To nie film kryminalny by zagadka trzymała do końca. Dlatego na początek rozwiązanie.
Firmie x sp. z o. o. wyciekły dane (dużo danych). Powód dostał o tym powiadomienie więc pozwał spółkę. Sąd zgodził się co do istnienia roszczenia ale nie co do wysokości (powód domagał się między innymi w sumie 30 149 zł) i zasądził od pozwanego (…) sp. z o.o. z siedzibą w W. na rzecz powoda A. C. kwotę 1500,00 zł wraz z ustawowymi odsetkami za opóźnienie. Tyle, że dalej sąd stwierdził, że w związku z tym, że powód przegrał przedmiotowe postępowanie w 95 %, to w tym zakresie winien zwrócić pozwanemu koszty procesu. Po dokonaniu obliczeń sąd zasądził od powoda A. C. na rzecz pozwanego (…) sp. z o.o. z siedzibą w W. kwotę 3179,75 zł z ustawowymi odsetkami za opóźnienie od dnia uprawomocnienia się wyroku do dnia zapłaty tytułem zwrotu kosztów procesu.
Jak widzicie, ostatecznie to podmiot danych będzie musiał zapłacić spółce, z której wyciekły jego dane. Dlaczego jednak tytuł z *? Bo wyrok nie jest prawomocny więc pytanie co będzie dalej.
Tyle z sensacji, jeśli koś jest zainteresowany kwestiami merytorycznymi to zapraszam do dalszej części
Stan faktyczny
Zacznijmy od tego co się wydarzyło.
Powód korzystał z usług firm pożyczkowych. Z usług (…) korzystał w maju 2018r. Wnioskował o udzielenie pożyczki, ale nie została ona mu udzielona . W 2020r. powód przeczytał artykuł opisujący wyciek danych osobowych klientów serwisu (…). W dniu 13 marca 2020r. na stronie www.(…) opublikowano artykuł pt. „Dane i hasła ponad 260 tysięcy klientów wyciekły z polskiej firmy pożyczkowej” W publikacji wskazano, że dane klientów firmy pożyczkowej (…).pl, dwukrotnie „trafiły w cudze ręce”. W publikacji podano, że Firma (…) zarządzająca serwisem (…).pl zidentyfikowała incydent związany z wyciekiem bazy danych klientów. Wedle publikacji badacz zajmujący się bezpieczeństwem baz danych wstawionych do internetu oraz informowaniem ich właścicieli o problemach, napisał kilka dni wcześniej o odkryciu kolejnej bazy należącej do prywatnej firmy pożyczkowej.
Co wyciekło?
Ważny jest zakres danych, który jest szeroki:
W dniu 16 marca 2020r. powód otrzymał od „ zespołu (…)” maila z informacją o tym, iż dane osobowe na koncie użytkownika założonym za pośrednictwem strony internetowej (…) zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu (…) powierzył przetwarzanie danych osobowych. Wskazano, że błąd polegał na braku zabezpieczenia danych osobowych w okresie od 03 marca do 14 marca 2020r. przez podmiot współpracujący z (…). Podano, że udostępnione dane osobowych obejmowało imię, nazwisko, PESEL, serię i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres email, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego – jeżeli uległ zmianie, numer telefonu pracodawcy, adres email osoby, której klient rekomendował pożyczkę, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na (…).pl. Poinformowano o skutkach jakie mogą być związane z udostępnieniem danych osobowych osobom nieuprawnionym.
Co na to Prezes UODO?
