UZASADNIENIE
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, “organ nadzorczy” “organ”) decyzją z […] września 2022 r. nr […], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm.) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1, art. 12 ust. 3, art. 17 ust. 1 lit. c, art. 21 ust. 2 i 3, art. 15 ust. 1 lit. g i art. 58 ust. 2 lit. b oraz c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako “RODO”, po przeprowadzeniu postępowania ze skargi I. C. (dalej: “skarżąca”, “uczestniczka postępowania”),
1) nakazał […] Sp. z o. o. z siedzibą w […] ([…]) uprzednio działająca poprzez swój oddział w Polsce – […] Sp. z o. o. Oddział w […] z siedzibą w […], wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych I. C. poprzez usunięcie jej danych osobowych w zakresie numeru telefonu (…),
2) udzielił […] sp. z o.o. z siedzibą w […] w […] (dalej: “Spółka”), działającej poprzez swój oddział w Polsce – […] sp. z o. o. Oddział w […] z siedzibą w […], upomnienia za naruszenie art. 15 ust. 1 RODO polegające na niezrealizowaniu żądania I. C. w zakresie prawa dostępu do danych w zakresie wskazania podstawy prawnej i źródła jej danej osobowej, tj. numeru telefonu (…).
Powołana decyzja zapadła w następujących okolicznościach faktycznych.
I. C. w piśmie z 21 września 2020 r. wniosła do Prezesa Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jej danych osobowych przez […] sp. z o. o. z siedzibą w […], działającej poprzez oddział w […]- […] sp. z o. o. z siedzibą w […], polegające na przetwarzaniu bez podstawy prawnej jej danych osobowych w celach marketingowych.
1. Spółka wykonała do skarżącej połączenia telefoniczne w dniu 18 września 2020 r. w celu przedstawienia oferty dotyczącej vouchera na hotel;
2. Podczas rozmowy telefonicznej z pracownikiem Spółki w dniu 18 września 2020 r. skarżąca zażądała usunięcia jej danych osobowych z bazy danych Spółki oraz zaprzestania wykonywania do niej połączeń. Skarżąca wniosła również o wskazanie podstaw prawnych przetwarzania jej danych przez Spółkę, w tym informacji o źródle pozyskania przez Spółkę jej numeru telefonu oraz informacji o udzielonej zgodzie na marketing telefoniczny;
3. Spółka pozyskała numer telefonu skarżącej na podstawie umowy o udostępnienie pakietu danych z dnia 1 lipca 2020 r. zawartej pomiędzy […] Sp. z o.o. z siedzibą w […] ([…]) a […] Sp. z o. o. z siedzibą w […] ([…]), posiadającej ówcześnie oddział w Polsce. Posiadana przez Spółkę baza numerów budowana jest w oparciu o numery telefonów, które Spółka nabywa w pakietach danych od współpracującego z nią podmiotu. Zgodnie z zawartą z tymże podmiotem umową o udostępnianie pakietów danych, numery telefonów (w tym numer skarżącej) wytypowane były w oparciu o kryterium geograficzne. Oznacza to, że udostępniane Spółce numery telefonów pochodziły z każdorazowo znanego konsultantowi obszaru geograficznego, na terenie którego organizowany był dany pokaz lub świadczona usługa. Pełnomocnik Spółki wskazał, że konsultantom nie była znana ich dokładna geolokalizacja;
4. Pełnomocnik Spółki oświadczył, iż Spółka wykonuje połączenia telefoniczne na posiadane przez Spółkę numery telefonów, jednakże bez przyporządkowanych do nich jakichkolwiek danych osobowych ich właścicieli lub użytkowników. Telemarketer kontaktujący się z daną osobą w imieniu Spółki nie zna jakichkolwiek danych osobowych rozmówcy, w tym imienia, nazwiska czy adresu zamieszkania, do czasu ich ewentualnego podania drogą telefoniczną, celem przesłania zaproszenia, vouchera lub dalszych informacji. Zgodnie z oświadczeniem pełnomocnika Spółki, nie prowadzi ona sprzedaży bezpośredniej w trakcie połączeń z odbiorcami końcowymi, zatem w trakcie połączeń z konsumentami nie składa ofert handlowych i nie promuje żadnych produktów handlowych;
5. Pełnomocnik Spółki oświadczył, iż dane osobowe skarżącej w zakresie jej imienia, nazwiska, adresu zamieszkania, numeru PESEL, numeru telefonu oraz adresu e-mail, Spółka pozyskała w związku z prowadzonym przez Prezesa UODO postępowaniem administracyjnym w niniejszej sprawie;
6. Spółka oświadczyła, że nie przetwarza danych osobowych skarżącej w celach marketingowych;
7. Numery telefonu, z których skarżąca otrzymała kwestionowane połączenia telefoniczne, tj. […] należą do Spółki;
8. Zdaniem Spółki sam numer telefonu skarżącej nie stanowi jej danych osobowych. Pełnomocnik Spółki wskazał, że cyt.: “Spółka nie posiadała danych osobowych skarżącej, stąd żądanie ich usunięcia w istocie było więc bezzasadne”;
9. Pełnomocnik Spółki oświadczył, iż Spółka nie mogła udzielić żadnej odpowiedzi w zakresie prawa dostępu do danych wynikającego z art. 15 ust. 1 lit. g rozporządzenia 216/679 oraz nie mogła usunąć danych osobowych z uwagi na brak pozyskania i przetwarzania tych danych. Ponadto Pełnomocnik Spółki podkreślił, iż skarżąca nie skierowała żadnego żądania w tym zakresie, a w aktach sprawy brak jest dowodu na tę okoliczność;
10. Spółka nie udzieliła odpowiedzi na żądanie skarżącej w zakresie prawa dostępu do jej danych osobowych złożonego ustnie podczas rozmowy z konsultantem w dniu 18 września 2020 r.;
11. Aktualnie Spółka przetwarza dane osobowe skarżącej w związku z niniejszym postępowaniem administracyjnym w celu wykonania ciążącego na niej obowiązku prawnego oraz w związku z obroną przed roszczeniami skarżącej;
12. W dniu 18 czerwca 2022 r. w Krajowym Rejestrze Sądowym uprawomocnił się wpis stanowiący o wykreśleniu […] Sp. z o.o., Oddział w […].
W opisanych okolicznościach faktycznych Prezes UODO wydał powołaną na wstępie decyzję z […] września 2022 r.
W uzasadnieniu rozstrzygnięcia wskazał, że skarżąca złożyła skargę na […] Sp. z o. o., Oddział w […] z siedzibą w […], działającej jako oddział zagranicznego przedsiębiorcy, jakim jest Spółka. Przytoczył w związku z tym stanowisko ujęte w wyroku Europejskiego Trybunału Sprawiedliwości z dnia 18 marca 1981 r. (sygn. akt ETS C-139/80), zgodnie z którym osoby upoważnione w oddziale do reprezentowania przedsiębiorcy zagranicznego mogą skutecznie działać w jego imieniu przed sądami powszechnymi w sprawach dotyczących oddziału. W tym orzeczeniu ETS uznał, że pojęcie “oddziału, agencji lub każdego innego zakładu jest równoznaczne z istnieniem centrum operacyjnego, które manifestuje się w sposób trwały na zewnątrz jako przedłużenie przedsiębiorstwa macierzystego, ma dyrekcję i jest materialnie wyposażone tak, aby istniała możliwość negocjowania spraw z osobami trzecimi w taki sposób, aby ci ostatni, wiedząc, że zostanie nawiązany ewentualny stosunek prawny z przedsiębiorstwem macierzystym z siedzibą za granicą, byli zwolnieni z konieczności bezpośredniego zwrócenia się do niego i mogli prowadzić interesy z centrum operacyjnym, które stanowi jego przedłużenie. Wszelkie działania dokonane przez oddział przedsiębiorcy zagranicznego oraz wobec tego oddziału odnoszą bezpośrednio skutek prawny w stosunku do przedsiębiorcy zagranicznego”.
Zatem – co potwierdza wyrok Wojewódzkiego Sądu Administracyjnego w Gorzowie Wielkopolski z dnia 22 maja 2013 r., sygn. akt II SA/Go 199/13 – że w zaistniałej sytuacji to przedsiębiorca zagraniczny staje się podmiotem praw i obowiązków wynikających z decyzji i to on uczestniczy w postępowaniu administracyjnym jako strona.
Zgodnie z art. 3 ust. 2 lit. a RODO, rozporządzenie ma zastosowanie do przetwarzania danych osobowych osób, których dane dotyczą, przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty.
Prezes UODO odwołał się do definicji danych osobowych zawartej w art. 4 ust. 1 rozporządzenia 2016/679 i podniósł, że możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Przy weryfikacji, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania osoby fizycznej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania oraz technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny.
Organ nadzorczy dodał, że Grupa Robocza ds. ochrony danych osobowych, powołana na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady WE w sprawie pojęcia danych osobowych w opinii 4/2007 wywiodła m. in., że “(…) tożsamość osoby można ustalić bezpośrednio poprzez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwią odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.)”.
Zdaniem organu, w przedmiotowym postępowaniu mamy do czynienia z pośrednią identyfikacją skarżącej poprzez jej numer telefonu. Dodatkowo z zebranego materiału dowodowego wynika, że posiadane przez Spółkę, numery telefonu wytypowane były w oparciu o kryterium geograficzne. Oznacza to, jak sama Spółka wskazuje, że udostępnione numery telefonów pochodziły z każdorazowo znanego konsultantowi obszaru geograficznego, na terenie którego organizowany był pokaz lub świadczona usługa.
Powyższe dodatkowe informacje w połączeniu z posiadanymi przez Spółkę numerami telefonu stanowią dodatkowe kryterium indywidualizujące określoną osobę fizyczną.
Na poparcie swojego stanowiska organ przywołał wyrok z 11 października 2013 r., sygn. II SA/Kr 682/13, w którym WSA w Krakowie wywiódł, że podanie numeru telefonu i adresu poczty internetowej stanowi podanie danych osobowych.
Konkludując powyższe, Prezes UODO stwierdził, że z uwagi na działania nakierowane na identyfikację rozmówcy, brak nadmiernych kosztów i czasu, jakich potrzeba na jej dokonanie, przetwarzanie numeru telefonu I. C. stanowi przetwarzanie jej danych osobowych i podlega przepisom dotyczącym ochrony danych osobowych.
W niniejszej sprawie numer telefonu wykorzystywany jest w celu skontaktowania się z konkretną osobą, tj. z posiadaczem tego numeru. Nie ma znaczenia przy tym uprzednie posiadanie informacji o imieniu i nazwisku osoby, ponieważ jest ona w ocenie niniejszego organu, już w chwili pozyskania numeru telefonu, identyfikowalna za pomocą tej danej. Wobec powyższego przetwarzanie przez Spółkę numeru telefonu skarżącej stanowi przetwarzanie jej danych osobowych.
