II SA/Wa 1122/23

II SA/Wa 1122/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-02-13
orzeczenie nieprawomocne
Data wpływu
2023-06-05
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Lucyna Staniszewska
Łukasz Krzycki /sprawozdawca/
Piotr Borowiecki /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2022 poz 2000
art. art. 28, 126
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Piotr Borowiecki, Sędzia WSA Łukasz Krzycki (spr.), Asesor WSA Lucyna Staniszewska, Protokolant referent Edyta Brzezicka, po rozpoznaniu na rozprawie w dniu 13 lutego 2024 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego [...] Sp. z o.o. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżonym aktem - przywołując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2022 r. poz. 2000 ze zm.), zwanej dalej "K.p.a." oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119 z 4 maja 2016), zwanego dalej "RODO", wobec skargi p. M. K., zwanego dalej "Wnioskodawcą", na nieprawidłowości w przetwarzaniu jego danych osobowych przez E. sp. o.o. z siedzibą w [...], zwanej dalej "Spółką" - udzielono Spółce upomnienia za naruszenie art. 6 ust. 1 RODO, polegającego na przetwarzaniu - bez podstawy prawnej - w celach marketingowych danych osobowych Wnioskodawcy w zakresie numeru telefonu.
W uzasadnieniu rozstrzygnięcia przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- Wnioskodawca wystąpił o: "(...) wskazanie z jakiego źródła firma pozyskała moje dane osobowe i w jakim zakresie je przetwarza, nakazanie usunięcia moich danych osobowy [osobowych] i ukarania firmy maksymalną przewidzianą karą finansową zgodnie z uprawnieniami jakie posiada UODO",
- w toku postępowania wyjaśniającego ustalono następujący stan faktyczny:
- Spółka wykonała do Wnioskodawcy połączenie telefoniczne - na nr [...] (tak: pisma Wnioskodawcy z [...] października 2020 r. i [...] sierpnia 2021 r.),
- w wyjaśnieniach Spółka stwierdziła, że nie przetwarzała danych osobowych Wnioskodawcy - znalazła się w ich posiadaniu dopiero w chwili odebrania pisma od organu wraz ze skargą; Spółka wskazała: "(...) w związku z prowadzeniem przez Spółkę działalności w zakresie umawiania pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej, Spółka wykonywała połączenia telefoniczne, pod posiadane przez Spółkę numery telefonów, jednakże bez przyporządkowanych do nich jakichkolwiek danych osobowych ich właścicieli lub użytkowników. Telemarketer kontaktujący się z daną osobą w imieniu Spółki nie znał jakichkolwiek danych osobowych rozmówcy, w tym imienia, nazwiska, wieku, czy adresu zamieszkania, do czasu ich ewentualnego podania drogą elektroniczną, celem przesłania zaproszenia, voucher lub dalszych informacji" (tak: wyjaśnienia Spółki z [...] lutego 2021 r.);
- Spółka pozyskała numer telefonu Wnioskodawcy w ramach umowy o udostępnienie pakietu danych (numerów telefonów typowanych na podstawie kryterium geograficznego) od współpracującego z nią podmiotu - [...] Sp. z o.o. z siedzibą w [...], zwanej dalej "Spółką II" (dowód: wyjaśnienia Spółki z [...] lutego 2021 r., kopia umowy o udostępnienie pakietu danych z [...] lipca 2020 r. - stanowiąca załącznik do wyjaśnień z [...] lutego 2021 r.);
- Spółka - w wyjaśnieniach z [...] lutego 2021 r. - wskazała, że usunęła nr telefonu Wnioskodawcy; potwierdziła to w wyjaśnieniach z [...] stycznia 2022 r.,
