Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Artur Kuś sędzia del. WSA Maciej Kobak (sprawozdawca) Protokolant: asystent sędziego Dawid Lis po rozpoznaniu w dniu 15 kwietnia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej E. Spółka z o.o. z siedzibą w Z. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 grudnia 2022 r. sygn. akt II SA/Wa 981/22 w sprawie ze skargi E. Spółka z o.o. z siedzibą w Z. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 25 marca 2022 r. nr DS.523.2717.2021.PR.MŁ/163974 w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok w całości oraz zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz E. Sp. z o.o. z siedzibą w Z. kwotę 1154 (jeden tysiąc sto pięćdziesiąt cztery) złote tytułem zwrotu kosztów postępowania sądowego.

Wyrokiem z dnia 22 grudnia 2022 r. sygn. akt II SA/Wa 981/22 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę E. sp. z o.o. z siedzibą w Z. (dalej: "skarżąca") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 25 marca 2022 r. nr DS.523.2717.2021.PR.MŁ/163974 w przedmiocie przetwarzania danych osobowych.

Powyższy wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.

W piśmie z 30 kwietnia 2021 r. D. B. (dalej: "wnioskodawca") wniósł do organu skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez skarżącą - działającą poprzez oddział w Polsce – E. sp. z o. o. z siedzibą w P. - polegające na braku odpowiedzi na pytanie o źródło pochodzenia danych osobowych. Organ ustalił, na podstawie wyjaśnień spółki i po zgromadzeniu materiału dowodowego, że wnioskodawca w dniu 30 marca 2021 r. odebrał połączenie telefoniczne od przedstawiciela spółki z ofertą handlową, pochodzące z nr tel. [...]. Pracownik spółki podczas rozmowy nie był w stanie udzielić odpowiedzi, z jakiego źródła spółka pozyskała jego dane osobowe, podał tylko adres e-mail Inspektora Ochrony Danych Osobowych Spółki. Tego samego dnia wnioskodawca wysłał wiadomość e-mail pod adres: [...], w której zażądał informacji - m.in. o źródle pozyskania danych osobowych. Spółka udzieliła odpowiedzi 9 maja 2021 r., informując m.in. o źródle pozyskania danych osobowych.

Organ decyzją z 25 marca 2022r. nr DS.523.2717.2021.PR.MŁ/163974 udzielił spółce działającej przez oddział w Polsce upomnienia za naruszenie art. 12 ust. 3 w zw. z art. 15 ust. 1 lit. g) rozporządzenia 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz.UE L 119 z 4.05.2016, str. 1, Dz.Urz.UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35 zwane dalej: "RODO"), polegające na poinformowaniu wnioskodawcy o źródle pozyskania jego danych osobowych po przekroczeniu terminu określonego w art. 12 ust. 3 RODO. W podstawie prawnej decyzji powołano też art. 104 § 1 Kodeksu postępowania administracyjnego (Dz.U. z 2021 r., poz. 735 ze zm., zwana dalej "k.p.a.") w zw. z art. 7 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana dalej "u.o.d.o.") i art. 58 ust. 2 lit. b RODO.

Skarżąca spółka wniosła skargę na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Opisanym na wstępie wyrokiem, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę. Sąd I instancji stanął na stanowisku, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu. W jego ocenie nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób. Taką możliwość daje numer telefonu osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych.

WSA wskazał, że numer telefonu osoby fizycznej stanowi "punkt kontaktowy", ponieważ umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej stanowi niepowtarzalną kombinację cyfr, która jest do tej osoby przypisana i odróżnia ją, po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (połączeń telefonicznych), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia podmiotowi, który wejdzie w posiadanie numeru telefonu, kontakt z nią i skierowanie do niej określonej informacji (zarówno ustnej, jak i tekstowej).

Zdaniem składu orzekającego przepisy dyrektywy 2002/58 oraz Prawa telekomunikacyjnego (zawarte w dziale VII Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych) jednoznacznie wskazują na to, że numer abonenta będącego osobą fizyczną (lub znak identyfikujący abonenta) stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania - daną osobową tego abonenta, w stosunku do której – kierując się ochroną prawa do prywatności i poufności - pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów.

Zbieranie i przechowywanie numerów telefonów osób fizycznych, w tym numeru telefonu komórkowego uczestnika postępowania, a następnie wykorzystywanie ich w celu nawiązania połączenia, stanowi przetwarzanie danych osobowych tych osób w rozumieniu art. 4 pkt 2 RODO. Nawet przy założeniu, że sam numer telefonu nie pozwala na zidentyfikowanie osoby fizycznej, do której należy, w ocenie Sądu należałoby przyjąć, że stanowi on dane osobowe uczestnika postępowania.

Sąd zauważył, że uwzględniając dostępne obecnie technologie, w powszechnie dostępnych aplikacjach służących jako komunikatory (np. WhatsApp, Signal) konta użytkowników muszą być powiązane z numerami telefonów użytkowników. W przypadku nieograniczenia w tego typu komunikatorach opcji udostępniania informacji osobistych w ustawieniach prywatności, informacje takie, jak np. zdjęcie profilowe, widoczne są dla innych użytkowników aplikacji. W takiej sytuacji, dysponując wyłącznie numerem telefonu, można uzyskać tego typu dane identyfikujące.

