W dniu 26 marca 2014 r. na sesji Rady Gminy podjęto uchwały dotyczące wniesionych przez mieszkańca skarg na wykonywanie zadań przez Wójta Gminy i Kierownika Gminnego Ośrodka Pomocy. Obie uchwały zostały opublikowane na stronie internetowej www. Każda osoba pobierająca treść uchwał mogła zapoznać się z danymi osobowymi powoda, gdyż zostały one błędnie zabezpieczone, a także z uwagi na oznaczenie pliku zawierającego jedną z uchwał z dalszymi inicjałami w tytule. Natomiast w dniu 6 maja 2014 r. na stronie internetowej www opublikowano protokół z sesji Rady Gminy. W treści tego protokołu zawarte były niezanonimizowane dane osobowe powoda, numery uchwał, skarg i czynności, które dotyczyły jego osoby. Błędne zabezpieczenie danych osobowych miało miejsce w okresie od 1 kwietnia 2014 r. do 10 czerwca 2014 r. Powód podniósł, że działanie pozwanej naruszyło jego prawo do prywatności, prawo do ochrony danych osobowych, odczucie pewności i bezpieczeństwa oraz zaufanie do organów gminy.
Gmina wniosła o oddalenie powództwa i zasądzenie na jej rzecz kosztów procesu. Sąd Okręgowy nakazał gminie, aby w terminie 7 dni od uprawomocnienia się wyroku przesłała listem poleconym na adres mieszkańca oraz umieściła na okres 40 dni na stronie internetowej www, na stronie głównej, oświadczenie z przeprosinami. Podstawą odpowiedzialności gminy jest art. 24 k.c. w zw. z art. 448 k.c. Gmina nie kwestionowała, że doszło do publikacji na stronie dwóch uchwał i protokołu sesji Rady, w treści których zawarto dane personalne powoda. Z przedłożonego do akt nagrania na płycie CD, którego autentyczność nie była przez żadną ze stron podważana, wynikało, że w opublikowanych uchwałach dane personalne powoda zostały jedynie zaciemnione czarnym tłem, a zmiana koloru tła za pomocą podstawowej opcji programu W. pozwalała na ich odczytanie. Z nagrania tego wynikało także, że protokół sesji Rady Gminy widniał na stronie biuletynu w wersji niezanonimizowanej.
Nieprawidłowe zabezpieczenie danych
Działanie gminy polegające na nieprawidłowym zabezpieczeniu danych osobowych w publikowanych uchwałach oraz brak zabezpieczenia tych danych w protokole sesji Rady Gminy, zdaniem Sądu orzekającego, godziło w przysługujące powodowi prawo do prywatności i ochrony danych osobowych. Wprawdzie gmina zaprzeczyła, aby jej działania naruszały dobra osobiste mieszkańca, jednak stanowiska swojego w żaden sposób nie tłumaczyła. Nie odniosła się do twierdzeń powoda dotyczących nieskutecznego zabezpieczenia danych w uchwałach oraz braku zanonimizowania tych danych w protokole sesji Rady. Pozwana nie wykazała, że jej działanie było zgodne z prawem.
Ubocznie Sąd pierwszej instancji zauważył, że zgodnie z art. 5 ust. 2 ustawy z 6 września 2001 r., prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. Niewątpliwie powód nie pełnił funkcji publicznych ani nie podejmował działań mających związek z ich pełnieniem, nie zrezygnował też z przysługującego mu prawa do prywatności.
Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Regulacja ta stanowi wyjątek od zasady niedopuszczalności przetwarzania danych osobowych i jako taka musi być ściśle interpretowana. Ujawnienie danych personalnych osoby, która zainicjowała wydanie uchwały przez radę gminy, nie jest niezbędne dla zapewnienia zrozumiałości i czytelności podjętej uchwały, która zgodnie z art. 8 ust. 3 ustawy z 6 września 2001 r. podlegała udostępnieniu w Biuletynie Informacji Publicznej.
Skoro więc działanie pozwanej polegające na opublikowaniu na stronie internetowej Biuletynu Informacji Publicznej danych osobowych powoda godziło w przysługujące powodowi prawo do prywatności i ochrony danych osobowych, to zdaniem Sądu meritum na gruncie art. 24 § 1 k.c. uzasadnione było jego roszczenie o to, by pozwana dopełniła czynności potrzebnej do usunięcia skutków tego naruszenia poprzez złożenie oświadczenia odpowiedniej treści i w odpowiedniej formie. W ocenie Sądu Okręgowego zobowiązanie pozwanej do przeproszenia powoda poprzez przesłanie lisem poleconym stosownego oświadczenia i zamieszczenie go na stronie internetowej Gminy stanowi odpowiednią i wystarczającą formę zadośćuczynienia za naruszenie dóbr osobistych.
