Wojewódzki Sąd Administracyjny w Warszawie uznał, że skoro sam numer telefonu nie pozwala na identyfikację jego właściciela, to nie może być uznany za dane osobowe. Tym samym jego przetwarzanie na użytek telemarketingu nie podlega pod RODO.
Sąd uchylił decyzję prezesa Urzędu Ochrony Danych Osobowych nałożoną na spółkę, która dzwoni do abonentów i próbuje ich nakłonić do udziału w prezentacjach, a tak naprawdę do kupna towarów. Kupiła ona od innej spółki bazę numerów telefonicznych abonentów z konkretnego miasta, ale bez przypisanych do nich nazwisk czy dokładnych adresów. Jedna z osób, która odebrała telefon od telemarketera, powołując się na RODO, zażądała informacji, skąd wzięto jej numer. Firma odmówiła, uznając, że sam numer telefonu nie stanowi danych osobowych, a więc nie obejmują go obowiązki wynikające z RODO. UODO uznał inaczej i poza upomnieniem nakazał spółce udzielenie wszystkich dostępnych informacji na temat źródeł pozyskania jego danych, a także ich usunięcie, jako przetwarzanych bez podstawy prawnej.
Tożsamość nieznana
WSA w Warszawie doszedł do wniosku, że same numery telefoniczne, bez innych informacji o abonentach, nie stanowią danych osobowych.
„Jak trafnie wywiedziono w skardze, sam numer telefonu nie pozwala na identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacza numeru – abonenta lub osoby, która faktycznie używa danego numeru. Skoro nabyty przez spółkę zbiór danych (baza numerów telefonów) identyfikuje wyłącznie osoby zamieszkujące pewien teren (...) to sam numer telefonu nie jest wystarczający do identyfikacji konkretnej osoby, jako jednostki o przypisanych jej cechach indywidualnych. Nie sposób więc uznać, aby spółka dysponowała danymi osobowymi wnioskodawcy i je przetwarzała” – napisał w uzasadnieniu wyroku sąd (sygn. akt II SA/Wa 1898/20).
Dokonywana przez polskie sądy interpretacja wydaje się różnić nie tylko od podejścia UODO, ale i orzecznictwa TSUE
UODO nie zgadza się z tym orzeczeniem i zapowiada złożenie od niego kasacji. Przed sądem przekonywał, że identyfikacja po numerze telefonicznym jest nie tylko możliwa, ale i nie wymaga nadmiernych kosztów ani czasu. Dzwoniąc pod dany numer, telemarketer zmierzał do identyfikacji abonenta, próbując go nakłonić do wzięcia udziału w prezentacji towaru, co z kolei wiązało się z koniecznością podania imienia i nazwiska. Urząd odwołał się do opinii Grupy Roboczej Art. 29 (zastąpionej przez Europejską Radę Ochrony Danych), z której wynika, że jeśli firma podejmuje działania mające na celu identyfikację osoby, to przetwarzane w tym celu informacje powinny podlegać przepisom o ochronie danych.
„Twierdzenie, że osoby nie są możliwe do zidentyfikowania, podczas gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. Dlatego informacje takie należy uważać za dotyczące osób możliwych do zidentyfikowania, a przetwarzanie ich powinno podlegać przepisom dotyczącym ochrony danych” – wskazano w opinii 4/2007.
– Numer telefonu należący do osoby fizycznej jest zawsze przypisany do konkretnej osoby, gdyż to ona podpisuje umowę, ona się nim posługuje, z nią można się skontaktować, dzwoniąc na ten numer, i to ona (w założeniu i najczęściej) z niego korzysta. Nie ma więc znaczenia, czy ktoś posiada imię i nazwisko właściciela. Wystarczy zadzwonić, żeby ustalić, z kim prowadzimy rozmowę, i przedstawić potencjalnemu klientowi konkretny produkt – podkreśla Adam Sanocki, rzecznik prasowy UODO.
Raz tak, raz nie
Wyrok dotyka fundamentalnej z punktu widzenia RODO sprawy – czym w ogóle są dane osobowe. Zapytani przez DGP eksperci uznają za trafne stanowisko sądu.
