sygn. III C 904/23 16 lutego 2026 Sąd Okręgowy w Warszawie

Wyrok z 16 lutego 2026, sygn. III C 904/23

Data orzeczenia 16 lutego 2026
Sąd Sąd Okręgowy w Warszawie
Wydział III Wydział Cywilny
Przewodniczący Sędzia Agnieszka Rafałko
Tagi
#Sąd Okręgowy w Warszawie #III Wydział Cywilny #wyrok

Sygnatura akt III C 904/23

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Warszawa, dnia 23 października 2025 r.

Sąd Okręgowy w Warszawie III Wydział Cywilny w następującym składzie:

Przewodniczący:Sędzia Agnieszka Rafałko

Protokolant:Julia Świątek

po rozpoznaniu w dniu 2 października 2025 r. w Warszawie, na rozprawie

sprawy z powództwa K. S.

przeciwko Rzecznikowi Finansowemu

o zadośćuczynienie

1.  Zasądza od Rzecznika Finansowego na rzecz K. S. kwotę 40.000,00 (czterdzieści tysięcy) złotych wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia 7 grudnia 2021 r. do dnia zapłaty.

2.  W pozostałym zakresie powództwo oddala.

3.  Zasądza od Rzecznika Finansowego na rzecz K. S. kwotę 9.717,00 (dziewięć tysięcy siedemset siedemnaście) złotych tytułem zwrotu kosztów procesu, w tym 7.200,00 (siedem tysięcy dwieście) złotych tytułem kosztów zastępstwa procesowego wraz z odsetkami ustawowymi za opóźnienie liczonymi od dnia uprawomocnienia się orzeczenie do dnia zapłaty.

SSO Agnieszka Rafałko

Sygn. akt III C 904/23

UZASADNIENIE

wyroku z dnia 23 października 2025 r. (k. 503)

Pozwem z dnia 22 sierpnia 2023 r. (k. 244), skierowanym przeciwko Rzecznikowi Finansowemu, powód K. S. wniósł o zasądzenie od pozwanego na swoją rzecz kwoty 50.000 zł wraz z odsetkami ustawowymi za opóźnienie od tej kwoty od dnia 30 listopada 2021 r. do dnia dokonania faktycznej zapłaty oraz zasądzenie od pozwanego na swoją rzecz kosztów procesu, w tym kosztów zastępstwa procesowego w wysokości dwukrotności stawek minimalnych, opłaty skarbowej od pełnomocnictwa oraz zwrotu wydatków strony
i pełnomocnika według spisu kosztów, jeżeli taki zostanie złożony wraz z odsetkami ustawowymi od dnia uprawomocnienia się wyroku do dnia zapłaty.

W uzasadnieniu pozwu powód wskazał, że pozwany naruszył poufność jego danych osobowych, ujawniając je podmiotom publicznym poprzez wysłanie instytucjom
i podmiotom publicznym, których adresy znajdowały się w bazie ePUAP pisma przewodniego kierowanego do powoda, zawierającego załącznik w postaci pisma z dnia 4 lutego 2021 r. kierowanego do Prezesa Zarządu (...) S.A.

Powód wskazał, że w związku z ww. zdarzeniem odczuwał silny stres, otrzymywał liczną korespondencję od podmiotów, które otrzymały jego dane oraz stracił poczucie bezpieczeństwa i kontrolę nad własnymi danymi. Podniósł, że nieuprawnione osoby dowiedziały się, że prowadzi spór z ubezpieczycielem i ma polisę ubezpieczeniową.

Powód wskazał przede wszystkim na następujące podstawy prawne swoich roszczeń:

- art. 24 § 1 k.c. w zw. z art. 448 k.c. ze względu na naruszenie dóbr osobistych powoda, tj. prawa do prywatności, prawa do poszanowania tajemnicy korespondencji poprzez udostępnienie jego danych osobowych, tj. imienia i nazwiska, adresu zamieszkania i nazwy polisy wraz z sygnaturą sprawy prowadzonej u Rzecznika Finansowego nieograniczonej liczbie podmiotów, która liczyła co najmniej 28402 nieuprawnione osoby,

- art. 5 ust. 1 lit. f RODO w zakresie naruszenia przez pozwanego zasady integralności i poufności pod względem przypadkowej utraty danych,

- art. 82 RODO, na podstawie którego powód posiada możliwość ubiegania się o odszkodowanie za poniesioną szkodę,

- art. 7 i art. 8 Karty Praw Podstawowych Unii Europejskiej, na podstawie której powodowi przysługuje nienaruszalne prawo do ochrony jego dóbr osobistych, w tym przypadku danych osobowych, przede wszystkim w kontekście ich rzetelnego przetwarzania.