Spółka pozyskała numer telefonu skarżącej nabywając pakiet danych (numerów telefonu) na podstawie umowy o udostępnienie pakietu danych z dnia 1 lipca 2020 r. zawartej pomiędzy […] Sp. z o.o. z siedzibą w […] ([…]) a […] Sp. z o.o. z siedzibą w […] ([…]). Skarżąca, w związku z telefonami, które otrzymała, zwróciła się do Spółki w dniu 18 września 2020 r. z żądaniem usunięcia jej danych osobowych z bazy danych Spółki. Spółka odmówiła skarżącej realizacji jej żądania, powołując się na stanowisko według którego numer telefonu, w posiadaniu którego Spółka się znajdowała, nie stanowi danej osobowej. Jak jednak wskazano powyżej z uwagi na działania nakierowane na identyfikację skarżącej, brak nadmiernych kosztów i czasu, jaki potrzeba na jej dokonanie należy uznać, że przetwarzanie numeru telefonu skarżącej podlega przepisom, dotyczącym ochrony danych osobowych.
Według organu nadzorczego przetwarzanie numeru telefonu I. C. nie znajdowało oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych, w tym w art. 6 ust. 1 lit. f RODO, który stanowi, że przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Organ wyjaśnił, że RODO w motywie 47 dopuszcza możliwość prowadzenia marketingu bezpośredniego na podstawie prawnie uzasadnionych interesów administratora. Aby jednak przetwarzanie danych było dopuszczalne na podstawie art. 6 ust. 1 lit. f RODO, interesy administratora danych muszą być nadrzędne wobec praw i wolności osób, których dane dotyczą. Uznaje się zatem, że powyższa przesłanka jest spełniona w przypadku, kiedy podmiot danych może oczekiwać przetwarzania dla tych celów – tj. między innymi w przypadku, w którym pomiędzy osobą a administratorem istnieje relacja prawna, np. strony wiąże umowa.
W przedmiotowej sprawie nie było podstaw, na podstawie których skarżąca mogła spodziewać się zarówno pozyskania, jak i przetwarzania jej danych osobowych dla celów marketingu bezpośredniego. Nie zachodziło bowiem żadne powiązanie pomiędzy skarżącą a Spółką. Spółka nie miała podstaw do pozyskania oraz następczo przetwarzania danych osobowych skarżącej. Sama umowa o udostępnienie pakietu danych nie jest bowiem przesłanką legalizującą proces przetwarzania. Odmienne stanowisko oznaczałoby możliwość swoistego następczego wykreowania podstawy prawnej dla procesu przetwarzania, podczas gdy zachodziłby brak podstawy pierwotnej w przepisach o ochronie danych osobowych. Takie działanie narusza interesy skarżącej z uwagi na fakt, że nie może ona spodziewać się przetwarzania, a w konsekwencji ograniczona zostaje możliwość realizacji jej praw, w tym między innymi podjęcia czynności zmierzających do wstrzymania przetwarzania przez administratora. W tych okolicznościach uznać należy interesy skarżącej za nadrzędne wobec interesu administratora.
W związku z powyższym pozyskując i przetwarzając jej dane Spółka naruszyła art. 6 ust. 1 RODO.
W ocenie organu, wykonywane do skarżącej przez Spółkę połączenia telefoniczne, zachęcające do skorzystania z usług podmiotu trzeciego, stanowiły informacje o treści marketingowej. Pojęcie marketingu bezpośredniego nie jest co prawda wprost zdefiniowane w przepisach o ochronie danych osobowych, jednak w ocenie Prezesa UODO, za marketing bezpośredni należy rozumieć ogół działań administratora danych, które poprzez przekazywanie informacji do indywidualnych podmiotów, mają na celu wywołanie reakcji ze strony osoby, której dane dotyczą. Konsekwentnie uznać trzeba, że połączenia telefoniczne wykonywane na numer telefonu skarżącej, służyły do promowania wizerunku i usług Spółki oraz podmiotów z nią współpracujących. Tym samym działanie Spółki nakierowane było na wywołanie reakcji skarżącej i osiągnięciu korzyści stricte handlowych.
Wobec powyższego połączenia te stanowiły informacje handlowe w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, m.in. ze względu na chęć wywołania pożądanej przez Spółkę reakcji podmiotu danych, a także promocję czy umocnienie wizerunku Spółki.
Skarżąca przedmiotem swojej skargi uczyniła także niespełnienie przez Spółkę jej żądania dotyczącego wskazania podstaw prawnych przetwarzania jej danych przez Spółkę (informacji o udzielonej zgodzie na marketing telefoniczny), a także informacji o źródle pozyskania przez Spółkę jej numeru telefonu. Skarżąca posiada takie prawo określone w art. 15 ust 1 RODO. Obowiązek informacyjny, wynikający z tego przepisu, jest szczególnego rodzaju obowiązkiem wobec prawa jednostki do kontroli przetwarzania jej danych osobowych. Jest on realizowany na wniosek osoby, której dane dotyczą i w sposób indywidualny, tj. w zakresie jej danych osobowych (okoliczności przetwarzania). Administrator w każdej sytuacji powinien się kierować zasadami podstawowymi wyrażonymi w art. 5 RODO, w tym zasadą rzetelności i przejrzystości, przede wszystkim w zakresie udzielania informacji na temat przetwarzania danych osobowych. Z tego powodu należy przyjąć, że niezależnie od zakresu postanowień art. 15 ust. 1 RODO, treść przekazanych informacji może wykraczać poza wskazany w nim zakres zwłaszcza w sytuacji, gdy administrator danych posiada stosowne informacje i może ich z łatwością udzielić. Dotyczy to np. wskazania podstawy prawnej określonej formy komunikacji.
Należy zgodzić się z opinią wyrażoną w piśmiennictwie, że cyt.: “poinformowanie o okolicznościach przetwarzania danych osobowych zmniejsza niepewność podmiotu danych co do tego, w jaki sposób konkretny administrator dysponuje jej sferą informacyjną” (M. Sakowska-Baryła, Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018, s. 230).
Zgodzić się należy również, że cyt.: “zważywszy na zasadę rzetelności i przejrzystości przetwarzania, uzasadnione jest przyjmować, że tak określony katalog informacji [dla tej sprawy zawarty w art. 15 ust. 1 RODO – przypis UODO] może być uzupełniony o inne informacje istotne dla konkretnej osoby w danych okolicznościach przetwarzania danych, zwłaszcza gdy osoba ta żąda od administratora dodatkowych informacji albo gdy administrator sam uzna, że zasadne jest jej szersze poinformowanie” (tamże, s. 234).
Zgodnie z przepisami RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz poszczególnych informacji, w tym jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkich dostępnych informacji o ich źródle (art. 15 ust. 1 pkt. g RODO), jak również informacji o podstawie prawnej przetwarzania danych. Spółka, przetwarzając dane osobowe skarżącej w zakresie jej numeru telefonu, była zatem zobligowana zrealizować żądanie skarżącej w ww. zakresie. Jednakże, jak wynika z zebranego materiału dowodowego, Spółka nie zrealizowała żądania skarżącej powołując się na przywołane już wyżej stanowisko, zgodnie z którym numer telefonu nie stanowi danej osobowej skarżącej. Jak jednak wykazało niniejsze postępowanie administracyjne należy uznać, że przetwarzanie numeru telefonu skarżącej podlega przepisom dotyczącym ochrony danych osobowych, w związku z czym Spółka zobowiązana była do udzielenia odpowiedzi na ww. żądanie skarżącej.
Poczynione w sprawie ustalenia faktyczne oraz prawne, wykazały że Spółka pozyskała i przetwarza dane osobowe skarżącej, w zakresie jej numeru telefonu, bez podstawy prawnej.
Ponadto, Spółka dokonała naruszenia przepisów o ochronie danych osobowych nie ustosunkowując się do żądania skarżącej w zakresie usunięcia jej danych ze swojej bazy danych, w terminie wskazanym w przepisach RODO oraz odmawiając realizacji przysługującego skarżącej prawa dostępu do danych.
Prezes UODO stwierdził, że w związku ze stwierdzonym naruszeniem art. 6 ust. 1 RODO, tj. pozyskania i przetwarzania danych osobowych skarżącej w postaci jej numeru telefonu bez podstawy prawnej w celach marketingowych, istnieją podstawy do zastosowania przepisu art. 58 ust. 2 lit. c RODO. W myśl tego przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Prezes UODO nakazuje administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO. Zaistniała zatem niezbędna przesłanka do wydania decyzji nakazującej usunięcie danych osobowych skarżącej w zakresie obejmującym numer telefonu z baz danych Spółki.
W przedmiocie żądania skarżącej dopełnienia wobec niej obowiązku informacyjnego wynikającego z art. 15 ust. 1 RODO, dotyczącego wskazania podstawy prawnej przetwarzania danych oraz ich źródła zgodnie z art. 15 ust. 1 lit g RODO, realizowanego na wniosek osoby, której dane dotyczą, organ wskazał, że nie może on być dopełniony wobec danych osobowych, które mają zostać usunięte. Żądanie to dotyczy danych, które nie będą istnieć w zasobach Spółki i w tym kontekście stoi ono w sprzeczności z żądaniem ich usunięcia. Usunięcie bowiem danych powoduje niemożliwość weryfikacji ew. dopełnienia ww. obowiązku przez organ nadzorczy. Dlatego też w tym zakresie udzielono Spółce upomnienia na podstawie art. 58 ust. 2 lit. b RODO.
[…] sp. z o.o. z siedzibą w […] w […] pismem z 2 listopada 2022 r. skierowała do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z […] września 2022 r.
Spółka zarzuciła zaskarżonej decyzji:
1. mające wpływ na wynik sprawy naruszenie przepisu postępowania, tj. art. 105 § 1 k.p.a. poprzez brak umorzenia postępowania w części i wydanie decyzji nakazującej skarżącej usunięcie danych w postaci numeru telefonu I. C., w sytuacji gdy pozyskane na podstawie umowy o udostępnieniu pakietu danych z dnia 1 lipca 2020 r. numery telefonów, w tym należący do uczestniczki, zostały usunięte wraz z likwidacją […] sp. z o.o. Oddział w Polsce, co z uwagi na wielość toczonych przy udziale skarżącej postępowań administracyjnych przed Prezesem Urzędu Danych Osobowych było wiadome organowi z urzędu, a zatem zaskarżona decyzja we wskazanym zakresie była niewykonalna w dniu jej wydania i niewykonalność ta ma charakter trwały, co stanowi podstawę do stwierdzenia nieważności decyzji w części z uwagi na art. 156 § 1 pkt 5 k.p.a.
2. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj.:
a) art. 4 pkt 1 RODO poprzez błędne uznanie, że numer telefonu wraz z ogólną daną geolokalizacyjną stanowi dane osobowe umożliwiające zidentyfikowanie osoby fizycznej w sytuacji, w której numer telefonu nie jest informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę, gdyż taki zbiór danych nie pozwala na ustalenie przez Spółkę tożsamości osoby, która się nim posługuje i w żaden sposób nie wskazuje na personalia tej osoby;
b) art. 4 pkt 2 RODO poprzez błędne uznanie, że Spółka przetwarzała dane osobowe I. C. w sytuacji, w której brak możliwości przypisania Spółce jakiejkolwiek roli w procesie przetwarzania danych osobowych w postaci wyłącznie numeru telefonu, w tym na potrzeby marketingu bezpośredniego, gdyż dane te nie stanowią danych osobowych w rozumieniu RODO;
c) art. 4 pkt 7 i pkt 8 RODO poprzez błędne uznanie, że Spółka pełniła rolę administratora danych osobowych lub podmiotu przetwarzającego w sytuacji,
w której ani samodzielnie, ani wspólnie z innymi, w ramach prowadzonej działalności gospodarczej nie decydowała o celach i środkach przetwarzania danych osobowych, nie przetwarzała również danych osobowych I. C. w imieniu administratora;
d) art. 6 ust. 1 lit. a RODO poprzez jego zastosowanie, podczas gdy Spółka nie przetwarza danych osobowych w rozumieniu tego rozporządzenia;
e) art. 11 ust. 1 w zw. z motywem 57 RODO poprzez nieprawidłowe przyjęcie przez organ, że do czynności realizowanych przez Spółkę, a objętych zaskarżoną decyzją, zastosowanie znajduje RODO, podczas gdy w toku podejmowanych przez Spółkę czynności objętych decyzją nie dochodzi do przetwarzania danych osobowych, a Spółka nie jest obowiązana do ich pozyskiwania wyłącznie w celu zastosowania RODO;
f) art. 12 ust. 3 RODO w zw. z art. 17 ust. 1 RODO poprzez błędne uznanie, że Spółka dopuściła się uchybienia polegającego na nieusunięciu danych osobowych I. C., w sytuacji, w której:
Spółka nie była obowiązana do usunięcia danych osobowych, w związku z brakiem przetwarzania przez nią danych osobowych I. C., w tym na potrzeby marketingu bezpośredniego i niestosowaniem RODO do podejmowanych czynności, pomimo braku ciążącego na Spółce obowiązku usunęła numer I. C., pomimo tego, iż danych osobowych on nie stanowi.
Spółka nie przetwarzała danych osobowych I. C. bez podstawy prawnej w celach marketingowych.
– Spółka nie prowadzi działalności o charakterze marketingu bezpośredniego,
– Spółka nie pełniła roli administratora danych osobowych I. C.;
g) art. 15 ust. 1 RODO poprzez błędne uznanie, że Spółka dopuściła się uchybienia polegającego na niezrealizowaniu żądania I. C. w zakresie wskazania podstawy prawnej oraz źródła przetwarzania jej danych osobowych w postaci numeru telefonu, podczas gdy numer telefonu nie jest daną osobową w rozumieniu RODO, w związku z czym nie dochodziło do przetwarzania danych osobowych, a Spółka nie pełniła roli administratora danych. Tym samym, wobec Spółki nie znajduje zastosowania ww. przepis;
h) art. 58 ust. 2 lit. c RODO poprzez błędne uznanie, że Spółka pełniła rolę administratora danych lub podmiotu przetwarzającego w sytuacji, w której przywołany przepis przyznaje uprawnienie organowi nadzorczemu do udzielania upomnień lub nakazania spełnienia żądania osoby, której dane dotyczą – wyłącznie administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania, co w opisanej sytuacji nie może mieć miejsca, z uwagi na brak pełnienia ww. ról przez Spółkę;
i) art. 58 ust. 1 w zw. z art. 11 ust. 1 RODO, poprzez wyjście poza zakres przyznanych tut. organowi kompetencji i wydanie decyzji w stosunku do podmiotu niepełniącego roli administratora lub podmiotu przetwarzającego dane osobowe i nie przetwarzającego danych osobowych w zakresie wskazanym w treści decyzji, podczas gdy zakres kompetencji organu nadzorczego dotyczy uprawnień wyłącznie względem podmiotów dokonujących czynności przetwarzania oraz pełniących w tym procesie odpowiednią role;
3. naruszenie przepisów postępowania w sposób mogący mieć wpływ na wynik sprawy, w szczególności:
a) art. 8, art. 11 k.p.a. poprzez zaniechanie odniesienia się do stanowiska zawartego w pismach Spółki, w szczególności przedstawionej argumentacji oraz załączonych dokumentów oraz zaniechanie pełnego uzasadnienia decyzji, a w konsekwencji uniemożliwienie pełnego ustosunkowania się Spółki do decyzji organu;
b) art. 7 k.p.a., art. 77 § 1 k.p.a. oraz art. 80 k.p.a. poprzez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością, a co za tym idzie, przyznanie I. C. racji w zakresie złożonej przez nią skargi do organu w sytuacji, w której:
– sam numer telefonu, nawet także w połączeniu z ogólną daną geolokalizacyjną, bez innych danych umożliwiających ustalenie podmiotu danych, nie stanowi danej osobowej umożliwiającej zidentyfikowanie osoby fizycznej,
– Spółka nie posiadała danych osobowych I. C., tym samym nie przetwarzała danych osobowych dla celów marketingowych bez podstawy prawnej,
– Spółka nie prowadzi działalności o charakterze marketingowym, w tym na potrzeby marketingu bezpośredniego,
– Spółka nie pełniła roli administratora, współadministratora ani podmiotu przetwarzającego dane osobowe I. C. w rozumieniu art. 4 pkt 1 RODO,
– Spółka nie pozyskiwała danych osobowych od innego podmiotu, pozyskała wyłącznie bazę danych, wśród której znajdowały się wyłącznie numery telefonów,
– Spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą,
– celem kierowanych połączeń przez Spółkę nie były działania nakierowane na identyfikację osób;
c) art. 6 k.p.a. i art. 7 k.p.a. poprzez prowadzenie przedmiotowego postępowania w sposób niezgodny z zasadami praworządności, demokratycznego państwa prawa oraz pewności prawa, przejawiające się w:
– braku odniesienia się przez organ do wszystkich zarzutów i twierdzeń podniesionych w pismach Spółki kierowanych do organu,
– braku ponownego zbadania sprawy na skutek uzupełnienia stanowiska przez Spółkę, w tym przedłożenia umów łączących skarżącą z podmiotem udostępniającym bazę danych nieosobowych, zawierającą wyłącznie numery telefonu,
d) art. 8 k.p.a. i art. 11 k.p.a. poprzez prowadzenie przedmiotowego postępowania w sposób niezgodny z zasadą przekonywania i pogłębiania zaufania do organów administracji, przejawiające się w:
– zaniechaniu pełnego uzasadnienia decyzji,
– nieustosunkowaniu się do podniesionych twierdzeń i dowodów Spółki;
e) art. 124 § 2 k.p.a. poprzez nie zawarcie w uzasadnieniu zaskarżonego postanowienia uzasadnienia faktycznego obejmującego wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz przyczyn z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej;
a w konsekwencji powyższych naruszeń:
4. błąd w ustaleniach faktycznych i nieuprawnione przyjęcie, że:
a) Spółka nawiązała połączenie telefoniczne o charakterze marketingowym w sytuacji, w której Spółka nie prowadzi działalności marketingowej i nie wykonuje połączeń o tym charakterze,
b) Spółka przetwarzała dane osobowe w zakresie numeru telefonu I. C. bez podstawy prawnej w celach marketingowych w sytuacji, w której numer telefonu nie stanowi danych osobowych, a Spółka nie przetwarza żadnych danych osobowych w celach marketingowych,
c) Spółka wykonywała połączenia telefoniczne mające na celu zachęcenie do skorzystania z usług oferowanych przez podmioty współpracujące ze Spółką, które to informacje stanowiły treści marketingowe, w sytuacji, w której Spółka nie promuje określonego, konkretnego produktu, konkretnego podmiotu – beneficjenta czynności marketingowych, a także nie dokonuje sprzedaży produktów ani nie oferuje takiej możliwości w trakcie bezpośredniego kontaktu z konsumentem.
W uzasadnieniu podniesionych w skardze zarzutów naruszenia art. 4 pkt 1, pkt 2, pkt 7 i pkt 8 RODO (zawierających definicje danych osobowych, przetwarzania oraz administratora i podmiotu przetwarzającego), Spółka podniosła m.in., że nie pełniła roli administratora, współadministratora, ani podmiotu przetwarzającego dane osobowe I. C., ponieważ nie dokonywała czynności przetwarzania jej danych, które nosiłyby przymiot danych osobowych w rozumieniu art. 4 pkt 1 RODO.
Zdaniem Spółki, nie jest prawidłowe zapatrywanie organu, że posiadane przez nią numery telefonów stanowią dane osobowe w rozumieniu przepisów RODO.
Spółka podkreśliła, że wykonuje połączenia telefoniczne pod posiadane numery telefonów, otrzymane (nabyte) od współpracującego podmiotu w ramach każdorazowo odrębnie generowanych pakietów danych, jednakże bez przyporządkowanych do nich jakichkolwiek danych osobowych ich właścicieli lub użytkowników. Jej pracownicy, kontaktując się z daną osobą, nie znają jakichkolwiek danych osobowych rozmówcy, w tym imienia, nazwiska, czy adresu zamieszkania, do czasu ich ewentualnego podania przez rozmówcę drogą telefoniczną, celem przesłania zaproszenia na pokaz, czy prezentację. Rozmowy telefoniczne mają na celu zainteresowanie rozmówcy udziałem w organizowanych spotkaniach lub prezentacjach, nie zaś pozyskanie danych identyfikacyjnych rozmówcy (dopiero w przypadku wyrażenia woli udziału w spotkaniu rozmówca wyrażał zgodę na przetwarzanie jego danych osobowych i podawał niezbędne dane w celu udziału w spotkaniu). Spółka podkreśliła, że I. C. nie podała konsultantowi swoich danych osobowych.
