Gazeta Prawna
Orzecznictwo

Czy numer telefonu to dana osobowa? Przełomowy wyrok NSA

Kobieta trzymająca w dłoni telefon komórkowy
Nie można automatycznie przypisywać numerowi telefonu statusu danych osobowych, a co za tym idzie - mówić każdorazowo o naruszeniu RODOShutterstock
Justyna Klupa
Justyna Klupa
dzisiaj, 12:29

Czy sam numer telefonu wystarczy, żeby mówić o naruszeniu RODO? Prezes UODO nie miał wątpliwości, ale Naczelny Sąd Administracyjny właśnie wydał wyrok, który studzi emocje. Sprawdź, co to oznacza dla firm marketingowych i prywatności obywateli oraz dlaczego ten wyrok wcale nie daje zielonego światła dla uciążliwego cold callingu.

Skrót artykułu

Spór o ofertę hotelu: Od skargi do UODO po wyrok NSA

Sprawa zaczęła się od skargi osoby, która odebrała telefon z ofertą darmowego pobytu w hotelu. Po zażądaniu usunięcia danych i zaprzestania kontaktu, kolejny telefon nastąpił już następnego dnia.

Prezes Urzędu Ochrony Danych Osobowych (UODO) uznał, że doszło do bezprawnego przetwarzania danych osobowych w celach marketingowych. Jednak Naczelny Sąd Administracyjny (NSA) nie podzielił tej oceny, uchylając zarówno decyzję organu, jak i wcześniejszy wyrok sądu w Warszawie.

Ulga na złe długi: NSA o rozkładaniu płatności na raty
Zobacz także
Ulga na złe długi: NSA o rozkładaniu płatności na raty

Sednem sporu było jedno pytanie: czy sam numer telefonu, bez dodatkowych informacji, już stanowi daną osobową? Naczelny Sąd Administracyjny wydał wyrok w sprawie.

Czy numer telefonu to dana osobowa? Kluczowa definicja RODO

NSA oparł swoje stanowisko na przepisach RODO, podkreślając, że nie każda informacja pozwalająca na kontakt automatycznie identyfikuje osobę fizyczną. Rozstrzygnięcie w sprawie oparł na definicji danych osobowych z art. 4 pkt 1 RODO oraz na motywie 26 RODO.

- W uzasadnieniu wyraźnie zaznaczył, że o możliwości pośredniej identyfikacji nie decyduje wyłącznie treść samej informacji, lecz także potencjał konkretnego podmiotu do połączenia jej z informacjami dodatkowymi, przy uwzględnieniu „rozsądnie prawdopodobnych sposobów”, kosztu, czasu, dostępnej technologii oraz zgodności takiego działania z prawem. To w praktyce potwierdza relatywny, kontekstowy, charakter pojęcia danych osobowych – mówi Ewa Knapińska, radczyni prawna z kancelarii LBKP.

NSA zdecyduje, czy instytucja publiczna może zablokować obywatela w mediach społecznościowych
Zobacz także
NSA zdecyduje, czy instytucja publiczna może zablokować obywatela w mediach społecznościowych

Koniec z automatyzmem: NSA stawia na kontekst i realne możliwości identyfikacji

NSA uznał, że „sama możliwość wykonania połączenia telefonicznego nie stanowi o możliwości identyfikacji właściciela numeru telefonu”. Sąd – jak podkreśla radczyni prawna - ustalił bowiem, że spółka:

  • dysponowała wyłącznie numerem telefonu osoby, która złożyła skargę do UODO,
  • nie wiedziała nawet, który numer w zakupionym zbiorze należy do tej osoby, a także
  • nie miała dostępu do innych zasobów własnych ani cudzych, które pozwalałyby pewnie przypisać ten numer do konkretnej osoby.

Co to oznacza w praktyce? Sam fakt posiadania numeru nie wystarcza i nie skutkuje uznaniem numeru telefonu za daną osobową – trzeba ocenić, czy administrator ma realne możliwości przypisania go do konkretnej osoby, uwzględniając dostępne zasoby, technologie, koszty i legalność takiego działania.

Kiedy numer telefonu nie podlega pod RODO? Praktyczne wnioski dla firm

Jak podkreśla Ewa Knapińska z LBKP, wyrok nie zmienia wszystkiego, ale wprowadza potrzebną precyzję. Porządkuje bowiem dyskusję, która dotychczas bywała w praktyce prowadzona zbyt zero-jedynkowo.

- NSA nie powiedział, że numer telefonu nie jest daną osobową. Powiedział, że nie można zakładać tego automatycznie – trzeba najpierw ocenić, czy w konkretnym przypadku administrator może powiązać numer z określoną osobą fizyczną – wyjaśnia radczyni prawna.

Zwraca przy tym uwagę, że znaczenie ma każdorazowa analiza konkretnego przypadku – a nie automatyczne przypisywanie numerowi statusu danych osobowych. Dla firm to wyraźny sygnał: numer telefonu nie ma jednego, stałego statusu prawnego. Może nim być – ale nie zawsze.

- Jeśli numer telefonu w danym przypadku nie jest daną osobową, nie stosujemy do niego wówczas RODO, a co za tym idzie np. nie będzie konieczne spełnienie obowiązku informacyjnego. Sytuacja może się jednak zmienić, jeżeli numer zostanie później powiązany z dodatkowymi informacjami identyfikującymi osobę - tłumaczy Ewa Knapińska.

Co to oznacza w praktyce? Jeżeli nie istnieje możliwość powiązania numeru z osobą:

  • przepisy RODO mogą nie mieć zastosowania,
  • nie powstaje obowiązek informacyjny,
  • nie trzeba stosować pełnego reżimu ochrony danych.

Sytuacja zmienia się jednak natychmiast, gdy numer zostaje zestawiony z innymi informacjami – np. wpisem w CRM, adresem e-mail czy historią kontaktu.

Burzliwa dyskusja nad nowymi przepisami o adwokatach. Samorząd i ministerstwo wezwani do dialogu
Zobacz także
Burzliwa dyskusja nad nowymi przepisami o adwokatach. Samorząd i ministerstwo wezwani do dialogu

Uwaga: Marketing to nie tylko RODO. Pułapka kar finansowych nadal realna

Firmy i działy marketingu wciąż muszą zachować ostrożność. Radczyni prawna z kancelarii LBKP podkreśla, że wyrok NSA nie legalizuje cold callingu.

- Orzeczenia nie wolno odczytywać jako zgody na swobodny marketing telefoniczny. Niezależnie od RODO obowiązują obowiązki wynikające z przepisów o komunikacji elektronicznej, które wymagają uzyskania zgody na kontakt w celach marketingowych – informuje Ewa Knapińska.

Przepisy dotyczące komunikacji elektronicznej działają niezależnie od RODO i nadal wymagają uzyskania zgody na kontakt marketingowy. Bez niej wykonywanie połączeń może skutkować poważnymi karami finansowymi – nawet do 3% rocznego przychodu

Autopromocja
381453mega.png
381455mega.png
381148mega.png
Źródło: gazetaprawna.pl

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.

Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.

RODOdane osobowewyrok