(pozew, k. 3-23)

W odpowiedzi na pozew z dnia 15 lutego 2024 r. (k. 444) pozwany wniósł o oddalenie powództwa w całości oraz zasądzenie od powoda na swoją rzecz kosztów procesu, w tym kosztów zastępstwa procesowego według norm przepisanych. Z ostrożności procesowej, w przypadku uznania przez Sąd roszczenia za zasadne, pozwany wskazał, że żądana przez powoda kwota jest wygórowana i jej zasądzenie prowadziłoby do bezpodstawnego wzbogacenia powoda względem pozwanego, dlatego też pozwany wnosi o jej zmiarkowanie.

W uzasadnieniu odpowiedzi na pozew pozwany wskazał, że nie ponosi winy za zaistnienie incydentu w zakresie danych osobowych, wyjaśniając, że korzystał z dedykowanych organom administracji systemów informatycznych, zaś wysyłka pisma, o którym mowa wyżej, nastąpiła wskutek chwilowej awarii systemów - błędu systemów i ich zawieszenia. Pozwany wskazywał, że dochował najwyższej staranności w doborze systemów teleinformatycznych, specjalnie dedykowanych do obsługi administracji i nie mógł przewidzieć ich chwilowego wadliwego działania oraz, że próbował natychmiast zapobiec skutkom zdarzenia. Podniósł, że pracownik pozwanego obsługujący system w czasie zaistnienia zdarzenia został wcześniej przeszklony w zakresie wszelkich procedur związanych z obsługą systemów EZD oraz ePUAP. Pozwany wskazał również, że podjął działania mające na celu uniknięcie podobnego zdarzenia w przyszłości poprzez zwrócenie się do operatorów systemu EZD (który to system wykorzystuje Rzecznik Fijasowy) i ePUAP z propozycjami modyfikacji systemów informatycznych oraz wprowadzenia w Biurze Rzecznika Finansowego procedur mających na celu ochronę danych osobowych klientów.

Zdaniem strony pozwanej, brak winy wyłącza jej odpowiedzialność zarówno z art. 82 RODO, jak i art. 448 k.c. W ocenie strony pozwanej powód w żaden sposób nie wykazał szkody (krzywdy), której miał doznać związku z ww. incydentem. Pozwany wskazał, że krąg odbiorców, do których zostały przekazane dane powoda jest zamknięty oraz że pomimo faktu, że dane powoda zostały udostępnione 28.402 podmiotom, to były to podmioty publiczne albo takie, którym powierzono wykonywanie zadań publicznych oraz, że ryzyko wystąpienia po stronie powoda szkody materialnej, wskutek nieuprawnionego wykorzystania udostępnionych danych, było znikome. Pozwany podniósł, że tak samo znikome było jakiekolwiek użycie udostępnionych danych powoda. Wskazywał również, że dane osobowe powoda w postaci imienia i nazwiska oraz adresu korespondencyjnego, które zostały udostępnione przez pozwanego, są ogólnodostępne na stronie internetowej, gdzie powód prowadzi swojego bloga.

(odpowiedź na pozew, k. 259-270)

W toku postępowania strony podtrzymywały swoje stanowiska.