Sąd - biorąc też pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania, oraz uwzględniając dostępną technologię i postęp technologiczny, jak również uwzględniając dane Oddziału Skarżącej zawarte w KRS, z których wynika, że profesjonalnie zajmował się on działalnością centrów telefonicznych (call center), przetwarzaniem danych, a także zarządzaniem stronami internetowymi - uznał, że wbrew stanowisku spółki, dysponowała ona sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących wnioskodawcę, które mogła z uzasadnionym prawdopodobieństwem wykorzystać.

WSA zaznaczył, że w świetle dookreślającego i precyzującego przepisy RODO art. 172 ust. 1 P.t., zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z art. 174 P.t., do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Skoro zatem używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego dopuszczalne jest pod warunkiem uprzedniego wyrażenia zgody przez abonenta lub użytkownika końcowego, to brak takiej zgody ze strony uczestnika postępowania, powoduje, że nie mógł on mieć rozsądnych przesłanek, by spodziewać się, że może nastąpić przetwarzanie jego danej osobowej w postaci numeru telefonu do tych celów. Co za tym idzie, skarżąca nie była uprawniona do przetwarzania danych osobowych uczestnika postępowania w zakresie numeru telefonu w oparciu o art. 6 ust. 1 lit. f RODO. W tym bowiem przypadku nadrzędny charakter nad prawnie uzasadnionym interesem skarżącej ma prawo uczestnika postępowania do ochrony podstawowego prawa - prawa do prywatności, chronionego przepisem Prawa telekomunikacyjnego implementującym przepisy dyrektywy 2002/58.

WSA nie podzielił również stanowiska spółki, że organ nie dokonał wystarczających ustaleń w zakresie obejmującym złożenie przez uczestnika postępowania żądania usunięcia jego danych osobowych w zakresie numeru telefonu. Jak wynika z akt sprawy, Spółka spełniła żądanie uczestnika postępowania w zakresie usunięcia danych osobowych dopiero po wszczęciu postępowania przed organem nadzorczym.

Jakkolwiek organ błędnie powołał się w zaskarżonej decyzji na art. 17 ust. 1 lit. c w zw. z art. 21 ust. 2 i ust. 3 RODO zamiast na art. 17 ust. 1 lit. d RODO, to w ocenie składu orzekającego nie budzi wątpliwości, że wnioskodawca wniósł mające oparcie w drugim z wymienionych przepisów żądanie usunięcia danych osobowych. Tym samym spółka, realizując to żądanie dopiero po wniesieniu skargi do organu nadzorczego, przekroczyła termin przewidziany w art. 12 ust. 3 RODO.

Powyższy wyrok w całości zakwestionowała skarżąca, zarzucając naruszenie:

mające istotny wpływ na wynik sprawy naruszenie prawa materialnego, tj.:

1) art. 4 pkt 1) RODO w zw. z motywem 26 RODO poprzez jego błędną wykładnie przez Wojewódzki Sąd Administracyjny w Warszawie na skutek bezzasadnego uznania, że numer telefonu stanowi daną osobową umożliwiającą zidentyfikowanie osoby fizycznej, w sytuacji gdy numer telefonu nie jest informacją o charakterze osobowym, czyli nie obejmuje żadnych danych identyfikujących osoby fizyczne, a zatem nie pozwala na ustalenie sama w sobie tożsamości (personaliów) podmiotu nim się posługującego;

2) art. 4 pkt 2) RODO poprzez błędną jego wykładnie przez Wojewódzki Sąd Administracyjny w Warszawie na skutek bezzasadnego uznania, że skarżąca przetwarzała dane osobowe wnioskodawcy, w sytuacji gdy w zaistniałym stanie faktycznym brak jest możliwości przypisania spółce jakiejkolwiek roli w procesie przetwarzania danych osobowych, w tym na potrzeby marketingu bezpośredniego, albowiem numer telefonu nie stanowi sam w sobie danych osobowych w rozumieniu RODO;

3) art. 4 pkt 7) i pkt. 8) RODO poprzez błędną jego wykładnie przez Wojewódzki Sąd Administracyjny w Warszawie na skutek bezzasadnego uznania, że skarżąca pełniła rolę administratora danych osobowych lub podmiotu przetwarzającego, w sytuacji gdy spółka (ani samodzielnie ani wspólnie z innymi osobami trzecimi) w ramach prowadzonej działalności gospodarczej nie decydowała nigdy o celach i środkach przetwarzania danych;

4) art. 11 ust. 1 RODO w zw. z motywem 57 RODO poprzez nieprawidłowe przyjęcie, że do czynności realizowanych przez spółkę i objętych przez organ zaskarżoną decyzją, zastosowanie odnajduje RODO, podczas gdy w ich toku, przy posiadaniu samego numeru telefonu, nie dochodzi do przetwarzania danych osobowych, w tym na potrzeby marketingu bezpośredniego, co skutkuje konkluzją, że Spółka nie jest obowiązana do pozyskiwania innych danych celu zastosowania RODO;

