Tak właśnie stało się w sprawie, którą rozpatrywał Sąd Apelacyjny w Gdańsku (I ACa 730/15, wyrok z 22 marca 2016 r.).
Odbyło się zwyczajne walne zgromadzenie akcjonariuszy pewnej spółki, na którym miało być zatwierdzone sprawozdanie zarządu z działalności w roku obrotowym. Jednego z akcjonariuszy reprezentował jako pełnomocnik jego syn – Krzysztof K. W imieniu mocodawcy złożył on sprzeciw od uchwały w sprawie zatwierdzenia sprawozdania. W protokole walnego notariusz zamieściła adnotację o treści: „W tym miejscu pełnomocnik Akcjonariusza J.K. , posiadający 1.480 (jeden tysiąc czterysta osiemdziesiąt) akcji i 1.480 (jeden tysiąc czterysta osiemdziesiąt) głosów – K.K., syn J. i M., legitymujący się dowodem osobistym (...), zamieszkały w K. przy ulicy (...) (kod pocztowy (...)), zażądał zaprotokołowania sprzeciwu".
Spółka emituje papiery wartościowe dopuszczone do obrotu na rynku regulowanym. Zgodnie z wymogami miała obowiązek podać do wiadomości raport bieżący z treścią uchwał podjętych na zgromadzeniu. Zrobiła to na stronie internetowej. Pod treścią uchwały w sprawie zatwierdzenia sprawozdania zarządu zamieszczona została informacja o zażądaniu zaprotokołowania sprzeciwu przez pełnomocnika akcjonariusza J.K. – Krzysztofa K. Informacja ta zawierała dane powoda ujawnione notariuszowi. Potem te same informacje zostały upublicznione za pośrednictwem agencji informacyjnych i ukazały się na stronach internetowych różnych portali.
Od GIODO do prokuratora
Krzysztof K. uznał, że ujawnienie w raporcie imion rodziców, numeru dowodu i adresu zamieszkania, naruszyło jego dobra osobiste. Wezwał spółkę do zapłaty 60 tys. zł zadośćuczynienia. Ta nie zareagowała. Krzysztof K. złożył skargę o przetwarzaniu jego danych do generalnego inspektora danych osobowych. GIODO nakazał spółce usunięcie ze strony internetowej danych osobowych: imienia i nazwiska reprezentowanego przez skarżącego akcjonariusza, a także jego własnego imienia i nazwiska, imion rodziców, serii i numeru dowodu osobistego oraz adresu zamieszkania. Potem, na wniosek spółki, raz jeszcze rozpoznał sprawę i uchylił własną decyzję w części nakazującej usunięcie danych Krzysztofa K. W pozostałym zakresie umorzył postępowanie, bo spółka inne dane usunęła.
Umorzeniem zakończyło się także dochodzenie, jakie na podstawie zawiadomienia złożonego przez Krzysztofa K. wszczęła prokuratura. Prokuratur stwierdził brak znamion czynu zabronionego z art.51 ust.1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Niezadowolony z decyzji prokuratora Krzysztof K. wniósł subsydiarny akt oskarżenia przeciwko prezesowi spółki. Dwa lata później zapadł wyrok. Sąd Rejonowy w Kwidzynie uznał prezesa za winnego udostępnienia danych osobowych powoda osobom nieupoważnionym przez zamieszczenie ich na stronie internetowej spółki oraz przekazanie Komisji Nadzoru Finansowego, co skutkowało umieszczeniem danych osobowych powoda na portalach internetowych. Prezes został skazany na karę grzywny, ale potem, na skutek apelacji obrońcy i prokuratora, uniewinnił go Sąd Okręgowy w Gdańsku.