WSA kolejny raz wskazuje, że sam numer telefonu nie jest daną osobową

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z listopada 2022 r. jest istotny z co najmniej dwóch powodów.

Pierwszy z nich dotyczy odwiecznego dylematu – czy podmiot posiadający wyłącznie numer telefonu przetwarza dane osobowe. Drugi powód to kwestia tworzenia, przez podmiot przetwarzający “czarnych listy” osób, który nie życzą sobie kontaktu telefonicznego.

Mimo, że wyrok WSA w Warszawie nie jest najnowszym orzeczeniem tego Sądu, to dopiero kilka dni temu opublikowano jego uzasadnienie, którego lektura jest obowiązkowa dla każdego odpowiadającego za ochronę danych osobowych, a nie tylko dla działów marketingowych.

Pozostawię na marginesie to jak mało czytelne jest uzasadnienie Sądu, w którym główni “bohaterzy” są tak daleko zanonimizowani.  Jeden podmiot został określony jako “[…] Sp. z o.o.” – moim zdaniem jest to administrator danych – podmiot, który zlecił działania marketingowe drugiemu podmiotowi, który to z koleji został określony jako “Spółka”- moim zdaniem podmiot przetwarzający, który “wyszedł” z tej roli.

Dla jasności i precyzji, co w każdej gałęzi prawa jest szalenie istotne, Sąd mógł, nie wielkim nakładem pracy, wprowadzić jakieś oznaczenie wskazanych podmiotów np. X i Y, A i B itd.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Przechodząc do pierwszego tematu należy krótko przedstawić stan faktyczny.

Pewna firma zleciła pewnej firmie wykonanie akcji marketingowej polegającej na:

wykonywana przez Spółkę na rzecz administratora, w oparciu o postanowienia ww. Umów, miała polegać na wykonaniu połączenia na określony numer telefonu w celu ustalenia czy osoba, do której wykonywane jest połączenie zainteresowana jest informacjami dotyczącymi kursów języka angielskiego online oraz kontaktem ze strony administratora w tym zakresie.

Mówiąc innymi słowy – administrator zlecił podmiotowi przetwarzającego “zdobycie”:

  1. numerów telefonów osób potencjalnie zainteresowanych kursem języka angielskiego
  2. zgody osoby na kontakt telefoniczny z administratorem, co do przedstawienia oferty

Pozostawmy na boku – bo tak zrobił i organ nadzorczy jak i sąd – kwestię prawa telekomunikacyjnego i pojęcia “uprzedniej zgody”, o której mowa w art. 172 ust. 1 tejże ustawy.

Z uzasadnienia orzeczenia wiemy także, że:

Dane osób, które wyraziły na to zgodę były przedstawiane administratorowi

Wszelkie inne dane były natomiast usuwane, poza pozostawieniem numeru telefonu na tzw. “czarnej liście” – w celu zablokowania możliwości połączenia się z tym numerem przez konsultanta w przyszłości.

Jak nie trudno się domyśleć jedna z osób, która otrzymała taki telefon złożyła, w grudniu 2018 r. skargę do organu nadzorczego. W swojej skardze Obywatel wskazał podmiot przetwarzający jako administratora danych, bo nie miała wiedzy, że tak nie jest oraz wskazał, że brak jest podstaw do przetwarzania jego danych osobowych w celach marketingowych jak i nie spełniono wobec niego obowiązku informacyjnego, co do źródła pozyskania jego danych osobowych.

Prezes UODO dopiero w lutym 2022 r. wydał decyzję, w której nakazał firmie zlecającej działania marketingowego:

wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych T. R. poprzez usunięcie jego danych osobowych w zakresie numeru telefonu, przetwarzanych bez podstawy prawnej

I właśnie taki nakaz uchylił WSA w Warszawie. Sąd stwierdził, że:

zasadniczą kwestią, która wymagała rozstrzygnięcia w związku ze sprawą zawisłą przed Prezesem UODO było to, czy numer telefonu T. R., który został przekazany […] Sp. z o.o. przez firmę […] Sp. z o.o. na potrzeby realizacji zawartej miedzy stronami Ramowej umowy zlecenia, mieści się w pojęciu danych osobowych w rozumieniu art. 4 pkt 1 RODO.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamówienie dostępu do Subskrypcji 360 bez płatności cyklicznej.

Nadto Sąd podniósł, że:

w ocenie Sądu, w świetle powyższych regulacji, jako trafne należy ocenić zarzuty skargi, że Prezes UODO w oparciu o zebrany w sprawie materiał dowodowy błędnie ustalił, iż […] Sp. z o.o. dysponując wyłącznie numerem telefonu przekazanym przez firmę […] Sp. z o.o. na potrzeby realizacji akcji marketingowej, przetwarzała dane osobowe T. R. – w rozumieniu art. 4 pkt 1 RODO.

w tym miejscu należy zaznaczyć, że obowiązkiem organu ochrony danych osobowych w ramach postępowania zainicjowanego skargą T. R. była ocena zasadności zarzutów skargi, a zatem ustalenie w pierwszej kolejności, czy […] Sp. z o.o. przetwarzała dane osobowe skarżącego w rozumieniu art. 4 pkt 1 RODO, a jeżeli tak, to czy miała do tego podstawę prawną.