Spółka, z której wyciekły dane została ukarana. Inna sprawa, że potem z resztą wygrała z Prezesem UODO przed WSA. Co jednak ciekawe organ wydał także inną decyzję, w sprawie tego wycieku i dotyczyła ona powoda. Jak możemy przeczytać w uzasadnieniu wyroku:
Prezes Urzędu Ochrony Danych Osobowych decyzja z dnia 25 marca 2021r. w sprawie (…) umorzył postępowanie ze skargi A. C. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez (…) sp. z o.o. w likwidacji z siedzibą w W.. W uzasadnieniu decyzji wskazano m.in. że nie można jednoznacznie stwierdzić, czy naruszenie danych osobowych klientów spółki poprzez ich udostępnienie osobom nieuprawnionym obejmowało również dane osobowe skarżącego. Podano również, że skarżący nie wykazał, aby do takiego zdarzenia polegającego na naruszeniu jego danych osobowych doszło.
Przejdźmy do rozstrzygnięcia
Nie będę analizować całego uzasadnienia, a przytoczę kilka „smaczków”. Tak żebyście zdążyli skończyć czytać przy jednej kawie 😉
Sąd uznał, że samo stwierdzenie, że powód kupił polisę w związku z wyciekiem nie jest wystarczające. Trzeba dokładnie wykazać związek przyczynowo skutkowy. Co moim zdaniem jest racjonalne, bo inaczej na takie oświadczanie wszystko można by wrzucić do kosztów. Można sobie wyobrazić twierdzenia: „kupiłem najnowszego iphone w związku z wyciekiem, bo jest bezpieczniejszy od marki abc”.
W niniejszej sprawie nie sposób uznać, że zachodzi związek przyczynowy pomiędzy wyciekiem danych osobowych a uiszczeniem kosztów zakupu polisy ubezpieczeniowej. Dodać należy, że nie wykazano, aby powód poniósł jakiekolwiek negatywne skutki wycieku danych osobowych, które uzasadniałyby po jego stronie taką zapobiegliwość. Zauważyć również należy, że choć fakt wycieku danych osobowych nie był kwestionowany, to jednakże w sprawie nie wykazano, aby doszło do wykorzystania danych osobowych powoda przez osoby nieuprawnione.
Jak zauważył sąd to na pozwanej spółce czyli administratorze ciąży obowiązek wykazania, że działanie nie było bezprawne czego spółka nie uczyniła.
Biorąc zatem pod uwagę przepisy o ochronie dóbr osobistych, w szczególności rozkład ciężaru dowodu, to pozwany w toku postępowania winien wykazać, iż jego działanie nie było bezprawne. W ocenie Sądu pozwany powyższej okoliczności nie wykazał. (…) To na pozwanej jako na administratorze danych osobowych spoczywał obowiązek zabezpieczenia ich w taki sposób, który uniemożliwi dostęp do nich osobom nieuprawnionym. Okoliczności tej nie zmienia przeprowadzone postępowanie przez Prezesa Urzędu Ochrony Danych Osobowych, gdyż w niniejszym postępowaniu Sąd orzeka w oparciu o inne przesłanki. W niniejszej sprawie nie ma co prawda bezpośrednich dowodów na to, iż właśnie dane powoda zostały udostępnione osobom trzecim wskutek wycieku danych. Niemniej jednakże powyższej okoliczności nie można również wykluczyć. Ilość danych, które w sposób nieuprawniony wyciekły do osób nieuprawnionych była znaczna. Powód miał założone konto na serwisie (…), a zatem nie można wykluczyć, że również jego dane osobowe mogły znaleźć się wśród tych danych, które wyciekły. Potwierdza to choćby komunikat o konieczności zmiany hasła skierowany bezpośrednio do powoda.
Ważne, że sąd nie dał się nabrać na frazesy typu „nie śpię po nocach”, „odczuwam lęki” itp. Przyznał, że oczywiście jakiś stres powód mógł odczuwać ale bez przesady. Jak wskazał, potencjalny wyciek danych osobowych powoda nie jest obiektywnie wydarzeniem na tyle wpływającym na życie dorosłego człowieka, męża i ojca, które wywołałoby aż tak poważne skutki. To jest moim zdaniem ważny fragment by „pozwy z RODO” nie stały się swojego rodzaju „bankomatem”.
