Jakub Groszkowski: Numer telefonu jest jak imię i nazwisko

W mediach tradycyjnych i społecznościowych głośno się mówi o dużych podmiotach, którym organ nadzorczy nałożył wysoką administracyjną karę pieniężną, a sąd ją uchylił. W większości spraw sądy administracyjne patrzą jednak na ochronę danych tak samo jak UODO.

Chociaż sądy administracyjne nie zawsze orzekają zgodnie z wykładnią Urzędu Ochrony Danych Osobowych, to spraw, w których podzielają stanowisko organu nadzorczego, jest coraz więcej. To powód do zadowolenia, ponieważ ujednolicenie podejścia do przepisów jest ważne dla całego systemu ochrony danych osobowych oraz pewności prawa i spójnego orzecznictwa w całej Unii Europejskiej, w której RODO jest stosowane bezpośrednio.

Czytaj więcej:

Kadry i Płace

RODO: pracownik nie musi podawać pracodawcy prywatnego numeru telefonu

Pracodawca, który pozyskał dane kontaktowe do pracownika podczas rekrutacji, nie może ich wykorzystywać do kontaktów zawodowych po zatrudnieniu tej osoby bez jej zgody.

Pro

Istnieją obszary, w których Urząd Ochrony Danych Osobowych bywa nieco zaskoczony orzeczeniami wojewódzkich sądów administracyjnych czy Naczelnego Sądu Administracyjnego. Generalnie patrząc na ogół spraw, jakie po wydaniu decyzji przez prezesa UODO trafiają do kontroli sądów administracyjnych, to jest ich bardzo mały odsetek.

Pamiętajmy jednak, że RODO, czyli ogólne rozporządzenie o ochronie danych osobowych, powinno być jednakowo stosowane przez wszystkie organy nadzorcze w Unii Europejskiej. Dlatego decyzje UODO podejmowane są z uwzględnieniem wytycznych Europejskiej Rady Ochrony Danych, jak i orzeczeń innych europejskich organów.

Trochę statystyki

W większości spraw sądy są zgodne z oceną UODO, co potwierdzają statystki. W pierwszym kwartale tego roku na 46 spraw, którymi zajmowały się sądy administracyjne, decyzje prezesa UODO podtrzymano w 32 przypadkach. W większości spraw, które są często zaskarżane, sądy podzielają więc stanowisko UODO.

W ubiegłym roku było podobnie. Sądy administracyjne zajmowały się 214 skargami na decyzje organu nadzorczego. W 153 sprawach utrzymywały decyzję prezesa UODO.

Dane te pokazują, że w 70 proc. wszystkich spraw zgadzały się ze stanowiskiem prezesa UODO.

Nieco większy odsetek spraw, w których sądy administracyjne orzekały tak jak prezes UODO w swoich decyzjach, jest zauważalny w postępowaniach wszczętych przez organ nadzorczy z urzędu. Tu w 73 proc. spraw decyzja prezesa UODO została utrzymana przez sąd.

Nie dziwi, że najwięcej emocji budzą jednak sprawy, w których organ nadzorczy nałożył administracyjną karę pieniężną na administratora danych. Do tej pory prezes UODO skorzystał z takiego środka w 72 sprawach. 37 z takich decyzji zostało zaskarżonych do WSA. Dziewięć z tych spraw toczy się przed WSA, a w 20 z nich sąd utrzymał decyzje prezesa UODO. Decyzje w 15 sprawach, w których sąd podzielił stanowisko UODO, administratorzy postanowili zaskarżyć do Naczelnego Sądu Administracyjnego. 14 z nich jest w toku, a w jednej została uchylona decyzja organu nadzorczego. Przed NSA jest też 7 z 8 spraw, w których WSA uchylał decyzję prezesa UODO.

Zgadzamy się, ale…

Nie zawsze orzeczenie sądu administracyjnego kończy sprawę. Bywa, że orzeczenie, które odczytywane jest jako porażka UODO, przed WSA wcale nią nie jest. Sąd niekiedy zwraca sprawę do ponownego zbadania w określonym zakresie.

