Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Czy numery telefonów stanowią dane osobowe?

Czy numery telefonów stanowią dane osobowe?

03.11.2021
Autor: Jarosław W. Mrożek
inspektor ochrony danych

Uchylenie decyzji Prezesa UODO

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 kwietnia 2021 r. (sygn. akt II SA/ Wa 1898/ 20) [1] w istocie sprowadza się do odpowiedzi na ważne pytanie, postawione w tytule niniejszego artykułu – czy numery telefonów stanowią dane osobowe?

Wojewódzki Sąd Administracyjny w Warszawie uchylił Decyzję Prezesa UODO, udzielającej skarżącej Spółce upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO [2], polegające na odmowie realizacji przez nią żądania posiadacza numeru telefonu (Wnioskodawcy) udzielenia wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz kopii tychże danych.

Outsourcing IOD – sprawdź naszą usługę

Spółka dowodziła, że pozyskała numer telefonu Wnioskodawcy w związku z nabyciem pakietu danych (numerów telefonów) od innego podmiotu. Wnioskodawca zwrócił się do Spółki z żądaniem dostarczenia kopii danych przetwarzanych przez Spółkę oraz udzielenia informacji o źródle ich pozyskania. Spółka odmówiła realizacji żądania Wnioskodawcy tłumacząc, iż pozyskany w ten sposób numer telefonu nie należy do kategorii danych osobowych.

W toczącym się przed Organem postępowaniu Spółka, której działalność polega na umawianiu pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej potwierdziła, iż wykonała połączenie pod wskazany w skardze numer telefonu, jednak w toku przeprowadzonej rozmowy nie doszło do pobrania jakichkolwiek danych osobowych Wnioskodawcy.

W wyniku przeprowadzonego postępowania Prezes UODO uznał, iż z uwagi na podjęcie przez Spółkę działań nakierowanych na identyfikację Wnioskodawcy brak nadmiernych kosztów i czasu, jaki potrzeba na jej dokonanie, przetwarzanie numeru telefonu Wnioskodawcy podlega przepisom o ochronie danych osobowych i tym samym nałożył na Spółkę karę upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO.

Od przedmiotowej decyzji Spółka złożyła skargę do WSA zarzucając Organowi naruszenie szeregu przepisów prawa materialnego, w tym najważniejszego, tj. art. 4 pkt 1 RODO, że „numer telefonu stanowi dane osobowe”. Pozostałe zarzuty Spółki były logiczną konsekwencją tego najważniejszego, bowiem odnosiły się do kwestii przetwarzania danych osobowych, występowania Spółki wobec tych danych w roli administratora danych osobowych (ADO), odmowy realizacji żądania Wnioskodawcy udzielenia dostępnych informacji o źródle pozyskania danych oraz udostępnienia mu ich kopii.

Uchylając Decyzję Organu Sąd uznał za trafne, sformułowane przez Spółkę, zrzuty naruszenia przez Organ przepisów prawa materialnego, uznając, iż numer telefonu nie należy do kategorii danych osobowych, które podlegałby ograniczeniom co do ich przetwarzania, wynikającymi z RODO.

Jak to właściwie jest z numerami telefonów?

Aby odpowiedzieć na tak sformułowane pytanie, należy sięgnąć do źródła, czyli do definicji „danych osobowych” zawartej w RODO.

Zgodnie z treścią art. 4 pkt 1 tegoż rozporządzenia, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Wskazana powyżej definicja zawiera w sobie cztery kumulatywne przesłanki, których łączne spełnienie wypełnia pojęcie „danych osobowych”:

Informacje (wł. „wszelkie informacje” – tak, jak w innych wersjach językowych, np. fr. „toute information”, ang. „any information”);
Dotyczące;
Zidentyfikowanej, lub możliwej do zidentyfikowania osobie;
Osoby fizycznej.

Pierwszą przesłankę należy interpretować możliwie szeroko, zważywszy na brzmienie art. 1 RODO, oddające perspektywę zapewnienia ochrony danych osobowych przez pryzmat jej celów. Podobne stanowisko zostało sformułowane także w opinii 4/ 2007 w sprawie pojęcia danych osobowych, wyrażone przez Grupę Roboczą ds. ochrony danych osobowych, powołaną na mocy art. 29 dyrektywy 95/ 46/ WE („Grupa Roboczą art. 29”). Mowa w niej jest o tym, iż „dla oceny osobowego wymiaru informacji nie ma znaczenia, czy mają one charakter obiektywny, czy subiektywny, jak również irrelewantne jest, w jaki sposób są utrwalone, w szczególności na jakim nośniku” [3].

Druga przesłanka dotyczy wymogu istnienia relacji pomiędzy informacją a osobą fizyczną, pomimo, iż znowu, w polskiej wersji językowej, ograniczono się do słowa „o” (informacje „o” zidentyfikowanej lub możliwej do zidentyfikowania osobie”, podczas, gdy w innych wersjach językowych mamy odmienne sformułowania, tj. fr. „se rapportant” ang. „relating to”).