- zgodnie z art. 4 pkt. 1 RODO, jako dane osobowe należy rozumieć wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); taką osobą fizyczną jest ta, którą można bezpośrednio lub pośrednio zidentyfikować – w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, nr identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; intepretując wskazaną wyżej definicję – w zakresie możliwości zidentyfikowania osoby fizycznej - należy zwrócić szczególną uwagę, że poszczególna informacja może – w zależności od okoliczności - stanowić daną osobową bądź nie być za nią uznawana; należy wobec powyższego rozróżnić sytuację, w której prawdopodobieństwo zidentyfikowania osoby nie istnieje lub jest nieznaczne i osoba ta nie powinna zostać uznana za "możliwą do zidentyfikowania" oraz przypadek, gdy taka identyfikacja nie jest uprawdopodobniona; przy weryfikacji, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki - jak koszt i czas potrzebne do jej zidentyfikowania - oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny; dodatkowo, jak wskazuje Grupa Robocza ds. ochrony danych - powołana na mocy art. 29 - w Opinii [...], zwanej dalej "Opinią": "Krajowe organy ds. ochrony danych osobowych zetknęły się ze sprawami, w których administrator twierdził że przetwarza jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym i przekonywał, że dane nie powinny być uważane za dane osobowe i nie powinny podlegać przepisom dotyczącym ochrony danych osobowych. Jednak przetwarzanie takich informacji ma sens jedynie wtedy, jeżeli umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania. W przypadkach gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, "jakimi można się posłużyć" w celu zidentyfikowania osoby, której dane dotyczą. Twierdzenie, że osoby nie są możliwe do zidentyfikowania, podczas gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. Dlatego informacje takie należy uważać za dotyczące osób możliwych do zidentyfikowania, a przetwarzanie ich powinno podlegać przepisom dotyczącym ochrony danych"; zgodnie z tą opinią w sprawie pojęcia danych osobowych, należy wskazać również: "(...) tożsamość osoby można ustalić bezpośrednio poprzez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwią odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.)",
- organ podziela też stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, który - w wyroku z 22 grudnia 2022 r. (sygn. akt: II SA/Wa 981/22, dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query – w Centralnej Bazie Orzeczeń Sądów Administracyjnych, zwanej dalej "CBOSA") stwierdził: "Numer telefonu osoby fizycznej stanowi zatem - zdaniem Sądu - "punkt kontaktowy", który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej, a w szczególności używany przez nią numer telefonu komórkowego, z jakim mamy do czynienia w realiach rozpoznawanej sprawy, stanowi niepowtarzalną kombinację cyfr, która jest przypisana do tej osoby i odróżnia ją po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (łączności telefonicznej), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia kontakt z nią i skierowanie do niego określonej informacji (zarówno ustnej, jak i tekstowej)"; w tym samym wyroku Sąd powołuje się na przepisy ustawy z 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2021 r., poz. 576 ze zm.) oraz dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) - Dz. U. UE. L. z 2002 r. Nr 201, str. 37 ze zm.; zdaniem Sądu wskazano w nich: "(...) numer abonenta będącego osobą fizyczną (lub znak identyfikujący abonenta) stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania - daną osobową tego abonenta, w stosunku do której - kierując się ochroną prawa do prywatności i poufności - pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów"; jako dodatkowy argument - za uznaniem numeru telefonu osoby fizycznej za jej daną osobową - Sąd podał motyw 31 projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, który uchyla dyrektywę 2002/58 (rozporządzenie w sprawie prywatności i łączności elektronicznej) [Bruksela, 2017r.; COM()2017 10 finał 2017/0003 (COD)]; wymieniono w nim nr telefonu wpośród kategorii danych osobowych umiejscawianych w spisie numerów,
