Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska (spr.), Sędzia WSA Danuta Kania, Sędzia WSA Joanna Kube, Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 25 listopada 2022 r. sprawy ze skargi C. Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w zakresie pkt 1; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz C. Sp. z o.o. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Prezes Urzędu Ochrony Danych Osobowych (dalej – Prezes UODO) decyzją z dnia [...] lutego 2022 r. nr [...], działając na podstawie art. 104 § 1 K.p.a. w zw. z art. 7 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781), art. 28, art. 6 ust. 1 oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) – zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi T. R. na przetwarzanie jego danych osobowych w celach marketingowych oraz niespełnienie obowiązku informacyjnego wynikającego z art. 14 ust. 2 lit. f RODO – w zakresie źródła pozyskania danych przez [...] Sp. z o.o. z siedzibą w [...]:

1) nakazał [...] Sp. z o.o. z siedzibą w [...] wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych T. R. poprzez usunięcie jego danych osobowych w zakresie numeru telefonu, przetwarzanych bez podstawy prawnej;

2) w pozostałym zakresie odmówił uwzględnienia wniosku.

Decyzja została wydana w następującym stanie faktycznym i prawnym.

W dniu [...] grudnia 2018 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga T. R. na przetwarzanie jego danych osobowych w celach marketingowych oraz niespełnienie obowiązku informacyjnego wynikającego z art. 14 ust. 2 lit. f RODO przez Spółkę [...] - w zakresie źródła pozyskania danych. Od Prezesa UODO skarżący zażądał nakazania Spółce usunięcia jego danych osobowych oraz spełnienie obowiązku informacyjnego na podstawie art. 14 ust. 2 lit. f RODO, w przypadku pozyskania danych w sposób inny, niż od osoby, której dane dotyczą, w zakresie źródła pochodzenia danych osobowych.

W odpowiedzi na wezwanie organu Spółka w piśmie z dnia [...] maja 2019 r. wyjaśniła, że przetworzyła dane skarżącego w postaci numeru telefonu wyłącznie w celu realizacji usługi - akcji telemarketingowej realizowanej na rzecz podmiotu trzeciego - [...] Sp. z o. o. będącego administratorem danych skarżącego w oparciu o: Umowę powierzenia przetwarzania danych osobowych z dnia [...] listopada 2018 r., której treść została potwierdzona przez strony oraz Ramową Umowę Zlecenie z dnia [...] listopada 2018 r. Akcja wykonywana przez Spółkę na rzecz administratora, w oparciu o postanowienia ww. Umów, miała polegać na wykonaniu połączenia na określony numer telefonu w celu ustalenia czy osoba, do której wykonywane jest połączenie zainteresowana jest informacjami dotyczącymi kursów języka angielskiego online oraz kontaktem ze strony administratora w tym zakresie. Jeżeli osoba ta wykazywała takie zainteresowanie konsultant miał zapytać o imię i nazwisko oraz miejscowość, a następnie na zlecenie administratora odczytywał klauzulę informacyjną dotyczącą administratora tj. [...] Sp. z o.o. W ramach skróconej klauzuli informacyjnej, podawany był również link do pełnej klauzuli informacyjnej administratora. Po odczytaniu klauzuli informacyjnej konsultant zwracał się z pytaniem o zgodę na otrzymywanie połączeń telefonicznych w celach marketingowych od firmy [...] Sp. z o.o. Dane osób, które wyraziły na to zgodę były przedstawiane administratorowi. Wszelkie inne dane były natomiast usuwane, poza pozostawieniem numeru telefonu na tzw. "czarnej liście" - w celu zablokowania możliwości połączenia się z tym numerem przez konsultanta w przyszłości. Spółka w ramach opisanej akcji marketingowej dysponowała numerem telefonu [...], który pozyskała na zlecenie administratora z ogólnodostępnego źródła - sieci Internet. Dane te zostały przetworzone wyłącznie w celu wykonania kontaktu na zlecenie administratora [...] Sp. z o.o. Spółka aktualnie zachowała wyłącznie numer telefonu: [...] w celu zapisania go na tzw. "czarnej liście", tak aby w przyszłości konsultant nie mógł wykonać na ten numer jakiegokolwiek połączenia. Dane skarżącego nie zostały udostępnione na rzecz innych osób lub podmiotów. Spółka przetworzyła te dane wyłącznie na zlecenie administratora zgodnie z zawartymi Umowami. Jako że Spółka nie była ani nie jest administratorem danych skarżącego to nie spełniała obowiązku informacyjnego wobec skarżącego. W ramach rozmowy telefonicznej ze skarżącym Spółka nie spełniła obowiązku informacyjnego dotyczącego administratora w sposób opisany w załączonym skrypcie rozmowy w związku z wcześniejszym zakończeniem przez skarżącego rozmowy telefonicznej. Spółka nie posiada informacji, aby skarżący zwracał się do Spółki z jakimikolwiek żądaniami dotyczącymi realizacji praw z zakresu ochrony danych osobowych zarówno telefonicznie, mailowo, jak również korespondencyjnie.