Naruszenie dóbr osobistych
Powyższy wyrok zaskarżyła gmina. Sąd Apelacyjny uznał, że chybione są zarzuty naruszenia prawa materialnego, tj. art. 24 k.c. i art. 448 k.c. przez ich błędne zastosowanie. Zgodnie z art. 24 k.c. ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności, ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Wykładnia gramatyczna art. 24 k.c. prowadzi do wniosku, że sąd rozpoznający sprawę w przedmiocie ochrony dóbr osobistych powinien w pierwszej kolejności ustalić, czy doszło do naruszenia dobra osobistego, a w przypadku pozytywnej odpowiedzi – ustalić, czy działanie pozwanego było bezprawne.
Nie może być kwestionowane, że opublikowanie niezanonimizowanych danych osobowych bez wiedzy i woli osoby, której one dotyczą, narusza dobra osobiste tej osoby. Dobrami osobistymi, które nie są wymieniane w mającym charakter otwarty katalogu kodeksowym, są prawo do prywatności i prawo do ochrony danych osobowych. Zważyć trzeba, że ze względu na rozwój technologiczny i zjawisko „społeczeństwa informacyjnego”, w którym wzrastają możliwości technicznego ingerowania w prywatność innych, dobra te zasługują na szczególną ochronę. Podawanie do publicznej wiadomości nieprawidłowo zanonimizowanych danych osobowych powoda, w postaci jego imienia i nazwiska w opublikowanych do powszechnego użytku uchwałach Rady Gminy i protokole sesji Rady Gminy, stanowi przetwarzanie danych osobowych, o którym stanowi ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU 2014 poz. 1182 z późn. zm.) i powinno odbywać się zgodnie z jej zasadami. Jedną z nich jest konieczność wykazania się podstawą prawną takiego działania.
Za Sądem Okręgowym powtórzyć należy, że ujawnienie danych osobowych skarżącego, którego działania wywołały potrzebę podjęcia przez Radę Gminy uchwał o nr (...) i (...) nie było niezbędne dla zapewnienia jej zrozumiałości i czytelności. Zgodnie natomiast z zasadą adekwatności wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych administrator danych (tu – pozwana Gmina) powinien przetwarzać tylko te dane, które są niezbędne dla określonego celu. Uzasadnia to ocenę, że ujawnienie w uchwałach i protokole danych osobowych skarżącego w zakresie jego imienia i nazwiska nie było uzasadnione i wkraczało w jego prywatność.
Nietrafny jest także zarzut uchybienia przez sąd pierwszej instancji przepisowi art. 448 k.c. poprzez zasądzenie na rzecz powoda stosownego zadośćuczynienia w sytuacji, gdy w myśl powołanego przepisu uwzględnienie roszczeń na jego podstawie ma charakter fakultatywny. Skarżąca podnosiła, że sąd nie ma obowiązku zasądzenia zadośćuczynienia w każdym przypadku naruszenia dóbr osobistych, a przy stosowaniu przepisu art. 448 k.c. bierze się pod uwagę całokształt okoliczności faktycznych, w tym winę sprawcy naruszenia dóbr osobistych i jej stopień oraz rodzaj naruszonego dobra. Zdaniem Sądu Apelacyjnego wszystkie te okoliczności zostały przez sąd pierwszej instancji należycie uwzględnione i prawidłowo wyważone.
Sąd Okręgowy stosownie do stanu faktycznego sprawy rozważył zakres i rozmiar krzywdy doznanej przez powoda. Gmina nie dołożyła wszelkich starań, aby – przynajmniej już w okresie po powzięciu wiedzy o fakcie i sposobie dokonanego naruszenia – usunąć skutki naruszenia dóbr osobistych powoda i ostatecznie zaprzestać rozpowszechniania jego danych osobowych ze wszystkich możliwych stron internetowych i ich archiwów, pozostających w jej zarządzie w sytuacji, gdy powód konsekwentnie sprzeciwiał się ich ujawnieniu. Chybione jest powoływanie się przez gminę na okoliczność, że w zakresie obsługi stron internetowych korzystała z usług profesjonalisty z branży informatycznej. Wszelkie uchybienia w prowadzeniu tych stron obciążają gminę jako podmiot bezpośrednio odpowiedzialny za ich prowadzenie.
Powyższe okoliczności bezzasadnym czynią stanowisko skarżącej, że powód domagając się zasądzenia zadośćuczynienia na skutek naruszenia jego dóbr osobistych, nadużywa prawa podmiotowego sprzecznie z art. 5 k.c. Pozwana gmina nie dołożyła bowiem odpowiedniej staranności w zakresie usunięcia danych osobowych powoda niezwłocznie po uzyskaniu informacji o ich wadliwym udostępnianiu, której należy wymagać od profesjonalnego podmiotu samorządowego, aspirującego do wykorzystywania w swojej działalności nowoczesnych technologii komunikowania się i angażującego się w życie społeczności za pośrednictwem mediów elektronicznych.
(Wyrok Sądu Apelacyjnego w Gdańsku z 18 lutego 2015 r., sygn. akt I ACa 785/14)
