Tak właśnie stało się w sprawie, którą rozpatrywał Sąd Apelacyjny w Gdańsku (I ACa 730/15, wyrok z 22 marca 2016 r.).

Odbyło się zwyczajne walne zgromadzenie akcjonariuszy pewnej spółki, na którym miało być zatwierdzone sprawozdanie zarządu z działalności w roku obrotowym. Jednego z akcjonariuszy reprezentował jako pełnomocnik jego syn – Krzysztof K. W imieniu mocodawcy złożył on sprzeciw od uchwały w sprawie zatwierdzenia sprawozdania. W protokole walnego notariusz zamieściła adnotację o treści: „W tym miejscu pełnomocnik Akcjonariusza J.K. , posiadający 1.480 (jeden tysiąc czterysta osiemdziesiąt) akcji i 1.480 (jeden tysiąc czterysta osiemdziesiąt) głosów – K.K., syn J. i M., legitymujący się dowodem osobistym (...), zamieszkały w K. przy ulicy (...) (kod pocztowy (...)), zażądał zaprotokołowania sprzeciwu".

Spółka emituje papiery wartościowe dopuszczone do obrotu na rynku regulowanym. Zgodnie z wymogami miała obowiązek podać do wiadomości raport bieżący z treścią uchwał podjętych na zgromadzeniu. Zrobiła to na stronie internetowej. Pod treścią uchwały w sprawie zatwierdzenia sprawozdania zarządu zamieszczona została informacja o zażądaniu zaprotokołowania sprzeciwu przez pełnomocnika akcjonariusza J.K. – Krzysztofa K. Informacja ta zawierała dane powoda ujawnione notariuszowi. Potem te same informacje zostały upublicznione za pośrednictwem agencji informacyjnych i ukazały się na stronach internetowych różnych portali.

Od GIODO do prokuratora

Krzysztof K. uznał, że ujawnienie w raporcie imion rodziców, numeru dowodu i adresu zamieszkania, naruszyło jego dobra osobiste. Wezwał spółkę do zapłaty 60 tys. zł zadośćuczynienia. Ta nie zareagowała. Krzysztof K. złożył skargę o przetwarzaniu jego danych do generalnego inspektora danych osobowych. GIODO nakazał spółce usunięcie ze strony internetowej danych osobowych: imienia i nazwiska reprezentowanego przez skarżącego akcjonariusza, a także jego własnego imienia i nazwiska, imion rodziców, serii i numeru dowodu osobistego oraz adresu zamieszkania. Potem, na wniosek spółki, raz jeszcze rozpoznał sprawę i uchylił własną decyzję w części nakazującej usunięcie danych Krzysztofa K. W pozostałym zakresie umorzył postępowanie, bo spółka inne dane usunęła.

Umorzeniem zakończyło się także dochodzenie, jakie na podstawie zawiadomienia złożonego przez Krzysztofa K. wszczęła prokuratura. Prokuratur stwierdził brak znamion czynu zabronionego z art.51 ust.1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Niezadowolony z decyzji prokuratora Krzysztof K. wniósł subsydiarny akt oskarżenia przeciwko prezesowi spółki. Dwa lata później zapadł wyrok. Sąd Rejonowy w Kwidzynie uznał prezesa za winnego udostępnienia danych osobowych powoda osobom nieupoważnionym przez zamieszczenie ich na stronie internetowej spółki oraz przekazanie Komisji Nadzoru Finansowego, co skutkowało umieszczeniem danych osobowych powoda na portalach internetowych. Prezes został skazany na karę grzywny, ale potem, na skutek apelacji obrońcy i prokuratora, uniewinnił go Sąd Okręgowy w Gdańsku.

Co musi emitent

Wtedy Krzysztof K. wniósł powództwo o ochronę dóbr osobistych, żądając przeprosin i zadośćuczynienia. Argumentował, że jego dane ujawnione przez pozwaną spółkę, mogą zostać użyte w przestępczych celach. Bał się także problemów zawodowych - wykonywany przez niego zawód i zajmowane stanowisko wymagają okresowego uzyskiwania poświadczenia bezpieczeństwa w odniesieniu do dokumentów z klauzulą „ściśle tajne". Poza tym był przekonany, że ujawnienie jego danych nie było przypadkowe, lecz wynikało z niezadowolenia prezesa zarządu ze zgłoszenia sprzeciwu wobec uchwały w sprawie zatwierdzenia sprawozdania z działalności.