- Spółka pozyskała nr telefonu Wnioskodawcy od Spółki II - z pakietu danych (nr telefonów, wytypowanych w oparciu o kryterium geograficzne), który każdorazowo nabywa od tego podmiotu; w przedmiotowym postępowaniu Spółka wskazała: "(...) w związku z prowadzeniem przez Spółkę działalności w zakresie umawiania pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej, Spółka wykonywała połączenia telefoniczne, pod posiadane przez Spółkę numery telefonów, jednakże bez przyporządkowanych do nich jakichkolwiek danych osobowych ich właścicieli lub użytkowników. Telemarketer kontaktujący się z daną osobą w imieniu Spółki nie znał jakichkolwiek danych osobowych rozmówcy, w tym imienia, nazwiska, wieku, czy adresu zamieszkania, do czasu ich ewentualnego podania drogą elektroniczną, celem przesłania zaproszenia, voucher lub dalszych informacji"; uznać zatem należy, że Spółka - dysponując informacją w postaci nr telefonu - podejmował działania nakierowane na identyfikację osób - w tym Wnioskodawcy; identyfikacja tych osób nie wymagała od tego podmiotu nadmiernych kosztów bądź czasu, a ponadto przetwarzanie nr telefonu służyło identyfikacji Wnioskodawcy, jako klienta dla podmiotów współpracujących ze Spółką,
- z zebranego materiału dowodowego wynika dodatkowo, że posiadane przez Spółkę, nr telefonów wytypowano w oparciu o kryterium geograficzne; powyższe, dodatkowe informacje - w połączeniu z posiadanymi przez Spółkę nr telefonu - stanowią dodatkowe kryterium indywidualizujące określoną osobę fizyczną; zgodnie z Opinią należy również wskazać: "(...) tożsamość osoby można ustalić bezpośrednio poprzez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwią odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.)"; zgodzić się należy dodatkowo ze stanowiskiem Wojewódzkiego Sądu Administracyjnego w Krakowie - wyrażonym w wyroku z 11 października 2013 r. (sygn. akt II SA/Kr 682/13 – dostępny w CBOSA) - w kontekście poprzednio obowiązującej ustawy o ochronie danych osobowych; Sąd ten stwierdził: "Podanie numeru telefonu i adresu poczty internetowej stanowi podanie danych osobowych w rozumieniu art. 6 ust. 1-3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), ponieważ te dane pozwalają na szybkie zidentyfikowanie konkretnej osoby. Takie dane osobowe tylko wówczas powinny być gromadzone, gdyby były one niezbędne celem ich przetwarzania w związku z realizacją uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa lub gdyby były one niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (art. 23 ust. 1 pkt 2 i 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych)",
- stanowisko to jest aktualne wobec obecnie obowiązujących przepisów - dotyczących ochrony danych osobowych; w niniejszej sprawie nr telefonu wykorzystywano dla skontaktowania się z konkretną osobą - posiadaczem tego numeru; nie ma znaczenia przy tym uprzednie posiadanie informacji o imieniu i nazwisku osoby; osoba ta jest bowiem - już w chwili pozyskania nr telefonu - identyfikowalna za pomocą tej danej; organ zgadza się z Wojewódzkim Sądem Administracyjnym w Warszawie, który w powołanym wyroku wskazał: "Sąd nie podziela w związku z tym prezentowanego przed Sądem stanowiska Skarżącej, że w okolicznościach rozpoznawanej sprawy, jak też ze względu na obecnie [obecne] technologie i postęp technologiczny, znikome było ryzyko uzyskania przez Spółkę (podmiot dysponujący numerem telefonu osoby fizycznej) dodatkowych danych identyfikujących Uczestnika. Sąd jedynie tytułem przykładu wskazuje, że w powszechnie dostępnych aplikacjach służących jako komunikatory (np. WhatsApp, Signal) konta użytkowników muszą być powiązane z numerami telefonów użytkowników. W przypadku nieograniczenia w tego typu komunikatorach opcji udostępniania informacji osobistych w ustawieniach prywatności, informacje takie, jak np. zdjęcie profilowe, widoczne są dla innych użytkowników aplikacji. W takiej sytuacji, dysponując wyłącznie numerem telefonu, można uzyskać tego typu dane identyfikujące. Sąd - biorąc pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania, oraz uwzględniając dostępną technologię i postęp technologiczny, jak również uwzględniając dane Oddziału Skarżącej zawarte w KRS, z których wynika, że profesjonalnie zajmował się on działalnością centrów telefonicznych (cali center), przetwarzaniem danych, a także zarządzaniem stronami internetowymi - uznał, że wbrew stanowisku Spółki, dysponowała ona sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących Uczestniczkę postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać"; w związku z tym – z uwagi na działania nakierowane na identyfikację Wnioskodawcy brak nadmiernych kosztów i czasu tych działań - przetwarzanie jego nr telefonu podlega przepisom dotyczącym ochrony danych osobowych,
- zgodnie z RODO, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy administrator legitymuje się którąkolwiek z przesłanek, o których mowa w art. 6 ust. 1; każda z wymienionych w tym przepisie ma charakter autonomiczny i niezależny; oznacza to, że spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych; w niniejszym postępowaniu istotna jest treść art. 6 ust. 1 lit. f RODO: zgodnie z nim przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów, wynikających z prawnie uzasadnionych interesów - realizowanych przez administratora lub przez stronę trzecią - z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (w szczególności gdy osoba, której dane dotyczą, jest dzieckiem); w motywie 47 RODO dopuszczono możliwość prowadzenia marketingu bezpośredniego na podstawie prawnie uzasadnionych interesów administratora; aby jednak wskazane przetwarzanie było dopuszczalne – na podstawie art. 6 ust. 1 lit. f RODO - interesy administratora danych muszą być nadrzędne wobec praw i wolności osób, których dane dotyczą; uznaje się zatem, że powyższa przesłanka jest spełniona, kiedy podmiot danych może oczekiwać przetwarzania dla tych celów – m.in., gdy pomiędzy osobą a administratorem istnieje relacja prawna (np. strony wiąże umowa); w przedmiotowej sprawie nie było podstaw, aby Wnioskodawca mógł spodziewać się zarówno pozyskania, jak i przetwarzania jego danych osobowych; nie zachodziło bowiem żadne powiązanie pomiędzy nim a Spółką,
- Spółka nie miała więc podstaw do pozyskania oraz następczo przetwarzania danych osobowych Wnioskodawcy; sama umowa sprzedaży bazy danych nie jest bowiem przesłanką legalizującą proces przetwarzania; odmienne stanowisko oznaczałoby możliwość swoistego następczego wykreowania podstawy prawnej dla procesu przetwarzania, gdy zachodziłby brak podstawy pierwotnej w przepisach o ochronie danych osobowych; takie działanie narusza interesy Wnioskodawcy z uwagi skoro nie może się on spodziewać przetwarzania; w konsekwencji ograniczono możliwość realizacji jego praw – w tym m.in. podjęcia czynności, zmierzających do wstrzymania przetwarzania przez administratora; w tych okolicznościach interesy Wnioskodawcy - w tym prawo do ochrony dotyczących jego danych osobowych - są nadrzędne wobec interesu administratora; w związku z tym - pozyskując i przetwarzając dane Wnioskodawcy - Spółka naruszyła art. 6 ust. 1 RODO,
- wykonane do Wnioskodawcy przez Spółkę połączenia telefoniczne - mające na celu zachęcenie do skorzystania z usług oferowanych przez podmioty z nią współpracujące - stanowiły informacje o treści marketingowej; pojęcie marketingu bezpośredniego nie jest wprawdzie zdefiniowane wprost w przepisach o ochronie danych osobowych; uznać należy jednak, że jako marketing bezpośredni rozumie się ogół działań administratora danych, które - poprzez przekazywanie informacji do indywidualnych podmiotów - mają na celu wywołanie reakcji ze strony osoby, której dane dotyczą - związanej z potrzebą posiadania określonego produktu; konsekwentnie do powyższego trzeba uznać, że połączenia telefoniczne - wykonane na nr telefonu Wnioskodawcy - służyły do promowania wizerunku i usług Spółki i podmiotów z nią współpracujących; tym samym jej działanie było nakierowane na wywołanie reakcji Wnioskodawcy i osiągnięcie korzyści stricte handlowych; działanie było zatem wykonane w celu marketingu bezpośredniego,