Spółka odwołała się do definicji danych osobowych zawartej w art. 4 pkt 1 RODO, motywu 26 Preambuły RODO oraz wyroków NSA z dnia 19 stycznia 2010 r. sygn. akt I OSK 491/09, z dnia 19 maja 2011 r. sygn. akt I OSK 1086/10, z dnia 22 listopada 2016 r., sygn. akt I OSK 496/15 i stwierdziła, że tylko i wyłącznie informacje, które bez nadzwyczajnego wysiłku oraz bez nieproporcjonalnie dużych nakładów dają się powiązać z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych. Spółka podkreśliła, że nie dysponowała środkami prawnymi, technicznymi bądź organizacyjnymi, umożliwiającymi dokonanie identyfikacji podmiotów, z którymi kontaktowali się jej przedstawiciele. Spółka nie była również w stanie przypisać danego numeru telefonu do konkretnej osoby fizycznej, gdyż jak już podniesiono do momentu ewentualnego podania danych osobowych przez rozmówcę rozmowa odbywała się anonimowo. Prowadzi to do stwierdzenia, iż numer telefonu bez pozostałych danych nie pozwalał Spółce na ustalenie danych osobowych skarżącej. Numer telefonu nie posiada dla Spółki żadnego waloru informacyjnego, gdyż Spółka nie dysponuje żadnymi narzędziami czy rozwiązaniami technicznymi umożliwiającymi identyfikację osoby fizycznej.
Spółka podniosła, że wyrok WSA w Krakowie z dnia 11 października 2013 r. sygn. akt II SA/Kr 682/13, na który powołał się organ w zaskarżonej decyzji, wydany został na gruncie nieobowiązującej już ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. O tym, że orzecznictwo to nie jest aktualne w odniesieniu do obecnie obowiązujących przepisów dotyczących ochrony danych osobowych świadczy wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 maja 2021 r., sygn. akt II SA/Wa 1898/20.
Spółka dodała, że w doktrynie (Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. dr Paweł Litwiński, 2018, Legalis; Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. dr Paweł Litwiński, 2021) podkreśla się, że sam numer telefonu w większości przypadków (tj. z wyjątkiem sytuacji, gdy administrator danych – dysponent informacji – będzie miał również inne informacje, które umożliwiają identyfikację osoby fizycznej), nie będzie stanowił danych osobowych. Możliwość identyfikowania osoby fizycznej należy odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe – identyfikować konkretną osobę fizyczną.
Rozwijając tę myśl, Spółka podniosła, że organ przyjmując, że numer telefonu nie stanowi informacji o zidentyfikowanej osobie, ale stanowi informację o możliwej do zidentyfikowania osobie fizycznej, powinien tę okoliczność wykazać poprzez wskazanie sposobu identyfikacji podmiotu danych. Prezes UODO powinien szczegółowo rozważyć kwestię możliwości i łatwości identyfikacji podmiotów danych, a także osiągnięcie faktycznego skutku w postaci dokonania rzeczywistej i prawidłowej identyfikacji podmiotu danych i w ten sposób wykazać, że Spółka była w posiadaniu sposobu pozwalającego na jednoznaczną identyfikację podmiotów danych, czyli przypisanie numeru telefonu do konkretnej osoby, tj. abonenta – właściciela tego numeru.
Zdaniem Spółki, nie można tracić z pola widzenia, że w ostatnich latach w sposób znaczący rozwinęła się świadomość społeczeństwa w zakresie ochrony danych osobowych. Przeciętny konsument odmawia podania swoich danych osobowych w sytuacji, gdy jest proszony o ich podanie przez telemarketera, czy inną osobę której tożsamości nie jest w stanie zweryfikować. Sytuacje, w których konsumenci podają swoje dane osobowe, występują wyłącznie w przypadku zainteresowania przedstawianą ofertą lub chęcią udziału w akcji promocyjnej.
W takiej sytuacji przetwarzanie danych będzie następowało dopiero od chwili pozyskania danych podmiotu i będzie odbywało się legalnie (na podstawie udzielonej zgody). Nieprzekazanie przez podmiot danych informacji pozwalających na jego identyfikację powoduje, że Spółka nie tylko nie posiada danych osobowych podmiotu danych, ale także traci jakąkolwiek możliwość pozyskania danych abonenta, które w zestawieniu z posiadanym numerem telefonu mogłyby stanowić dane osobowe.
W ocenie Spółki, Prezes UODO bezpodstawnie i nietrafnie łączy pojęcie możliwości identyfikacji danej osoby z podjęciem dalszych czynności skutkujących rozszerzeniem katalogu posiadanych danych dotyczących osoby, które mogą prowadzić do uzyskania dodatkowych danych osobowych i nieprawidłowo przyjmuje, że wykonanie połączenia telefonicznego pod dany numer telefonu stanowi czynność identyfikacyjną podmiotu danych prowadzącą do pośredniego określenia jej tożsamości. Organ nie tylko nie wskazuje, jak miałaby przebiegać procedura identyfikacji rozmówcy w oparciu o dostępne techniki, ale także nie wskazuje, jak miałoby następować potwierdzenie jego tożsamości, a także rozróżnienie danych użytkownika numeru telefonu od abonenta (właściciela).
Organ nie wskazał także w żaden sposób kwestii formy identyfikacji rozmówcy, w sytuacji gdy ten odmówi podania swoich danych – co miało miejsce w przedmiotowej sprawie.
Spółka podniosła również, że nie prowadziła marketingu bezpośredniego i stwierdziła, że organ w żaden sposób nie wykazał, aby czynności przez nią podejmowane stanowiły marketing bezpośredni.
Spółka podała, że zapraszając na spotkania, w rozmowie nie prowadzi żadnej sprzedaży, nie informuje też o żadnych konkretnych produktach, a jedynie o tematyce spotkania oraz kategoriach prezentowanych produktów. Zdaniem Spółki za tym, że nie stosowała marketingu bezpośredniego, przemawia ponadto fakt, że nie można przypisać jej korzyści z rzekomego marketingu, ponieważ produkty oferowane na pokazach nie stanowią w żadnym razie jej własności.
Spółka stwierdziła dalej, że w uzasadnieniu zaskarżonej decyzji Prezes UODO nie odniósł się do jej stanowiska, zawartego w pismach kierowanych do organu, przez co naruszył przepisy art. 8 k.p.a., art. 11 k.p.a. poprzez zaniechanie odniesienia się do przedstawionej argumentacji oraz załączonych dokumentów. Nadto, zaniechanie pełnego uzasadnienia uniemożliwiło pełne ustosunkowanie się Spółki do decyzji organu (art. 14 k.p.a. w zw. z art. 107 k.p.a. oraz 124 k.p.a.).
W ocenie Spółki, powyższe bez wątpienia budzi szereg wątpliwości dotyczących stosowania przez organ zasad ogólnych postępowania administracyjnego i to nie tylko tych dotyczących czynnego udziału strony w postępowaniu, ale także zasad przekonywania i pogłębiania zaufania do organów władzy publicznej.
W ocenie Spółki, organ dopuścił się również rażącego naruszenia art. 6, art. 7, art. 77 § 1 oraz art. 80 k.p.a. poprzez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji i wywodząc, że podniesione przez Spółkę zarzuty nie znajdują uzasadnienia w aktach sprawy oraz mających w sprawie zastosowanie przepisach prawa materialnego i przepisach postępowania.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skarga nie zasługuje na uwzględnienie.
1. Zasadniczą dla rozstrzygnięcia przedmiotowej sprawy kwestią było rozważenie, czy Prezes UODO prawidłowo stwierdził, że numery telefonów komórkowych uczestnika postępowania (I. C.) stanowią dane osobowe. O ile bowiem okazałoby się, że ustalenia organu w tym zakresie są błędne, niedopuszczalna byłaby ocena przetwarzania przez Spółkę tej informacji pod względem zgodności z przepisami RODO.
Należy zatem zauważyć, że zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z motywu 26 RODO wynika natomiast, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. […] Rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
Definicja danych osobowych w RODO nie różni się istotnie od definicji, którą zawierał art. 2 lit. a dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. Nr 281, str. 31 ze zm.), dalej powoływanej jako “dyrektywa 95/46/WE”. Przepis ten stanowił bowiem, że dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (“osoby, której dane dotyczą”); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.
Z motywu 26 dyrektywy 95/46/WE wynikało natomiast, że zasady ochrony danych muszą odnosić się do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób; w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby; zasady ochrony danych nie mają zastosowania do danych, którym nadano anonimowy charakter w taki sposób, że podmiot danych nie będzie mógł być zidentyfikowany (…).
2. W stanie prawnym obowiązującym od 25 maja 2018 r. zachowują aktualność odwołujące się do definicji danych osobowych zawartej w art. 2 lit. a dyrektywy 95/46/WE w związku z motywem 26 tej dyrektywy, zarówno orzeczenia TS, jak i powołana w uzasadnieniu zaskarżonej decyzji Opinia nr 4/2007 Grupy Roboczej ds. ochrony danych, powołanej na mocy art. 29 dyrektywy 95/46/WE, w sprawie pojęcia danych osobowych (20 czerwca 2007 r., 01248/07/PL, WP 136).
Prezes UODO trafnie zatem odwołał się w uzasadnieniu zaskarżonej decyzji do wzmiankowanej Opinii, natomiast Sąd podziela stanowisko wyrażone przez Grupę Roboczą, zgodnie z którym w przypadkach, gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, jakimi można się posłużyć w celu zidentyfikowania osoby, której dane dotyczą także wtedy, gdy przetwarzają jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym. Przetwarzanie takich informacji ma bowiem sens tylko wtedy, gdy umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania (str. 16 powołanej Opinii). Przywołana konstatacja zyskuje, zdaniem Sądu, na aktualności w świetle zd. 4 motywu 26 RODO, w którym wskazuje się na konieczność uwzględnienia m.in. technologii dostępnej w momencie przetwarzania danych, jak i postępu technologicznego.
3. Zawarta w art. 4 pkt 1 RODO definicja danych osobowych, podobnie jak w dyrektywie 95/46/WE, opiera się na koncepcji “zidentyfikowania” lub “możliwości zidentyfikowania” osób, których dane dotyczą. Jakkolwiek art. 4 pkt 1 RODO wyjaśnia, jaką osobę należy uznać za “możliwą do zidentyfikowania”, a motyw 26 RODO zawiera swoisty test “możliwości identyfikacji” osoby fizycznej, to przepisy RODO nie wyjaśniają wprost, co oznacza “identyfikacja”. Określeniem niejednoznacznym jest zatem również “możliwość zidentyfikowania”, czy “ustalenia tożsamości” (pojęcie zastosowane w polskiej wersji językowej dyrektywy 95/46/WE – przyp. Sądu).