W oparciu o powyższe wyjaśnienia oraz załączone kopie dokumentów Prezes UODO w uzasadnieniu decyzji z dnia [...] lutego 2022 r. stwierdził, że [...] Sp. z o.o. przetwarza dane osobowe skarżącego w postaci numeru telefonu. Organ wyjaśnił, że zgodnie z definicją "danych osobowych" zawartą w art. 4 ust. 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Niewątpliwie to, czy informacja pozwala na identyfikację danej osoby, wynika z kontekstu, w jakim informacja ta jest używana. Choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, a samo ustalenie tożsamości nie wymaga poniesienia nadmiernych kosztów, czasu lub działań. Sama zatem możliwość skontaktowania się z tą osobą może prowadzić do ustalenia jej tożsamości, a więc numer telefonu stanowi dane osobowe w rozumieniu przepisów RODO.

Organ wyjaśnił nadto, że RODO określa zasady i odnosi się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych (art. 2 ust. 1). Przywołują treść przepisu art. 4 ust. 2 oraz art. 6 ust. 1 lit. f RODO Prezes UODO stwierdził, że Spółka przetwarzała dane osobowe skarżącego, gdyż było to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (firmy [...] Sp. z o.o.), tj. prowadzenia marketingu bezpośredniego.

Prezes UODO wskazał przy tym, że firma [...] Sp. z o.o. zawarła ze Spółką [...] na podstawie art. 28 RODO umowę powierzenia przetwarzania danych osobowych. W ramach tej umowy firma [...] Sp. z o.o. pełni rolę administratora, natomiast Spółka [...] działa w charakterze podmiotu przetwarzającego. Spółka przetwarza zatem dane osobowe w związku z zawartą umową współpracy (Ramową Umową Zlecenie) w celu właściwego realizowania jej postanowień tj. w celu realizacji usługi, akcji telemarketingowej realizowanej na rzecz firmy [...] Sp. z o.o. Zdaniem organu, ww. umowa legalizowała przetwarzanie danych skarżącego przez Spółkę w zakresie numeru telefonu i celu.

Prezes UODO zaznaczył jednocześnie, że Spółka aktualnie zaprzestała przetwarzania danych osobowych skarżącego w swojej bazie w celach marketingowych. Tym samym w dacie wydania zaskarżonej decyzji brak było możliwości wydania decyzji nakazującej Spółce zaprzestanie przetwarzania danych osobowych skarżącego w celu marketingu bezpośredniego.

Odnosząc się do wniosku skarżącego o usunięcie jego danych osobowych, Prezes UODO wskazał, że zgodnie z wyjaśnieniami Spółki, skarżący nie zwrócił się wcześniej do niej z wnioskiem o usunięcie jego danych osobowych. Zgodnie jednak z art. 17 ust. 1 lit. d RODO, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe były przetwarzane niezgodnie z prawem.

Natomiast powołując treść art. 28 ust. 10 RODO organ wyjaśnił, że podejmowanie decyzji o celach i sposobach przetwarzania danych należy do sfery uprawnień administratora danych. Jeżeli natomiast w tę sferę bezprawnie ingeruje podmiot przetwarzający, wchodząc w zakres zastrzeżony administratorowi, to art. 28 ust. 10 RODO nakazuje uznać podmiot przetwarzający za administratora w odniesieniu do tego przetwarzania. Oznacza to, że podmiot przetwarzający odpowiada w tym zakresie za naruszenie przepisów RODO.