Tak było w przypadku spółki telekomunikacyjnej P4, której następcą prawnym jest Virgin Mobile. W sprawie tej sąd zgodził się z oceną UODO, iż przyjęte przez spółkę procedury mogłyby być skuteczne, gdyby we wdrożonych procedurach zawierały również ustalenia dotyczące regularnego testowania, mierzenia i oceniania skuteczności przyjętych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, i które byłyby przez spółkę przestrzegane. Ich brak przyczynił się do naruszenia ochrony danych osobowych. Sąd w tej sprawie jednak wskazał, że organ przy określaniu wysokości kary dostatecznie nie rozważył okoliczności w postaci podejmowanych przez spółkę Virgin działań w celu zminimalizowania szkody poniesionej przez osoby.

UODO dokonał więc ponownej analizy materiału dowodowego i ponownie wydał decyzję administracyjną, nakładającą administracyjną karę pieniężną w wysokości 1,6 mln zł na spółkę. Decyzja ta została podtrzymana przez Wojewódzki Sąd Administracyjny w Warszawie 21 czerwca 2023 r. (sygn. II SA/Wa 150/23). WSA zgodził się z UODO co do meritum sprawy i oddalił skargę administratora na decyzję UODO.

Fundamenty ochrony danych osobowych

Kością niezgody między sądem administracyjnym a UODO jest podejście do fundamentalnych kwestii związanych z ochroną danych osobowych. Mam tu na myśli definicję danych osobowych, której odpowiednie zrozumienie i stosowanie jest kluczowe dla prawidłowego funkcjonowania systemu ochrony danych osobowych, a co za tym idzie, również ochrony obywateli.

UODO konsekwentnie zwraca uwagę nie tylko na brzmienie definicji określonej w RODO, zgodnie z którą danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. To osoba fizyczna, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Odczytując tę definicję, należy też spojrzeć szerzej, w czym pomaga motyw 26 RODO. Określa on, że „aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.

Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny”.

Sądy różnie interpretowały regulacje i orzekały, że np. numer telefonu czy numer rejestracyjny pojazdu nie są danymi osobowymi, ale w tym względzie następuje pewna pozytywna z perspektywy osób fizycznych zmiana.

Otóż WSA w Warszawie w ostatnim czasie w wielu sprawach orzeka zgodnie ze stanowiskiem UODO i uznaje, że sam numer telefonu jest daną osobową. Oddala więc skargi na decyzje organu nadzorczego, który nakazuje usunięcie danych osoby, której dotyczą, czy nakazuje spełnienie wobec niej obowiązku informacyjnego. Przed wydaniem tych orzeczeń temat ten był przedmiotem szerokiej dyskusji podczas jednej z konferencji organizowanych przez UODO w tym roku. Pokazuje to, że publiczna debata i konstruktywny dialog może przynosić pozytywne efekty.

Sprawy, w których WSA w Warszawie orzeka zgodnie ze stanowiskiem wyrażonym w decyzjach organu nadzorczego, są o tyle istotne, że dotyczą tzw. niechcianego czy wręcz uciążliwego telemarketingu, który jest zmorą wielu abonentów, w tym głównie narażonych na niebezpieczeństwo seniorów. W wielu takich sprawach administrator nie spełnia żądania osoby, której dane dotyczą, związanego z usunięciem jej danych. W toku postępowania przed UODO próbuje wykazać, że numer telefonu tej osoby nie jest daną osobową, chcąc sprawić, aby prezes UODO nie mógł chronić i zapewnić realizacji praw zwykłych ludzi.

Administratorzy skarżą decyzje organu nadzorczego do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sąd ten jednak w wielu sprawach potwierdził stanowisko prezesa UODO, że numer telefonu jest daną osobową i administrator przetwarzał dane osobowe uczestnika postępowania bez podstawy prawnej, a tym naruszył art. 6 ust. 1 RODO.

Numer telefonu to dana osobowa – potwierdza WSA w Warszawie

W jednej z takich spraw WSA w Warszawie stwierdził m.in., że „skarżąca, pozyskując numer telefonu komórkowego uczestnika postępowania, przechowując go i wykorzystując następnie do nawiązania połączenia telefonicznego, przetwarzała jego dane osobowe. Sąd zaznacza przy tym jeszcze raz, że przyjął, iż numer telefonu komórkowego użytkownika końcowego będącego osobą fizyczną definiuje tego użytkownika jako osobę korzystającą dla zaspokojenia własnych potrzeb z usług telekomunikacyjnych przypisanych do tego numeru, w tym z podstawowej usługi połączeń telefonicznych, a zatem umożliwia jego zidentyfikowanie poprzez nawiązanie z nim kontaktu w określonym celu i wywieranie na niego określonego wpływu”.