Trafnego, zdaniem Sądu, podziału możliwych postaci identyfikacji dokonał Yves Poullet i jego zespół w – opracowanym dla Komitetu Konsultacyjnego Rady Europy ds. konwencji o ochronie osób – Sprawozdaniu na temat stosowania zasad ochrony danych w stosunku do ogólnoświatowych sieci telekomunikacyjnych (Strasbourg 2004 r., T-PD(2004)04 final). Według autorów (str. 30 powołanego dokumentu), koncepcja tożsamości może obejmować trzy różne aspekty: (1) cechy charakteryzujące osobę fizyczną dotyczące jej lub jej życia (np. imię i nazwisko, płeć, wiek, hobby, rodzina, pracodawca, kwalifikacje zawodowe, zakupy, etc.); (2) pewien “punkt zaczepienia” (np. identyfikator internetowy, numer klienta, sesyjny plik cookie), który pozwala na powiązanie ze sobą kilku cech charakteryzujących daną osobę, o których mowa w pkt 1 (“punkt zaczepienia” nie jest sam w sobie informacją o cechach danej osoby, niemniej stanowi “ślad” wskazujący miejsce, w którym są przechowywane takie informacje i pozwala je połączyć w sposób określający tożsamość danej osoby fizycznej); (3) “punkt kontaktowy”, który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną (np. pocztą elektroniczną, pocztą, faksem, telefonicznie itp.).
Wymienione trzy aspekty tożsamości osoby fizycznej pozostają koncepcyjnie odrębne, chociaż mogą w praktyce współistnieć lub nawet się łączyć, czego przykładem jest adres zamieszkania osoby fizycznej (składający się z imienia i nazwiska, numeru ulicy i miejscowości). Łączy on w sobie co najmniej dwa z wyżej wymienionych aspektów tożsamości – jest informacją o miejscu pobytu osoby fizycznej, a także stanowi “punkt kontaktowy”, ponieważ umożliwia każdemu wysłanie poczty do konkretnej osoby (zob. szerzej powołane Sprawozdanie – str. 30 i nast.).
4. W świetle powyższego nie budzi wątpliwości, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu (zob. Opinia Grupy Roboczej z 20 czerwca 2007 r. nr 4/2007; str. 14; zob. też D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81). Nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r., str. 181).
Taką możliwość daje numer telefonu osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych.
5. Jak wynika z 126 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2022 r. poz.1648 ze zm. – stan prawny na dzień wydania zaskarżonej decyzji; dalej powołana jako “Prawo telekomunikacyjne” lub “P.t.”), Prezes UKE przydziela numerację zgodnie z planami numeracji krajowej dla sieci publicznych. Stosownie do treści art. 71 P.t., abonent będący stroną umowy z dostawcą usług, w której przydzielany jest abonentowi numer z planu numeracji krajowej dla publicznych sieci telekomunikacyjnych, może żądać przy zmianie dostawcy usług przeniesienia przydzielonego numeru do istniejącej sieci operatora na: 1) obszarze geograficznym – w przypadku numerów geograficznych; 2) terenie całego kraju – w przypadku numerów niegeograficznych. Jak z kolei wynika z art. 131 ust. 1 P.t., podmiot, który uzyskał przydział numeracji, może dokonać niezbędnej zmiany numeracji dla określonych obszarów swojej sieci publicznej lub zmiany indywidualnych numerów abonentów tej sieci, w przypadku zmiany przydziału zakresu numeracji albo przebudowy lub rozbudowy eksploatowanej sieci publicznej. W świetle art. 131 ust. 3 P.t., podmiot, który uzyskał przydział numeracji, jest obowiązany zawiadomić abonentów o planowanej zmianie ich indywidualnych numerów oraz o ich nowych numerach.
Powołane przepisy Prawa telekomunikacyjnego świadczą o ścisłym związku numeru telefonu z abonentem, a w przypadku, w którym umowa o świadczenie usług telekomunikacyjnych zawierana jest przez użytkownika końcowego, z tym użytkownikiem, gwarantując mu możliwość przeniesienia przydzielonego numeru przy zmianie dostawcy usług oraz chroniąc przed arbitralną zmianą przydzielonego numeru przez dostawcę usług. Można zakładać, że w wielu przypadkach numer telefonu jest związany z będącym osobą fizyczną abonentem silniej i przez dłuższy czas niż np. miejsce jego zamieszkania.
6. Numer telefonu osoby fizycznej stanowi zatem wspomniany wyżej “punkt kontaktowy”, ponieważ umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej stanowi niepowtarzalną kombinację cyfr, która jest do tej osoby przypisana i odróżnia ją, po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (połączeń telefonicznych), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia podmiotowi, który wejdzie w posiadanie numeru telefonu, kontakt z nią i skierowanie do niej określonej informacji (zarówno ustanej, jak i tekstowej).
W realiach rozpoznanej sprawy nie budzi natomiast wątpliwości, że numery telefonów, wskazane w skardze i na str. 2 zaskarżonej decyzji, są numerami telefonów komórkowych I. C., z których korzysta dla zaspokojenia własnych potrzeb. Jest ona zatem użytkownikiem końcowym, o którym mowa w art. 2 pkt 50 P.t.
7. Dodatkowych argumentów za uznaniem numeru telefonu osoby fizycznej za jej dane osobowe i to niezależnie od tego, czy podmiot, który jest w jego posiadaniu dysponuje innymi informacjami umożliwiającymi identyfikację tej osoby lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich informacji, dostarczają przepisy Prawa telekomunikacyjnego implementujące dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. U. UE. L. z 2002 r. Nr 201, str. 37 ze zm.) (dalej: “dyrektywa 2002/58”).
Należy przy tym zaznaczyć, że zgodnie z art. 1 ust. 1 celem powołanej dyrektywy jest harmonizacja przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz zapewnienie swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności elektronicznej. Stosownie natomiast do treści art. 1 ust. 2, przepisy dyrektywy 2002/58 dookreślają i uzupełniają dyrektywę 95/46/WE zgodnie z celami przedstawionymi w ust. 1. Ponadto zapewniają ochronę uzasadnionych interesów abonentów będących osobami prawnymi.
Z art. 94 ust. 1 i ust. 2 zd. 1 RODO wynika z kolei, że odesłania do dyrektywy 95/46/WE należy traktować jako odesłania do RODO. Jak przy tym zastrzeżono w art. 95 RODO, nie nakłada ono dodatkowych obowiązków na osoby fizyczne ani prawne, co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58/WE.
Dyrektywa 2002/58 stanowi zatem względem RODO regulację szczególną, dookreślając ją i uzupełniając, natomiast art. 95 RODO zapobiega temu, by na administratorach nie spoczywały podobne, ale nie identyczne obciążenia administracyjne, spoczywające na nich mocą przepisów implementujących dyrektywę 2002/58, których cel jest ten sam, co cel RODO – ochrona danych osobowych (zob. też Opinia Rady do Spraw Ochrony Danych Osobowych z 12 marca 2019 r. nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych, str. 13 – str. 15).
Dyrektywa 2002/58 jest przykładem prawa zapewniającego szczególną ochronę określonych kategorii danych, które mogą być danymi osobowymi (zob. powołane wyżej Opinia; str. 23). Celem dyrektywy 2002/58 jest zatem ochrona prawa do prywatności i poufności, w odniesieniu do przetwarzania “danych osobowych”, o których mowa w art. 4 pkt 1 RODO, tyle tylko, że w sektorze łączności elektronicznej. Dyrektywa nie zawiera własnej definicji “danych osobowych”, ponieważ dookreśla i uzupełnia przepisy aktu o charakterze ogólnym, w którym zdefiniowano to pojęcie. Należy zatem zakładać, że jeśli posługuje się ona pojęciem “danych osobowych” w odniesieniu do określonej informacji, to w sektorze łączności elektronicznej informacja ta traktowana jest przez prawodawcę unijnego jako “dane osobowe” w rozumieniu art. 4 pkt 1 RODO. Trzeba natomiast zdecydowanie podkreślić, że obejmujące sektor łączności elektronicznej prawa i obowiązki przewidziane w dyrektywie 2002/58 i określone w implementujących ją aktach prawa krajowego kierowane są nie tylko do przedsiębiorców telekomunikacyjnych i odnoszą się nie tylko do relacji między przedsiębiorcami telekomunikacyjnymi a podmiotami korzystającymi z ich usług, ale także do relacji między tymi podmiotami.
Mając powyższe na względzie, należy zauważyć, że w świetle motywu 38 zd. 2 dyrektywy 2002/58, prawo do prywatności osób fizycznych i uzasadniony interes osób prawnych wymaga, aby abonenci mieli możliwość ustalenia, czy ich dane osobowe są publikowane w spisach abonentów, a jeśli tak, to które z nich. Dostawcy publicznych spisów abonentów powinni informować abonentów o umieszczeniu ich w tych spisach, o celach spisu i każdym możliwym wykorzystaniu wersji elektronicznej publicznych spisów abonentów, szczególnie przy pomocy dostępnej w oprogramowaniu funkcji wyszukiwania takiej jak wyszukiwanie zwrotne pozwalające użytkownikom spisu ustalenie nazwiska (nazwy) i adresu abonenta wyłącznie na podstawie numeru telefonu.
Stosownie natomiast do treści art. 12 ust. 2 w zw. z ust. 4 dyrektywy 2002/58, Państwa Członkowskie zapewniają, że abonenci będący osobami fizycznymi posiadają możliwość ustalenia, czy ich dane osobowe znajdują się w publicznym spisie abonentów, a jeżeli tak, to które, w zakresie, w jakim te dane są niezbędne do celu spisu abonentów określonego przez dostawcę spisu abonentów i sprawdzania, poprawiania lub wycofywania tych danych […].
Przepis art. 12 dyrektywy 2002/58 został implementowany do krajowego porządku prawnego przez art. 169 Prawa telekomunikacyjnego, który w ust. 1 stanowi, że dane osobowe posiadane przez przedsiębiorcę telekomunikacyjnego zawarte w publicznie dostępnym spisie abonentów, (…) wydawanym w formie książkowej lub elektronicznej, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego powinny być ograniczone do: 1) numeru abonenta lub znaku identyfikującego abonenta; 2) nazwiska i imion abonenta; 3) nazwy miejscowości oraz ulicy w miejscu zamieszkania, przy której znajduje się zakończenie sieci, udostępnione abonentowi – w przypadku stacjonarnej publicznej sieci telekomunikacyjnej albo nazwy miejscowości oraz ulicy w miejscu zamieszkania – w przypadku ruchomej publicznej sieci telekomunikacyjnej. Jak wynika z art. 169 ust. 3 P.t., zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności.