Skoro zatem Spółka wskazała, że dane osobowe skarżącego w postaci jego numeru telefonu są przetwarzane (przechowywane) przez Spółkę w bazie na tzw. "czarnej liście", aby nie dopuścić do ponownego kontaktu ze skarżącym w celu prowadzenia kampanii marketingowych, to w tym aspekcie przetwarzania danych osobowych Spółka realizuje cel własny (odrębny od celu przetwarzania określonego ww. umowami łączącymi ją z [...] Sp. z o.o.). Przetwarzanie przez [...] Sp. z o.o. numeru telefonu skarżącego na tzw. "czarnej liście", ma na celu uniknięcie kontaktów ze skarżącym w przyszłości. Prezes UODO podniósł więc, że o ile Spółka wskazała cel przetwarzania danych osobowych skarżącego (tj. umieszczenie jego numeru telefonu na tzw. "czarnej liście"), to nie wykazała podstawy prawnej takiego przetwarzania skorelowanego z tym celem, tj. dalszego przetwarzania (przechowywania) danych osobowych skarżącego, w aspekcie którejkolwiek z przesłanek wskazanych w art. 6 ust. 1 RODO.

Odnosząc się natomiast do obowiązku informacyjnego, o którym mowa w art. 14 ust. 1 RODO, a więc obowiązku informacyjnego spełnianego wobec osoby, której dane zostały pozyskane, w tym wynikającego z art. 14 ust. 2 lit. f, tj. podania źródła pochodzenia danych, Prezes UODO wskazał, że obowiązanym do dopełnienia obowiązku informacyjnego jest administrator. Nie realizuje go natomiast podmiot przetwarzający, chyba że robi to w imieniu administratora. W niniejszej sprawie, zgodnie z wyjaśnieniami Spółki oraz załączonym "scenariuszem rozmowy [...]", Spółka podczas rozmowy telefonicznej realizowała, co do zasady, obowiązek informacyjny w imieniu administratora. Tym samym organ nie mógł stwierdzić nieprawidłowości po stronie Spółki w tym zakresie. Spółka wyjaśniła, że nie zdążyła spełnić obowiązku informacyjnego wobec skarżącego, ponieważ przedwcześnie zakończył on rozmowę, uniemożliwiając dopełnienie ww. obowiązku. Wobec jednak faktu, że Spółka, jak wskazała, obecnie samodzielnie decyduje o celach i środkach przetwarzania danych osobowych skarżącego poprzez przetwarzanie (przechowywanie) jego numeru telefonu na tzw. "czarnej liście", w tym zakresie i celu przetwarzania stała się odrębnym od [...] Sp. z o.o. administratorem danych. Wobec tego organ uznał, że Spółka od dnia umieszczenia numeru telefonu skarżącego na tzw. "czarnej liście", zobligowana była na podstawie art. 14 RODO do wypełnienia obowiązku informacyjnego wobec skarżącego.

Z uwagi jednak na fakt, że dane osobowe skarżącego mają zostać usunięte, Prezes UODO zaznaczył, że obowiązek informacyjny nie może być dopełniony wobec danych osobowych, które mają zostać usunięte. Żądanie to dotyczy bowiem danych, które nie będą istnieć w zasobach Spółki i w tym kontekście stoi ono w sprzeczności z żądaniem ich usunięcia. Usunięcie bowiem danych powoduje niemożliwość weryfikacji ewentualnego dopełnienia ww. obowiązku przez organ nadzorczy.

W konkluzji Prezes UODO stwierdził, iż z uwagi na fakt, że przetwarzanie danych osobowych skarżącego przez Spółkę nie znajduje uzasadnienia w przesłankach z art. 6 ust. 1 RODO, a zatem dalsze przetwarzanie realizowane jest bez podstawy prawnej. Dlatego uzasadnione jest - na podstawie art. 58 ust. 2 lit. g RODO - nakazanie Spółce usunięcia tych danych. W zakresie zaś nakazania Spółce dopełnienia obowiązku informacyjnego skarżącemu należało odmówić.

W skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie skardze na decyzję Prezesa UODO z dnia [...] lutego 2022 r. w zakresie pkt 1 (nakazu usunięcia danych) [...] Sp. z o.o., reprezentowana przez pełnomocnik, zarzuciła:

1. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. naruszenie: art. 7, art. 77 § 1 i art. 80 K.p.a. polegające na rozpatrzeniu materiału dowodowego w sposób niewyczerpujący i dokonanie dowolnych ustaleń (które nie wynikają z zebranego materiału dowodowego) i przyjęcie, że numer telefonu umożliwia łatwą weryfikację tożsamości właściciela tego numeru (w stanie faktycznym sprawy), a zatem stanowi daną osobową,

2. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 4 pkt 1 RODO, poprzez błędne uznanie, że numer telefonu stanowi dane osobowe, umożliwiające zidentyfikowanie osoby fizycznej, tymczasem sam numer telefonu nie jest informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę; błędna ocena organu, jakoby skarżąca Spółka przetwarza dane osobowe prowadziła do bezpodstawnego wydania decyzji zobowiązującej do usunięcia danych (pkt 1 sentencji decyzji). Skoro zaś spółka nie przetwarzała danych osobowych, nie znajdą do niej zastosowania wymagania określone w RODO.