dana osobowa to informacja o osobie możliwej do identyfikacji, a nie informacja umożliwiająca weryfikację tożsamości osoby fizycznej.

z poglądów doktryny oraz orzecznictwa sądów administracyjnych wynika, że numer telefonu może stanowić dane osobowe w sytuacji, gdy dysponent tego numer telefonu jest w posiadaniu także innych informacji, które umożliwiają identyfikację danej osoby fizycznej, takich jak np. imię i nazwisko, adres zamieszkania, nr PESEL. Możliwość identyfikowania osoby fizycznej należy bowiem odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną).

dla zakwalifikowania określonych informacji do danych osobowych nie może mieć przesądzającego znaczenia możliwość dokonania samoidentyfikacji przez osobę, której dane dotyczą.

nie można zatem zgodzić się z organem, że w sytuacji, gdy celem wykonywania połączeń telefonicznych przez konsultantów […] Sp. z o.o. w ramach prowadzonej akcji marketingowej było pozyskanie danych osobowych osób, do których wykonywane były te połączenia telefoniczne w zakresie ich imienia i nazwiska oraz miejsca zamieszkania, a tym samym istniała możliwość identyfikacji tych osób, to numer telefonu należy uznać za dane osobowe.

jest w niniejszej sprawie okolicznością niesporną, że w przypadku T. R. wykonane połączenie telefoniczne nie doprowadziło do pozyskania przez konsultanta jego danych osobowych, a sam numer telefonu nie dawał możliwości jego identyfikacji.

Skoro zatem numer telefonu nie pozwalał na identyfikowanie konkretnej osoby w oparciu o przypisane jej cechy indywidualne, nie sposób uznać, aby Spółka dysponowała danymi osobowymi T. R. i je przetwarzała.

przywołane przez organ w odpowiedzi na skargę orzeczenia sądów administracyjnych przyznające Straży Miejskiej uprawnienie do pozyskania danych osobowych użytkownika telefonu w celu ustalenia sprawcy wykroczenia, wbrew twierdzeniu organu, nie potwierdzają tezy, że sam numer telefonu stanowi dane osobowe (wręcz jej przeczą), gdyż Straż Miejska dysponując wyłącznie numerem telefonu nie była w stanie zidentyfikować sprawcy wykroczenia.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

W drugim aspekcie – czyli tym dotyczącym spełnienia obowiązku informacyjnego warto podkreślić, że Prezes Urzędu Ochrony Danych Osobowych zaakceptował spełnienie tego obowiązku poprzez odesłanie do strony internetowej:

skoro zatem Spółka wskazała, że dane osobowe skarżącego w postaci jego numeru telefonu są przetwarzane (przechowywane) przez Spółkę w bazie na tzw. “czarnej liście”, aby nie dopuścić do ponownego kontaktu ze skarżącym w celu prowadzenia kampanii marketingowych, to w tym aspekcie przetwarzania danych osobowych Spółka realizuje cel własny (odrębny od celu przetwarzania określonego ww. umowami łączącymi ją z […] Sp. z o.o.).

Przetwarzanie przez […] Sp. z o.o. numeru telefonu skarżącego na tzw. “czarnej liście”, ma na celu uniknięcie kontaktów ze skarżącym w przyszłości. Prezes UODO podniósł więc, że o ile Spółka wskazała cel przetwarzania danych osobowych skarżącego (tj. umieszczenie jego numeru telefonu na tzw. “czarnej liście”), to nie wykazała podstawy prawnej takiego przetwarzania skorelowanego z tym celem, tj. dalszego przetwarzania (przechowywania) danych osobowych skarżącego, w aspekcie którejkolwiek z przesłanek wskazanych w art. 6 ust. 1 RODO.

W zakresie obowiązku informacyjnego:

w ramach skróconej klauzuli informacyjnej, podawany był również link do pełnej klauzuli informacyjnej administratora.

 

Spółka wyjaśniła, że nie zdążyła spełnić obowiązku informacyjnego wobec skarżącego, ponieważ przedwcześnie zakończył on rozmowę, uniemożliwiając dopełnienie ww. obowiązku.

 

wobec jednak faktu, że Spółka, jak wskazała, obecnie samodzielnie decyduje o celach i środkach przetwarzania danych osobowych skarżącego poprzez przetwarzanie (przechowywanie) jego numeru telefonu na tzw. “czarnej liście”, w tym zakresie i celu przetwarzania stała się odrębnym od […] Sp. z o.o. administratorem danych.

 

wobec tego organ uznał, że Spółka od dnia umieszczenia numeru telefonu skarżącego na tzw. “czarnej liście”, zobligowana była na podstawie art. 14 RODO do wypełnienia obowiązku informacyjnego wobec skarżącego.

 

z uwagi jednak na fakt, że dane osobowe skarżącego mają zostać usunięte, Prezes UODO zaznaczył, że obowiązek informacyjny nie może być dopełniony wobec danych osobowych, które mają zostać usunięte. Żądanie to dotyczy bowiem danych, które nie będą istnieć w zasobach Spółki i w tym kontekście stoi ono w sprzeczności z żądaniem ich usunięcia. Usunięcie bowiem danych powoduje niemożliwość weryfikacji ewentualnego dopełnienia ww. obowiązku przez organ nadzorczy.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności