Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Artur Kuś sędzia del. WSA Maciej Kobak (sprawozdawca) Protokolant: asystent sędziego Dawid Lis po rozpoznaniu w dniu 15 kwietnia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 lutego 2024 r. sygn. akt II SA/Wa 1122/23 w sprawie ze skargi E. Spółka z o.o. z siedzibą w Z. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 marca 2023 r. nr DS.523.4147.2020.PR.SJ. w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Wyrokiem z dnia 13 lutego 2024 r. sygn. akt II SA/Wa 1122/23 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi E. Sp. z o.o. z siedzibą w Z. (dalej: "skarżąca") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 21 marca 2023 r. nr DS.523.4147.2020.PR.SJ. w przedmiocie przetwarzania danych osobowych uchylił zaskarżoną decyzję (pkt 1) oraz zasądził zwrot kosztów postępowania (pkt 2).

Powyższy wyrok został wydany w następujących okoliczności faktycznych i prawnych sprawy.

W dniu 12 sierpnia 2020 r. do organu wpłynęła skarga M. K. (dalej: "wnioskodawca") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez spółkę działającą przez Oddział w Polsce z siedzibą w P., polegające na przetwarzaniu danych osobowych wnioskodawcy bez podstawy prawnej, w tym w celach marketingowych. Wskazano, że spółka wykonała do wnioskodawcy połączenie telefoniczne. Wnioskodawca wystąpił o: "(...) wskazanie z jakiego źródła firma pozyskała moje dane osobowe i w jakim zakresie je przetwarza, nakazanie usunięcia moich danych osobowy [osobowych] i ukarania firmy maksymalną przewidzianą karą finansową zgodnie z uprawnieniami jakie posiada UODO".

W piśmie z 1 lutego 2021 r. spółka złożyła wyjaśnienia.

Decyzją z 21 marca 2023 r. przywołując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022 r. poz. 2000 ze zm.), zwanej dalej "k.p.a." oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119 z 4 maja 2016), zwanego dalej "RODO", wobec skargi wnioskodawcy, na nieprawidłowości w przetwarzaniu jego danych osobowych, udzielono spółce upomnienia za naruszenie art. 6 ust. 1 RODO, polegającego na przetwarzaniu - bez podstawy prawnej - w celach marketingowych danych osobowych wnioskodawcy w zakresie numeru telefonu.

Powyższą decyzję zaskarżyła spółka.

Opisanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie uwzględnił skargę. W ocenie Sądu I instancji organ - prowadząc postępowanie oraz przywołując określone okoliczności formalne sprawy - nie wykazał, aby spółka – dysponując wyłącznie zbiorem określonych nr telefonów przetwarzała dane osobowe, w rozumieniu art. 4 pkt 1 RODO. Skład orzekający podzielił pogląd organu, że danymi takimi mogą być informacje, które nie identyfikują konkretnej osoby lecz jest możliwe - przy ich pomocy i wykorzystaniu nieznacznych środków - zidentyfikowanie konkretnej osoby. Organ nie wywiódł jednak, aby tego rodzaju charakter miał w danym przypadku sam nr telefonu - nieprzypisany do konkretnej osoby, w ramach zbioru informacji posiadanych przez podmiot, dysponujący tymi danymi, bądź w łatwy sposób pozyskiwalnymi.

Powyższy wyrok w całości zaskarżył organ, zarzucając naruszenie prawa materialnego, tj. art. 4 pkt 1 RODO poprzez jego błędną wykładnię polegającą na przyjęciu, że numer telefonu nie stanowi danej osobowej, pozwalającej na zidentyfikowanie osoby fizycznej, co miało istotny wpływ na wynik postępowania, skutkując uchyleniem zaskarżonej decyzji.

Na podstawie powyższego zarzutu wniesiono o uchylenie wyroku w całości i rozpoznanie skargi poprzez jej oddalenie w całości, ewentualnie, o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, a także zasądzenie zwrotu kosztów postępowania na rzecz organu i rozpoznanie sprawy na rozprawie.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.

