W poprzednim artykule pisałam o rodzajach roszczeń przysługujących osobie fizycznej z tytułu wyrządzenia jej szkody niemajątkowej (krzywdy) wskutek naruszenia przepisów o ochronie danych osobowych.

Temat tej publikacji dotyczy z kolei właściwości procesu w sprawach o dochodzenie powyższych roszczeń. Nie opisuję w niej przebiegu procesu od początku do końca, lecz wyjaśniam jaki jest sąd właściwy do złożenia pozwu w tej jakże specyficznej sprawie, opisuję elementy formalne pozwu, wreszcie przedstawiam, czym wyróżnia się to postępowanie na tle innych postępowań przed sądem.

Warto podkreślić, że fakt naruszenia prawa o ochronie danych osobowych może stwierdzić: Prezes Urzędu Ochrony Danych Osobowych (także sądy administracyjne w efekcie skargi na decyzję Prezesa Urzędu Ochrony Danych Osobowych, czyli PUODO i Naczelny Sąd Administracyjny wskutek wniesienia skargi kasacyjnej od wyroku sądu administracyjnego) oraz sąd powszechny (zwany nie do końca poprawnie cywilnym), lecz odszkodowanie za szkodę zasądzić może tylko sąd powszechny w procesie. Postepowanie prowadzi się w oparciu o przepisy Kodeksu postępowania cywilnego (k.p.c.).

Przyjmijmy, że przedmiotem roszczenia jest żądanie zadośćuczynienia pieniężne z tytułu nieuprawnionego upublicznienia naszych danych osobowych, które to zdarzenie wywołało u nas poczucie krzywdy. Przykładowo – podmiot przetwarzający lub administrator doprowadził do ujawnienia listy naszych chorób. Załóżmy, że wśród tych chorób były choroby, które umownie określimy mianem wstydliwych. Jeśli zatem żądamy zapłaty zadośćuczynienia, w pierwszej kolejności musimy niejako „wycenić” naszą krzywdę (pewne wskazówki pozwalające ocenić rozmiar szkody niemajątkowej zawarte zostały w ostatniej publikacji). Na potrzeby niniejszej publikacji wyceniamy szkodę na 40.000 zł (wzięliśmy pod uwagę charakter upublicznionych danych, subiektywne poczucie krzywdy poszkodowanego a także fikcyjnie przyjęliśmy, że poszkodowany był osobą zatrudnioną na eksponowanym stanowisku, stąd ujawnienie jego chorób doprowadziło do swoistej infamii w postaci drwin pracowników i otoczenia).

Skoro znamy rozmiar szkody (40.000 zł) w dalszej kolejności należy się zastanowić do którego sądu skierujemy żądanie. Zgodnie z art. 93 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (u.o.d.o.) oraz znowelizowanym art. 17 pkt 4 5 k.p.c, sądem właściwym rzeczowo będzie sąd okręgowy. Oznacza to, że nie będzie to sąd rejonowy. Sprawy o roszczenia z tytułu o naruszenia prawa o ochronie danych osobowych uznaje się za dość skomplikowane, dlatego też ustawodawca przekazał je do rozpoznania – w pierwszej instancji – sądom wyższego rzędu.

Następnie trzeba ustalić sąd właściwy miejscowo (biorąc pod uwagę podział terytorialny kraju). Właściwość miejscową w sposób wyłączny reguluje RODO (art. 82 ust. 6 w zw. z art. 79 ust. 2 RODO), nie mają to zatem zastosowania normy Kodeksu postepowania cywilnego w zakresie właściwości miejscowej sądu pierwszej instancji. Przepisy te działają na korzyść poszkodowanego, który można dokonać wyboru sądu właściwego do wytoczenia powództwa między sądem, w którego okręgu pozwany (czyli podmiot odpowiedzialny z tytułu szkody) ma miejsce siedzibę a sądem, w którym osoba której dane dotyczą ma miejsce zwykłego pobytu (chyba, że administrator lub podmiot przetwarzający dane są organami publicznymi, które wykonują swoje uprawnienia publiczne (wówczas należy pozwać przed sąd według miejsca ich siedziby). Jest to zatem spore ułatwienie, bowiem proces będzie toczył się przed sądem okręgowym, miejsca pobytu poszkodowanego (oczywiście chodzi o zamieszkanie w okręgu, w którym siedzibę ma sąd okręgowy).