Nie negując faktu, że powód mógł się obawiać, że również i jego dane osobowe wyciekły i mogą być wykorzystane przez osoby nieuprawnione, to nie można uznać, że uzasadnia to zasądzenie z tego tytułu kwoty aż 30.000 zł. Powód nie wykazał bowiem żadnych skutków faktycznych, poza zagrożeniem i stresem, jakie mogły mieć miejsce w związku z wyciekiem danych, do którego doszło 3 lata temu. W ocenie Sądu powoływanie się przez powoda na tak daleko idące odczucia jak niepokój, problemy ze snem, odizolowanie od dzieci, czy kłótnie z żoną jest nadmiarowe, jeżeli postrzegać jej przez pryzmat naruszenia dóbr osobistych. Szczególnie w sytuacji gdy jego twierdzenia nie znajdują odzwierciedlenia w materiale dowodowym – poza dowodem z przesłuchania powoda. To, że powód czuł dyskomfort, czy stres wywołany zaistniałą sytuacją, jest zrozumiałe. Niemniej jednak należy mieć na uwadze, iż potencjalny wyciek danych osobowych powoda nie jest obiektywnie wydarzeniem na tyle wpływającym na życie dorosłego człowieka, męża i ojca, które wywołałoby aż tak poważne skutki. Doświadczenie zawodowe Sądu w tym zakresie pozwala na stwierdzenie, iż kwoty tego rzędu dochodzone są w sytuacjach związanych z długotrwałymi, uporczywymi dolegliwościami spowodowanymi sytuacjami wysoce stresującymi, mającymi znaczny wpływ na życie osoby, sposób funkcjonowania, czy postrzegania przez innych.Obiektywna ocena roszczenia powoda, nie pozwala na przyjęcie, że uzasadnionym jest, aby szkoda niemajątkowa jaką poniósł powinna być rekompensowana kwotą 30.000 zł. Kwota ta mogłaby w takiej sytuacji prowadzić do nieuzasadnionego wzbogacenia powoda.
Linia orzecznicza
Powoli wytwarza nam się też linia orzecznicza. Przy takim wycieku można spodziewać się kwot wysokości 1-2 tys zł zadośćuczynienia. Podobne kwoty były bowiem zasądzane w innych, podobnych sprawach (o czym więcej już kiedyś pisałem).
Stąd też mając na uwadze zakres szkody niemajątkowej, za uzasadnione Sąd uznał przyznanie kwoty 1.500 zł. W ocenie Sądu kwota ta w sposób realny rekompensuje powodowi szkodę powstałą w związku z wyciekiem danych osobowych użytkowników (…). Jest to też kwota zbliżona do kwot zasądzanych w związku z naruszeniem danych osobowych z tego tytułu w sprawach o podobnych stanach faktycznych.
Podsumowanie
Dla biznesu dobra informacja jest taka, że kwoty zasądzone za wycieki w zw. z RODO na gruncie cywilnym na razie nie były zbyt wysokie, a co więcej kreuje się powoli linia orzecznicza w tym obszarze. Jak widać sądy nie dają się argumentacji „bo nie mogę spać” i przy zbyt wygórowanych oczekiwaniach powoda można jeszcze „wyjść na plus”.
Niemniej należy pamiętać, że to wyrok nieprawomocny, a z czasem może to być kwestia skali. W tej sprawie wyciekły dane 260 tys. klientów. Co by było gdyby nawet 1/4 tych osób wniosła pozwy domagając się racjonalnych kwot?
Jak możemy pomóc?
W ramach współpracy możemy zaoferować stałe wsparcie (kliknij tutaj po ofertę), pojedyncze konsultacje, szkolenie (zarówno dla pierwszej linii frontu jak i dla zarządu), a także audyt czy wdrożenie. Wystarczy się z nami skontaktować (kliknij tutaj)!