W skardze kasacyjnej podniesiono wyłącznie jeden zarzut: naruszenia art. 4 pkt 1 RODO poprzez jego błędną wykładnię polegającą na wyłączeniu z zakresu normatywnego pojęcia danych osobowych numeru telefonu.

Należy odnotować, że sprawy o analogicznym skonfigurowaniu faktyczno-prawnym były już przedmiotem rozpoznania Naczelnego Sądu Administracyjnego w wyrokach z 14 stycznia 2025 r. sygn. akt. III OSK 6041/21, z 15 października 2025 r. sygn. akt III OSK 2357/22 i z 8 stycznia 2026 r., sygn. akt III OSK 274/23.

Stosownie do postanowień art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane

o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Prawodawca unijny definiując dane osobowe dokonał dychotomicznego podziału informacji, które je stanowią. Po pierwsze, jako dane osobowe traktuje wszelkie informacje o osobie zidentyfikowanej. Nie musi to zatem być informacja, która identyfikuje daną osobę, lecz informacja o takiej osobie. Co do zasady będzie to więc dodatkowa informacja o osobie, którą administrator już zidentyfikował i w tym znaczeniu poszerzająca zakres dostępnych dla administratora danych, które jej dotyczą. Chodzi zatem o wszystkie komunikaty, wyrażone i zapisane w jakikolwiek sposób, np.: znakami graficznymi, symbolami, w języku komputerowym, na fotografii na taśmie magnetofonowej lub magnetowidowej, których treść odnosi się do konkretnej osoby. Innymi słowy, jest to każda informacja, która dotyczy osoby, którą administrator danych może w sposób pewny wskazać bez konieczności podejmowania jakichkolwiek dalszych czynności w celu jej identyfikacji.

W realiach niniejszej sprawy nie ma wątpliwości, że numer telefonu wnioskodawcy M. K. nie stanowi danych osobowych o osobie zidentyfikowanej. Z niekwestionowanego stanu faktycznego sprawy wynika bowiem, że skarżąca, poza numerem telefonu, nie dysponowała żadną inną informacją dotyczącą wnioskodawcy, a zatem bez podejmowania dalszych czynności identyfikacyjnych, nie mogła przypisać go do jakiejkolwiek osoby fizycznej.

Zasadnicze znaczenie w sprawie ma kwestia dopuszczalności zakwalifikowania numeru telefonu, jako informacji o "możliwej do zidentyfikowania osobie fizycznej". RODO w art. 4 pkt 1 definiuje osobę możliwą do zidentyfikowania jako osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 RODO postanowiono, że "[a]by stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych."

Dane osobowe umożliwiające zidentyfikowanie osoby fizycznej bezpośrednio to takie informacje, które same w sobie inkorporują treść pozwalającą na identyfikację tej osoby, bez konieczności integrowania (łączenia) tych danych z innymi informacjami. A contrario, danymi osobowymi umożliwiającymi zidentyfikowanie osoby fizycznej pośrednio, będą takie informacje, które w celu identyfikacji tej osoby należy treściowo zespolić z innymi informacjami. Zastrzec przy tym należy, iż nie jest wymagane, aby wszystkie dane umożlwiające zidentyfikowanie danej osoby fizycznej znajdowały się w dyspozycji jednego podmiotu. Potwierdzeniem przyjętych założeń jest treść art. 4 pkt 5 RODO w zw. z motywem 26 RODO. Prawodawca unijny przyjął bowiem, że spseudoanimizowane informacje, a więc takie, których nie można przypisać do konkretnej osoby fizycznej (art. 4 pkt 5 RODO) należy uznać, za informacje o możliwej do zidentyfikowania osobie fizycznej, jeżeli takie przypisanie jest możliwe, przy użyciu dodatkowych informacji (motyw 26).