W związku z powyższymi zarzutami pełnomocnik Spółki wniósł o uchylenie na podstawie art. 145 § 1 pkt 1 lit. a) i c) P.p.s.a. - zaskarżonej decyzji w zaskarżonej części i umorzenie postępowania administracyjnego, względnie przekazanie sprawy organowi do ponownego rozpatrzenia oraz o zasądzenie - na podstawie art. 200 P.p.s.a. – kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi pełnomocnik Spółki zakwestionował ustalenia organu w zakresie przetwarzania przez Spółkę danych osobowych podnosząc, że sam numer telefonu nie pozwala na identyfikację konkretnej osoby, może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacza numeru - abonenta lub osoby, która faktycznie używa danego numeru.

Pełnomocnik Spółki podniósł nadto, że Prezes UODO w toku postępowania administracyjnego wyłożył pojęcie danych osobowych, abstrahując od kontekstu związanego z sytuacją Spółki. Niezależnie bowiem od błędów w ustaleniach faktycznych , organ przedstawił rozumienie pojęcia "danych osobowych" sprzeczne z przepisami i motywami RODO. Zdaniem pełnomocnika Spółki takie podejście narusza intencję zawartą w motywie 26 RODO. Powołując wyrok Naczelnego Sądu Administracyjnego z dnia 28 czerwca 2019 r. sygn. akt I OSK 2063/17 oraz nieprawomocny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 kwietnia 2021 r. sygn. akt II SA/Wa 1898/20, pełnomocnik Spółki stwierdził, że dla skarżącej Spółki sam numer telefonu nie jest daną osobową.

Pełnomocnik Prezesa UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując argumentację przedstawioną w zaskarżonej decyzji.

Odnosząc się do zarzutu skargi w zakresie naruszenia prawa materialnego, tj. przepisu art. 4 pkt 1 RODO, poprzez błędne uznanie, że numer telefonu stanowi dane osobowe umożliwiające zidentyfikowanie osoby fizycznej, pełnomocnik organu podkreślił, że przy rozstrzygnięciu, czy numer telefonu uznać można za daną osobową, umożliwiającą zidentyfikowanie osoby fizycznej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny, ale także uwzględnić cel przetwarzania tego numeru. W niniejszej sprawie postępowanie wykazało, że Spółka przetwarzała numery telefonów osób fizycznych w celu zachęcenia do udziału w usługach oferowanych przez [...] Sp. z o.o. W związku z powyższym działania Spółki w odniesieniu do numeru telefonu T. R. należy uznać za skierowanie komunikatu do osoby fizycznej jako potencjalnego klienta dla podmiotu współpracującego ze Spółką. Celem wykonywania połączeń było pozyskanie dodatkowych danych osobowych podmiotu, niezbędnych do przedstawienia oferty kursów, co przyznała sama Spółka w złożonych wyjaśnieniach. Dodatkowo, co podniesiono również w decyzji z dnia [...] lutego 2022 r., identyfikacja tych osób poprzez pozyskanie dodatkowych danych nie wymagała od Spółki nadmiernych kosztów bądź czasu.

Odnosząc się do zarzutu Spółki, że sam numer telefonu nie stanowi danej osobowej i nie pozwala na identyfikacje konkretnej osoby fizycznej, pełnomocnik Prezesa UODO wskazał na Wytyczne Grupy Roboczej ds. ochrony danych powołanej na mocy art. 29, która w Opinii 4/2007 stwierdza wprost, że w sytuacji, gdy celem wykorzystywania danej informacji jest identyfikacja osoby fizycznej, uznać należy tę informację za daną osobową. Dodatkowo, zgodnie z ww. Opinią "(...) tożsamość osoby można ustalić bezpośrednio poprzez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwiają odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.)." W ocenie pełnomocnika organu, w sprawie mamy do czynienia z pośrednią identyfikacją T. R.