Powyższe przepisy wskazują jednocześnie przed którym sądem państwa członkowskiego UE będzie rozpoznawana sprawa (czyli wyznaczają one tzw. jurysdykcję krajową sądu). Będzie to oczywiście sąd mający siedzibę w państwie, w którym poszkodowany ma miejsce pobytu lub w którym znajduje się siedziba naruszającego prawo o chronię danych osobowych (wybór należy do powoda). Wiedza w tym zakresie może być bardzo pomocna w sytuacji, w której np. do ujawnienia danych o chorobach doszło z winy administratora lub podmiotu przetwarzającego, mającego siedzibę w innym państwie członkowskim, niż poszkodowany.

Powództwo (wnosi je poszkodowany, czyli powód) musi przybrać formę pisma procesowego, zwanego pozwem. Należy w nim dokładnie określić: strony procesu (imię i nazwisko powoda oraz adres zamieszkania, a także nazwę pozwanego i adres siedziby), sąd właściwy, wartość przedmiotu sporu, czyli wartość dochodzonego roszczenia (chyba, że dochodzimy konkretnej kwoty pieniężnej, wówczas nie musimy podawać wartości przedmiotu sporu – na potrzeby artykułu przyjęliśmy, że będzie to 40.000 zł). Najważniejszym elementem pozwu jest oczywiście dokładnie określone żądanie (w zakresie dochodzenia szkody niemajątkowej w związku z ochroną danych osobowych – rodzaje żądań opisałam w poprzedniej publikacji) oraz wskazanie od kiedy roszczenie jest wymagalne (wpływa na to moment powstania szkody i jeśli wyznaczyliśmy podmiotowi przetwarzającemu termin do usunięcia szkody lub zapłaty – upłynięcie tego terminu sprawia, że roszczenie staje się wymagalne). W pozwie powinny się też znaleźć informacje odnoszące się do tego, czy próbowaliśmy rozwiązać spór polubownie (jeśli tak, jaki był skutek tych działań, jeśli nie – należy wyjaśnić dlaczego zrezygnowaliśmy z innych form rozwiązania sporu, np. mediacji, zawezwania do próby ugodowej itp.).

Immanentną częścią każdego pozwu są także wnioski dowodowe, bowiem zgodnie z prawem, musimy udowodnić zasadność naszego roszczenia (art. 6 k.c. stanowi, że ciężar dowodzenia spoczywa na stronie, która wywodzi z danego faktu skutki prawne). Jednakże, jak pisałam w poprzedniej publikacji, przewidziana w RODO ochrona osób fizycznych w sporach w związku z naruszeniem prawa o ochronie danych osobowych sięga na tyle daleko, że przenosi ona ciężar dowodowy w zakresie ustalenia winy na administratora i podmiot przetwarzający dane osobowe, domniemując ich profesjonalizm w tym zakresie. Innymi słowy to pozwany powinien udowodnić, iż dochował należytej staranności przy przetwarzaniu danych osobowych i nie ponosi winy za wyciek danych. Na poszkodowanym, czyli powodzie, spoczywa obowiązek udowodnienia powstania szkody i wykazania jej rozmiaru. Opierając się na przyjętym przykładzie, należy udowodnić jak bardzo dotkliwy dla naszego samopoczucia okazało się być upublicznienie informacji o chorobach wstydliwych. W tym celu możemy w pozwie powołać szereg wniosków dowodowych, np. dowód z dokumentu (np. na okoliczność zasięgnięcia porad psychologa, psychiatry), z zeznań świadków (np. na okoliczność drwin otoczenia, przygnębienia powoda), z opinii biegłego (np. na okoliczność pogorszonego stanu psychicznego powoda, czy nawet depresji, jaką wywołał fakt ujawnienia chronionych danych), wreszcie możemy złożyć zeznania w ramach dowodu z przesłuchania stron. Ostatni z dowodów ma szczególne znaczenie przy dochodzeniu zadośćuczynienia za szkodę niemajątkową (krzywdę).

Pozew należy do tych pism procesowych, które trzeba opłacić. Wysokość opłaty sądowej wynosi 600 zł (przyjmuje się, że jest to pozew o ochronę dóbr osobistych). Nieopłacenie pozwu skutkować będzie jego zwrotem (po bezskutecznym wezwaniu do uiszczenia wspomnianej opłaty w terminie tygodniowym od doręczenia stronie wezwania).