Dla ustalenia pośredniej możliwości identyfikacji osoby fizycznej istotne jest zatem to, czy administrator lub inna osoba (tak w motywie 26) ma możliwość treściowego skorelowania będącej w jego dyspozycji informacji z innymi, posiadanymi przez siebie lub inny podmiot informacjami, tworząc w ten sposób zbiór danych identyfikujących daną osobę fizyczną. Za dane osobowe należy zatem uznać informację, która po połączeniu z innymi informacjami (informacją), pozwala zidentyfikować daną osobę fizyczną albo administratorowymi tej informacji, albo innemu podmiotowi, który ją od administratora pozyskał.

Z postanowień art. 4 pkt 1 oraz pkt 5 RODO w zw. z motywem 26 RODO wynikają istotne dla niniejszej sprawy wnioski.

Po pierwsze, trzeba przyjąć, że możliwość pośredniej identyfikacji osoby fizycznej odnosi się wyłącznie do takich układów, w których występuje "informacja zasadnicza", która samodzielnie nie stanowi danych osobowych, albowiem bez połączenia jej z innymi informacjami nie identyfikuje osoby fizycznej, oraz "informacje dodatkowe" (taką terminologią posługuje się RODO w art. 4 pkt 5 oraz w motywie 26), które samodzielnie albo po ich treściowym skorelowaniu z "informacja zasadniczą", pozwalają na zidentyfikowanie osoby fizycznej. W pierwszym układzie "informacja zasadnicza" będzie informacją dołączoną do zbioru informacji o zidentyfikowanej osobie fizycznej. Konstytutywną cechą takiej informacji będzie to, że dopiero w zestawieniu z "informacjami dodatkowymi" będzie można przypisać jej cechy identyfikujące. W drugim układzie, zarówno "informacja zasadnicza" jak i "informacje dodatkowe" samodzielnie nie identyfikują osoby fizycznej, do której się odnoszą. Dopiero w momencie ich połączenia powstaje zbiór informacji identyfikujących daną osobę fizyczną. Możliwość stworzenia zbioru informacji, w zakres którego wchodzą "informacja zasadnicza" i "informacje dodatkowe", a następnie zidentyfikowania na ich podstawie danej osoby fizycznej ma ten skutek, że "informacja zasadnicza" uzyskuje przymiot danych osobowych.

Po drugie, należy przyjąć, że "informacja zasadnicza" zawsze znajduje się

w posiadaniu administratora danych osobowych, natomiast dysponentem "informacji dodatkowych" jest albo również ten administrator, albo "inna osoba" (tak motyw 26 RODO).

Po trzecie, nie ma znaczenia, czy zespolenia "informacji zasadniczej"

z "informacjami dodatkowymi" i tym samym identyfikacji danej osoby fizycznej dokonuje administrator – dysponent "informacji zasadniczej" – czy inna osoba – dysponent "informacji dodatkowych". Dla przypisania "informacji zasadniczej" przymiotu danych osobowych istotne jest wyłącznie to, czy któryś z tych podmiotów ma możliwość zespolenia jej z "informacjami dodatkowymi" tworząc w ten sposób zbiór danych identyfikujących konkretną osobę fizyczną.

Po czwarte, ustalenie, czy administrator bądź inna osoba ma możliwość zespolenia "informacji zasadniczej" z "informacjami dodatkowymi" powinno opierać się na przewidzianych w motywie 26 kwantyfikatorach, a zatem uwzględniać "rozsądnie prawdopodobne sposoby", w stosunku do których istnieje "uzasadnione prawdopodobieństwo", iż zostaną wykorzystane w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Oznacza to, że o sprofilowaniu "informacji zasadniczej" jako danych osobowych nie decyduje to, czy rzeczywiście posłużyła ona do zidentyfikowania danej osoby fizycznej, po uprzednim zespoleniu jej z "informacjami dodatkowymi", tylko to, czy może posłużyć do takiej identyfikacji, uwzględniając racjonalność dostępnych mechanizmów połączenia jej z "informacjami dodatkowymi" oraz prawdopodobieństwo wykorzystania tych mechanizmów przez administratora bądź inną osobę.