Sąd ustalił następujący stan faktyczny:

W dniu 11 lutego 2021 r. w Biurze Rzecznika Finansowego doszło do naruszenia poufności danych osobowych K. S.. Pismo kierowane do Prezesa Zarządu (...) S.A. w sprawie (...), zawierające dane osobowe powoda, zostało wysłane do instytucji i podmiotów publicznych zarejestrowanych w systemie ePUAP. Pismo zostało wysłane do 28.366 instytucji (stan na dzień 11 lutego 2021 r.). Pismo zawierało następujące dane dotyczące powoda: imię i nazwisko, adres korespondencyjny, nr i nazwę polisy, sygnaturę sprawy prowadzonej u Rzecznika Finansowego, nazwy podmiotów rynku finansowego. W piśmie nie znalazły się ani numer telefonu, ani adres e-mail powoda.

Rzecznik Finansowy zwrócił się do instytucji i podmiotów, które weszły w posiadanie korespondencji z danymi osobowymi powoda o usunięcie lub zanonimizowanie danych osobowych K. S. pozyskanych w związku z incydentem oraz podjął działania zmierzające do ustalenia przyczyn wystąpienia przedmiotowego naruszenia ochrony danych. Poinstruował również K. S., by po uzyskaniu informacji o upublicznieniu lub wykorzystaniu jego danych przez osobę nieuprawnioną zgłaszał zdarzenia Rzecznikowi.

W piśmie Rzecznika Finansowego z dnia 12 lutego 2021 r., skierowanym do powoda, wskazano, że wskutek błędnego wysłania pisma z jego danymi osobowymi doszło do sytuacji, w której dostęp do ww. danych uzyskały podmioty i instytucje nieuprawnione do ich przetwarzania. W piśmie wskazano, że możliwe konsekwencje naruszenia danych osobowych powoda, które ewentualnie mogą nastąpić to na przykład: stres związany z powstałym naruszeniem ochrony danych osobowych powoda i brakiem kontroli nad danymi osobowymi; otrzymywanie niezamówionej korespondencji; podszycie się pod osobę powoda w celu wyłudzenia dodatkowych informacji na temat powoda (np. danych o sytuacji materialnej, osobistej).

(dowód: pismo Rzecznika Finansowego z dnia 11 lutego 2021 r., k. 27-29, udostępnione pismo z dnia 4 lutego 2021 r., k. 31-36, pismo Rzecznika Finansowego z dnia 17 marca 2021 r. z załącznikami w postaci listy podmiotów, którym udostępniono pismo, k. 38-133v., notatki służbowe, k. 281, 283, protokół ze spotkania w dniu 11 lutego 2021 r., k. 420-421, zeznania świadków M. K. k. 498v., J. C., k. 498v.-499)

W dacie zaistnienia incydentu w Biurze Rzecznika Finansowego obwiązywały Zarządzenie nr (...) Rzecznika Finansowego z dnia 25 maja 2018 r. w sprawie wprowadzenia Polityki ochrony danych w Biurze Rzecznika Finansowego oraz Instrukcji i innych dokumentów z nią związanych, Zarządzenie nr (...) Rzecznika Finansowego z dnia 31 grudnia 2020 r. w sprawie wprowadzenia Instrukcji Kancelaryjnej, Jednolitego rzeczowego wykazu akt oraz Instrukcji w sprawie organizacji i zakresu działania archiwum zakładowego w Biurze Rzecznika Finansowego w W. oraz Zestaw procedur do systemu Elektronicznego Zarządzania Dokumentacją w Biurze Rzecznika Finansowego .

(dowód: Zarządzenie nr (...) wraz z złącznikami, k. 291-314, Zarządzenie nr (...) wraz z załącznikami, k. 316-366, Zestaw procedur do systemu EZD, k . 368-418)

W dacie zaistnienia incydentu w ogólnodostępnych bazach danych oraz na stronie (...), na której powód prowadził wówczas swojego bloga, można było znaleźć imię i nazwisko powoda oraz jego adres do korespondencji, w związku z prowadzoną przez niego działalnością gospodarczą.

(dowód: wydruki z ogólnodostępnych baz danych, k. 423-443, przesłuchanie powoda, k. 499v.)

W związku z zaistniałym incydentem powód zaczął otrzymywać liczną korespondencję pocztową od instytucji i podmiotów publicznych oraz wiadomości na komunikatorze (...)od nieznanych osób, z informacją o uzyskaniu jego danych osobowych. Korespondencja nie mieściła się w skrzynce pocztowej. Powód zaczął odczuwać dyskomfort
i stres w związku z przekazaniem jego danych osobowych oraz odczuwać obawy odnośnie do sposobu wykorzystania tych danych. Dotychczas powód nie poniósł żadnej szkody materialnej z powodu incydentu.

