Czy numery telefonów stanowią dane osobowe?

 

Uchylenie decyzji Prezesa UODO

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 kwietnia 2021 r. (sygn. akt II SA/ Wa 1898/ 20) [1] w istocie sprowadza się do odpowiedzi na ważne pytanie, postawione w tytule niniejszego artykułu – czy numery telefonów stanowią dane osobowe?

 

Wojewódzki Sąd Administracyjny w Warszawie uchylił Decyzję Prezesa UODO, udzielającej skarżącej Spółce upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO [2], polegające na odmowie realizacji przez nią żądania posiadacza numeru telefonu (Wnioskodawcy) udzielenia wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz kopii tychże danych.

 

Spółka dowodziła, że pozyskała numer telefonu Wnioskodawcy w związku z nabyciem pakietu danych (numerów telefonów) od innego podmiotu. Wnioskodawca zwrócił się do Spółki z żądaniem dostarczenia kopii danych przetwarzanych przez Spółkę oraz udzielenia informacji o źródle ich pozyskania. Spółka odmówiła realizacji żądania Wnioskodawcy tłumacząc, iż pozyskany w ten sposób numer telefonu nie należy do kategorii danych osobowych.

W toczącym się przed Organem postępowaniu Spółka, której działalność polega na umawianiu pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej potwierdziła, iż wykonała połączenie pod wskazany w skardze numer telefonu, jednak w toku przeprowadzonej rozmowy nie doszło do pobrania jakichkolwiek danych osobowych Wnioskodawcy.

W wyniku przeprowadzonego postępowania Prezes UODO uznał, iż  z uwagi na podjęcie przez Spółkę działań nakierowanych na identyfikację Wnioskodawcy brak nadmiernych kosztów i czasu, jaki potrzeba na jej dokonanie, przetwarzanie numeru telefonu Wnioskodawcy podlega przepisom o ochronie danych osobowych i tym samym nałożył na Spółkę karę upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO.

Od przedmiotowej decyzji Spółka złożyła skargę do WSA zarzucając Organowi naruszenie szeregu przepisów prawa materialnego, w tym najważniejszego, tj. art. 4 pkt 1 RODO, że „numer telefonu stanowi dane osobowe”. Pozostałe zarzuty Spółki były logiczną konsekwencją tego najważniejszego, bowiem odnosiły się do kwestii przetwarzania danych osobowych, występowania Spółki wobec tych danych w roli administratora danych osobowych (ADO), odmowy realizacji żądania Wnioskodawcy udzielenia dostępnych informacji o źródle pozyskania danych oraz udostępnienia mu ich kopii.

Uchylając Decyzję Organu Sąd uznał za trafne, sformułowane przez Spółkę, zrzuty naruszenia przez Organ przepisów prawa materialnego, uznając, iż numer telefonu nie należy do kategorii danych osobowych, które podlegałby ograniczeniom co do ich przetwarzania, wynikającymi z RODO.

 

Jak to właściwie jest z numerami telefonów?

Aby odpowiedzieć na tak sformułowane pytanie, należy sięgnąć do źródła, czyli do definicji „danych osobowych” zawartej w RODO.

Zgodnie z treścią art. 4 pkt 1 tegoż rozporządzenia, „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Wskazana powyżej definicja zawiera w sobie cztery kumulatywne przesłanki, których łączne spełnienie wypełnia pojęcie „danych osobowych”:

  • Informacje (wł. „wszelkie informacje” – tak, jak w innych wersjach językowych, np. fr. „toute information”, ang. „any information”);
  • Dotyczące;
  • Zidentyfikowanej, lub możliwej do zidentyfikowania osobie;
  • Osoby fizycznej.

Pierwszą przesłankę należy interpretować możliwie szeroko, zważywszy na brzmienie art. 1 RODO, oddające perspektywę zapewnienia ochrony danych osobowych przez pryzmat jej celów. Podobne stanowisko zostało sformułowane także w opinii 4/ 2007 w sprawie pojęcia danych osobowych, wyrażone przez Grupę Roboczą ds. ochrony danych osobowych, powołaną na mocy art. 29 dyrektywy 95/ 46/ WE („Grupa Roboczą art. 29”). Mowa w niej jest o tym, iż „dla oceny osobowego wymiaru informacji nie ma znaczenia, czy mają one charakter obiektywny, czy subiektywny, jak również irrelewantne jest, w jaki sposób są utrwalone, w szczególności na jakim nośniku” [3].

Druga przesłanka dotyczy wymogu istnienia relacji pomiędzy informacją a osobą fizyczną, pomimo, iż znowu, w polskiej wersji językowej, ograniczono się do słowa „o” (informacje „o” zidentyfikowanej lub możliwej do zidentyfikowania osobie”, podczas, gdy w innych wersjach językowych mamy odmienne sformułowania, tj. fr. „se rapportant” ang. „relating to”).

Przesłanka identyfikalności wskazuje nam na konieczność posiadania przez informację waloru umożliwiającego w sposób bezpośredni lub pośredni ustalenie tożsamości konkretnej osoby fizycznej.

Ostatnia przesłanka wydaje się najbardziej oczywista, odnosi się bowiem do pojęcia „osoby fizycznej” w sensie cywilistycznym. Nie będzie zatem osobą fizyczną zmarły ani osoba prawna.

Nie wchodząc w szczegółowe rozważania dotyczące poszczególnych przesłanek, które składają się na definicję danych osobowych, skupmy się w tym momencie wyłącznie na kwestii „identyfikalności osoby fizycznej”, bowiem ta sprawa w istocie stanowi oś sporu, który toczy się wokół orzeczenia WSA, stojącego w sprzeczności ze stanowiskiem UODO, wcześniejszymi orzeczeniami TSUE oraz opiniami Grupy Roboczej Art. 29.

Stanowisko PUODO (wcześniej GIODO) w tej sprawie jest od samego początku konsekwentne (por. sygnalizacja GIODO z dnia 19 grudnia 2007 r., „nr telefonu stanowi dane osobowe w rozumieniu art. 6 ust. 1 {uchylonej} ustawy z dnia 19 sierpnia 1997 r. o ochronie danych osobowych, bowiem dotyczy możliwej do zidentyfikowania osoby fizycznej” oraz uzasadnienie decyzji GIODO z dnia 22 stycznia 2008 r. [4], w której czytamy, iż „informacje w zakresie: kod respondenta, numer telefonu i imię respondenta stanowią dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Wprawdzie ww. informacje rzeczywiście nie określają bezpośrednio tożsamości osoby, jednakże dają możliwość określenia tożsamości tych osób np. poprzez bezpośredni kontakt z respondentem. Z powyższego wynika więc jednoznacznie, że wskazane wyżej dane dotyczące respondentów stanowią informacje dotyczące możliwej do zidentyfikowania osoby fizycznej, a samo ustalenie tożsamości nie wymaga nadmiernych kosztów, czasu lub działań. Wobec tego, stosownie do treści cytowanego wyżej art. 6 ustawy, stanowią one dane osobowe)”.

Należy mieć również w pamięci, że w 2018 r. Prezes UODO jednoznaczne wskazała, iż tzw. „czarne listy pacjentów” na których znajdowały się wyłącznie numery telefonów pacjentów, do których mieli dostęp tylko lekarze, stanowi zbiór danych osobowych.

Doktryna przychyla się do stanowiska, iż numer telefonu będzie można zliczyć do kategorii danych osobowych dopiero po połączeniu go z innymi informacjami (np. imię i nazwisko, nr PESEL). Paweł Litwiński w komentarzu do RODO wskazuje, iż „sam numer telefonu w większości przypadków nie będzie stanowił danych osobowych”. Dopiero bowiem po ustaleniu, do kogo ów numer należy, przekształci się on w dane osobowe.

Biorąc pod uwagę powyższe, należy dobrze zrozumieć, co ustawodawca rozumie pod pojęciami „zidentyfikowana” i „możliwa do zidentyfikowania” osoba fizyczna.

„Zidentyfikowaną osobą fizyczną jest osoba, której tożsamość jest ustalona bezpośrednio i natychmiast” [5]. Grupa Robocza Art. 29 w opinii 4/ 2007 wskazuje, iż „osobę fizyczna można uznać za zidentyfikowaną, jeśli w grupie osób można ją odróżnić od wszystkich pozostałych członków grupy” [3].

„Możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można ustalić w sposób bezpośredni bądź pośredni” [6].

Motyw 26 Preambuły RODO wskazuje, że „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (fr. „raisonnablement susceptible, ang. „reasonably likely”), w stosunku do których istnieje uzasadnione prawdopodobieństwo (fr. „raisonnablement susceptible, ang. „reasonably likely”), iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.

Aby więc podjąć próbę odpowiedzi na postawione w tytule tego artykułu pytanie, warto również spojrzeć na przesłankę „identyfikalności” w wersji, którą zaproponował rzecznik generalny w pkt. 68 swojej opinii [5]. Zgodnie z tym stanowiskiem, oceniając możliwe do zastosowania sposoby aktywności administratora mające na celu identyfikację konkretnej osoby fizycznej, nie bierze on pod uwagę dowolnych środków, lecz jedynie te, wynikające z racjonalnych przesłanek, również w odniesieniu do osób trzecich. Jak wskazuje TSUE, odwołując się do tejże opinii, nie miałoby to miejsca w wypadku, gdyby kontakt z osobami trzecimi był nadmiernie kosztowny, niewykonalny lub bezprawny.