Po piąte, o możliwości identyfikacji konkretnej osoby fizycznej na gruncie art. 4 pkt 1 RODO w zw. z motywem 26 RODO można mówić wówczas, gdy do stworzenia zbioru informacji identyfikujących tę osobę, na który składają się "informacja zasadnicza" i "informacje dodatkowe" dochodzi niezależnie od tej osoby. Chodzi o to, że zgodnie z powołanymi unormowaniami RODO, źródłem "informacji dodatkowych" może być wyłącznie administrator, albo "inna osoba", nie zaś osoba fizyczna, której identyfikacja jest możliwa przy wykorzystaniu tych informacji.

Po szóste, zasadnicze znaczenie przy ustaleniu, czy dana osoba fizyczna jest możliwa do zidentyfikowania w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 RODO ma przyjęty sposób rozumienia użytego w tych przepisach przymiotnika "możliwa". W ocenie Naczelnego Sądu Administracyjnego "możliwa do zidentyfikowania osoba fizyczna " w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 to osoba, w stosunku do której istnieje "możliwość" połączenia dotyczących jej "informacji podstawowej" z "informacjami dodatkowymi" i przez to ustalenia jej tożsamości. "Możliwość" zidentyfikowania danej osoby fizycznej odnosi się więc do samej dostępność zagregowania "informacji podstawowej" z "informacjami dodatkowymi". Nie odnosi się natomiast do rezultatu tej agregacji. Przez "możliwość" zidentyfikowania danej osoby fizycznej należy więc rozumieć dostępność połączenia "informacji zasadniczej" z "informacjami dodatkowymi", których rezultatem zawsze będzie zidentyfikowanie tej osoby. "Możliwość" zidentyfikowania danej osoby fizycznej nie oznacza więc niepewności co do rezultatów połączenia "informacji zasadniczej" z "informacjami dodatkowymi", ta bowiem jest z założenia wykluczona. Odnosi się ona do dostępności działań integrujących te informacje w celu identyfikacji danej osoby fizycznej. "Możliwa" do zidentyfikowania będzie więc taka osoba fizyczna, w stosunku do której albo administrator, albo "inna osoba" będą posiadali dostęp do połączenia dotyczących ją "informacji zasadniczej" i "informacji dodatkowych" w rezultacie czego, dojdzie do ustalenia jej tożsamości. Prezentowanych wniosków nie podważają użyte w motywie 26 zwroty: "rozsądnie prawdopodobne sposoby" i "uzasadnione prawdopodobieństwo". W przywołanych zwrotach prawdopodobieństwo, a zatem nie pewność lecz potencjalność, dotyczy samych metod/form połączenia "informacji zasadniczej" z "informacjami dodatkowymi" oraz potencjalności ich wykorzystania. "Rozsądnie prawdopodobne sposoby" należy więc korelować z racjonalnością każdej z możliwych dla administratora lub "innej osoby" metod integracji "informacji zasadniczej" z "informacjami dodatkowymi". Z kolei "uzasadnione prawdopodobieństwo" odnosić trzeba do przewidywalności skorzystania z tych metod przez te podmioty. Omawiane zwroty stanowią koordynaty dla formułowania ocen, co do tego, czy dostępne dla administratora lub "innej osoby" sposoby połączenia "informacji zasadniczej" z "informacjami dodatkowymi" nie są dla tych podmiotów zbyt kosztowne w sensie finansowym, czasowym, infrastrukturalnym, etc., w stosunku do efektów (korzyści), jakie spowoduje identyfikacja osoby fizycznej, której te informacje dotyczą. Zaznaczyć przy tym należy, że chodzi oczywiście o sposoby zgodne

z prawem. Świadczy to jednoznacznie o tym, że kwalifikacja danej informacji jako umożliwiającej identyfikację danej osoby fizycznej nie opiera się wyłącznie na jej treści, ale również na potencjale konkretnego podmiotu, który nią dysponuje do połączenia jej z "informacjami dodatkowymi".