Powołane przepisy dyrektywy 2002/58 oraz Prawa telekomunikacyjnego (zawarte w dziale VII Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych) jednoznacznie wskazują na to, że numer abonenta będącego osobą fizyczną (lub znak identyfikujący abonenta) stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania – daną osobową tego abonenta, w stosunku do której – kierując się ochroną prawa do prywatności i poufności – pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów.
8. Kwalifikację numeru telefonu osoby fizycznej jako danej osobowej potwierdza też brzmienie projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej) [Bruksela, 2017 r.; COM(2017) 10 final 2017/0003 (COD)], w którym (motyw 31) numer telefonu literalnie wymieniono wśród kategorii danych osobowych zamieszczanych w spisie numerów: Jeżeli użytkownicy końcowi będący osobami fizycznymi udzielają zgody na umieszczenie swoich danych w takich spisach numerów, powinni móc określić, w formie zgody, jakie kategorie danych osobowych mają być zamieszczone w spisie numerów (na przykład imię i nazwisko, adres e-mail, adres domowy, nazwa użytkownika, numer telefonu) (…).
9. Przypominając, że celem dyrektywy 2002/58 jest zapewnienie równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej, należy ponadto zauważyć, że w świetle motywu 34 tej dyrektywy, konieczna jest, w odniesieniu do identyfikacji rozmów przychodzących, ochrona prawa strony wybierającej do niedopuszczenia do wyświetlania identyfikacji numeru linii wywołującej, z której wychodzi połączenie oraz prawa strony, do której połączenie przychodzi do odrzucenia rozmowy z niezidentyfikowanych linii (zd. 1).
W odniesieniu do identyfikacji rozmów wychodzących, konieczna jest ochrona prawa i uzasadnionego interesu strony wybieranej do wstrzymania wyświetlania identyfikacji numeru, z którym strona wybierająca jest aktualnie połączona, w szczególności w przypadkach połączeń przekazywanych (zd. 4). Dostawcy publicznie dostępnych usług łączności elektronicznej powinni informować swoich abonentów o istnieniu w sieci identyfikacji rozmów wychodzących i przychodzących, jak również o wszystkich oferowanych usługach związanych z identyfikacją rozmów wychodzących i przychodzących oraz o możliwych opcjach ochrony prywatności (zd. 5.). Pozwoli to abonentom na podejmowanie świadomego wyboru w sprawie rodzajów możliwości ochrony prywatności, z których chcą skorzystać (zd. 6).
Konkretyzację motywu 34 stanowi art. 8 dyrektywy 2002/58. Przewiduje on w szczególności, że (1) w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów przychodzących dostawca usług musi zaoferować użytkownikowi wybierającemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów przychodzących przy poszczególnych połączeniach telefonicznych. Abonent wybierający musi mieć taką możliwość w odniesieniu do każdej linii (art. 8 ust. 1); a także że (2) w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów wychodzących, dostawca usług musi zaoferować abonentowi wybieranemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów wychodzących u użytkownika wybierającego (art. 8 ust. 4).
Przepisy art. 8 dyrektywy 2002/58 zostały implementowane do krajowego porządku prawnego przez art. 171 Prawa telekomunikacyjnego, który w ust. 2 stanowi, że dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej, umożliwiającej prezentację identyfikacji linii wywołującej, jest obowiązany zapewnić za pomocą prostych środków: 1) użytkownikowi wywołującemu – możliwość jednorazowego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia; 2) abonentowi wywołującemu – możliwość stałego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia, u operatora, do którego sieci jest przyłączony abonent będący stroną umowy z dostawcą usług; 3) abonentowi wywoływanemu – możliwość eliminacji dla połączeń przychodzących prezentacji identyfikacji linii wywołującej, a jeżeli taka prezentacja jest dostępna przed rozpoczęciem połączenia przychodzącego, także możliwość blokady połączeń przychodzących od abonenta lub użytkownika stosującego eliminację prezentacji identyfikacji linii wywołującej. Jak z kolei wynika z art. 171 ust. 3 P.t., dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej zapewniającej prezentację identyfikacji linii wywoływanej, jest obowiązany zapewnić abonentowi wywoływanemu możliwość eliminacji, za pomocą prostych środków, prezentacji identyfikacji linii wywoływanej u użytkownika wywołującego.
Powołane przepisy dyrektywy 2002/58 oraz Prawa telekomunikacyjnego (zawarte w dziale VII “Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych”) potwierdzają, że numer telefonu – jako taki – podlega ochronie z uwagi na prawo do prywatności i poufności. Należy przy tym zaznaczyć, że możliwość wyeliminowania prezentacji numeru (linii wywołującej) gwarantowana jest nie tylko abonentowi, ale także użytkownikowi wywołującemu. Prawo do eliminacji prezentacji numeru jest też w świetle powołanych przepisów niezależnie od tego, czy dochodzi do nawiązania połączenia, które pozwala na uzyskanie dodatkowych danych identyfikujących, czy jedynie do wywoływania połączenia. Stanowi to kolejny argument za przyjęciem, że numer telefonu osoby fizycznej sam w sobie stanowi informację o osobie możliwej do zidentyfikowania i podlega przepisom o ochronie danych osobowych bez względu na to, czy podmiot, który jest w jego posiadaniu, dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych (motyw 26 RODO).
Numery telefonu komórkowego użytkownika końcowego będącego osobą fizyczną, jakim jest numer […], należący do I. C., definiuje tego użytkownika, jako osobę korzystającą dla zaspokojenia własnych potrzeb z usług telekomunikacyjnych przypisanych do tego numeru, w tym z podstawowej usługi połączeń telefonicznych, a zatem umożliwia jej zidentyfikowanie poprzez nawiązanie z nią kontaktu w określonym celu i wywieranie na niego określonego wpływu.
10. Zastrzegając, że przedmiotem oceny Prezesa UODO w przedmiotowej sprawie nie było (bo nie leży to w jego kompetencji) naruszenie przez Spółkę art. 24 ust. 1 i ust. 2 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2021 r. poz. 275 ze zm.) w zw. z art. 172 ust. 1 P.t., należy zauważyć, że na identyfikujący (“definiujący odbiorcę”) charakter numeru telefonu komórkowego zwrócił uwagę Sąd Najwyższy w uchwale z 17 lutego 2016 r., sygn. akt III SZP 7/15, (OSNP z 2016 r. nr 8, poz. 111), w której przedmiotem rozważań było m.in. wykorzystanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Jak stwierdził Sąd Najwyższy, w okolicznościach sprawy będącej przedmiotem rozpoznania, zleceniodawca (przedsiębiorca telekomunikacyjny – przyp. Sądu) wskazywał zleceniobiorcy (firmie niebędącej takim przedsiębiorcą – przyp. Sądu) automatyczny system wybierania, jako narzędzie kierowania komunikatów marketingu bezpośredniego “do zdefiniowanego przez niego za pomocą numeru telefonu odbiorcy, co powoduje, że posługuje się on ASW (a zatem używa go w rozumieniu art. 172 ust. 1 PT) dla celów marketingu bezpośredniego”.
W uzasadnieniu powołanej uchwały Sąd Najwyższy odwołał się także do wymienionych wyżej celów dyrektywy 2002/58, dostrzegając z jednej strony znaczenie prawa do prywatności, a z drugiej uciążliwość form komunikacji marketingowej wymienionych w art. 172 ust. 1 P.t. dla użytkowników telefonii komórkowej.
11. Do kwestii wykonywania niechcianych połączeń telefonicznych do przypadkowo wybieranych osób fizycznych trafnie – zdaniem Sądu – odniósł się także Sąd […] w […] w uzasadnieniu wyroku z […] grudnia 2020 r., sygn. akt […] Sąd ten nie podzielił stanowiska wyrażonego w wyroku Sądu […] dla […] z […] kwietnia 2016 r., sygn. akt […] (od którego apelację oddalono wyrokiem Sądu […] […] w […] z […]stycznia 2019 r., sygn. akt […]– niepublikowany; dostępny LEX nr 2745113), w którym wyrażono pogląd, że wykorzystywany samodzielnie anonimowo ciąg cyfr stanowiący numer telefoniczny nie może stanowić danej osobowej, gdyż nie pozwala on na identyfikację abonenta.
Wyrok Sądu […] w Warszawie z […] grudnia 2020 r., podobnie jak powołana wyżej uchwała Sądu Najwyższego z 17 lutego 2016 r., został wydany w sprawie praktyki naruszającej zbiorowe interesy konsumentów, niemniej w okolicznościach tej sprawy, podobnie jak w okolicznościach sprawy zakończonej zaskarżoną decyzją Prezesa UODO, dochodziło do wykonywania połączeń telefonicznych na losowo wybierane numery telefonów osób fizycznych, m.in. w celu zapraszania na spotkania i pokazy produktów. Co natomiast istotne, nie podzielając stanowiska wyrażonego w powołanym wyżej wyroku Sądu […] dla […] z […] kwietnia 2016 r., Sąd […] w […] odwołał się do art. 1 ust. 1 oraz do motywu 40 dyrektywy 2002/58, zaznaczając w szczególności, że ma ona na celu harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej, a także, że należy zapewnić środki zabezpieczające abonentów przed ingerencją w ich prywatność przez niezamówione komunikaty do celów marketingu bezpośredniego. Sąd […] stwierdził, że kontaktowanie się z abonentem w celu uzyskania zgody na kontakt w celu marketingowym jest naruszeniem prawa do prywatności abonenta zmierzającym do uzyskania zgody, której konsekwencją będzie możliwość przedstawienia oferty/informacji marketingowych przez przedsiębiorcę. Sąd trafnie skonstatował, że przyjęcie stanowiska prezentowanego przez Sąd […] dla […] w […] prowadziłoby do obchodzenia przez przedsiębiorców zakazu wyrażonego w art. 172 P.t., a tym samym uczynienia go martwym. Przedsiębiorca mógłby bowiem niepokoić konsumenta takimi kontaktami/zapytaniami bez ograniczeń, nawet jeśli we wcześniejszej rozmowie konsument nie wyraził zgody na taki kontakt, gdyż za każdym razem tłumaczyłby się, że kontaktuje się z abonentem jedynie w celu uzyskania zgody na marketing bezpośredni, a nie w celu marketingu bezpośredniego w rozumieniu Prawa telekomunikacyjnego.