Przez analogię pełnomocnik organu zauważył, że daną osobową jest dowolna inna informacja prowadząca do identyfikacji osoby fizycznej. Tytułem przykładu taką informacją jest adres IP. Informacje, które wiążą się z określoną osobą - choćby pośrednio - niosą pewien komunikat o niej, dlatego też informacją dotyczącą osoby jest zarówno informacja odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów, czy urządzeń, ale poprzez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej. Adres IP jest unikatowym numerem przyporządkowanym urządzeniom sieci komputerowych, jest zatem informacją dotycząca komputera, a nie konkretnej osoby fizycznej. Jednak pomimo powyższego, tam gdzie adres IP jest na dłuższy czas lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, należy uznać, że stanowi on daną osobową, jest to bowiem informacja umożliwiająca identyfikację konkretnej osoby fizycznej. Porównywalnie należy odbierać okoliczność dysponowania wyłącznie numerem telefonu, który - co do zasady na dłuższy okres - każdorazowo przyporządkowany jest do konkretnej osobowy fizycznej. Służy przy tym do kontaktu zawsze z jego indywidualnym użytkownikiem i bezpośredniego dotarcia do osoby nim się posługującej oraz - w okolicznościach sprawy - do przedstawienia oferty zindywidualizowanej przecież osobie. W ocenie Prezesa UODO, w tych okolicznościach tym bardziej niezasadnym jest stwierdzenie, że numer telefonu nie identyfikuje osoby, a ku temu niezbędne jest posiadanie dodatkowych jego danych, aby uznać właściciela numeru za osobę zidentyfikowaną.

Powołując się na orzecznictwo pełnomocnik organu podniósł, że posiadanie numeru telefonu podmiotu danych, a dodatkowo kontaktowanie się w celu pozyskania jeszcze większej ilości danych również powoduje, że tożsamość danej osoby można ustalić. Może to nastąpić zarówno bezpośrednio w toku samej rozmowy, jak i pośrednio, gdy będą w jej trakcie pozyskane dodatkowe informacje, np. o lokalizacji (ulicy zamieszkania), wieku, wykształceniu, czy preferencjach produktowych, a finalnie imienia i nazwiska oraz adresu zamieszkania - do których pozyskania Spółka przecież dążyła.

Dodatkowo pełnomocnik organu zaznaczył, że aktualna linia orzecznicza - z którą Prezes UODO w pełni się zgadza - w zakresie obowiązku udostępnienia danych (np. Straży Miejskiej) na potrzeby postępowania wykroczeniowego w sytuacji dysponowania przez nią jedynie numerami telefonów także potwierdza, że skarżona decyzja była wydana prawidłowo, a sądy administracyjne orzekające w tego typu sprawach nie kwestionowały, że numer telefonu stanowi daną osobową.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Art. 145 ustawy Prawo o postępowaniu przed sądami administracyjnymi (dalej jako P.p.s.a.) określa w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.

Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, iż skarga [...] Sp. z o.o. zasługuje na uwzględnienie.

Zasadniczą kwestią, która wymagała rozstrzygnięcia w związku ze sprawą zawisłą przed Prezesem UODO było to, czy numer telefonu T. R., który został przekazany [...] Sp. z o.o. przez firmę [...] Sp. z o.o. na potrzeby realizacji zawartej miedzy stronami Ramowej umowy zlecenia, mieści się w pojęciu danych osobowych w rozumieniu art. 4 pkt 1 RODO.

Zgodnie z art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Jednocześnie, zgodnie z wyjaśnieniami zawartymi w motywie 26 RODO zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

W ocenie Sądu, w świetle powyższych regulacji, jako trafne należy ocenić zarzuty skargi, że Prezes UODO w oparciu o zebrany w sprawie materiał dowodowy błędnie ustalił, iż [...] Sp. z o.o. dysponując wyłącznie numerem telefonu przekazanym przez firmę [...] Sp. z o.o. na potrzeby realizacji akcji marketingowej, przetwarzała dane osobowe T. R. - w rozumieniu art. 4 pkt 1 RODO.

W tym miejscu należy zaznaczyć, że obowiązkiem organu ochrony danych osobowych w ramach postępowania zainicjowanego skargą T. R. była ocena zasadności zarzutów skargi, a zatem ustalenie w pierwszej kolejności, czy [...] Sp. z o.o. przetwarzała dane osobowe skarżącego w rozumieniu art. 4 pkt 1 RODO, a jeżeli tak, to czy miała do tego podstawę prawną.

Skorzystanie przez organ ochrony danych osobowych z uprawnień naprawczych przyznanych mu w art. 58 ust. 2 RODO musi być bowiem poprzedzone ustaleniem, że doszło do naruszenia przepisów o ochronie danych osobowych.