Spółka odpowiedziała, że miała prawo ujawnić dane powoda, gdyż pozwalał jej na to art.56 ust.1 pkt 2 ustawy o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych. Wynika z niego, że emitent papierów wartościowych dopuszczonych do obrotu na rynku regulowanym jest obowiązany do przekazywania Komisji Nadzoru Finansowego, spółce prowadzącej ten rynek regulowany oraz do publicznej wiadomości informacji bieżących i okresowych zgodnie z przepisami wydanymi na podstawie art. 60 ust. 2 tej ustawy. Rozporządzenie wydane na podstawie ustawy przewiduje obowiązek emitenta w zakresie przekazania w formie raportu bieżącego informacji o treści uchwał podjętych przez walne zgromadzenie oraz treści złączników do tych uchwał, a przy każdej uchwale również liczby akcji, z których oddano ważne głosy oraz procentowego udziału tych akcji w kapitale zakładowym, łącznej liczby głosów „za", „przeciw" i „wstrzymujących się" oraz informacji o sprzeciwach zgłoszonych do protokołu podczas obrad walnego zgromadzenia ze wskazaniem, których uchwał dotyczyły.

Sam nie dbał o prywatność

Jednak rozpatrujący powództwo Sąd Okręgowy w Gdańsku uznał, że treść tych przepisów w żaden sposób nie wskazuje na konieczność zamieszczenia w raporcie bieżącym danych osobowych osób zgłaszających sprzeciw. A skoro tak, to ujawnienie danych Krzysztofa K., było bezprawne i naruszyło prawo powoda do prywatności.

Jednocześnie sąd ustalił, że Krzysztof K. sam ujawnia publicznie swoje dane osobowe i informacje ze sfery swojej prywatności. Swoje imię i nazwisko, miejsce zamieszkania, miejsce byłej pracy, uczelnię, na której studiował, numer i miejsce liceum, do którego uczęszczał, a także fotografie córki ze wskazaniem nazwy przedszkola, do którego uczęszcza Krzysztof K. zamieścił na swoim profilu na Facebooku.

W tej sytuacji sąd I instancji uznał, że choć powództwo Krzysztofa K. zasługuje na częściowe uwzględnienie: wystarczające będzie nakazanie pozwanemu przeproszenia powoda.

Ten wyrok został zaskarżony przez Krzysztofa K. W apelacji powód żądał zasądzenie od pozwanego 50 tys. zł zadośćuczynienia wraz z ustawowymi odsetkami. Podnosił m.in., że jego dane na Facebooku znalazły się tam za jego zgodą i są dostępne dla wąskiego grona osób zaproszonych do grona jego „znajomych". Poza tym w jego ocenie nie są wystarczające, by go na ich podstawie zidentyfikować.

Sąd Apelacyjny w Gdańsku uznał, że niezupełnie jest tak, jak twierdzi powód, bo niezależnie od przyjętych w regulaminie Facebooka zasad korzystania przez uczestników i sposobów ochrony przed udostępnieniem podawanych tam informacji osobom niepowołanym, przystąpienie do grona tych uczestników jest równoznaczne z rezygnacją każdego z nich z części prywatności. Jedyną barierą dla osoby, która chciałaby zidentyfikować Krzysztofa K. na FB jest zalogowanie się na portalu (niekoniecznie po podaniu prawdziwych danych), następnie zgłoszenie się na profilu powoda z zaproszeniem go do grona jego „znajomych" oraz zaakceptowanie zaproszenia przez powoda.

– Oczywiście rację ma powód co do tego, że wszelkie dane na jego profilu na portalu FB są tam wyłącznie za zgodą i z woli powoda, jednak przy wszystkich tych zastrzeżeniach zarówno sam udział powoda we wspomnianym portalu, jak i zamieszczane tam przez niego dane określają indywidualny stosunek powoda do kwestii ochrony jego danych– stwierdził Sąd.

Winny płaci

Ale przesądzające znaczenie miał - zdaniem sądu – fakt, że Krzysztof K. nie wyraził zgody na upublicznienie danych osobowych przy okazji publikacji raportu,

– Powód podał dane notariuszowi w celu umożliwienia mu niezbędnej jego identyfikacji jako uczestnika walnego zgromadzenia składającego sprzeciw w imieniu reprezentowanego przez niego akcjonariusza, a nie z zamiarem ujawnienia tych danych nieograniczonemu kręgowi osób. Działanie spółki uznać należy za zawinione. Tym samym roszczenie pieniężne powoda, oparte na art. 448 kodeksu cywilnego, jest co do zasady uzasadnione – wyjaśnił sąd.

Stwierdził jednak, że żądanie Krzysztofa K. jest wygórowane, a kwotą wystarczającą do skompensowania doznanej przez niego krzywdy będą 3 tys. zł.

Wyrok jest prawomocny.