12. Z poczynionym już wyżej zastrzeżeniem, że w przedmiotowej sprawie nie oceniano, czy Spółka dopuściła się praktyki naruszającej zbiorowe interesy konsumentów, należy stwierdzić, że powołane wyżej orzeczenia Sądu Najwyższego i Sądu […] w […] potwierdzają wniosek, iż przetwarzanie informacji o osobie fizycznej w postaci numeru telefonu, z którego korzysta, a co za tym idzie, który umożliwia skontaktowanie się z nią, stanowi przetwarzanie danych osobowych tej osoby fizycznej, niezależnie od tego, czy dysponujący tą informacją podmiot posiada także inne informacje pozwalające zidentyfikować tę osobę lub dysponuje środkami, które z uzasadnionym prawdopodobieństwem mogą być wykorzystane w celu uzyskania takich informacji. Nie chodzi tu bowiem o skontaktowanie się w celu uzyskania dodatkowych danych identyfikujących, lecz o sam kontakt, który per se narusza, chronione tak dyrektywą 2002/58, jak i RODO, prawo do prywatności osoby fizycznej zawarowane w art. 7 Karty praw podstawowych Unii Europejskiej (Dz. U. UE. C. z 2007 r. Nr 303, str. 1 ze zm.), a na poziomie krajowym w art. 47 Konstytucji Rzeczypospolitej Polskiej.
Do takiego wniosku prowadzi – w ocenie Sądu – wykładnia art. 4 pkt 1 w związku z motywem 26 RODO w związku z powołanymi wyżej przepisami dyrektywy 2002/58. Jak już podniesiono, oba te akty prawne odnoszą się do tego samego obszaru stosunków społecznych, tj. przetwarzania danych osobowych i oba mają na celu w szczególności ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, przy czym drugi z nich dookreśla i uzupełnia pierwszy w sektorze łączności elektronicznej, a określając prawa i obowiązki podmiotów należących do tego sektora, kształtuje też relacje między podmiotami spoza niego (zob. np. powołany wyżej art. 8 dyrektywy 2002/58). Z uwzględnieniem tej funkcji dyrektywy 2002/58 należy wykładać zawarte w niej normy w związku z ogólnymi regulacjami RODO. Tak rozumiana relacja między RODO a dyrektywą 2002/58 prowadzi do wniosku, że zbieranie i przechowywanie numerów telefonów osób fizycznych, w tym numeru telefonu komórkowego uczestnika postępowania, a następnie wykorzystywanie ich w celu nawiązania połączenia, stanowi przetwarzanie danych osobowych tych osób w rozumieniu art. 4 pkt 2 RODO.
13. Nawet jednak przy założeniu, że sam numer telefonu nie pozwala na zidentyfikowanie osoby fizycznej, do której należy, w ocenie Sądu, należałoby przyjąć, że stanowi on dane osobowe uczestnika postępowania.
We wstępnej części wyjaśnienia podstawy prawnej wyroku podano powody, z których aktualne na gruncie przepisów RODO pozostają, odwołujące się do definicji danych osobowych zawartej w art. 2 lit. a dyrektywy 95/46/WE w związku z motywem 26 tej dyrektywy, orzeczenia TS, jak i powołana w uzasadnieniu zaskarżonej decyzji Opinia nr 4/2007 Grupy Roboczej w sprawie pojęcia danych osobowych. Podzielono też argumentację Grupy Roboczej, zaznaczając, że zyskuje ona na aktualności w świetle zd. 4 motywu 26 RODO, gdzie wskazuje się na konieczność uwzględnienia m.in. technologii dostępnej w momencie przetwarzania danych, jak i postępu technologicznego.
Uwzględniając powyższe, należy zauważyć, że z powołanego wyżej wyroku TS z 19 października 2016 r. w sprawie C-582/14 Breyer wynika, że: (1) by określone dane mogły zostać uznane za “dane osobowe”, nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w posiadaniu tylko jednej osoby (zob. pkt 43 wyroku); (2) należy jednak ustalić, czy możliwość połączenia tych danych z owymi dodatkowymi informacjami będącymi w posiadaniu innego podmiotu stanowi sposób, który może być z uzasadnionym prawdopodobieństwem wykorzystany (zob. pkt 45 wyroku); (3) nie miałoby to miejsca w przypadku, gdyby identyfikacja osoby, której dane dotyczą, była zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydaje się w rzeczywistości znikome.
W świetle natomiast powyższego, w ocenie Sądu, należy stwierdzić, że uwzględniając obowiązujące przepisy, a także dostępne obecnie technologie i postęp technologiczny, nie ma podstaw, by przyjąć, że w okolicznościach przedmiotowej sprawy ryzyko uzyskania przez podmiot dysponujący numerem telefonu osoby fizycznej dodatkowych danych ją identyfikujących było w rzeczywistości znikome.
Po pierwsze, należy zaznaczyć, że szanse uzyskania dodatkowych danych identyfikujących w przypadku dysponowania numerem telefonu są zdecydowanie większe niż w przypadku dysponowania numerem IP, a zwłaszcza numerem dynamicznym, który był przedmiotem rozważań TS w wyroku w sprawie C-528/14. Wynika to z faktu, że numer IP jest przypisany nie do osoby, jak numer telefonu do abonenta będącego osobą fizyczną, a w przypadku abonenta będącego użytkownikiem końcowym, do użytkownika końcowego, lecz do urządzenia, a ściślej rzecz ujmując, do zakończenia sieci. Adres IP może być zatem kwalifikowany jako “punkt zaczepienia”, wyróżniony w powołanym wyżej Sprawozdaniu na temat stosowania zasad ochrony danych osobowych w stosunku do ogólnoświatowych sieci telekomunikacyjnych.
Po drugie, należy zauważyć, że z przepisów Prawa telekomunikacyjnego wynika obowiązek zapewnienia w ramach usługi powszechnej ogólnokrajowej informacji o numerach telefonicznych oraz ogólnokrajowego spisu abonentów (art. 81 ust. 3 pkt 4 i pkt 5 P.t.). W świetle natomiast powołanego już art. 169 ust. 1 P.t., dane osobowe zawarte w publicznie dostępnym spisie abonentów, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego, mogą obejmować: 1) numer abonenta lub znak identyfikujący abonenta; 2) nazwisko i imiona abonenta; 3) nazwę miejscowości oraz ulicy w miejscu zamieszkania. Zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może oczywiście nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności (art. 169 ust. 3 P.t.). Nie zmienia to jednak faktu, że w przypadku wyrażenia takiej zgody i zamieszczenia innych niż numer telefonu, wyżej wymienionych danych osobowych w spisie, podmiot, który dysponuje numerem telefonu, ma możliwość uzyskania tych informacji.
Ponadto, jakkolwiek wykorzystanie tego typu środków przez Spółkę w świetle akt sprawy nie wydaje się rozsądnie prawdopodobne, to należy zaznaczyć, że uzyskanie na podstawie numeru telefonu dodatkowych danych identyfikujących osobę fizyczną od przedsiębiorcy telekomunikacyjnego – nawet w przypadku braku zgody osoby, której dane te dotyczą – nie jest całkowicie wyłączone w świetle przepisów Prawa telekomunikacyjnego. Na taką możliwość wprost wskazuje art. 159 ust. 4 P.t., z którego wynika, że zakazu przekazywania danych objętych tajemnicą telekomunikacyjną nie stosuje się m.in. do danych ujawnionych postanowieniem sądu wydanym w postępowaniu karnym, postanowieniem prokuratora lub na podstawie odrębnych przepisów.
Po trzecie, uwzględniając dostępne obecnie technologie, należy zauważyć, że w powszechnie dostępnych aplikacjach służących jako komunikatory (np. WhatsApp, Signal) konta użytkowników muszą być powiązane z numerami telefonów użytkowników. W przypadku nieograniczenia w tego typu komunikatorach opcji udostępniania informacji osobistych w ustawieniach prywatności, informacje takie, jak np. zdjęcie profilowe, widoczne są dla innych użytkowników aplikacji. W takiej sytuacji, dysponując wyłącznie numerem telefonu, można uzyskać tego typu dane identyfikujące.
Po czwarte zatem, w ocenie Sądu, biorąc pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania, oraz uwzględniając dostępną technologię i postęp technologiczny, należy stwierdzić, że Spółka, której oddział w Polsce profesjonalnie zajmował się działalnością centrów telefonicznych (call center), przetwarzaniem danych, a także zarządzaniem stronami internetowymi (zob. dane w rejestrze przedsiębiorców Krajowego Rejestru Sądowego nr […]), dysponowała sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących uczestnika postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać.
14. Biorąc pod uwagę wszystko, co powyżej wywiedziono, Sąd stwierdził, że Spółka, pozyskując numery telefonów komórkowych uczestniczki postępowania, przechowując je i wykorzystując następnie do nawiązania połączenia telefonicznego, przetwarzała jej dane osobowe. Sąd zaznacza przy tym jeszcze raz, że przyjął, iż numer telefonu komórkowego użytkownika końcowego będącego osobą fizyczną definiuje tego użytkownika jako osobę korzystającą dla zaspokojenia własnych potrzeb z usług telekomunikacyjnych przypisanych do tego numeru, w tym z podstawowej usługi połączeń telefonicznych, a zatem umożliwia jego zidentyfikowanie poprzez nawiązanie z nim kontaktu w określonym celu i wywieranie na niego określonego wpływu. Sąd dodatkowo wywiódł natomiast, że nawet przy założeniu, iż sam numer telefonu nie pozwala na zidentyfikowanie osoby fizycznej, należy stwierdzić, że Spółka dysponowała sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących uczestnika postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać.
Sądowi znane jest stanowisko wyrażone w powołanym przez Spółkę wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 18 maja 2021 r. sygn. akt II SA/Wa 1898/20, lecz z przedstawionych wyżej względów, Sąd nie podzielił go w przedmiotowej sprawie.
15. Organ nadzorczy prawidłowo stwierdził też, że przetwarzanie danych osobowych uczestnika postępowania odbywało się dla celów marketingu bezpośredniego. Jak wywodzi Spółka, celem połączenia telefonicznego było ustalenie zainteresowania rozmówcy udziałem w organizowanych spotkaniach lub prezentacjach, a dopiero w przypadku wyrażenia woli udziału w spotkaniu rozmówca wyrażał zgodę na przetwarzanie jego danych osobowych i podawał niezbędne dane w celu wzięcia udziału w spotkaniu. Spółka twierdzi, że jej działalność skupia się na zapraszaniu na organizowane spotkania, podczas których kontrahenci Spółki poruszają tematykę spotkań wcześniej określoną podczas składania zaproszenia abonentom. Podczas wyżej wymienionych spotkań uczestnicy mają alternatywną możliwość zapoznania się z ofertą kontrahenta Spółki lub zakupu towarów prezentowanych przez ten podmiot poprzez przyjęcie prezentowanej tam oferty. Spółka podnosi również, że zapraszając na spotkania, w rozmowie nie prowadzi żadnej sprzedaży, nie informuje też o żadnych konkretnych produktach, a jedynie o tematyce spotkania oraz kategoriach prezentowanych produktów. Twierdzi też, że realizuje połączenia we własnym imieniu oraz we własnym imieniu umawia spotkania, które następnie są sprzedawane na rzecz jej kontrahentów z branży sprzedaży bezpośredniej. W takim stanie rzeczy, w ocenie Spółki, nie można przypisać korzyści z rzekomego marketingu jakiemukolwiek podmiotowi, a w szczególności Spółce, gdyż nie prowadzi ona podczas połączeń sprzedaży, a produkty oferowane na pokazach nie stanowią w żadnym razie jej własności.
