Pierwszy z nich dotyczy odwiecznego dylematu – czy podmiot posiadający wyłącznie numer telefonu przetwarza dane osobowe. Drugi powód to kwestia tworzenia, przez podmiot przetwarzający “czarnych listy” osób, który nie życzą sobie kontaktu telefonicznego.
Mimo, że wyrok WSA w Warszawie nie jest najnowszym orzeczeniem tego Sądu, to dopiero kilka dni temu opublikowano jego uzasadnienie, którego lektura jest obowiązkowa dla każdego odpowiadającego za ochronę danych osobowych, a nie tylko dla działów marketingowych.
Pozostawię na marginesie to jak mało czytelne jest uzasadnienie Sądu, w którym główni “bohaterzy” są tak daleko zanonimizowani. Jeden podmiot został określony jako “[…] Sp. z o.o.” – moim zdaniem jest to administrator danych – podmiot, który zlecił działania marketingowe drugiemu podmiotowi, który to z koleji został określony jako “Spółka”- moim zdaniem podmiot przetwarzający, który “wyszedł” z tej roli.
Dla jasności i precyzji, co w każdej gałęzi prawa jest szalenie istotne, Sąd mógł, nie wielkim nakładem pracy, wprowadzić jakieś oznaczenie wskazanych podmiotów np. X i Y, A i B itd.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
Przechodząc do pierwszego tematu należy krótko przedstawić stan faktyczny.
Pewna firma zleciła pewnej firmie wykonanie akcji marketingowej polegającej na:
wykonywana przez Spółkę na rzecz administratora, w oparciu o postanowienia ww. Umów, miała polegać na wykonaniu połączenia na określony numer telefonu w celu ustalenia czy osoba, do której wykonywane jest połączenie zainteresowana jest informacjami dotyczącymi kursów języka angielskiego online oraz kontaktem ze strony administratora w tym zakresie.
Mówiąc innymi słowy – administrator zlecił podmiotowi przetwarzającego “zdobycie”:
numerów telefonów osób potencjalnie zainteresowanych kursem języka angielskiego
zgody osoby na kontakt telefoniczny z administratorem, co do przedstawienia oferty
Pozostawmy na boku – bo tak zrobił i organ nadzorczy jak i sąd – kwestię prawa telekomunikacyjnego i pojęcia “uprzedniej zgody”, o której mowa w art. 172 ust. 1 tejże ustawy.
Dane osób, które wyraziły na to zgodę były przedstawiane administratorowi
Wszelkie inne dane były natomiast usuwane, poza pozostawieniem numeru telefonu na tzw. “czarnej liście” – w celu zablokowania możliwości połączenia się z tym numerem przez konsultanta w przyszłości.
Jak nie trudno się domyśleć jedna z osób, która otrzymała taki telefon złożyła, w grudniu 2018 r. skargę do organu nadzorczego. W swojej skardze Obywatel wskazał podmiot przetwarzający jako administratora danych, bo nie miała wiedzy, że tak nie jest oraz wskazał, że brak jest podstaw do przetwarzania jego danych osobowych w celach marketingowych jak i nie spełniono wobec niego obowiązku informacyjnego, co do źródła pozyskania jego danych osobowych.
Prezes UODO dopiero w lutym 2022 r. wydał decyzję, w której nakazał firmie zlecającej działania marketingowego:
wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych T. R. poprzez usunięcie jego danych osobowych w zakresie numeru telefonu, przetwarzanych bez podstawy prawnej
I właśnie taki nakaz uchylił WSA w Warszawie. Sąd stwierdził, że:
zasadniczą kwestią, która wymagała rozstrzygnięcia w związku ze sprawą zawisłą przed Prezesem UODO było to, czy numer telefonu T. R., który został przekazany […] Sp. z o.o. przez firmę […] Sp. z o.o. na potrzeby realizacji zawartej miedzy stronami Ramowej umowy zlecenia, mieści się w pojęciu danych osobowych w rozumieniu art. 4 pkt 1 RODO.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
w ocenie Sądu, w świetle powyższych regulacji, jako trafne należy ocenić zarzuty skargi, że Prezes UODO w oparciu o zebrany w sprawie materiał dowodowy błędnie ustalił, iż […] Sp. z o.o. dysponując wyłącznie numerem telefonu przekazanym przez firmę […] Sp. z o.o. na potrzeby realizacji akcji marketingowej, przetwarzała dane osobowe T. R. – w rozumieniu art. 4 pkt 1 RODO.
w tym miejscu należy zaznaczyć, że obowiązkiem organu ochrony danych osobowych w ramach postępowania zainicjowanego skargą T. R. była ocena zasadności zarzutów skargi, a zatem ustalenie w pierwszej kolejności, czy […] Sp. z o.o. przetwarzała dane osobowe skarżącego w rozumieniu art. 4 pkt 1 RODO, a jeżeli tak, to czy miała do tego podstawę prawną.