Przy takim założeniu należy potwierdzić formułowany w doktrynie pogląd

o relatywizacji danych osobowych, który sprowadza się do możliwości różnego kwalifikowania takiej samej informacji z punktu widzenia definicji danych osobowych

w zależności od tego, jaki podmiot tę informację przetwarza, jakimi środkami identyfikacji dysponuje, jakie jeszcze inne informacje przetwarza – zob. D. Lubasz, A Szkurłat, Relatywizacja pojęcia danych osobowych w świetle orzecznictwa polskich sądów administracyjnych i powszechnych, Monitor Prawniczy 2021, nr 23.

Przedstawione uwagi odnoszące się do sposobu interpretacji art. 4 pkt 1 RODO znajdują istotne przełożenie w niniejszej sprawie. Na ich podstawie należy bowiem stwierdzić, że skarżąca dysponowała wyłącznie numerem telefonu wnioskodawcy, przy czym nie posiadała wiedzy ani co do tego, który z numerów telefonów dostępnych w zakupionym zbiorze należy do wnioskowany, ani że w ogóle którykolwiek z tych numerów należy do wnioskodawcy. Innymi słowy, skarżąca nie miała informacji pozwalających jej na stwierdzenie, że któryś z posiadanych przez nią numerów należy do wnioskodawcy, jak też na wyodrębnienie konkretnego numeru telefonu z posiadanego zbioru i przypisanie go do wnioskodawcy. Skarżąca przy pomocy posiadanych numerów mogła wykonać połączenie telefoniczne i realizując swoje cele gospodarcze pozyskać dodatkowe informacje pozwalające skorelować dany numer telefonu z konkretną osobą fizyczną. Naczelny Sąd Administracyjny zauważa, że do momentu podania przez rozmówcę swoich danych osobowych skarżąca nie mogła zidentyfikować osoby fizycznej, do której ten numer należy. Co ma zasadnicze znaczenie, skarżąca nie łączyła informacji w postaci numeru telefonu z dodatkowymi informacjami pozwalającymi zidentyfikować jego właściciela, na podstawie posiadanych przez siebie danych. Nie czyniła tego również w oparciu o dostęp do informacji posiadanych przez inne podmioty. Jedynym dostępnym dla skarżącej sposobem zidentyfikowania wnioskodawcy, jako osoby fizycznej, do której należy posiadany przez nią numer telefonu, był bezpośredni kontakt telefoniczny

z wnioskodawcą, w ramach którego mógł on udostępnić dane osobowe, które go identyfikują. Źródłem dodatkowych informacji pozwalających na przypisanie numeru telefonu do konkretnej osoby fizycznej, a zatem na jej pośrednią identyfikację, nie były własne zasoby podmiotu, który dysponował tym numerem, jak też zasoby "innej osoby", do których podmiot ten mógł się zwrócić.

Nie można zatem przyjąć, że posiadany przez skarżącą numer telefonu wnioskodawcy był "rozsądnie prawdopodobnym sposobem" pozyskania przez nią "informacji dodatkowych" pozwalających na jego identyfikację, albowiem skorzystanie z tego sposobu nie gwarantowało takiego rezultatu. Co więcej, w trakcie rozmowy wnioskodawca odmówił podania swoich danych osobowych, co wyłączyło możliwość przypisania mu numeru telefonu, na który zadzwoniła skarżąca. Nie można zatem podzielić twierdzeń skarżącego kasacyjnie organu, że "skarżąca Spółka bez nieproporcjonalnie dużych nakładów wysiłku, kosztów i czasu była w stanie zidentyfikować właścicieli numerów telefonu".