5) art. 12 ust. 3 RODO w zw. z art. 17 ust. 1 RODO poprzez błędną ich wykładnie w wyniku bezzasadnego uznania, że skarżąca dopuściła uchybienia polegającego na zwłoce w zakresie usunięcia danych osobowych wnioskodawcy, podczas gdy spółka nie była obowiązana do usunięcia numeru telefonu wnioskodawcy (brak przetwarzania danych osobowych) oraz aby stosować RODO;

6) art. 58 ust. 2 lit. b RODO poprzez nietrafną ocenę ze strony Wojewódzkiego Sądu Administracyjnego w Warszawie prawidłowości jego zastosowania przez organ, który bezzasadnie uznał skarżącą, jako pełniącą rolę administratora danych lub podmiotu przetwarzającego, podczas gdy przywołany przepis przyznaje uprawnienie do udzielenia upomnień organowi nadzorczemu wyłącznie w odniesieni do administratora lub podmiotu przetwarzającego w przypadku naruszenia przepisów RODO przez operacje przetwarzania, co w niniejszej sprawie nigdy nie miało miejsca z uwagi na niepełnienie takich ról przez spółkę;

7) art. 58 ust. 1 w zw. z art. 11 ust. 1 RODO poprzez nietrafną ocenę ze strony Wojewódzkiego Sądu Administracyjnego w Warszawie, że organ nie wykroczył poza zakres przyznanych jemu kompetencji i prawidłowo wydał swoją decyzję w stosunku do podmiotu niepełniącego roli administratora lub podmiotu przetwarzającego dane osobowe a nadto nie przetwarzającego danych osobowych, podczas gdy zakres kompetencji organu nadzorczego odnosi się wyłącznie do podmiotów dokonujących czynności przetwarzania oraz pełniących w tym procesie jedną z powyższych ról, których nie sposób przypisać skarżącej;

8) art. 12 ust. 3 w zw. z art. 15 ust. 1 lit g) w zw. z art. 11 ust. 1 RODO w zw. z motywem 57 RODO poprzez przyjęcie, iż na spółce ciążył obowiązek udzielenia wnioskodawcy odpowiedzi na przesłaną wiadomość mailową oraz, że naruszyła ona termin określony przepisami RODO do udzielenia takiej odpowiedzi, podczas gdy na spółce nie ciążył taki obowiązek, ponieważ nie przetwarzała ona żadnych danych osobowych wnioskodawcy, nie pełniła roli administratora w procesie przetwarzania danych osobowych, a przepisy RODO nie znajdują zastosowania do operacji na danych nie będących danymi osobowymi, przy czym spółka nie była obowiązana do pozyskiwania innych danych w celu zastosowania RODO;

naruszenie przepisów postępowania mogące mieć istotny wpływ na wynik sprawy, tj.:

1) art. 145 §1 pkt 2 p.p.s.a. w zw. z art. 134 §1 p.p.s.a. w zw. z art. 156 §1 pkt 5 k.p.a. poprzez zaniechanie stwierdzenia nieważności decyzji organu w sytuacji, gdy pozyskany na podstawie umowy o udostępnieniu pakietu danych numer telefonu wnioskodawcy został usunięty przed zakończeniem postępowania przed organem, a zatem stało się ono bezprzedmiotowe i powinno zostać umorzone, co należy kwalifikować jako rażące naruszenie prawa,

względnie naruszenie:

1) art. 151 p.p.s.a. poprzez oddalenie skargi, mimo rażącego naruszenia przez organ przepisów art. 7, 77 i 80 k.p.a. poprzez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością, a co za tym idzie przyznania wnioskodawcy racji w zakresie złożonej przez niego skargi, w sytuacji w której:

— sam numer telefonu, bez innych danych umożliwiających ustalenie podmiotu danych nie stanowi danej osobowej umożliwiającej zidentyfikowanie osoby fizycznej,

— brak jest adekwatnej, skutecznej, prawidłowej i dostępnej metody identyfikacji wnioskodawcy wyłącznie przy pomocy jego numeru telefonu;

— Spółka nie znajdowała się w posiadaniu danych osobowych wnioskodawcy, tym samym nie przetwarzała danych osobowych dla celów marketingowych bez podstawy prawnej,

— Skarżąca nie prowadzi działalności o charakterze marketingowym, w tym na potrzeby marketingu bezpośredniego,

— Spółka nie pełniła roli administratora, współadministratora ani podmiotu przetwarzającego dane osobowe wnioskodawcy w rozumieniu art. 4 pkt 1) RODO,

— skarżąca nie pozyskiwała danych osobowych od innych podmiotów, pozyskała wyłącznie pakiety danych, wśród których znajdował się wyłącznie numer telefonu wnioskodawcy,

— spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą,

— celem kierowanych połączeń przez skarżącą nie były działania nakierowane na identyfikację osób;

2) art. 141 § 4 p.p.s.a. polegające na przedstawieniu stanu sprawy niezgodnie ze stanem rzeczywistym poprzez uznanie, że:

— Skarżąca nawiązała połączenie telefoniczne o charakterze marketingowym, w sytuacji gdy nie prowadzi ona działalności marketingowej i nie wykonuje połączeń o tym charakterze;