Odnosząc się do powyższej argumentacji, w realiach sprawy, w której Prezes UODO stwierdził w zaskarżonej decyzji, że dane osobowe uczestnika postępowania przetwarzane były dla celów marketingu bezpośredniego, w ocenie Sądu, należy odwołać się do definicji pojęcia “marketingu bezpośredniego” zawartej w rekomendacji R (85)20 Komitetu Ministrów dla Państw Członkowskich w sprawie ochrony danych osobowych używanych dla celów marketingu bezpośredniego Rady Europy “Ochrona danych osobowych wykorzystywanych dla potrzeb marketingu bezpośredniego” z 25 października 1985 r. Zgodnie z nią, “marketing bezpośredni”, to ogół działań, jak również wszelkich dotyczących go usług pomocniczych, umożliwiających oferowanie produktów lub usług bądź przekazywanie innych informacji do grupy ludności – za pośrednictwem poczty, telefonu lub innych bezpośrednich środków – w celach informacyjnych bądź w celu wywołania reakcji ze strony osoby, której dane dotyczą. Na zasadność odwołania się do przywołanej definicji wskazał również Sąd […] w wyroku z […] marca 2014 r., sygn. akt […] (Lex nr 2155559), a także Sąd […] w […] w powołanym wyżej wyroku z […] grudnia 2020 r., sygn. akt […].
Przyjmując natomiast takie rozumienie pojęcia marketingu bezpośredniego, należy stwierdzić, że wykonywanie połączeń telefonicznych w celu zaproszenia konsumenta na pokaz lub spotkanie, podczas którego prezentowana jest określona oferta i istnieje możliwość zakupu usług lub produktów, w tym na preferencyjnych warunkach, jest marketingiem bezpośrednim, ponieważ jest przekazaniem informacji w celu wywołania reakcji ze strony konsumenta w postaci udania się na pokaz lub spotkanie, zainteresowania usługą lub produktem i skorzystania z oferty.
Nie ma przy tym znaczenia, że produkty lub usługi oferowane na pokazach lub spotkaniach, na które zapraszała Spółka, nie były jej własnością, czy też nie były oferowane przez nią, lecz przez jej kontrahentów. Należy bowiem podkreślić, odwołując się ponownie do powołanej wyżej uchwały Sądu Najwyższego z 17 lutego 2016 r., sygn. akt III SZP 7/15, że z uwagi na znaczenie prawa do prywatności oraz uciążliwość form komunikacji marketingowej, o których mowa w art. 172 ust. 1 Prawa telekomunikacyjnego, dla użytkowników telefonii komórkowej, zwroty, którymi posłużył się ustawodawca w tym przepisie (“używanie telekomunikacyjnych urządzeń końcowych”, “używanie automatycznych systemów wywołujących”) nie mogą być interpretowane zawężająco. Skoro zatem Spółka używała telekomunikacyjnych urządzeń końcowych w celu zaproszenia konsumentów do skorzystania z określonych usług, bądź zapraszała na pokazy lub spotkania, podczas których istniała możliwość zakupu produktów, to używała tych urządzeń w celu marketingu bezpośredniego. To, kto następnie oferował te usługi i produkty, nie ma znaczenia z perspektywy normy prawnej zawartej w art. 172 ust. 1 P.t.
16. Stwierdzenie, że przetwarzanie danych osobowych uczestnika postępowania odbywało się dla celów marketingu bezpośredniego ma o tyle istotne znaczenie, że zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W świetle natomiast motywu 47 zd. 6 RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Niemniej jednak, prawnie uzasadnione interesy administratora mogą być podstawą prawną przetwarzania, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (zob. motyw 47 RODO zd. 1–zd. 3).
17. Jak dostrzegła Europejska Rada Ochrony Danych Osobowych w powołanej wyżej Opinii z 12 marca 2019 r. nr 5/2019, organy ochrony danych posiadają właściwość do przeprowadzenia kontroli podzbiorów przetwarzania podlegających przepisom krajowym transponującym dyrektywę o prywatności i łączności elektronicznej tylko wtedy, gdy prawo krajowe stanowi, że należy to do ich właściwości. Niemniej jednak, sam fakt, że podzbiór przetwarzania wchodzi w zakres dyrektywy o prywatności i łączności elektronicznej nie ogranicza właściwości organów ochrony danych na podstawie RODO (str. 22 i str. 26 powołanej Opinii). Naruszenie przepisów RODO może również stanowić naruszenie krajowych przepisów dotyczących prywatności i łączności elektronicznej. Organ ochrony danych może uwzględnić to faktyczne stwierdzenie naruszenia przepisów dotyczących prywatności i łączności elektronicznej przy stosowaniu RODO (np. oceniając, czy przestrzegano zasady zgodności z prawem lub zasady rzetelności na podstawie art. 5 ust. 1 lit. a) RODO). Wszelkie decyzje w zakresie egzekwowania prawa muszą być jednak uzasadnione na podstawie RODO, chyba że w prawie państwa członkowskiego rozszerzono właściwość organu ochrony danych (str. 24 i str. 26 powołanej Opinii).
Podzielając powyższe stanowisko, należy zaznaczyć, że w świetle dookreślającego i precyzującego przepisy RODO art. 172 ust. 1 P.t., zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z art. 174 P.t., do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.
Skoro zatem używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego dopuszczalne jest pod warunkiem uprzedniego wyrażenia zgody przez abonenta lub użytkownika końcowego, to brak takiej zgody ze strony uczestnika postępowania, powoduje, że nie mógł on mieć rozsądnych przesłanek, by spodziewać się, że może nastąpić przetwarzanie jego danej osobowej w postaci numeru telefonu do tych celów. Co za tym idzie, Spółka nie była uprawniona do przetwarzania danych osobowych uczestniczki postępowania w zakresie numeru telefonu w oparciu o art. 6 ust. 1 lit. f RODO. W tym bowiem przypadku nadrzędny charakter nad prawnie uzasadnionym interesem Spółki ma prawo uczestniczki postępowania do ochrony podstawowego prawa – prawa do prywatności, chronionego przepisem Prawa telekomunikacyjnego implementującym przepisy dyrektywy 2002/58.
W świetle powyższego należało stwierdzić, że Prezes UODO trafnie uznał, że Spółka przetwarzała dane osobowe uczestniczki postępowania bez podstawy prawnej, czym naruszyła art. 6 ust. 1 RODO.
18. Podkreślić nadto należy, iż w analizowanej sprawie Prezes UODO prawidłowo przyjął, że uczestniczka postępowania była uprawniona do zgłoszenia sprzeciwu na podstawie art. 21 ust. 2 RODO. Zgodnie bowiem z brzmieniem tego przepisu, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Prawu temu odpowiada, wyrażony w art. 21 ust. 3 RODO, obowiązek w postaci niezwłocznego zaprzestania przetwarzania danych w celach marketingowych. Ponadto, zgodnie z treścią art. 17 ust. 1 RODO, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, m.in. jeżeli osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania (art. 17 ust. 1 lit. c).
Nie budzi wątpliwości, że 21 września 2020 r. uczestniczka postępowania wniosła do Prezesa UODO o nakazanie zaprzestania dalszego przetwarzania jej danych osobowych wskazując, że nigdy nie wyrażała na to zgody i nie zawierała żadnej umowy z […] sp. z o.o. oraz, że Spółka nigdy nie wykonała wobec niej obowiązku informacyjnego ani z art. 13 ani z art. 14 RODO. Ponadto wniosła o nakazanie administratorowi zaprzestania wykonywania połączeń na jej numer.
Spółka przetwarzała dane osobowe uczestniczki postępowania pomimo braku pierwotnej podstawy prawnej na przetwarzanie tych danych w celach marketingowych. W świetle powyższego – w ocenie Sądu – organ trafnie przyjął, iż zachodziła podstawa do zastosowania wobec Spółki środka naprawczego w postaci nakazania wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych skarżącej poprzez usunięcie jej danych osobowych w zakresie numeru telefonu (art. 58 ust. 2 lit. c RODO).
Do dnia wydania decyzji administracyjnej Spółka nie przedłożyła bowiem Prezesowi UODO w niniejszej sprawie informacji o usunięciu danych skarżącej, czy też usunięciu bazy danych zawierającej dane osobowe skarżącej w związku z zaprzestaniem działalności jedynie przez jej oddział w Polsce.
Należy zgodzić się ze stanowiskiem Prezesa UODO, że kwestia wykreślenia z KRS […] Sp. z o.o. Oddział w […] z siedzibą w […] nie ma zasadniczego znaczenia w przedmiotowej sprawie, bowiem skarżona decyzja jako podmiot skarżony, administratora danych i adresata rozstrzygnięcia prawidłowo określiła […] Sp. z o.o. z siedzibą w […] ([…]). W zaistniałej sytuacji to przedsiębiorca zagraniczny staje się podmiotem praw i obowiązków wynikających z decyzji i to on uczestniczy w postępowaniu administracyjnym jako strona.
Również zasadnie Prezes UODO zastosował art. 58 ust. 2 lit. b RODO udzielając Spółce upomnienia za naruszenie art. 15 ust. 1 RODO polegające na niezrealizowaniu żądania skarżącej, w zakresie prawa dostępu do danych w zakresie wskazania podstawy prawnej i źródła jej danej osobowej, tj. numeru telefonu.
19. Reasumując, kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania lub naruszeniem prawa materialnego. Brak jest podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy. Materiał dowodowy zgromadzony w toku postępowania zakończonego zaskarżoną decyzją stanowił wystarczającą podstawę do skorzystania przez Prezesa UODO z uprawnień naprawczych przewidzianych w art. 58 ust. 2 lit. b i c RODO, które przysługują organowi nadzorczemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania. Uzasadnienie zaskarżonej decyzji odpowiada prawu. Zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Prezes UODO prawidłowo ustalił, że Spółka przetwarzała dane osobowe uczestniczki postępowania w zakresie numeru telefonu oraz że przetwarzanie to odbywało się bez podstawy prawnej.
W tym stanie rzeczy, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 259), Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę. |