(dowód: pisma instytucji i podmiotów publicznych, k. 135- 218, wydruki z komunikatora (...), k. 220-225, zeznania świadka J. S., k. 499-499v., przesłuchanie powoda, k. 499v.)

Pismem datowanym na 16 listopada 2021 r. powód wezwał pozwanego do zapłaty kwoty 200.000 zł tytułem zadośćuczynienia w terminie 14 dni od otrzymania pisma. Pismo zostało doręczone Rzecznikowi 22 listopada 2021 r. W odpowiedzi na ww. pismo Rzecznik Finansowy odmówił przyjęcia odpowiedzialności za zdarzenie.

(pismo z dnia 16 listopada 2021 r., k. 227-228, wydruk z książki nadawczej, k. 229, wydruk z trackingu (...), 230, pismo z dnia 6 grudnia 2021 r., k. 232-233)

Decyzją z dnia 30 września 2022 r. Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia Rzecznikowi Finansowemu za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) poprzez udostępnienie danych osobowych Pana K. S., zam. (...), (...) W., zawartych w piśmie Rzecznika Finansowego z dnia 4 lutego 2021 r. w sprawie (...), za pośrednictwem systemu ePUAP podmiotom trzecim bez podstawy prawnej. Decyzja jest ostateczna i prawomocna.

(decyzja nr (...), k. 235-242, pismo z dnia 21 sierpnia 2023 r., k. 243)

W związku ze zdarzeniem z dnia 11 lutego 2021 r. Rzecznik Finansowy wprowadził w swoim Biurze procedury mające na celu ochronę danych osobowych klientów.

(okoliczność bezsporna)

Powyższy stan faktyczny sąd ustalił w oparciu o dokumenty wymienione w powyższej części uzasadnienia, których prawdziwości żadna ze stron nie kwestionowała.

Ustalając stan faktyczny w sprawie Sąd oparł się na zeznaniach złożonych przez powoda. Co prawda przesłuchanie stron jest dowodem wyłącznie posiłkowym, tym niemniej w niektórych wypadkach może się on okazać dowodem wręcz kluczowym dla odtworzenia istotnych z punktu widzenia rozstrzygnięcia okoliczności. Sąd dał wiarę wyjaśnieniom udzielonym przez powoda. W szczególności wiarygodne były twierdzenia powoda, że zdarzenie z 11 lutego 2021 r. wywołało u niego silny stres.

Sąd dał wiarę zeznaniom świadka J. S. , znajomej powoda, która opisała jego stan psychiczny po zdarzeniu z dnia 11 lutego 2021 r.

Sąd dał również wiarę zeznaniom świadków M. K. oraz J. C., którzy w dacie zaistnienia zdarzenia byli pracownikami pozwanego. Świadkowie opisali okoliczności towarzyszące naruszeniu danych osobowych powoda oraz bezskuteczne próby naprawy awarii. Świadek J. C. zeznał również, że po zdarzeniu z dnia 11 lutego 2021 r. w biurze Rzecznika wprowadzono nowe procedury mające na celu zapobieganie podobnym zdarzeniom w przyszłości.

Sąd zważył, co następuje:

Powództwo podlegało uwzględnieniu w części.

W niniejszej sprawie powód dochodzi zapłaty zadośćuczynienia za szkodę niemajątkową powstałą w związku z incydentem z dnia 11 lutego 2021 r., polegającym na udostępnieniu przez Rzecznika Finansowego jego danych osobowych nieuprawnionym osobom, która ta okoliczność (tj. naruszenie danych przez Rzecznika) nie była przez strony kwestionowana. Pozwany wskazywał, że nie ponosi winy za ww. zdarzenie.

Zgodnie z art. 82 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej również jako „RODO” lub „ogólne rozporządzenie o ochronie danych”), każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom (ust. 2). Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (ust. 3).