— Spółka wykonywała połączenia telefoniczne mające na celu zachęcenie do skorzystania z usług oferowanych przez podmioty współpracujące ze Skarżącą, co stanowiło treści marketingowe, podczas gdy E. spółka z ograniczoną odpowiedzialnością nie promuje konkretnego produktu, czy też konkretnego oferenta (beneficjenta czynności marketingowych). Skarżąca również nie dokonuje sprzedaży produktów ani ich nie oferuje w trakcie bezpośredniego kontaktu telefonicznego;

— celem wykonania przez spółkę połączenia do wnioskodawcy postępowania było pozyskanie jego danych osobowych podczas gdy celem było zbadanie zainteresowania udziałem w spotkaniach o różnej tematyce i ewentualne zaproszenie wnioskodawcy postępowania na takie spotkanie po uzyskaniu jego zgody;

— możliwą metodą identyfikacji wnioskodawcy postępowania jest wykonanie połączenia pod jego numer podczas gdy z okoliczności sprawy wynika, iż telefon taki został wykonany, a Uczestnik postępowania odmówił podania swoich danych;

— metodą identyfikacji wnioskodawcy postępowania mogą być komunikatory wykorzystywane przez Uczestnika postępowania podczas gdy nie ustalono, żeby Uczestnik korzystał z jakiegokolwiek komunikatora;

— Spółka podczas połączenia wbrew przyjętemu scenariuszowi rozmowy nie przedstawiła klauzuli informacyjnej skarżącemu podczas gdy brak jest dowodów, że informacje te nie zostały przedstawione, a Uczestnik postępowania uzyskał pełną informację dot. przetwarzania, co sugeruje jego wiedza o danych administratora oraz adresie e-mail Inspektora Ochrony Danych;

— Uczestnik postępowania podczas połączenia zgłosił jakiekolwiek żądanie w zakresie jego danych osobowych podczas gdy poza oświadczeniem uczestnika brak jest jakichkolwiek dowodów potwierdzających ten fakt;

3) art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. w zw. z art. 134 §1 p.p.s.a. polegające na tym, że Wojewódzki Sąd Administracyjny w Warszawie w wyniku niewłaściwej kontroli działalności Organu nie uchylił zaskarżonej decyzji w całości, podczas gdy w realiach niniejszej spawy zaistniały ku temu podstawy z uwagi na naruszenie przez Organ zarówno mających istotny wpływ na wynik sprawy naruszenia prawa materialnego oraz przepisów postępowania.

Na podstawie powyższych zarzutów wniesiono o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, oraz zasądzenie kosztów postępowania kasacyjnego w tym kosztów zastępstwa procesowego. Ponadto skarżąca kasacyjnie wniosła o rozpoznanie sprawy na rozprawie.

W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183

§ 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.

Skarga kasacyjna okazała się zasadna. Należy odnotować, że sprawy

o analogicznym skonfigurowaniu faktyczno-prawnym były już przedmiotem rozpoznania Naczelnego Sądu Administracyjnego w wyrokach z 14 stycznia 2025 r. sygn. akt. III OSK 6041/21, z 15 października 2025 r. sygn. akt III OSK 2357/22 i z 8 stycznia 2026 r., sygn. akt III OSK 274/23.

Stosownie do postanowień art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane

o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Prawodawca unijny definiując dane osobowe dokonał dychotomicznego podziału informacji, które je stanowią. Po pierwsze, jako dane osobowe traktuje wszelkie informacje o osobie zidentyfikowanej. Nie musi to zatem być informacja, która identyfikuje daną osobę, lecz informacja o takiej osobie. Co do zasady będzie to więc dodatkowa informacja o osobie, którą administrator już zidentyfikował i w tym znaczeniu poszerzająca zakres dostępnych dla administratora danych, które jej dotyczą. Chodzi zatem o wszystkie komunikaty, wyrażone i zapisane w jakikolwiek sposób, np.: znakami graficznymi, symbolami, w języku komputerowym, na fotografii na taśmie magnetofonowej lub magnetowidowej, których treść odnosi się do konkretnej osoby. Innymi słowy, jest to każda informacja, która dotyczy osoby, którą administrator danych może w sposób pewny wskazać bez konieczności podejmowania jakichkolwiek dalszych czynności w celu jej identyfikacji.

W realiach niniejszej sprawy nie ma wątpliwości, że numer telefonu wnioskodawcy D. B. nie stanowi danych osobowych o osobie zidentyfikowanej. Z niekwestionowanego stanu faktycznego sprawy wynika bowiem, że skarżąca, poza numerem telefonu, nie dysponowała żadną inną informacją dotyczącą wnioskodawcy, a zatem bez podejmowania dalszych czynności identyfikacyjnych, nie mogła przypisać go do jakiejkolwiek osoby fizycznej.

Zasadnicze znaczenie w sprawie ma kwestia dopuszczalności zakwalifikowania numeru telefonu, jako informacji o "możliwej do zidentyfikowania osobie fizycznej". RODO w art. 4 pkt 1 definiuje osobę możliwą do zidentyfikowania jako osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 RODO postanowiono, że "[a]by stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych".

