Naczelny Sąd Administracyjny (NSA) nie zmienia zdania w kwestii tego, czy sam numer telefonu bez żadnych innych informacji podlega ochronie RODO. W kolejnym wyroku uznał, że nie, bo nie jest daną osobową.
Czy natarczywy telefon od telemarketera to złamanie RODO?
Bezpośrednią przyczyną sporu był telefon od telemarketera. Właściciel numeru nie był z tego zadowolony i postanowił interweniować u prezesa Urzędu Ochrony Danych Osobowych (UODO). W skardze domagał się wskazania, z jakiego źródła firma pozyskała jego dane osobowe i w jakim zakresie je przetwarza. Zażądał również nakazania ich usunięcia i ukarania spółki maksymalną karą finansową. Prezes UODO zajął się sprawą. Ustalił, że telemarketer spółki świadczącej usługi call center faktycznie raz zadzwonił do skarżącego. Firma broniła się jednak, że nie przetwarzała jego danych osobowych. Znalazła się w ich posiadaniu dopiero w chwili odebrania pisma z urzędu wraz ze skargą. Spółka tłumaczyła, że w ramach swojej działalności w zakresie umawiania pokazów oraz prezentacji towarów oferowanych przez branżę sprzedaży bezpośredniej, wykonywała połączenia telefoniczne, pod posiadane numery telefonów. Podkreśliła jednak, że robi to bez przyporządkowywania ich do jakichkolwiek danych osobowych ich właścicieli czy użytkowników. Telemarketer kontaktujący się z daną osobą w imieniu spółki nie wiedział nic o rozmówcy, zwłaszcza nie znał jego imienia, nazwiska, wieku czy adresu zamieszkania. Ten stan trwał aż do czasu ich ewentualnego podania drogą elektroniczną, celem przesłania zaproszenia, voucheru lub dalszych informacji. Spółka wyjaśniła także, że sporny numer uzyskała w ramach umowy o udostępnienie pakietu danych, tj. telefonów typowanych na podstawie kryterium geograficznego od współpracującego z nią kontrahenta. Zapewniła ponadto, że usunęła już numer skarżącego ze swoich baz.
Czytaj więcej
Sam numer telefonu przekazany bez żadnych innych danych i wykorzystany do akcji telemarketingowej nie jest daną osobową.
Te tłumaczenia nie uchroniły jej przed konsekwencjami ze strony UODO. Prezes urzędu uznał, że posiadane przez spółkę numery telefonów wytypowane w oparciu o kryterium geograficzne stanowią dodatkowe kryterium indywidualizujące określoną osobę fizyczną. Stanowią więc dane osobowe. I choć skończyło się tylko na upomnieniu, prezes UODO nie miał wątpliwości, że spółka pozyskała i przetwarzała dane osobowe skarżącego – w zakresie jego telefonu – bez podstawy prawnej w celach marketingowych. Firma nie zgodziła się z tym rozstrzygnięciem, zaskarżyła je i wygrała. Najpierw rację przyznał jej Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Także jego zdaniem w sprawie błędnie przyjęto, że sam numer telefonu stanowił daną osobową i posłużenie się nim naruszało RODO. Sam numer nie pozwala bowiem na prostą identyfikację konkretnej osoby. WSA nie krył, że sam obrót bazami numerów telefonów w celu wykonywania połączeń do wytypowanej ich grupy, bez uprzedniej zgody abonenta, może być uważany za praktykę naganną. Na bezskuteczne próby usunięcia swojego numeru z baz pozyskiwanych i wykorzystywanych przez skarżącą wskazywała osoba, która zainicjowała spór. Niemniej zdaniem WSA rozwiązanie danego problemu – w myśl preferencji większości obywateli – może nastąpić wyłącznie przez wprowadzenie stosownego prawodawstwa na stosownym szczeblu. Wykluczenie praktyk w danym zakresie nie może zaś nastąpić w oparciu o stosowną wykładnię przepisów RODO w aktualnym brzmieniu.
Czy numery telefonów to dane osobowe chronione RODO?
Ostatecznie do podobnych wniosków doszedł NSA. Podkreślił, że sąd pierwszej instancji nie przesądził, iż numer telefonu nie może stanowić danych osobowych. Uznał jedynie, że w sprawie nie wykazano, aby numer telefonu mógł doprowadzić do identyfikacji osoby, do której jest przypisany. NSA zauważył, że o danych osobowych w kontekście numeru telefonu można mówić wtedy, gdy podmiot, który nim dysponuje posiada informacje dodatkowe, które pozwalają mu na identyfikację osoby, do której jest przypisany. Ewentualnie, gdy ma możliwość kontaktu z innym, który dysponuje narzędziami pozwalającymi na identyfikację poprzez powiązanie numeru telefonu z informacjami dodatkowymi. Natomiast to, że można poprzez numer telefonu zadzwonić do danej osoby i dopiero wtedy podejmować działania zmierzające do tego, żeby się przedstawiła i ujawniła swoje dane osobowe, zdaniem NSA, jest niewystarczający. Do identyfikacji doszłoby dopiero, gdyby osoba odbierająca połączenie się przedstawiła. I jak tłumaczył sędzia sprawozdawca Maciej Kobak, dopiero od tego momentu mamy do czynienia z przetwarzaniem danych osobowych. NSA zauważył, że szerokie ujmowanie możliwości pośredniej identyfikacji rodziłoby pewne niebezpieczeństwo, jeżeli chodzi o przyjmowanie, że mamy do czynienia z danymi osobowymi. Sąd miał świadomość, że w dobie rozwijającej się technologii, możliwość poszukiwania i powiązania ze sobą informacji będzie coraz łatwiejsza. I zapewne jeszcze nie raz pojawi się konieczność oceny, czy w danym przypadku występuje możliwość takiej nawet pośredniej identyfikacji. Niemniej w spornej sprawie sam fakt wykonania połączenia, kiedy nie jest pewne, czy osoba, do której się dzwoni, przedstawi się, nie jest wystarczający do uznania numeru telefonu za daną osobową. Wyrok jest prawomocny.
Sygnatura akt: III OSK 1601/24