W związku z powyższym, zgodnie z art. 82 ust. 2 RODO, podmiot przetwarzający może ponosić taką odpowiedzialność wyłącznie, w sytuacji gdy:

1) nie dopełnił obowiązków nałożonych bezpośrednio na niego w przepisach RODO, lub

2) działał poza lub wbrew zgodnym z prawem poleceniom administratora.

W literaturze wyróżnia się również trzeci przypadek: kiedy działał w sferze własnej dyskrecji, poza zakresem ustaleń z administratorem [M. Górski, w: M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych, s. 587, Nb 4]. Jak się jednak wydaje, w takiej sytuacji powinien on być w pewnych (wielu) przypadkach traktowany (w zakresie odpowiedzialności) jako administrator, zgodnie z art. 28 ust. 10 RODO. Zgodnie z motywem 146 preambuły do RODO: "[p]rzetwarzanie dokonywane w sposób naruszający niniejsze rozporządzenia obejmuje także przetwarzanie, które narusza akty delegowane i wykonawcze przyjęte na mocy niniejszego rozporządzenia oraz prawo państwa członkowskiego doprecyzowujące niniejsze rozporządzenie". Przesłanką odpowiedzialności z art. 82 RODO jest:

1) poniesienie przez osobę, której dane dotyczą, szkody majątkowej lub niemajątkowej;

2) naruszenie przez administratora lub podmiot przetwarzający przepisów RODO (w tym aktów delegowanych, wykonawczych lub przepisów prawa krajowego przyjętych na mocy przepisów RODO);

3) zaistnienie związku przyczynowego pomiędzy szkodą a naruszeniem;

4) wina po stronie administratora lub procesora (a contrario art. 82 ust. 3 RODO).

(Artykuł 82 RODO red. Litwiński 2025, wyd. 2/Paweł Barta, Maciej Kawecki, Paweł Litwiński [w:] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Komentarz opublikowano w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. dr Paweł Litwiński, Legalis).

Jak wyjaśniono w motywie 146, pojęcie szkody należy interpretować szeroko, w świetle orzecznictwa Trybunału Sprawiedliwości, w sposób w pełni odzwierciedlający cele rozporządzenia. Nie ma to wpływu na roszczenia z tytułu szkód wynikających z naruszenia innych przepisów prawa Unii lub prawa państwa członkowskiego. W komentowanym przepisie prawodawca wskazał szkodę majątkową lub niemajątkową. Chodzi tu więc o uszczerbek na dobrach lub interesach prawnie chronionych, zarówno majątkowych (np. strata finansowa, którą osoba poniosła wskutek naruszającego rozporządzenie przetwarzania danych), jak
i niemajątkowych (np. krzywda, jakiej osoba doznała wskutek bezprawnego ujawnienia danych o stanie jej zdrowia; naruszenie sfery prywatności, dobrego imienia). Szkoda majątkowa obejmuje zarówno poniesione straty, jak też utracone korzyści, natomiast szkoda niemajątkowa dotyczy różnego rodzaju uszczerbku na dobrach niemajątkowych (…) Prawo do odszkodowania z tytułu szkody będącej wynikiem naruszenia przepisów komentowanego rozporządzenia jest niezależne od innych uprawnień odszkodowawczych wynikających z innych przepisów. Należy przyjąć, iż omawiana konstrukcja prawna stanowi modyfikację ogólnych reguł odszkodowawczych określonych przepisami prawa cywilnego. W piśmiennictwie przedmiotu zwrócono uwagę, iż art. 82 nie odwołuje się do istniejącej już pomiędzy stronami relacji obligacyjnej (jako do przesłanki odpowiedzialności), której naruszenie mogłoby stanowić źródło obowiązku naprawienia szkody (majątkowej lub niemajątkowej), a art. 82 bliżej do konstrukcji odpowiedzialności odszkodowawczej z tytułu czynów niedozwolonych (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. III, Warszawa 2025, art. 82, LEX).