– Sąd słusznie wskazał w uzasadnieniu wyroku, że niektóre dane – w zależności od ich powiązania z innym zbiorem informacji o osobach – mogą w pewnych sytuacjach stanowić dane osobowe bądź nimi nie być – zauważa Piotr Liwszic, ekspert ds. danych osobowych, autor serwisu z orzecznictwem RODO – Judykatura.pl, który pierwszy opisał ten wyrok.
– W przypadku skutecznego zidentyfikowania osoby fizycznej poprzez np. wykonanie połączenia telefonicznego – numer telefonu zacznie być daną osobową. Jedynie do momentu takiej identyfikacji numery telefonów nie stanowią takich danych – wyjaśnia ekspert.
– W realiach tej sprawy spółka nie miała innej możliwości, żeby połączyć numer telefonu z osobą fizyczną inaczej, niż dzwoniąc i zbierając dodatkowe dane. Skoro tak się nie stało, to nie wiedziała, czyj to numer telefonu, a nie więc nie przetwarzała danych osobowych – dodaje dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński.
To nie pierwszy wyrok, w którym polskie sądy podchodzą do definicji danych osobowych w sposób węższy niż UODO. Tak było też w sprawie dotyczącej warszawskich parkomatów, które wymagają wpisywania numerów rejestracyjnych aut. Naczelny Sąd Administracyjny uznał w swym wyroku, że nie można mówić o naruszeniu przepisów o ochronie danych osobowych, gdyż numery rejestracyjne w ogóle nie są danymi osobowymi.
NSA przyznał, że w orzecznictwie pojawiły się dwa poglądy. Zgodnie z pierwszym numery rejestracyjne nie pozwalają na identyfikację osoby (choćby dlatego, że z pojazdu mogą korzystać różni użytkownicy), zgodnie z drugim już tak.
„NSA w składzie orzekającym podziela pierwszy z poglądów, że brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych” – napisano w uzasadnieniu wyroku (sygn. akt I OSK 2063/17).
Prezes UDOO, mimo tego wyroku, wciąż stoi na stanowisku, że numery rejestracyjne aut mogą stanowić dane osobowe.
TSUE szerzej
Dokonywana przez polskie sądy interpretacja danych osobowych wydaje się różnić nie tylko od podejścia UODO, ale i orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej. Ten stoi bowiem na stanowisku, że już sama potencjalna możliwość identyfikacji konkretnej osoby może wystarczyć do uznania informacji za dane osobowe. W sprawie C-582/14 uznał on, że dynamiczne adresy IP stanowią dane osobowe, nawet jeśli administrator serwisu internetowego nie jest w stanie bezpośrednio połączyć go z konkretną osobą, ale dysponuje środkami prawnymi, które pozwalałyby na identyfikację.
Nasi rozmówcy uważają jednak, że nie musi to oznaczać rozbieżności w podejściu do samej definicji danych osobowych.
– Numer rejestracyjny pojazdu – w rękach osoby fizycznej, poza szczególnymi przypadkami, nie umożliwia ustalenia danych właściciela, ale już w rękach podmiotu mającego dostęp do bazy CEPiK jak najbardziej. Podobnie adres IP w rękach zwykłej osoby nie umożliwia identyfikacji abonenta, ale już np. policja takie możliwości posiada, nie mówiąc o operatorze, który ten adres nadał – zauważa dr Paweł Litwiński, zaznaczając, że nie zgadza się z podejściem NSA zaprezentowanym w wyroku dotyczącym warszawskich parkomatów.
Koniec końców wszystko zależałoby więc od tego, kto ma konkretne informacje i z jakimi jeszcze danymi może je powiązać.
– W sprawie C-582/14 TSUE wskazał, że aby dynamiczny numer IP stał się daną osobową, to administrator danych musi dysponować środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby. Odnosząc powyższe do komentowanego orzeczenia WSA w Warszawie, trudno poszukiwać takiego środka prawnego, w którego posiadaniu byłaby spółka kupująca bazę danych zawierającą same numery telefonu – zaznacza Piotr Liwszic.
Jakie informacje stanowią dane osobowe