Prezes UODO uznając, że [...] Sp. o.o. przetwarzała dane osobowe T. R. stwierdził w zaskarżonej decyzji, że choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, ale z uwagi na to, że umożliwia bezpośredni kontakt z określoną osobą, a skontaktowanie się z tą osobą może prowadzić do ustalenia jej tożsamości, bez poniesienia nadmiernych kosztów, czasu lub działań, to tym samym numer telefonu stanowi dane osobowe w rozumieniu RODO.

W ocenie Sądu, powyższe stanowisko organu należy ocenić jako błędne. Dana osobowa to informacja o osobie możliwej do identyfikacji, a nie informacja umożliwiająca weryfikację tożsamości osoby fizycznej. Z poglądów doktryny oraz orzecznictwa sądów administracyjnych wynika, że numer telefonu może stanowić dane osobowe w sytuacji, gdy dysponent tego numer telefonu jest w posiadaniu także innych informacji, które umożliwiają identyfikację danej osoby fizycznej, takich jak np. imię i nazwisko, adres zamieszkania, nr PESEL. Możliwość identyfikowania osoby fizycznej należy bowiem odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną). (vide: Komentarz do Ogólnego rozporządzenia o ochronie danych osobowych pod redakcją dr Pawła Litwińskiego, Wydawnictwo C.H.BECK Warszawa 2021, str. 112; wyroki Naczelnego Sądu Administracyjnego – z dnia 13 stycznia 2022 r, sygn. akt III OSK 4763/21, z dnia 31 maja 2022 r. sygn. akt III OSK 1342/21 – publ. CBOSA). Dla zakwalifikowania określonych informacji do danych osobowych nie może mieć przesądzającego znaczenia możliwość dokonania samoidentyfikacji przez osobę, której dane dotyczą.

Nie można zatem zgodzić się z organem, że w sytuacji, gdy celem wykonywania połączeń telefonicznych przez konsultantów [...] Sp. z o.o. w ramach prowadzonej akcji marketingowej było pozyskanie danych osobowych osób, do których wykonywane były te połączenia telefoniczne w zakresie ich imienia i nazwiska oraz miejsca zamieszkania, a tym samym istniała możliwość identyfikacji tych osób, to numer telefonu należy uznać za dane osobowe. Jest w niniejszej sprawie okolicznością niesporną, że w przypadku T. R. wykonane połączenie telefoniczne nie doprowadziło do pozyskania przez konsultanta jego danych osobowych, a sam numer telefonu nie dawał możliwości jego identyfikacji.

Skoro zatem numer telefonu nie pozwalał na identyfikowanie konkretnej osoby w oparciu o przypisane jej cechy indywidualne, nie sposób uznać, aby Spółka dysponowała danymi osobowymi T. R. i je przetwarzała.

Skoro zaś Spółka nie przetwarzała danych osobowych T. R. nie było podstaw do skorzystania przez Prezesa UODO z uprawnień naprawczych przewidzianych w art. 58 ust. 2 lit. g RODO.

Przywołane przez organ w odpowiedzi na skargę orzeczenia sądów administracyjnych przyznające Straży Miejskiej uprawnienie do pozyskania danych osobowych użytkownika telefonu w celu ustalenia sprawcy wykroczenia, wbrew twierdzeniu organu, nie potwierdzają tezy, że sam numer telefonu stanowi dane osobowe (wręcz jej przeczą), gdyż Straż Miejska dysponując wyłącznie numerem telefonu nie była w stanie zidentyfikować sprawcy wykroczenia. Z kolei przywołane przez organ orzeczenia sądów uznające adres IP za dane osobowe są nieadekwatne do okoliczności niniejszej sprawy.

Z powyższego wynika, że zarzuty skargi są uzasadnione. Prezes UODO dokonał nieprawidłowej wykładni art. 4 ust. 1 pkt 1 RODO, naruszył powołane w skardze przepisy postępowania i w konsekwencji dopuścił się naruszenia art. 58 ust. 2 lit. g RODO.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a. orzekł jak w punkcie 1 sentencji wyroku. O kosztach postępowania, obejmujących wpis od skargi oraz wynagrodzenie pełnomocnika w stawce minimalnej wraz z opłatą skarbową od pełnomocnictwa, Sąd postanowił w oparciu o art. 200 i art. 205 § 2 P.p.s.a., jak w punkcie 2 sentencji wyroku. W niniejszej sprawie nie zachodziły natomiast okoliczności, które uzasadniałyby zastosowanie przez Sąd art. 145 § 3 P.p.s.a.