przysługujących im praw z RODO, w tym prawa do zadośćuczynienia. Mimo, że w tej sprawie prywatność wyceniono na 1.500 zł, to nie znaczy, że w innych okolicznościach faktycznych, w szczególności gdy naruszenie RODO pociągnie za sobą dalsze negatywne konsekwencje dla osoby fizycznej, kwota zadośćuczynienia nie może być o wiele wyższa.


Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.


Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