dana osobowa to informacja o osobie możliwej do identyfikacji, a nie informacja umożliwiająca weryfikację tożsamości osoby fizycznej.
z poglądów doktryny oraz orzecznictwa sądów administracyjnych wynika, że numer telefonu może stanowić dane osobowe w sytuacji, gdy dysponent tego numer telefonu jest w posiadaniu także innych informacji, które umożliwiają identyfikację danej osoby fizycznej, takich jak np. imię i nazwisko, adres zamieszkania, nr PESEL. Możliwość identyfikowania osoby fizycznej należy bowiem odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną).
dla zakwalifikowania określonych informacji do danych osobowych nie może mieć przesądzającego znaczenia możliwość dokonania samoidentyfikacji przez osobę, której dane dotyczą.
nie można zatem zgodzić się z organem, że w sytuacji, gdy celem wykonywania połączeń telefonicznych przez konsultantów […] Sp. z o.o. w ramach prowadzonej akcji marketingowej było pozyskanie danych osobowych osób, do których wykonywane były te połączenia telefoniczne w zakresie ich imienia i nazwiska oraz miejsca zamieszkania, a tym samym istniała możliwość identyfikacji tych osób, to numer telefonu należy uznać za dane osobowe.
jest w niniejszej sprawie okolicznością niesporną, że w przypadku T. R. wykonane połączenie telefoniczne nie doprowadziło do pozyskania przez konsultanta jego danych osobowych, a sam numer telefonu nie dawał możliwości jego identyfikacji.
Skoro zatem numer telefonu nie pozwalał na identyfikowanie konkretnej osoby w oparciu o przypisane jej cechy indywidualne, nie sposób uznać, aby Spółka dysponowała danymi osobowymi T. R. i je przetwarzała.
przywołane przez organ w odpowiedzi na skargę orzeczenia sądów administracyjnych przyznające Straży Miejskiej uprawnienie do pozyskania danych osobowych użytkownika telefonu w celu ustalenia sprawcy wykroczenia, wbrew twierdzeniu organu, nie potwierdzają tezy, że sam numer telefonu stanowi dane osobowe (wręcz jej przeczą), gdyż Straż Miejska dysponując wyłącznie numerem telefonu nie była w stanie zidentyfikować sprawcy wykroczenia.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
skoro zatem Spółka wskazała, że dane osobowe skarżącego w postaci jego numeru telefonu są przetwarzane (przechowywane) przez Spółkę w bazie na tzw. “czarnej liście”, aby nie dopuścić do ponownego kontaktu ze skarżącym w celu prowadzenia kampanii marketingowych,to w tym aspekcie przetwarzania danych osobowych Spółka realizuje cel własny (odrębny od celu przetwarzania określonego ww. umowami łączącymi ją z […] Sp. z o.o.).
Przetwarzanie przez […] Sp. z o.o. numeru telefonu skarżącego na tzw. “czarnej liście”, ma na celu uniknięcie kontaktów ze skarżącym w przyszłości. Prezes UODO podniósł więc, że o ile Spółka wskazała cel przetwarzania danych osobowych skarżącego (tj. umieszczenie jego numeru telefonu na tzw. “czarnej liście”), to nie wykazała podstawy prawnej takiego przetwarzania skorelowanego z tym celem, tj. dalszego przetwarzania (przechowywania) danych osobowych skarżącego, w aspekcie którejkolwiek z przesłanek wskazanych w art. 6 ust. 1 RODO.
w ramach skróconej klauzuli informacyjnej, podawany był również link do pełnej klauzuli informacyjnej administratora.
Spółka wyjaśniła, że nie zdążyła spełnić obowiązku informacyjnego wobec skarżącego, ponieważ przedwcześnie zakończył on rozmowę, uniemożliwiając dopełnienie ww. obowiązku.
wobec jednak faktu, że Spółka, jak wskazała, obecnie samodzielnie decyduje o celach i środkach przetwarzania danych osobowych skarżącego poprzez przetwarzanie (przechowywanie) jego numeru telefonu na tzw. “czarnej liście”, w tym zakresie i celu przetwarzania stała się odrębnym od […] Sp. z o.o. administratorem danych.
wobec tego organ uznał, że Spółka od dnia umieszczenia numeru telefonu skarżącego na tzw. “czarnej liście”, zobligowana była na podstawie art. 14 RODO do wypełnienia obowiązku informacyjnego wobec skarżącego.
z uwagi jednak na fakt, że dane osobowe skarżącego mają zostać usunięte, Prezes UODO zaznaczył, że obowiązek informacyjny nie może być dopełniony wobec danych osobowych, które mają zostać usunięte. Żądanie to dotyczy bowiem danych, które nie będą istnieć w zasobach Spółki i w tym kontekście stoi ono w sprzeczności z żądaniem ich usunięcia. Usunięcie bowiem danych powoduje niemożliwość weryfikacji ewentualnego dopełnienia ww. obowiązku przez organ nadzorczy.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