Dane osobowe nie są tożsame z dobrami osobistymi, chociaż pewne ich rodzaje mogą złożyć się na elementy tożsamości i prywatności (wyr. SN z 13.12.2018 r., I CSK 690/17, Legalis). Naruszenie przepisów o ochronie danych osobowych może stanowić podstawę odpowiedzialności za naruszenie dóbr osobistych, jeżeli niezgodne z prawem przetworzenie tych danych skutkuje naruszeniem prawa do dobrego imienia (wyrok SA w Warszawie z 22.6.2023 r., I ACa 352/23, Legalis). Należy jednak podkreślić, że naruszenie przepisów dotyczących ochrony danych osobowych może uzasadniać również ochronę przewidzianą w art. 23 i 24 KC, o ile doprowadziło do naruszenia dóbr osobistych. Jednakże dane osobowe nie są tożsame z dobrami osobistymi (wyrok SA w Warszawie z 18.9.2019 roku, VI ACa 254/18, Legalis).

W niniejszej sprawie bezsprzecznie doszło, w dniu 11 lutego 2021 r., w Biurze Rzecznika Finansowego, do udostępnienia danych osobowych powoda w postaci: imienia i nazwiska, adresu korespondencyjnego, nr i nazwy polisy, sygnatury sprawy prowadzonej u Rzecznika Finansowego, nazwy podmiotów rynku finansowego, instytucjom i osobom trzecim, których adresy znajdowały się w bazie ePUAP poprzez udostępnienie im pisma kierowanego do powoda zawierającego załącznik w postaci pisma z dnia 4 lutego 2021 r. kierowanego do Prezesa Zarządu (...) S.A.

Zdaniem Sądu nie ma wątpliwości, że to pozwany jako administrator systemów EZD i ePUAP ponosi odpowiedzialność za ww. incydent. Naruszenie powstało w wyniku pomyłki pracownika pozwanego. Z akt sprawy wynika, że pozwany nie zabezpieczył ww. systemów w wystarczający sposób, w miarę swoich możliwości, np. nie ograniczył możliwości wysyłki korespondencji seryjnej w EZD, co było możliwe przed incydentem. Rzecznik jako administrator danych powinien był podjąć działania mające na celu ich zabezpieczenie, a jak wynika z materiału dowodowego zgromadzonego w niniejszej sprawie takich czynności nie podjął. Pozwany nie wykazał również, by w okolicznościach niniejszej sprawy wystąpiła przesłanka egzoneracyjna wyłączająca obowiązek naprawienia przez niego zaistniałej szkody.

Dodać należy, że w piśmie Rzecznika Finansowego z dnia 12 lutego 2021 r., skierowanym do powoda, wskazano, że wskutek błędnego wysłania pisma z jego danymi osobowymi doszło do sytuacji, w której dostęp do ww. danych uzyskały podmioty i instytucje nieuprawnione do ich przetwarzania oraz, że możliwe konsekwencje naruszenia danych osobowych powoda, które ewentualnie mogą nastąpić to na przykład: stres związany z powstałym naruszeniem ochrony danych osobowych powoda i brakiem kontroli nad danymi osobowymi; otrzymywanie niezamówionej korespondencji; podszycie się pod osobę powoda w celu wyłudzenia dodatkowych informacji na temat powoda (np. danych o sytuacji materialnej, osobistej). W późniejszym okresie Rzecznik Finansowy próbował wycofać się z odpowiedzialności za zdarzenie.

Jak wynika z materiału dowodowego, pismo z 4 lutego 2021 r. zostało udostępnione 28.366 nieuprawnionym podmiotom. Chociaż odzew nie był wielki mając na uwadze ogrom odbiorców pisam, ponieważ powodowi odpowiedziało tylko około 100 podmiotów, to i tak należy stwierdzić, że skala naruszenia danych powoda była ogromna. W ocenie Sądu okoliczność, że pismo zostało wysłane do instytucji i podmiotów publicznych nie ma przy tym żadnego znaczenia, ponieważ nie ma gwarancji, że dane powoda są tam bezpieczne, co potwierdzają chociażby okoliczności niniejszej sprawy.