Trzeba jednoznacznie stwierdzić, że dopóki skarżąca nie miała dostępu do "informacji dodatkowych" pozwalających jej na stwierdzenie, że posiadany numer telefonu należy do wnioskodawcy, nie można przyjąć, że posiadała jego dane osobowe. Sama możliwość wykonania połączenia telefonicznego nie stanowi

o możliwości identyfikacji właściciela numeru telefonu, albowiem nie ma żadnej pewności, że dane pozwalające na taką identyfikację zostaną pozyskane. Dlatego też rację ma Sąd pierwszej instancji, że numer telefonu mógłby stanowił dane osobowe przetwarzane przez skarżąca, dopiero od momentu pozyskania przez nią informacji identyfikujących jego właściciela. Skarżąca tak we własnych zasobach, jak i w zasobach innych podmiotów, do których miała dostęp, nie posiadała informacji pozwalających przypisać jej konkretny numer telefonu do wnioskodawcy.

Z przyjętymi wnioskami nie pozostają w sprzeczności wyroki ETS z 19 października 2016 r., Breyer, C-582/14, EU:C:2016:779. Wzmiankowany wyrok zapadł wprawdzie na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), która została uchylona przez RODO, jednakże z uwagi na treściową tożsamość obu aktów orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje co do zasady zastosowanie również w odniesieniu do RODO – wyrok ETS z dnia 17 czerwca 2021 r., C-597/19, EU:C:2021:492, pkt 107.

W powołanym wyroku Trybunał rozważał możliwość uznania za dane osobowe adresów IP rejestrowanych przez dostawcę internetowych usług medialnych, w sytuacji, gdy dodatkowe informacje pozwalająca na identyfikację użytkownika strony internetowej posiada inny podmiot – dostawca usług internetowych. Trybunał jednoznacznie stwierdził, iż taka sytuacja wystąpi jedynie po ustaleniu, że istnieje możliwość połączenia adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu dostawcy dostępu do Internetu w sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą. Trybunał nakazał zbadać, czy dostawca internetowych usług medialnych może zwrócić się do właściwych organów państwowych o pozyskanie informacji identyfikujących użytkownika adresu IP od dostawcy Internetu, w sytuacji gdy doszło do popełnienia przestępstwa – pkt 44-48 wyroku. Trybunał uzależnił więc kwalifikację adresu IP jako danych osobowych od ustalenia, czy istnieje możliwość połączenia go z informacjami dodatkowymi identyfikującymi użytkownika tego adresu. W układzie powołanej sprawy chodziło więc o dostęp do informacji posiadanych przez inny podmiot, niż osoba fizyczna podlegająca identyfikacji, a nadto o dostęp, który gwarantuje identyfikację tej osoby, a nie jedynie potencjalność tej identyfikacji zależną od woli tego podmiotu. Analogiczne oceny prawne Naczelny Sąd Administracyjny wyraził w wyroku z 19 maja 2011 r., I OSK 1079/10. Również w innych, powołanych w skardze kasacyjnej wyrokach Naczelny Sąd Administracyjny traktował numer telefonu jako dane osobowe wyłącznie w takich układach, w których dostępne były informacje dodatkowe pozwalające na przypisanie go do konkretnej osoby fizycznej - wyroki z 5 lutego 2008 r., I OSK 37/07 i z 14 marca 2019 r., I OSK 1429/17.

W powołanym w skardze kasacyjnej wyroku ETS z 6 listopada 2003 r., C-101/01, ECR 2003/11A/I-12971 ETS istotnie stwierdził, że "operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi 'przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany' w rozumieniu art. 3 ust. 1 dyrektywy 95/46" – pkt 27 wyroku. Skarżący kasacyjnie pomija jednak, że uczynił to po uprzedniej konkluzji, że termin dane osobowe, jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej odnosi się "bez wątpienia do nazwiska osoby

w połączeniu z jej numerem telefonu lub informacjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu" – pkt 24 wyroku. Trybunał wprost więc przyjął, że numer telefonu będzie stanowił dane osobowe, jeżeli zostanie połączony z informacjami dodatkowymi, identyfikującymi osobę fizyczną, do której należy.