- poczynione w sprawie ustalenia faktyczne oraz prawne wykazały, że Spółka pozyskała i przetwarzała dane osobowe Wnioskodawcy - w zakresie jego nr telefonu - bez podstawy prawnej w celach marketingowych oraz usunęła je; w związku z tym - na podstawie art. 58 ust. 2 lit. b RODO - uzasadnione było udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia art. 6 ust. 1 danego rozporządzenia,
- biorąc pod uwagę treść skargi, w której - jako okoliczność dodatkową - Wnioskodawca zarzucał Spółce brak odpowiedzi odnośnie jego pytań, w tym w zakresie nr NIP Spółki, wskazano: art. 14 RODO nakłada na administratora danych obowiązek informacyjny w sytuacji pozyskiwania danych osobowych nie od osoby, której dane dotyczą, czyli tzw. wtórnego zbierania danych; przypadki wtórnego gromadzenia danych to sytuacje, w których źródłem danych nie jest osoba, którą identyfikują zbierane dane osobowe - źródłem danych będą więc w szczególności inne osoby lub dokumenty; tym samym Spółka - pozyskując dane osobowe Wnioskodawcy - powinna niezwłocznie przekazać mu - jako osobie, której dane dotyczą - informacje określone w art. 14 ust. 1 i 2 RODO; nie można domagać się od osoby, której dane dotyczą, podejmowania działań w zakresie wskazanej informacji; przerzucałoby to w istocie na tę osobę ciężar podjęcia informacji - nie zaś proste ich uzyskanie; dopełnienie obowiązku spoczywa na administratorze danych; Wnioskodawca nie podnosił jednak w przedmiocie sprawy niedopełnienia obowiązku informacyjnego, o którym mowa w art. 14 RODO; dlatego wskazówki te Spółka powinna traktować pomocniczo,
- organ ma też uprawnienie do nakładania administracyjnych kar pieniężnych; osoba skarżąca w sprawie indywidualnej nie może tego jednak żądać; przysługują jej bowiem jedynie uprawnienia, o których mowa w rozdziale III RODO.
W skardze Spółka, reprezentowana przez pełnomocnika – adwokata, zarzuciła naruszenie przepisów:
- prawa materialnego:
- art. 4 pkt 1 RODO, poprzez błędne uznanie, że nr telefonu stanowi daną osobową - umożliwiającą zidentyfikowanie osoby, gdy nr telefonu nie jest informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę; taki zbiór danych nie pozwala bowiem na ustalenie przez Spółkę tożsamości osoby, która się nim posługuje i w żaden sposób nie wskazuje na personalia tej osoby;
- art. 4 pkt 2 RODO, poprzez błędne uznanie, że Spółka przetwarzała dane osobowe Wnioskodawcy, gdy brak możliwości przypisania Spółce jakiejkolwiek roli w procesie przetwarzania jego danych osobowych - w postaci wyłącznie nr telefonu; dane te nie stanowią bowiem danych osobowych w rozumieniu RODO;
- art. 4 pkt 7 i 8 RODO, poprzez błędne uznanie, że Spółka pełniła rolę administratora danych osobowych lub podmiotu przetwarzającego, gdy Spółka ani samodzielnie ani wspólnie z innymi podmiotami - w ramach prowadzonej działalności gospodarczej - nie decydowała o celach i środkach przetwarzania danych osobowych; nie przetwarzała również danych osobowych Wnioskodawcy w imieniu administratora;
- art. 6 ust. 1 RODO, poprzez błędne zastosowanie i przyjęcie, że w niniejszej sprawie przepis ten znajduje zastosowanie; Spółka nie przetwarza tymczasem danych osobowych w rozumieniu RODO;
- art. 11 ust. 1 w zw. z motywem 57 RODO, poprzez nieprawidłowe przyjęcie, że do realizowanych przez Spółkę czynności - objętych zaskarżoną decyzją - znajduje zastosowanie RODO; w toku podejmowanych przez Spółkę objętych decyzją czynności nie dochodzi tymczasem do przetwarzania danych osobowych - w tym na potrzeby marketingu bezpośredniego, a Spółka nie jest obowiązana do ich pozyskiwania wyłącznie w celu zastosowania RODO;
- art. 58 ust. 2 lit. b RODO, poprzez błędne uznanie, że Spółka pełniła rolę administratora danych lub podmiotu przetwarzającego, gdy przywołany przepis przyznaje uprawnienie organowi nadzorczemu do udzielenia upomnień wyłącznie administratorowi lub podmiotowi przetwarzającemu - w przypadku naruszenia przepisów RODO, przez operacje przetwarzania; w opisanej sytuacji nie może mieć to miejsca, z uwagi na brak pełnienia wyżej wskazanych ról przez Spółkę;
- art. 17 ust. 1 lit. c w zw. z art. 12 ust. 3 i 4 RODO, poprzez błędne uznanie, że na Spółce ciążył obowiązek usunięcia danych osobowych Wnioskodawcy; nie pełniła ona tymczasem roli administratora jego danych w chwili wykonywania połączenia telefonicznego,
- postępowania:
- art. 28 K.p.a., poprzez wydanie wobec Spółki decyzji, gdy posiada ona nr telefonów z udostępnionej przez kontrahenta bazy danych na podstawie zawartej umowy o charakterze licencyjnym; broker danych pełnił w tej sytuacji rolę administratora danych osobowych; gromadzi je bowiem w zakresie swojej działalności gospodarczej i określa pierwotnie cele ich przetwarzania; Spółka nigdy zatem nie pełniła i nadal nie pełni roli administratora danych osobowych w rozumieniu art. 4 pkt 7 RODO; nie może być więc adresatem decyzji w zakresie naruszenia praw Wnioskodawcy; stanowi to podstawę do stwierdzenia nieważności zaskarżonej decyzji - na podstawie art. 156 §1 pkt 4 K.p.a.;
- art. 7, 77 § 1 oraz art. 80 K.p.a., poprzez brak wszechstronnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością; następstwem tego było przyznania Wnioskodawcy racji w zakresie jego skargi gdy:
według treści znajdującej się w aktach sprawy umowy licencyjnej nie sposób przypisać Spółce roli administratora danych osobowych,
sam nr telefonu - bez innych danych, umożliwiających ustalenie podmiotu danych - nie stanowi danej osobowej, umożliwiającej zidentyfikowanie osoby fizycznej,
Spółka nie znajdowała się w posiadaniu danych osobowych Wnioskodawcy; tym samym nie przetwarzała danych osobowych - w tym dla celów marketingowych - bez podstawy prawnej,
Wnioskodawca - w celu realizacji obowiązków nałożonych przez RODO – nie skontaktował się z Inspektorem Ochrony Danych Osobowych Spółki, lecz bezpośrednio zwrócił się w przedmiotowej sprawie do organu,
Spółka nie prowadzi działalności o charakterze marketingowym, w tym na potrzeby marketingu bezpośredniego,
Spółka nie pełniła roli administratora, współadministratora ani podmiotu przetwarzającego dane osobowe Wnioskodawcy, w rozumieniu art. 4 pkt 1 RODO,
Spółka nie pozyskiwała danych osobowych od innego podmiotu; pozyskała wyłącznie bazę danych, wśród której znajdował się wyłącznie nr telefonu,
Spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą, celem kierowanych połączeń przez Spółkę nie były działania nakierowane na identyfikację osób;
- art. 6 i 7 K.p.a., poprzez prowadzenie postępowania niezgodnie z zasadami praworządności, demokratycznego państwa prawa oraz pewności prawa; przejawiało się to w braku:
odniesienia się przez organ do wszystkich zarzutów i twierdzeń podniesionych w pismach Spółki,
ponownego zbadania sprawy na skutek uzupełnienia stanowiska przez Spółkę - w tym przedłożenia umów, łączących ją z podmiotem udostępniającym bazę danych nieosobowych, zawierającą wyłącznie nr telefonu;
- art. 8 w zw. z art. 11 K.p.a., poprzez zaniechanie odniesienia się do stanowiska zawartego w pismach Spółki - w szczególności przedstawionej argumentacji oraz załączonych dokumentów - oraz zaniechanie pełnego uzasadnienia decyzji; uniemożliwia to pełne ustosunkowania się Spółki do decyzji organu;
- art. 14 w zw. z art. 107 K.p.a., poprzez ograniczenie uzasadnienia decyzji i nie odniesienie się do wszystkich twierdzeń oraz dokumentów, przedłożonych w toku postępowania przez Spółkę;
- art. 124 § 2 K.p.a., poprzez nie zawarcie w uzasadnieniu zaskarżonej decyzji uzasadnienia faktycznego - obejmującego wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej.