W ocenie Sądu powód wykazał, że poniósł szkodę niemajątkową w związku z ww. incydentem. Zdarzenie z dnia 11 lutego 2021 r. wywołało u niego dyskomfort, zaczął odczuwać stres, do chwili obecnej myśli o tym, kto jest w posiadaniu jego danych. W związku z incydentem powód otrzymał wiele wiadomości i dużo korespondencji, co podkreślało powagę sytuacji. Pogorszenie stanu psychicznego powoda potwierdziły również zeznania świadka J. S..

Powód wnosił o zadośćuczynienie w kwocie 50.000,00 zł. W ocenie Sądu jest to kwota zawyżona, nie znajdująca uzasadnienia w realiach społeczno - gospodarczych, a także z uwagi na wypracowaną linię orzeczniczą na tle tego rodzaju spraw. Zdaniem Sądu, opisane wyżej okoliczności stanowią podstawę do przyznania zadośćuczynienia za naruszenie danych osobowych w wysokości 40.000,00 zł. Jest to kwota bardzo wysoka, niemniej jednak adekwatna do zaistniałego naruszenia danych osobowych powoda, uzasadniona przede wszystkim faktem, że dane powoda zostały przekazane 28.366 instytucji i podmiotom.

Roszczenie w pozostałym zakresie podlegało oddaleniu.

O odsetkach Sąd orzekł na podstawie przepisu art. 481 § 1 k.c., zgodnie z którym, jeżeli dłużnik opóźnia się ze spełnieniem świadczenia pieniężnego, wierzyciel może żądać odsetek za czas opóźnienia, chociażby nie poniósł żadnej szkody i chociażby opóźnienie było następstwem okoliczności, za które dłużnik odpowiedzialności nie ponosi. Jeżeli stopa odsetek za opóźnienie nie była oznaczona, należą się odsetki ustawowe za opóźnienie w wysokości równej sumie stopy referencyjnej Narodowego Banku Polskiego i 5,5 punktów procentowych. Jednakże gdy wierzytelność jest oprocentowana według stopy wyższej, wierzyciel może żądać odsetek za opóźnienie według tej wyższej stopy (§ 2).

Pismem datowanym na 16 listopada 2021 r. powód wezwał pozwanego do zapłaty kwoty 200.000 zł tytułem zadośćuczynienia w terminie 14 dni od otrzymania pisma. Pismo zostało doręczone Rzecznikowi 22 listopada 2021 r. W odpowiedzi na ww. pismo Rzecznik Finansowy w piśmie z dnia 6 grudnia 2021 r. odmówił przyjęcia odpowiedzialności za zdarzenie. Sąd uznał, że odsetki od zasądzonej kwoty 40.000 zł należały się od dnia 7 grudnia 2021 r., tj. od dnia następnego po dniu, w którym pozwany odmówił przyjęcia odpowiedzialności za incydent z dnia 11 lutego 2021 r., oddalając roszczenie odsetkowe w pozostałym zakresie

O kosztach procesu Sąd orzekł na podstawie art. 100 k.p.c., zgodnie z którym w razie częściowego tylko uwzględnienia żądań koszty będą wzajemnie zniesione lub stosunkowo rozdzielone. Sąd może jednak włożyć na jedną ze stron obowiązek zwrotu wszystkich kosztów, jeżeli jej przeciwnik uległ tylko co do nieznacznej części swego żądania albo gdy określenie należnej mu sumy zależało od wzajemnego obrachunku lub oceny sądu. Z uwagi na okoliczności towarzyszące sprawie oraz na skalę naruszeń, Sąd zasądził od Rzecznika Finansowego na rzecz K. S. kwotę 9.717,00 złotych tytułem zwrotu kosztów procesu, w tym 7.200,00 złotych tytułem kosztów zastępstwa procesowego, 17,00 zł tytułem opłaty od pełnomocnictwa oraz 2.500 zł tytułem opłaty od pozwu. W przedmiocie odsetek w wysokości odsetek ustawowych za opóźnienie w spełnieniu świadczenia pieniężnego, za czas od dnia uprawomocnienia się orzeczenia, którym je zasądzono do dnia zapłaty, od kwoty zasądzonej tytułem zwrotu kosztów procesu, orzeczono na podstawie art. 98 § 1 ( 1) k.p.c.

SSO Agnieszka Rafałko