Dane osobowe umożliwiające zidentyfikowanie osoby fizycznej bezpośrednio to takie informacje, które same w sobie inkorporują treść pozwalającą na identyfikację tej osoby, bez konieczności integrowania (łączenia) tych danych z innymi informacjami. A contrario, danymi osobowymi umożliwiającymi zidentyfikowanie osoby fizycznej pośrednio, będą takie informacje, które w celu identyfikacji tej osoby należy treściowo zespolić z innymi informacjami. Zastrzec przy tym należy, iż nie jest wymagane, aby wszystkie dane umożlwiające zidentyfikowanie danej osoby fizycznej znajdowały się w dyspozycji jednego podmiotu. Potwierdzeniem przyjętych założeń jest treść art. 4 pkt 5 RODO w zw. z motywem 26 RODO. Prawodawca unijny przyjął bowiem, że spseudoanimizowane informacje, a więc takie, których nie można przypisać do konkretnej osoby fizycznej (art. 4 pkt 5 RODO) należy uznać, za informacje o możliwej do zidentyfikowania osobie fizycznej, jeżeli takie przypisanie jest możliwe, przy użyciu dodatkowych informacji (motyw 26).

Dla ustalenia pośredniej możliwości identyfikacji osoby fizycznej istotne jest zatem to, czy administrator lub inna osoba (tak w motywie 26) ma możliwość treściowego skorelowania będącej w jego dyspozycji informacji z innymi, posiadanymi przez siebie lub inny podmiot informacjami, tworząc w ten sposób zbiór danych identyfikujących daną osobę fizyczną. Za dane osobowe należy zatem uznać informację, która po połączeniu z innymi informacjami (informacją), pozwala zidentyfikować daną osobę fizyczną albo administratorowymi tej informacji, albo innemu podmiotowi, który ją od administratora pozyskał.

Z postanowień art. 4 pkt 1 oraz pkt 5 RODO w zw. z motywem 26 RODO wynikają istotne dla niniejszej sprawy wnioski.

Po pierwsze, trzeba przyjąć, że możliwość pośredniej identyfikacji osoby fizycznej odnosi się wyłącznie do takich układów, w których występuje "informacja zasadnicza", która samodzielnie nie stanowi danych osobowych, albowiem bez połączenia jej z innymi informacjami nie identyfikuje osoby fizycznej, oraz "informacje dodatkowe" (taką terminologią posługuje się RODO w art. 4 pkt 5 oraz w motywie 26), które samodzielnie albo po ich treściowym skorelowaniu z "informacja zasadniczą", pozwalają na zidentyfikowanie osoby fizycznej. W pierwszym układzie "informacja zasadnicza" będzie informacją dołączoną do zbioru informacji o zidentyfikowanej osobie fizycznej. Konstytutywną cechą takiej informacji będzie to, że dopiero w zestawieniu z "informacjami dodatkowymi" będzie można przypisać jej cechy identyfikujące. W drugim układzie, zarówno "informacja zasadnicza" jak i "informacje dodatkowe" samodzielnie nie identyfikują osoby fizycznej, do której się odnoszą. Dopiero w momencie ich połączenia powstaje zbiór informacji identyfikujących daną osobę fizyczną. Możliwość stworzenia zbioru informacji, w zakres którego wchodzą "informacja zasadnicza" i "informacje dodatkowe", a następnie zidentyfikowania na ich podstawie danej osoby fizycznej ma ten skutek, że "informacja zasadnicza" uzyskuje przymiot danych osobowych.

Po drugie, należy przyjąć, że "informacja zasadnicza" zawsze znajduje się

w posiadaniu administratora danych osobowych, natomiast dysponentem "informacji dodatkowych" jest albo również ten administrator, albo "inna osoba" (tak motyw 26 RODO).

Po trzecie, nie ma znaczenia, czy zespolenia "informacji zasadniczej"

z "informacjami dodatkowymi" i tym samym identyfikacji danej osoby fizycznej dokonuje administrator – dysponent "informacji zasadniczej" – czy inna osoba – dysponent "informacji dodatkowych". Dla przypisania "informacji zasadniczej" przymiotu danych osobowych istotne jest wyłącznie to, czy któryś z tych podmiotów ma możliwość zespolenia jej z "informacjami dodatkowymi" tworząc w ten sposób zbiór danych identyfikujących konkretną osobę fizyczną.

Po czwarte, ustalenie, czy administrator bądź inna osoba ma możliwość zespolenia "informacji zasadniczej" z "informacjami dodatkowymi" powinno opierać się na przewidzianych w motywie 26 kwantyfikatorach, a zatem uwzględniać "rozsądnie prawdopodobne sposoby", w stosunku do których istnieje "uzasadnione prawdopodobieństwo", iż zostaną wykorzystane w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Oznacza to, że o sprofilowaniu "informacji zasadniczej" jako danych osobowych nie decyduje to, czy rzeczywiście posłużyła ona do zidentyfikowania danej osoby fizycznej, po uprzednim zespoleniu jej z "informacjami dodatkowymi", tylko to, czy może posłużyć do takiej identyfikacji, uwzględniając racjonalność dostępnych mechanizmów połączenia jej z "informacjami dodatkowymi" oraz prawdopodobieństwo wykorzystania tych mechanizmów przez administratora bądź inną osobę.