Cechą charakterystyczną procesu dotyczącego naruszenia prawa o chronię danych osobowych jest zasada wzajemnego informowania się organów o prowadzonych sprawach. Wynika to wprost z ustawy o chronię danych osobowych (art. 94 u.o.d.o.). Chodzi o to, żeby przed różnymi organami (PUODO, sądem administracyjnym, czy sądem powszechnym) nie toczyły się postepowania o ustalenie jednego czynu (stwierdzenie, że miało miejsce konkretne naruszenie prawa o chronię danych osobowych). Ustaleń w tym zakresie może dokonać tylko jeden z wymienionych podmiotów, w przeciwnym razie rozstrzygnięcia np. PUODO i sądu cywilnego mogłyby być ze sobą sprzeczne. Dlatego też prawo nakłada na sąd – przed którym toczy się proces – obowiązek niezwłocznego zawiadomienia PUODO o wniesieniu pozwu i prawomocnym zakończeniu sprawy i odwrotnie – zawiadomiony wcześniej PUODO informuje sąd o toczącym się przed nim postępowaniu, jeśli dotyczy ono tego samego naruszenia, w szczególności zaś PUODO informuje sąd o wszczęciu każdego postępowania w sprawie dotyczącej tego samego naruszenia oraz o jej prawomocnym zakończeniu.

Jeśli PUODO prowadzi postępowanie w sprawie dotyczącej tego samego naruszenia, sąd ma obowiązek zawiesić postepowanie (art. 95 u.o.d.o). Dzieje się tak, gdyż w procesie o naprawienie szkody wyrządzanej naruszeniem prawa o chronię danych osobowych, sąd jest związany prawomocną decyzją PUODO w zakresie stwierdzenie naruszenia tychże przepisów. Sąd jest związany także prawomocnym wyrokiem sądu administracyjnego wydanym wskutek wniesienia skargi na decyzję PUODO (art. 97 u.o.d.o.). Co to oznacza w praktyce? aqa

Jeśli proces przed sądem powszechnym został wszczęty jedynie w celu ustalenia, iż doszło do naruszenia przepisów o ochronie danych osobowych (nie zawsze takiemu naruszeniu towarzyszy przecież powstanie szkody) a  jednocześnie zapadła prawomocna decyzja PUODO lub prawomocny wyrok stwierdzający naruszenie przepisów, sąd musi umorzyć postepowanie. W obrocie prawnym żadnego państwa prawa nie mogą funkcjonować dwa akty decyzyjne w zakresie jednego naruszenia prawa. Jeśli jednak przed sądem dochodzimy także naprawienia szkody, wówczas, jak wspomniałam, sąd jest związany ustaleniami zwartymi w prawomocnej decyzji lub w prawomocnym wyroku (art. 96 u.o.d.o.).

Należy pamiętać także o tym, że w sprawach o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, które mogą być dochodzone wyłącznie w postępowaniu przed sądem (wiemy już, że roszczeń o naprawienie szkody można dochodzić  tylko przed sądem „cywilnym”), PUODO może wytaczać powództwa na rzecz osoby, której dane dotyczą, za jej zgodą, a także wstępować, za zgodą powoda, do postępowania w każdym jego stadium. (art., 98 ust. 1 u.o.d.o.). Jeśli nie potrafimy sami skierować pozwu do sądu i uważamy, że sprawa jest zbyt skomplikowana pod względem faktycznym lub prawnym, bądź nie dajemy sobie rady w toczącym się już procesie, warto zwrócić się o pomoc do PUODO.

Ponadto trzeba wspomnieć o tym, że PUODO, jako wysoce wyspecjalizowany organ w zakresie ochrony danych osobowych, ma prawo przedstawić sądowi tzw. pogląd istotny dla sprawy w procesie o roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych, jeśli jego zdaniem przemawia za tym interes publiczny (art. 99 u.o.d.o.). Sąd wprawdzie nie jest związany takim stanowiskiem, lecz biorąc pod uwagę rangę PUODO, nie może się do niego nie ustosunkować w uzasadnieniu orzeczenia. Innymi słowy, nawet jeśli sąd nie zgadza się ze stanowiskiem PUODO, musi swój pogląd należycie uzasadnić.