Numer telefonu jako dane osobowe

3 godzin temu

WSA w Warszawie wyrokiem z 22.12.2022 r., II SA/Wa 1265/22,Legalis, oddalił skargę […] Sp. z o.o. (dalej: Skarżąca Spółka) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) z 13.5.2022 r. w przedmiocie przetwarzania danych osobowych. Decyzją tą udzielono Skarżącej Spółce upomnienia za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) za naruszenie – przetwarzanie danych osobowych A.S. (dalej: Uczestniczka), w zakresie jej numeru telefonu, bez podstawy prawnej, w celach marketingowych.

Stan prawny

NSA wskazał, iż stosownie do art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak:

  • imię i nazwisko,
  • numer identyfikacyjny,
  • dane o lokalizacji,
  • identyfikator internetowy lub
  • jeden bądź kilka szczególnych czynników, określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

W tym kontekście NSA wyjaśnił, iż prawodawca unijny jako dane osobowe traktuje wszelkie informacje o osobie zidentyfikowanej lub możliwej do zidentyfikowania. To każda informacja, która dotyczy osoby, którą administrator danych może w sposób pewny wskazać bez konieczności podejmowania jakichkolwiek dalszych czynności w celu jej identyfikacji.

Numer telefonu jako dane osobowe

W ocenie NSA numer telefonu Uczestniczki nie stanowi danych osobowych o osobie zidentyfikowanej. Skarżąca Spółka, poza numerem telefonu, nie dysponowała żadną inną informacją dotyczącą Uczestniczki, a zatem bez podejmowania dalszych czynności identyfikacyjnych, nie mogła przypisać go do jakiejkolwiek osoby fizycznej.

Zasadnicze znaczenie w sprawie ma kwestia dopuszczalności zakwalifikowania numeru telefonu jako informacji o „możliwej do zidentyfikowania osobie fizycznej”.

W motywie 26 RODO postanowiono, iż aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, iż osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. RODO nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Dane osobowe to takie informacje, które same w sobie pozwalają na identyfikację osoby, bez konieczności integrowania tych danych z innymi informacjami. A contrario, danymi osobowymi umożliwiającymi zidentyfikowanie osoby fizycznej pośrednio, będą takie informacje, które w celu identyfikacji tej osoby należy treściowo zespolić z innymi informacjami. Zastrzec przy tym należy, iż nie jest wymagane, aby wszystkie dane umożliwiające zidentyfikowanie danej osoby fizycznej znajdowały się w dyspozycji jednego podmiotu. Dla ustalenia pośredniej możliwości identyfikacji osoby fizycznej istotne jest zatem to, czy administrator lub inna osoba ma możliwość treściowego skorelowania będącej w jego dyspozycji informacji z innymi, posiadanymi przez siebie lub inny podmiot informacjami, tworząc w ten sposób zbiór danych identyfikujących daną osobę fizyczną. Za dane osobowe należy zatem uznać informację, która po połączeniu z innymi informacjami, pozwala zidentyfikować daną osobę fizyczną albo administratorowi tej informacji, albo innemu podmiotowi, który ją od administratora pozyskał.

Stanowisko NSA

NSA wskazał, iż Skarżąca Spółka dysponowała wyłącznie numerem telefonu Uczestniczki, przy czym nie posiadała wiedzy ani co do tego, który z numerów telefonów dostępnych w zakupionym zbiorze należy do Uczestniczki, ani czy w ogóle którykolwiek z tych numerów należy do Uczestniczki. Innymi słowy, Skarżąca Spółka nie miała informacji pozwalających jej na stwierdzenie, iż któryś z posiadanych przez nią numerów należy do Uczestniczki, jak też na wyodrębnienie konkretnego numeru telefonu z posiadanego zbioru i przypisanie go do Uczestniczki. Skarżąca Spółka przy pomocy posiadanych numerów mogła wykonać połączenie telefoniczne i realizując swoje cele gospodarcze pozyskać dodatkowe informacje pozwalające skorelować dany numer telefonu z konkretną osobą fizyczną. Niemniej jednak do momentu podania przez rozmówcę swoich danych osobowych Skarżąca Spółka nie mogła zidentyfikować osoby fizycznej, do której ten numer należy. Co ma zasadnicze znaczenie, Skarżąca Spółka nie łączyła informacji w postaci numeru telefonu z dodatkowymi informacjami pozwalającymi zidentyfikować jego właściciela, na podstawie posiadanych przez siebie danych. Nie czyniła tego również w oparciu o dostęp do informacji posiadanych przez inne podmioty. Jedynym dostępnym dla Skarżącej Spółki sposobem zidentyfikowania Uczestniczki jako osoby fizycznej, do której należy posiadany przez nią numer telefonu, był bezpośredni kontakt telefoniczny z Uczestniczką, w ramach którego mogła ona udostępnić dane osobowe, które ją identyfikują.