Po piąte, o możliwości identyfikacji konkretnej osoby fizycznej na gruncie art. 4 pkt 1 RODO w zw. z motywem 26 RODO można mówić wówczas, gdy do stworzenia zbioru informacji identyfikujących tę osobę, na który składają się "informacja zasadnicza" i "informacje dodatkowe" dochodzi niezależnie od tej osoby. Chodzi o to, że zgodnie z powołanymi unormowaniami RODO, źródłem "informacji dodatkowych" może być wyłącznie administrator, albo "inna osoba", nie zaś osoba fizyczna, której identyfikacja jest możliwa przy wykorzystaniu tych informacji.

Po szóste, zasadnicze znaczenie przy ustaleniu, czy dana osoba fizyczna jest możliwa do zidentyfikowania w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 RODO ma przyjęty sposób rozumienia użytego w tych przepisach przymiotnika "możliwa". W ocenie Naczelnego Sądu Administracyjnego "możliwa do zidentyfikowania osoba fizyczna " w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 to osoba, w stosunku do której istnieje "możliwość" połączenia dotyczących jej "informacji podstawowej" z "informacjami dodatkowymi" i przez to ustalenia jej tożsamości. "Możliwość" zidentyfikowania danej osoby fizycznej odnosi się więc do samej dostępność zagregowania "informacji podstawowej" z "informacjami dodatkowymi". Nie odnosi się natomiast do rezultatu tej agregacji. Przez "możliwość" zidentyfikowania danej osoby fizycznej należy więc rozumieć dostępność połączenia "informacji zasadniczej" z "informacjami dodatkowymi", których rezultatem zawsze będzie zidentyfikowanie tej osoby. "Możliwość" zidentyfikowania danej osoby fizycznej nie oznacza więc niepewności co do rezultatów połączenia "informacji zasadniczej" z "informacjami dodatkowymi", ta bowiem jest z założenia wykluczona. Odnosi się ona do dostępności działań integrujących te informacje w celu identyfikacji danej osoby fizycznej. "Możliwa" do zidentyfikowania będzie więc taka osoba fizyczna, w stosunku do której albo administrator, albo "inna osoba" będą posiadali dostęp do połączenia dotyczących ją "informacji zasadniczej" i "informacji dodatkowych" w rezultacie czego, dojdzie do ustalenia jej tożsamości. Prezentowanych wniosków nie podważają użyte w motywie 26 zwroty: "rozsądnie prawdopodobne sposoby" i "uzasadnione prawdopodobieństwo". W przywołanych zwrotach prawdopodobieństwo, a zatem nie pewność lecz potencjalność, dotyczy samych metod/form połączenia "informacji zasadniczej" z "informacjami dodatkowymi" oraz potencjalności ich wykorzystania. "Rozsądnie prawdopodobne sposoby" należy więc korelować z racjonalnością każdej z możliwych dla administratora lub "innej osoby" metod integracji "informacji zasadniczej" z "informacjami dodatkowymi". Z kolei "uzasadnione prawdopodobieństwo" odnosić trzeba do przewidywalności skorzystania z tych metod przez te podmioty. Omawiane zwroty stanowią koordynaty dla formułowania ocen, co do tego, czy dostępne dla administratora lub "innej osoby" sposoby połączenia "informacji zasadniczej" z "informacjami dodatkowymi" nie są dla tych podmiotów zbyt kosztowne w sensie finansowym, czasowym, infrastrukturalnym, etc., w stosunku do efektów (korzyści), jakie spowoduje identyfikacja osoby fizycznej, której te informacje dotyczą. Zaznaczyć przy tym należy, że chodzi oczywiście o sposoby zgodne

z prawem. Świadczy to jednoznacznie o tym, że kwalifikacja danej informacji jako umożliwiającej identyfikację danej osoby fizycznej nie opiera się wyłącznie na jej treści, ale również na potencjale konkretnego podmiotu, który nią dysponuje do połączenia jej z "informacjami dodatkowymi".

Przy takim założeniu należy potwierdzić formułowany w doktrynie pogląd

o relatywizacji danych osobowych, który sprowadza się do możliwości różnego kwalifikowania takiej samej informacji z punktu widzenia definicji danych osobowych

w zależności od tego, jaki podmiot tę informację przetwarza, jakimi środkami identyfikacji dysponuje, jakie jeszcze inne informacje przetwarza – zob. D. Lubasz, A Szkurłat, Relatywizacja pojęcia danych osobowych w świetle orzecznictwa polskich sądów administracyjnych i powszechnych, Monitor Prawniczy 2021, nr 23.