W konsekwencji powyższych naruszeń błędnie ustalono okoliczności faktyczne i bezpodstawnie przyjęto, że:
- Spółka nawiązała połączenie telefoniczne - w celu marketingu bezpośredniego - gdy nie prowadzi ona działalności marketingowej i nie wykonuje połączeń o tym charakterze,
- Spółka przetwarzała dane osobowe w zakresie nr telefonu Wnioskodawcy bez podstawy prawnej (w celach marketingowych), gdy nr telefonu nie stanowi danych osobowych, a Spółka nie przetwarza żadnych danych osobowych w celach marketingowych,
- Spółka wykonywała połączenia telefoniczne, mające na celu zachęcenie do skorzystania z usług oferowanych przez współpracujące ze Spółką podmioty, które to informacje stanowiły treści marketingowe; nie promuje ona tymczasem określonego, konkretnego produktu, konkretnego podmiotu - beneficjenta czynności marketingowych, a także nie dokonuje sprzedaży produktów ani nie oferuje takiej możliwości w trakcie bezpośredniego kontaktu z konsumentem.
W szerokim uzasadnieniu skargi rozwinięto powyższe zarzuty. Podkreślano, że Spółka nigdy nie miała potrzeby ani nawet intencji zbierania danych osobowych osób, które nie wykazały zainteresowania ofertą kierowaną telefonicznie. Samodzielnie nie prowadzi żadnej sprzedaży, jedynie umawia spotkania promocyjne realizowane celem promocji przez podmioty trzecie. Nie dysponowała danymi osobowymi Wnioskodawcy do czasu poinformowania jej o wniesieniu przezeń skargi. Gromadzi jedynie dane osobowe przekazane dobrowolnie - przez osoby zainteresowane proponowaną telefonicznie ofertą. Aby uczynić zadość wymaganiom ustawionym przez organ - poinformowania osób o gromadzeniu ich danych osobowych (za które organ uważa błędnie także sam nr telefonu) - musiałaby wpierw faktyczne dane osobowe zgromadzić. Spółka nie podziela stanowiska prezentowanego w powoływanym przez organ orzecznictwie m.in. wobec następującej argumentacji:
- w judykaturze przyjmuje się, że tylko i wyłącznie informacje, które - bez nadzwyczajnego wysiłku oraz bez nieproporcjonalnie dużych nakładów - dają się powiązać z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, zasługują na zaliczenie ich również do kategorii danych osobowych; nie dotyczy to natomiast tych informacji, których powiązanie z oznaczoną osoba nie jest łatwo osiągalne i wymaga nakładów nadzwyczajnych; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań,
- w orzecznictwie - jeszcze na gruncie poprzedniej ustawy o ochronie danych osobowych – wskazywano ponadto: "Dane osobowe to zespół wiadomości o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie, a wykorzystywany samodzielnie anonimowo ciąg cyfr stanowiący numer telefoniczny nie może stanowić danej osobowej, gdyż nie pozwala on na identyfikację abonenta" (tak wyrok Sądu Okręgowego w W. z [...] stycznia 2019 r. sygn. akt [...] opubl. w LEX nr [...]); w powołanym orzeczeniu zwrócono uwagę na dwa istotne dla niniejszej sprawy aspekty;
- po pierwsze wskazano wprost, że nr telefonu nie stanowi danej osobowej,
