Udostępnienie danych osobowych w zbyt szerokim zakresie przez zakład ubezpieczeń, w związku ze zdarzeniem drogowym, jest naruszeniem ochrony danych osobowych, które może skutkować odpowiedzialnością odszkodowawczą względem osoby, której dane dotyczą.
Taki wniosek wynika z wyroku Sądu Okręgowego w Warszawie w sprawie o sygn. akt XXV C 2596/19. Podstawą dochodzenia roszczeń mogą być przepisy RODO dotyczące odpowiedzialności cywilnoprawnej administratora za naruszenia ochrony danych osobowych.
Czego dotyczyła sprawa?
Powódka wniosła do Sądu Okręgowego w Warszawie pozew o zasądzenie kwoty 10.000 zł w związku z naruszeniem jej danych osobowych. W pozwie zarzuciła, że zakład ubezpieczeń bezprawnie ujawnił jej dane osobowe uczestnikowi zdarzenia drogowego z udziałem pojazdu, który należał do powódki. Sama powódka w zdarzeniu tym nie uczestniczyła.
Sąd ustalił, że pracownik pozwanego przesłał do poszkodowanego skany dokumentacji dotyczącej szkody, które nie zostały zanonimizowane. Zawierały one imię i nazwisko powódki, jej adres zamieszkania, numer PESEL, numer telefonu, a także dane pojazdu.
Na czym polegało naruszenie?
Trzeba zaznaczyć, że samo udostępnienie dokumentacji dotyczącej szkody osobie uprawnionej, przez zakład ubezpieczeń, jest zgodne z prawem. Obowiązek realizacji takiego żądania wynika z 29 ust. 6 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej.
Zgodnie z tym przepisem, zakład ubezpieczeń ma obowiązek udostępnić m.in. osobie występującej z roszczeniem informacje i dokumenty gromadzone w celu ustalenia odpowiedzialności zakładu ubezpieczeń lub wysokości odszkodowania lub świadczenia
Problem w tej konkretnej sprawie polegał na ujawnieniu, niejako przy okazji udostępnienia dokumentacji, danych osobowych powódki w zbyt szerokim zakresie. W konsekwencji, doszło do naruszenia zasady minimalizacji danych z RODO, a ujawnienie danych w zakresie numeru PESEL oraz numeru telefonu powódki pozbawione było odpowiedniej podstawy prawnej.
Jakie dobra powódki zostały naruszone?
Powódka uznała, że zakład ubezpieczeń naruszył jej prawo do prywatności oraz naraził na stres i ciągłą obawę, w jaki sposób jej dane osobowe zostaną wykorzystane.
Negatywnymi konsekwencjami, które odczuła powódka, była obawa o zaciągnięcie kredytu bankowego na jej rachunek przez osobę trzecią i nękania jej niechcianym połączeniami telefonicznymi. W związku z tym, po otrzymaniu zawiadomienia o naruszeniu powódka zmieniła numer telefonu komórkowego, a w banku zastrzegła, aby wypłaty z jej rachunku bankowego były dokonywane tylko na jej osobiste zlecenie.
Stanowisko Sądu
Sąd Okręgowy uznał, że pozwany zakład ubezpieczeń miał prawo udostępnić dane osobowe powódki, ale tylko te, które były potrzebne poszkodowanemu w celu ustalenia odpowiedzialności oraz dochodzenia roszczeń odszkodowawczych przeciwko powódce lub ubezpieczycielowi odpowiedzialności cywilnej.
W konsekwencji przyjął, że w świetle obowiązujących przepisów zgodne z prawem było przekazanie poszkodowanemu danych osobowych obejmujących imię i nazwisko powódki oraz jej miejsce zamieszkania. Natomiast ujawnienie informacji dotyczących numeru PESEL i numeru telefonu powódki wykraczało poza dopuszczalny zakres i było bezprawne.
Jaki był finał tej sprawy?
Choć Sąd uznał roszczenie powódki za zasadne, to zasądził na jej rzecz kwotę znacznie niższą niż ta, której się domagała. Mimo iż naruszenie było konkretne, to jego konsekwencje – do daty orzekania – nie zmaterializowały się.
Do tej pory poszkodowany w kolizji drogowej nie kontaktował się z powódką ani nie wystąpił do sądu z roszczeniem przeciwko powódce. Postępowanie likwidacyjne prowadzone przez ubezpieczyciela powódki zakończyło się wypłaceniem mu odszkodowania.
Orzekając o kosztach procesu Sąd zastosował zasadę słuszności i zdecydował się nie obciążać nimi powódki, mimo oddalenia jej powództwa w znacznej części.