Przedstawione uwagi odnoszące się do sposobu interpretacji art. 4 pkt 1 RODO znajdują istotne przełożenie w niniejszej sprawie. Na ich podstawie należy bowiem stwierdzić, że skarżąca dysponowała wyłącznie numerem telefonu wnioskodawcy, przy czym nie posiadała wiedzy ani co do tego, który z numerów telefonów dostępnych w zakupionym zbiorze należy do wnioskowany, ani że w ogóle którykolwiek z tych numerów należy do wnioskodawcy. Innymi słowy, skarżąca nie miała informacji pozwalających jej na stwierdzenie, że któryś z posiadanych przez nią numerów należy do wnioskodawcy, jak też na wyodrębnienie konkretnego numeru telefonu z posiadanego zbioru i przypisanie go do wnioskodawcy. Skarżąca przy pomocy posiadanych numerów mogła wykonać połączenie telefoniczne i realizując swoje cele gospodarcze pozyskać dodatkowe informacje pozwalające skorelować dany numer telefonu z konkretną osobą fizyczną. Naczelny Sąd Administracyjny zauważa, że do momentu podania przez rozmówcę swoich danych osobowych skarżąca nie mogła zidentyfikować osoby fizycznej, do której ten numer należy. Co ma zasadnicze znaczenie, skarżąca nie łączyła informacji w postaci numeru telefonu z dodatkowymi informacjami pozwalającymi zidentyfikować jego właściciela, na podstawie posiadanych przez siebie danych. Nie czyniła tego również w oparciu o dostęp do informacji posiadanych przez inne podmioty. Jedynym dostępnym dla skarżącej sposobem zidentyfikowania wnioskodawcy, jako osoby fizycznej, do której należy posiadany przez nią numer telefonu, był bezpośredni kontakt telefoniczny

z wnioskodawcą, w ramach którego mógł on udostępnić dane osobowe, które go identyfikują. Źródłem dodatkowych informacji pozwalających na przypisanie numeru telefonu do konkretnej osoby fizycznej, a zatem na jej pośrednią identyfikację, nie były własne zasoby podmiotu, który dysponował tym numerem, jak też zasoby "innej osoby", do których podmiot ten mógł się zwrócić.

Nie można zatem przyjąć, że posiadany przez skarżącą numer telefonu wnioskodawcy był "rozsądnie prawdopodobnym sposobem" pozyskania przez nią "informacji dodatkowych" pozwalających na jego identyfikację, albowiem skorzystanie z tego sposobu nie gwarantowało takiego rezultatu. Co więcej, w trakcie rozmowy wnioskodawca odmówił podania swoich danych osobowych, co wyłączyło możliwość przypisania mu numeru telefonu, na który zadzwoniła skarżąca. Nie można zatem podzielić twierdzeń skarżącego kasacyjnie organu, że "skarżąca Spółka bez nieproporcjonalnie dużych nakładów wysiłku, kosztów i czasu była w stanie zidentyfikować właścicieli numerów telefonu".

Trzeba jednoznacznie stwierdzić, że dopóki skarżąca nie miała dostępu do "informacji dodatkowych" pozwalających jej na stwierdzenie, że posiadany numer telefonu należy do wnioskodawcy, nie można przyjąć, że posiadała jego dane osobowe. Sama możliwość wykonania połączenia telefonicznego nie stanowi

o możliwości identyfikacji właściciela numeru telefonu, albowiem nie ma żadnej pewności, że dane pozwalające na taką identyfikację zostaną pozyskane. Dlatego też rację ma Sąd pierwszej instancji, że numer telefonu mógłby stanowił dane osobowe przetwarzane przez skarżąca, dopiero od momentu pozyskania przez nią informacji identyfikujących jego właściciela. Skarżąca tak we własnych zasobach, jak i w zasobach innych podmiotów, do których miała dostęp, nie posiadała informacji pozwalających przypisać jej konkretny numer telefonu do wnioskodawcy.

Z przyjętymi wnioskami nie pozostają w sprzeczności wyroku ETS z 19 października 2016 r., Breyer, C-582/14, EU:C:2016:779. Wzmiankowany wyrok zapadł wprawdzie na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), która została uchylona przez RODO, jednakże z uwagi na treściową tożsamość obu aktów orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje co do zasady zastosowanie również w odniesieniu do RODO – wyrok ETS z dnia 17 czerwca 2021 r., C-597/19, EU:C:2021:492, pkt 107.

W powołanym wyroku Trybunał rozważał możliwość uznania za dane osobowe adresów IP rejestrowanych przez dostawcę internetowych usług medialnych, w sytuacji, gdy dodatkowe informacje pozwalająca na identyfikację użytkownika strony internetowej posiada inny podmiot – dostawca usług internetowych. Trybunał jednoznacznie stwierdził, iż taka sytuacja wystąpi jedynie po ustaleniu, że istnieje możliwość połączenia adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu dostawcy dostępu do Internetu w sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą. Trybunał nakazał zbadać, czy dostawca internetowych usług medialnych może zwrócić się do właściwych organów państwowych o pozyskanie informacji identyfikujących użytkownika adresu IP od dostawcy Internetu, w sytuacji gdy doszło do popełnienia przestępstwa – pkt 44-48 wyroku. Trybunał uzależnił więc kwalifikację adresu IP jako danych osobowych od ustalenia, czy istnieje możliwość połączenia go z informacjami dodatkowymi identyfikującymi użytkownika tego adresu. W układzie powołanej sprawy chodziło więc o dostęp do informacji posiadanych przez inny podmiot, niż osoba fizyczna podlegająca identyfikacji, a nadto o dostęp, który gwarantuje identyfikację tej osoby, a nie jedynie potencjalność tej identyfikacji zależną od woli tego podmiotu. Analogiczne oceny prawne Naczelny Sąd Administracyjny wyraził w wyroku z 19 maja 2011 r., I OSK 1079/10. Również w innych, powołanych przez organ wyrokach Naczelny Sąd Administracyjny traktował numer telefonu jako dane osobowe wyłącznie w takich układach, w których dostępne były informacje dodatkowe pozwalające na przypisanie go do konkretnej osoby fizycznej - wyroki z 5 lutego 2008 r., I OSK 37/07 i z 14 marca 2019 r., I OSK 1429/17.

