1,5 tys. zł zasądzono od ubezpieczyciela, który przekazał osobie poszkodowanej w kolizji drogowej zbyt wiele informacji na temat właścicielki polisy.

To prawdopodobnie pierwszy wyrok w Polsce, w którym zastosowano przepisy RODO pozwalające wprost żądać odszkodowania za naruszenie ochrony danych osobowych. Wcześniej co najwyżej można było się go domagać na podstawie ogólnych przepisów kodeksu cywilnego za naruszenie dóbr osobistych. Od maja 2018 r. jest odrębna podstawa prawna.
– Wyrok pokazuje, że dochodzenie swoich praw przed sądami cywilnymi jest realną i atrakcyjną alternatywą względem składania skargi do Urzędu Ochrony Danych Osobowych. Dla osób chcących złożyć pozew poprzeczka jest co prawda zawieszona wyżej niż dla tych, którzy chcą poskarżyć się do UODO, bo muszą wnieść opłatę od pozwu, jednak daje też szanse na namacalne korzyści. Prezes UODO może nakładać wysokie kary za naruszenie ochrony danych, jednak trafiają one do budżetu państwa. Tylko sąd daje możliwość poszkodowanej osobie wywalczenia czegoś dla siebie – zauważa Wojciech Klicki, prawnik walczącej o prawo do prywatności Fundacji Panoptykon.

Zbyt wiele danych

Pozew w tej sprawie złożyła właścicielka pojazdu, który uczestniczył w kolizji drogowej. To nie ona prowadziła samochód, w chwili gdy doszło do zdarzenia, ale ona wykupiła polisę OC. Poszkodowany w kolizji zwrócił się do firmy ubezpieczeniowej o przesłanie mu dokumentacji dotyczącej szkody. Otrzymał ją bez jakiejkolwiek anonimizacji. Do poszkodowanego trafiły też pełne dane właścicielki auta – jej imię i nazwisko, adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu. Ubezpieczyciel sam zorientował się, że przekazał zbyt wiele informacji (choć podczas procesu temu zaprzeczał) i w październiku 2018 r. zawiadomił właścicielkę o incydencie naruszenia ochrony jej danych osobowych. Data jest o tyle istotna, że w tym czasie stosowano już RODO.
Kobieta przestraszyła się tego, że jej dane trafiły w niepowołane ręce. Zmieniła numer telefonu, zastrzegła w banku, że wypłaty z jej rachunku mogą być dokonywane tylko na jej osobiste zlecenie. Obawiała się, że informacje na jej temat mogą zostać przekazane dalej. Dlatego też wystąpiła do ubezpieczyciela o 10 tys. zł zadośćuczynienia za naruszenie ochrony jej danych osobowych. Gdy ten odmówił, skierowała pozew do sądu. Jako podstawę prawną wskazała w nim zarówno RODO (patrz: grafika), jak i przepisy kodeksu cywilnego o naruszeniu dóbr osobistych.

Liczy się cel

Podczas procesu ubezpieczyciel przekonywał, że nie doszło do naruszenia ochrony danych, gdyż przepisy prawa upoważniały go do przekazania informacji na temat właścicielki polisy. Sąd częściowo przyznał mu rację. Artykuł 29 ust. 6 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (t.j. Dz.U. z 2020 r. poz. 895) nakazuje przekazywać poszkodowanemu „informacje i dokumenty gromadzone w celu ustalenia odpowiedzialności zakładu ubezpieczeń lub wysokości odszkodowania lub świadczenia”. Z kolei w myśl art. 44 ust. 1 pkt 4 ustawy – Prawo o ruchu drogowym (t.j. Dz.U. z 2020 r. poz. 110) kierujący pojazdem uczestniczącym w wypadku drogowym jest obowiązany podać dane personalne właściciela lub posiadacza pojazdu oraz dane dotyczące zakładu ubezpieczeń, z którym zawarta jest umowa OC.
Przepisy te, zdaniem sądu, nie uprawniały jednak do przekazania poszkodowanemu w kolizji aż tak szczegółowych informacji na temat właścicielki auta. Trzeba na nie patrzeć przez pryzmat RODO. A jego art. 5 ust. 1 lit. c nakazuje, aby przetwarzanie (a więc i przekazywane osobie trzeciej) danych osobowych było adekwatne, stosowne oraz ograniczone do tego, co niezbędne jest do celów, w których są przetwarzane.
„Celem wejścia przez poszkodowanego w wypadku drogowym w posiadanie danych dotyczących właściciela pojazdu (jego posiadacza) jest umożliwienie mu dochodzenia roszczeń związanych z doznaną szkodą. (…) Wystarczające do realizacji tych celów jest udostępnienie imienia i nazwiska właściciela pojazdu i numeru polisy ubezpieczenia OC (ewentualnie dodatkowo miejsca zamieszkania), które go w sposób wystarczający identyfikują. Poza te cele wykracza z pewnością udostępnienie numeru PESEL i numeru telefonu właściciela pojazdu. (…) Przekazanie tych dodatkowych danych powódki wykraczało poza upoważnienie ustawowe wynikające z przywołanych wyżej przepisów, a więc było bezprawne” – można przeczytać w opublikowanym niedawno uzasadnieniu wyroku.
Sąd uznał, że żądana kwota 10 tys. zł jest zbyt wysoka w stosunku do rzeczywiście doznanej krzywdy. Wziął pod uwagę, że bezprawne przekazanie danych nie wiązało się z dalszymi negatywnymi konsekwencjami, jak nękanie czy próby zaciągnięcia zobowiązań. Dlatego też kwota 1,5 tys. zł w sposób wystarczający, jego zdaniem, zrekompensuje rzeczywistą krzywdę.
Zdaniem dr. Pawła Litwińskiego, adwokata w kancelarii Barta Litwiński, wyrok jest istotny nie tylko ze względu na jego precedensowy charakter, ale również skomplikowane tło.
– Sprawa nie była łatwa, bo dotyczyła nie tylko RODO, ale i powiązanych z nim przepisów sektorowych. Sąd prawidłowo zastosował regulacje o ochronie danych osobowych i doszedł do wniosków, które wydają się słuszne. Cieszy to tym bardziej, że RODO jako podstawa prawna wyrokowania przez sądy powszechne to absolutna nowość – komentuje ekspert.
Co mówią przepisy

orzecznictwo

Wyrok Sądu Okręgowego w Warszawie z 6 sierpnia 2020 r., sygn. akt XXV C 2596/19. www.serwisy.gazetaprawna.pl/orzeczenia