Źródłem dodatkowych informacji pozwalających na przypisanie numeru telefonu do konkretnej osoby fizycznej, a zatem na jej pośrednią identyfikację, nie były własne zasoby podmiotu, który dysponował tym numerem, jak też zasoby „innej osoby”, do których podmiot ten mógł się zwrócić. Co więcej, w trakcie rozmowy Uczestniczka odmówiła podania swoich danych osobowych, co wyłączyło możliwość przypisania jej numeru telefonu, na który zadzwoniła Skarżąca Spółka. Trzeba stwierdzić, iż dopóki Skarżąca Spółka nie miała dostępu do „informacji dodatkowych” pozwalających jej na stwierdzenie, iż posiadany numer telefonu należy do Uczestniczki, nie można przyjąć, iż posiadała jej dane osobowe. Sama możliwość wykonania połączenia telefonicznego nie stanowi o możliwości identyfikacji właściciela numeru telefonu, albowiem nie ma żadnej pewności, iż dane pozwalające na taką identyfikację zostaną pozyskane. Skarżąca Spółka tak we własnych zasobach, jak i w zasobach innych podmiotów, do których miała dostęp, nie posiadała informacji pozwalających przypisać jej konkretny numer telefonu do Uczestniczki.

Rozstrzygnięcie NSA

Mając na uwadze powyższe, NSA, działając na podstawie art. 188 PostAdmU i art. 145 § 1 pkt 1 lit. a PostAdmU w zw. z art. 193 PostAdmU, uchylił zaskarżony wyrok WSA w Warszawie oraz decyzję Prezesa UODO.

Komentarz

Na tle stanu faktycznego analizowanej sprawy NSA wypowiedział się na temat braku możliwości zakwalifikowania numeru telefonu osoby fizycznej jako danej osobowej podlegającej ochronie, w sytuacji braku posiadania żadnych innych danych dotyczących danej osoby fizycznej i pozwalających na jej identyfikację. W tym kontekście NSA przyjął, że:

  1. możliwość pośredniej identyfikacji osoby fizycznej odnosi się wyłącznie do takich układów, w których występują: (1) „informacja zasadnicza” (samodzielnie nie stanowiąca danych osobowych, nie identyfikująca osoby fizycznej) oraz (2) „informacje dodatkowe” (samodzielnie albo po ich treściowym skorelowaniu z „informacją zasadniczą” pozwalające na zidentyfikowanie osoby fizycznej). Możliwość stworzenia zbioru ww. informacji, a następnie zidentyfikowania na ich podstawie osoby fizycznej ma ten skutek, iż „informacja zasadnicza” uzyskuje przymiot danych osobowych;
  2. „informacja zasadnicza” zawsze znajduje się w posiadaniu administratora danych osobowych, a „dodatkowe” – administratora lub inne osoby;
  3. nie ma znaczenia, czy zespolenia ww. informacji – i tym samym identyfikacji osoby fizycznej – dokonuje administrator czy „inna osoba”;
  4. ustalenie, czy jest możliwość zespolenia ww. informacji powinno opierać się na przewidzianych w motywie 26 RODO kwantyfikatorach. O sprofilowaniu „informacji zasadniczej” jako danych osobowych nie decyduje to, czy rzeczywiście posłużyła ona do zidentyfikowania danej osoby fizycznej, tylko to, czy może posłużyć do takiej identyfikacji;
  5. źródłem „informacji dodatkowych” może być wyłącznie administrator albo „inna osoba”, nie ta osoba fizyczna;
  6. „Możliwa do zidentyfikowania osoba fizyczna” to osoba, wobec której istnieje „możliwość” połączenia informacji podstawowej z dodatkowymi i ustalenia jej tożsamości. „Możliwość” odnosi się więc do samej dostępność zagregowania ww. informacji.

Wyrok NSA z 15.4.2026 r., III OSK 745/23, Legalis

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Numer telefonu jako dane osobowe

Powiązane

Czy korzystanie z AI w firmie narusza RODO? Praktyczny przewodnik po ryzykach i obowiązkach

Czy korzystanie z AI w firmie narusza RODO? Praktyczny przew...

1 dzień temu
Start nowego systemu, zapisy ruszyły. Kogo obejmuje nowy obowiązek?

Start nowego systemu, zapisy ruszyły. Kogo obejmuje nowy obo...

2 dni temu
OhMyCloud! – Dokąd Tupta Nocą CyberSec Expert?

OhMyCloud! – Dokąd Tupta Nocą CyberSec Expert?

3 dni temu
Nowy regulamin Lidl Plus od 13 maja. Zapomnisz o problemach z logowaniem

Nowy regulamin Lidl Plus od 13 maja. Zapomnisz o problemach ...

3 dni temu
Unia bierze się za VPN. „To luka, którą trzeba zamknąć”

Unia bierze się za VPN. „To luka, którą trzeba zamknąć”

3 dni temu
Czy reklama internetowa działa w modelu B2B?

Czy reklama internetowa działa w modelu B2B?

5 dni temu
Informacja dla Pacjentów o naruszeniu ochrony danych osobowych

Informacja dla Pacjentów o naruszeniu ochrony danych osobowy...

5 dni temu
Przeglądarka jako ślepy punkt DLP: jak nowoczesne przepływy pracy omijają klasyczne mechanizmy ochrony danych

Przeglądarka jako ślepy punkt DLP: jak nowoczesne przepływy ...

5 dni temu
Spór o odpowiedzialność za ujawnienie danych lekarza. Prezes UODO złożył skargę kasacyjną od wyroku WSA

Spór o odpowiedzialność za ujawnienie danych lekarza. Prezes...

6 dni temu