Przesłanka identyfikalności wskazuje nam na konieczność posiadania przez informację waloru umożliwiającego w sposób bezpośredni lub pośredni ustalenie tożsamości konkretnej osoby fizycznej.

Ostatnia przesłanka wydaje się najbardziej oczywista, odnosi się bowiem do pojęcia „osoby fizycznej” w sensie cywilistycznym. Nie będzie zatem osobą fizyczną zmarły ani osoba prawna.

Nie wchodząc w szczegółowe rozważania dotyczące poszczególnych przesłanek, które składają się na definicję danych osobowych, skupmy się w tym momencie wyłącznie na kwestii „identyfikalności osoby fizycznej”, bowiem ta sprawa w istocie stanowi oś sporu, który toczy się wokół orzeczenia WSA, stojącego w sprzeczności ze stanowiskiem UODO, wcześniejszymi orzeczeniami TSUE oraz opiniami Grupy Roboczej Art. 29.

Stanowisko PUODO (wcześniej GIODO) w tej sprawie jest od samego początku konsekwentne (por. sygnalizacja GIODO z dnia 19 grudnia 2007 r., „nr telefonu stanowi dane osobowe w rozumieniu art. 6 ust. 1 {uchylonej} ustawy z dnia 19 sierpnia 1997 r. o ochronie danych osobowych, bowiem dotyczy możliwej do zidentyfikowania osoby fizycznej” oraz uzasadnienie decyzji GIODO z dnia 22 stycznia 2008 r. [4], w której czytamy, iż „informacje w zakresie: kod respondenta, numer telefonu i imię respondenta stanowią dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Wprawdzie ww. informacje rzeczywiście nie określają bezpośrednio tożsamości osoby, jednakże dają możliwość określenia tożsamości tych osób np. poprzez bezpośredni kontakt z respondentem. Z powyższego wynika więc jednoznacznie, że wskazane wyżej dane dotyczące respondentów stanowią informacje dotyczące możliwej do zidentyfikowania osoby fizycznej, a samo ustalenie tożsamości nie wymaga nadmiernych kosztów, czasu lub działań. Wobec tego, stosownie do treści cytowanego wyżej art. 6 ustawy, stanowią one dane osobowe)”.

Należy mieć również w pamięci, że w 2018 r. Prezes UODO jednoznaczne wskazała, iż tzw. „czarne listy pacjentów” na których znajdowały się wyłącznie numery telefonów pacjentów, do których mieli dostęp tylko lekarze, stanowi zbiór danych osobowych.

Doktryna przychyla się do stanowiska, iż numer telefonu będzie można zliczyć do kategorii danych osobowych dopiero po połączeniu go z innymi informacjami (np. imię i nazwisko, nr PESEL). Paweł Litwiński w komentarzu do RODO wskazuje, iż „sam numer telefonu w większości przypadków nie będzie stanowił danych osobowych”. Dopiero bowiem po ustaleniu, do kogo ów numer należy, przekształci się on w dane osobowe.

Biorąc pod uwagę powyższe, należy dobrze zrozumieć, co ustawodawca rozumie pod pojęciami „zidentyfikowana” i „możliwa do zidentyfikowania” osoba fizyczna.

„Zidentyfikowaną osobą fizyczną jest osoba, której tożsamość jest ustalona bezpośrednio i natychmiast” [5]. Grupa Robocza Art. 29 w opinii 4/ 2007 wskazuje, iż „osobę fizyczna można uznać za zidentyfikowaną, jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy” [3].

„Możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni bądź pośredni” [6].

Motyw 26 Preambuły RODO wskazuje, że „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (fr. „raisonnablement susceptible, ang. „reasonably likely”), w stosunku do których istnieje uzasadnione prawdopodobieństwo (fr. „raisonnablement susceptible, ang. „reasonably likely”), iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.

Aby więc podjąć próbę odpowiedzi na postawione w tytule tego artykułu pytanie, warto również spojrzeć na przesłankę „identyfikalności” w wersji, którą zaproponował rzecznik generalny w pkt. 68 swojej opinii [5]. Zgodnie z tym stanowiskiem, oceniając możliwe do zastosowania sposoby aktywności administratora mające na celu identyfikację konkretnej osoby fizycznej, nie bierze on pod uwagę dowolnych środków, lecz jedynie te, wynikające z racjonalnych przesłanek, również w odniesieniu do osób trzecich. Jak wskazuje TSUE, odwołując się do tejże opinii, nie miałoby to miejsca w wypadku, gdyby kontakt z osobami trzecimi był nadmiernie kosztowny, niewykonalny lub bezprawny.

Podobne stanowisko zaprezentowała też Grupa Robocza Art. 29, w opinii 1/ 2008 [7], dotyczącej wyszukiwarek internetowych, stwierdzając, że „dopóki operator wyszukiwarki z całą pewnością nie jest w stanie wykluczyć zidentyfikowania użytkownika, wychodząc od jego adresu IP, należy taką informację traktować jako dane osobowe”. Jest to istotne stwierdzenie, dające wskazówkę sądom, po czyjej stronie leży ciężar dowodzenia w wypadku wątpliwości co do statusu danej informacji, którą, per analogiam, może być np. numer telefonu.

Z uwagi na to, że w samym RODO przyjęto koncepcję subiektywną przesłanki identyfikowalności, zgodnie z którą irrelewantne, z punktu widzenia dokonywania identyfikacji stają się informacje, których administrator nie wykorzystuje, mimo że mógłby to uczynić, w celu dokonania identyfikacji, a perspektywa ocenna administratora i jego aktywności jest rozstrzygająca, dlatego pojęcie „danych osobowych” zostaje w znacznym stopni zrelatywizowane do określonej perspektywy, tracąc swój uniwersalny charakter [8].

Za relatywizacją pojęcia danych osobowych przemawia także podstawowa koncepcja RODO, czyli „podejście bazujące na ryzyku” (risk-based approach), zgodnie z którą na administratorze ciąży obowiązek dokonywania czynności w zakresie ochrony danych osobowych w oparciu o analizę ryzyka. Zgodnie z powyższym, spełnienie „przesłanki identyfikacyjnej” powinno być oceniane przez pryzmat podejmowanej przez administratora aktywności o określonym rozsądnym prawdopodobieństwie, ograniczonym jednak przez zobiektywizowane czynniki, takie jak czas potrzebny do owej identyfikacji, koszt czy dostępne narzędzia technologiczne (por. Motyw 26 zd. 4 RODO). Zobiektywizowane kryteria bowiem dają podstawę do dokonywania analizy ryzyka i uznania danej informacji za osobową, a w konsekwencji objęcia jej zakresem zastosowania RODO.

W opisanej we wstępie artykułu sprawie Prezes UODO zapowiedział złożenie skargi kasacyjnej do Naczelnego Sądu Administracyjnego. Jeśli tak się stanie, to biorąc pod uwagę powyższe i oczekując na ostateczne rozstrzygnięcie NSA, trudno jest jednoznacznie wskazać, za którym podejściem opowie się sąd. Jeśli przychyli się do stanowiska, prezentowanego konsekwentnie przez PUODO, zgodnego ze stanowiskiem wyrażanym w orzecznictwie TSUE oraz opiniach Grupy Roboczej Art. 29, to wyrok WSA winien zostać uchylony. Jeśli jednak NSA podzieli stanowisko sądu administracyjnego I instancji, uznając, iż pod pojęciem „danych osobowych” nie mieszczą się odizolowane informacje, takie jak np. sam nr telefonu, bez przyporządkowanej do niego konkretnej osoby, wtedy skarga PUODO na wyrok WSA zostanie oddalona.

Przypisy:

Wyrok WSA w Warszawie z 13 kwietnia 2021 r., II SA/ Wa 1898/ 20, LEX nr 3185223.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Opinia 4/ 2007 Grupy Roboczej art. 29 w sprawie pojęcia danych osobowych (WP 136).
Decyzja nr DIS-DEC0150-42/ 1511, 1515, 1520/ 08/ 08, niepublikowana;
Opinia rzecznika generalnego M. Camposa Sáncheza-Bordony przedstawiona w dniu 12 maja 2016 r. w sprawie C-582/ 14, Patrick Breyer v. Bundesrepublik Deutschland, CURIA, pkt 56.
Punkt 40 Wyroku Trybunału Sprawiedliwości UE z dnia 19 października 2016 r., w sprawie C-582/ 14, Patrick Breyer v. Bundesrepublik Deutschland, CURIA.
Opinia 1/ 2008 Grupy Roboczej art. 29 w sprawie ochrony danych związanych z wyszukiwarkami (WP 148);
Paweł Litwiński Pojęcie danych osobowych w rozporządzeniu ogólnym o ochronie danych osobowych, Informacja w administracji publicznej nr 3/ 2016, s. 52.

Autor

Jarosław W. Mrożek

Radca prawny, audytor RODO, stały mediator sądowy.

Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach.
Doradzał spółkom z branży produkcyjnej, handlowej, turystycznej i budowlanej.
Pełni funkcję Inspektora Ochrony Danych oraz koordynatora ochrony danych osobowych w spółkach i innych podmiotach.
Autor artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych ochronie danych osobowych, procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Cechuje się praktyczną znajomością przepisów związanych z ochroną danych osobowych, tworzenia dokumentacji zgodnej z rozporządzeniem RODO, wdrażania projektów związanych z ochroną danych osobowych, sporządzania umów powierzenia, prowadzenia warsztatów i szkoleń z zakresu RODO.
Posługuje się biegle jęz. angielskim i francuskim.

Z tej samej kategorii

Ufaj, ale sprawdzaj – weryfikacja podmiotów przetwarzających zgodnie z wymogami RODO Więcej

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>