Przyjętych założeń nie podważają powołane w skardze kasacyjnej Wytyczne Grupy Roboczej Art. 29, zawarte w Opinii 4/2007. Grupa Robocza Art. 29 była niezależnym organem doradczym w zakresie ochrony danych i prywatności, powołanym na podstawie art. 29 dyrektywy 95/46/WE. Działalność Grupy zakończyła się z dniem wejścia w życie RODO (25 maja 2018 r.). Aktualnie zadania Grupy Roboczej Art. 29 przejęła Europejska Rada Ochrony Danych (EROD). Opinie

i wytyczne wydawane przez Grupę Roboczą Art. 29 (podobnie, jak opinie i wytyczne EROD) nie są wiążące dla sądów państw członkowskich. Wyrażają jedynie postulaty organów ochrony danych osobowych krajów członkowskich Unii w zakresie stosowania RODO (wcześniej dyrektywy 95/46/WE).

W powołanej opinii 4/2007 stwierdza się, że o tym czy dana informacja stanowi dane osobowe należy decydować kontekstowo, w zależności od tego czy

w powiązaniu z innymi informacjami, może doprowadzić do zidentyfikowania danej osoby. Zwrócono również uwagę, że do pośredniej identyfikacji dochodzi wówczas, gdy daną informację można połączyć z innymi czynnikami identyfikującymi i w ten sposób odróżnić daną osobę od innych. W opinii stwierdzono stanowczo, że "czysto hipotetyczna możliwość odróżnienia osoby nie wystarcza, żeby uznać tę osobę za możliwą do zidentyfikowania". Jak wyżej wyjaśniono, dysponowanie przez skarżącą Spółkę numerem telefonu stwarzało jedynie hipotetyczną możliwość zidentyfikowania tożsamości wnioskodawcy i to wyłącznie w razie jego samoidentyfikacji. Ostatecznie działania spółki polegające na telefonicznym kontakcie z wnioskodawcą nie doprowadziły do jego zidentyfikowania i tym samym do przypisania informacji

w postaci numeru telefonu do konkretnej osoby fizycznej. Dysponowanie przez skarżącą Spółkę numerem telefonu nie było więc równoznaczne z posiadaniem informacji o osobie możliwej do zidentyfikowania.

Adekwatnego przełożenia na realia niniejszej sprawy nie znajdują oceny prawne wyrażone przez Sąd Najwyższy w uchwale 17 lutego 2016 r., III SZP 7/15. Dotyczyły one zasad odpowiedzialności przedsiębiorcy komunikacyjnego za używanie automatycznych systemów wywołujących wobec własnych abonentów, bez uprzedniego uzyskania zgody na podjęcie takich działań. Zagadnienie prawne rozważane przez Sąd Najwyższy nie dotyczyło więc tego, czy numer telefonu stanowi dane osobowe. Nie ma jednak wątpliwości, że przedsiębiorca komunikacyjny na gruncie powołanej sprawy dysponował nie tylko numerem telefonu abonenta, ale również innymi danymi, które w sposób jednoznaczny go identyfikowały. W takim układzie numer telefonu, z uwagi na skorelowanie go z konkretną osobą fizyczną, będzie stanowił dane osobowe. Potwierdza to zresztą wprost art. 169 ust. 1 pkt 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. 2021r. poz. 576 ze zm.), który odnosi się do sytuacji, gdy numer telefonu, obok innych danych identyfikujących abonenta – imię i nazwisko - wchodzi w zbiór informacji będących

w posiadaniu przedsiębiorcy telekomunikacyjnego i zamieszczanych w publicznie dostępnym spisie abonentów.

Mając na uwadze całość powyższego, wobec braku podstaw do uwzględnienia podniesionego w skardze kasacyjnej zarzutu, Naczelny Sąd Administracyjny działając na podstawie art. 184 p.p.s.a. orzekł jak w sentencji wyroku.