Podobne stanowisko zaprezentowała też Grupa Robocza Art. 29, w opinii 1/ 2008 [7], dotyczącej wyszukiwarek internetowych, stwierdzając, że „dopóki operator wyszukiwarki z całą pewnością nie jest w stanie wykluczyć zidentyfikowania użytkownika, wychodząc od jego adresu IP, należy taką informację traktować jako dane osobowe”. Jest to istotne stwierdzenie, dające wskazówkę sądom, po czyjej stronie leży ciężar dowodzenia w wypadku wątpliwości co do statusu danej informacji, którą, per analogiam, może być np. numer telefonu.

Z uwagi na to, że w samym RODO przyjęto koncepcję subiektywną przesłanki identyfikowalności, zgodnie z którą irrelewantne, z punktu widzenia dokonywania identyfikacji stają się informacje, których administrator nie wykorzystuje, mimo że mógłby to uczynić, w celu dokonania identyfikacji, a  perspektywa ocenna administratora i jego aktywności jest rozstrzygająca, dlatego pojęcie „danych osobowych” zostaje w znacznym stopni zrelatywizowane do określonej perspektywy, tracąc swój uniwersalny charakter [8].

Za relatywizacją pojęcia danych osobowych przemawia także podstawowa koncepcja RODO, czyli „podejście bazujące na ryzyku” (risk-based approach), zgodnie z którą na administratorze ciąży obowiązek dokonywania czynności w zakresie ochrony danych osobowych w oparciu o analizę ryzyka. Zgodnie z powyższym, spełnienie „przesłanki identyfikacyjnej” powinno być oceniane przez pryzmat podejmowanej przez administratora aktywności o określonym rozsądnym prawdopodobieństwie, ograniczonym jednak przez zobiektywizowane czynniki, takie jak czas potrzebny do owej identyfikacji, koszt czy dostępne narzędzia technologiczne (por. Motyw 26 zd. 4 RODO). Zobiektywizowane kryteria bowiem dają podstawę do dokonywania analizy ryzyka i uznania danej informacji za osobową, a w konsekwencji objęcia jej zakresem zastosowania RODO.

W opisanej we wstępie artykułu sprawie Prezes UODO zapowiedział złożenie skargi kasacyjnej do Naczelnego Sądu Administracyjnego. Jeśli tak się stanie, to biorąc pod uwagę powyższe i oczekując na ostateczne rozstrzygnięcie NSA, trudno jest jednoznacznie wskazać, za którym podejściem opowie się sąd. Jeśli przychyli się do stanowiska, prezentowanego konsekwentnie przez PUODO, zgodnego ze stanowiskiem wyrażanym w orzecznictwie TSUE oraz opiniach Grupy Roboczej Art. 29, to wyrok WSA winien zostać uchylony. Jeśli jednak NSA podzieli stanowisko sądu administracyjnego I instancji, uznając, iż pod pojęciem „danych osobowych” nie mieszczą się odizolowane informacje, takie jak np. sam nr telefonu, bez przyporządkowanej do niego konkretnej osoby, wtedy skarga PUODO na wyrok WSA zostanie oddalona.

 

Przypisy:

  1. Wyrok WSA w Warszawie z 13 kwietnia 2021 r., II SA/ Wa 1898/ 20, LEX nr 3185223.
  2. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z dnia 27 kwietnia 2016 r.w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  3. Opinia 4/ 2007 Grupy Roboczej art. 29 w sprawie pojęcia danych osobowych (WP 136).
  4. Decyzja nr DIS-DEC0150-42/ 1511, 1515, 1520/ 08/ 08, niepublikowana;
  5. Opinia rzecznika generalnego M. Camposa Sáncheza-Bordony przedstawiona w dniu 12 maja 2016 r. w sprawie C-582/ 14, Patrick Breyer v. Bundesrepublik Deutschland, CURIA, pkt 56.
  6. Punkt 40 Wyroku Trybunału Sprawiedliwości UE z dnia 19 października 2016 r., w sprawie C-582/ 14, Patrick Breyer v. Bundesrepublik Deutschland, CURIA.
  7. Opinia 1/ 2008 Grupy Roboczej art. 29 w sprawie ochrony danych związanych z wyszukiwarkami (WP 148);
  8. Paweł Litwiński Pojęcie danych osobowych w rozporządzeniu ogólnym o ochronie danych osobowych, Informacja w administracji publicznej nr 3/ 2016, s. 52.

Autor

Jarosław W. Mrożek

Radca prawny, audytor RODO, doradca restrukturyzacyjny i stały mediator sądowy.

Doświadczenie zawodowe zdobywał w warszawskich kancelariach prawnych oraz polskich i międzynarodowych spółkach. Doradzał spółkom z branży produkcyjnej, handlowej i budowlanej.

Autor artykułów branżowych oraz uczestnik licznych wydarzeń poświęconych procedurom ISO, cyberbezpieczeństwu, przeciwdziałaniu praniu pieniędzy oraz zapobieganiu terroryzmu i ochronie danych osobowych.

Z tej samej kategorii

Kategorie