W powołanym wyroku ETS z 6 listopada 2003 r., C-101/01, ECR 2003/11A/I-12971 ETS istotnie stwierdził, że "operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi 'przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany' w rozumieniu art. 3 ust. 1 dyrektywy 95/46" – pkt 27 wyroku. Skarżący kasacyjnie pomija jednak, że uczynił to po uprzedniej konkluzji, że termin dane osobowe, jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej odnosi się "bez wątpienia do nazwiska osoby

w połączeniu z jej numerem telefonu lub informacjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu" – pkt 24 wyroku. Trybunał wprost więc przyjął, że numer telefonu będzie stanowił dane osobowe, jeżeli zostanie połączony z informacjami dodatkowymi, identyfikującymi osobę fizyczną, do której należy.

Przyjętych założeń nie podważają powołane w zaskarżonym wyroku Wytyczne Grupy Roboczej Art. 29, zawarte w Opinii 4/2007. Grupa Robocza Art. 29 była niezależnym organem doradczym w zakresie ochrony danych i prywatności, powołanym na podstawie art. 29 dyrektywy 95/46/WE. Działalność Grupy zakończyła się z dniem wejścia w życie RODO (25 maja 2018 r.). Aktualnie zadania Grupy Roboczej Art. 29 przejęła Europejska Rada Ochrony Danych (EROD). Opinie

i wytyczne wydawane przez Grupę Roboczą Art. 29 (podobnie, jak opinie i wytyczne EROD) nie są wiążące dla sądów państw członkowskich. Wyrażają jedynie postulaty organów ochrony danych osobowych krajów członkowskich Unii w zakresie stosowania RODO (wcześniej dyrektywy 95/46/WE).

W powołanej opinii 4/2007 stwierdza się, że o tym czy dana informacja stanowi dane osobowej należy decydować kontekstowo, w zależności od tego czy

w powiązaniu z innymi informacjami, może doprowadzić do zidentyfikowania danej osoby. Zwrócono również uwagę, że do pośredniej identyfikacji dochodzi wówczas, gdy daną informację można połączyć z innymi czynnikami identyfikującymi i w ten sposób odróżnić daną osobę od innych. W opinii stwierdzono stanowczo, że "czysto hipotetyczna możliwość odróżnienia osoby nie wystarcza, żeby uznać tę osobę za możliwą do zidentyfikowania". Jak wyżej wyjaśniono, dysponowanie przez skarżącą Spółkę numerem telefonu stwarzało jedynie hipotetyczną możliwość zidentyfikowania tożsamości wnioskodawcy i to wyłącznie w razie jego samoidentyfikacji. Ostatecznie działania spółki polegające na telefonicznym kontakcie z wnioskodawcą nie doprowadziły do jego zidentyfikowania i tym samym do przypisania informacji

w postaci numeru telefonu do konkretnej osoby fizycznej. Dysponowanie przez skarżącą Spółkę numerem telefonu nie było więc równoznaczne z posiadaniem informacji o osobie możliwej do zidentyfikowania.

Adekwatnego przełożenia na realia niniejszej sprawy nie znajdują oceny prawne wyrażone przez Sąd Najwyższy w uchwale 17 lutego 2016 r., III SZP 7/15. Dotyczyły one zasad odpowiedzialności przedsiębiorcy komunikacyjnego za używanie automatycznych systemów wywołujących wobec własnych abonentów, bez uprzedniego uzyskania zgody na podjęcie takich działań. Zagadnienie prawne rozważane przez Sąd Najwyższy nie dotyczyło więc tego, czy numer telefonu stanowi dane osobowe. Nie ma jednak wątpliwości, że przedsiębiorca komunikacyjny na gruncie powołanej sprawy dysponował nie tylko numerem telefonu abonenta, ale również innymi danymi, które w sposób jednoznaczny go identyfikowały. W takim układzie numer telefonu, z uwagi na skorelowanie go z konkretną osobą fizyczną, będzie stanowił dane osobowe. Potwierdza to zresztą wprost art. 169 ust. 1 pkt 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. 2021r. poz. 576 ze zm.), który odnosi się do sytuacji, gdy numer telefonu, obok innych danych identyfikujących abonenta – imię i nazwisko - wchodzi w zbiór informacji będących

w posiadaniu przedsiębiorcy telekomunikacyjnego i zamieszczanych w publicznie dostępnym spisie abonentów.

Mając na uwadze całość powyższego, Naczelny Sąd Administracyjny działając na podstawie art. 188 p.p.s.a. i art. 145 § 1 pkt 1 lit. a p.p.s.a. w zw. z art. 193 p.p.s.a. uchylił w całości zaskarżony wyrok WSA w Warszawie oraz decyzję Prezesa Urzędu Ochrony Danych Osobowych z 25 marca 2022r. nr DS.523.2717.2021.PR.MŁ/163974.

O kosztach postępowania za obie instancje rozstrzygnięto na podstawie

art. 200, art. 203 pkt 1 i art. 205 § 2 p.p.s.a.