- po drugie - że tylko dane integralnie związane z konkretnym człowiekiem mogą stanowić jego dane osobowe;
na kanwie drugiej ze wskazanych tez wskazano, że stałe identyfikatory numeryczne - przypisane do konkretnej osoby, niosące dodatkowo ze sobą pewien zbiór innych informacji, np. nr PESEL - będą mogły spełniać przesłankę danych osobowych; o ile jednak nr PESEL jest zintegrowany z daną osobą przez całe jej życie i nie podlega zmianie, tak numer telefonu nie jest w jakikolwiek sposób na stałe przypisany do konkretnej osoby; co więcej nr telefonu danej osoby może podlegać zmianie i to dowolnie częstej - zależnie od jej woli, ale także może być przenoszony pomiędzy abonentami za ich zgoda (cesja) lub bez ich wiedzy – tak: nadanie nowemu abonentowi nr telefonu innego abonenta, który to wygasł, a następnie ponownie zasilił pule operatora telefonicznego,
- organ nie wskazał także, w jaki sposób Spółka miałaby identyfikować podmioty danych na podstawie wyłącznie nr telefonu; już samo to prowadzi do wniosku, że identyfikacja osoby wyłącznie w oparciu o sam nr telefonu pozostaje dla Spółki niemożliwa; sam organ nie jest bowiem w stanie sprecyzować jakim sposobem identyfikacja miałaby następować,
- na gruncie analogicznego do niniejszej sprawy stanu faktycznego wojewódzki sąd administracyjny wskazał: "sam numer telefonu nie pozwala na identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacze numeru - abonenta lub osoby, która faktycznie używa danego numeru. Skoro nabyty przez Spółkę od Spółki II zbiór danych (baza numerów telefonów) identyfikuje wyłącznie osoby zamieszkujące pewien teren (tak powołane przez Spółkę kryteria zasobu nabytej bazy - geograficzne) to sam numer telefonu nie jest wystarczający do identyfikacji konkretnej osoby, jako jednostki o przypisanych jej cechach indywidualnych. Nie sposób więc uznać, aby Spółka dysponowała danymi osobowymi Wnioskodawcy i je przetwarzała. Skoro zaś Spółka nie przetwarzała danych osobowych Wnioskodawcy, nie znajdą do niej zastosowania wymagania określone RODO. " (tak wyrok WSA o sygn. akt II SA/Wa 1898/20 – dostępny w CBOSA),
- Spółka nie dysponowała środkami prawnymi, technicznymi bądź organizacyjnymi, umożliwiającymi jej identyfikację podmiotów, z którymi kontaktowali się jej przedstawiciele; nie była również w stanie przypisać danego nr telefonu do konkretnej osoby fizycznej, gdyż - do momentu ewentualnego podania danych osobowych przez rozmówcę - rozmowa odbywała się anonimowo; uzasadnia to stwierdzenie, że nr telefonu - bez pozostałych danych - nie pozwalał Spółce na ustalenie danych osobowych Wnioskodawcy; nr telefonu nie ma dla Spółki żadnego waloru informacyjnego, gdyż nie dysponuje ona żadnymi narzędziami, czy rozwiązaniami technicznymi, umożliwiającymi identyfikację osoby fizycznej,
- z kolei przytoczona przez organ teza wyroku o sygn. akt II SA/Kr 682/13, nie jest nieaktualna – sformułowano ją na bazie nieobowiązującej już ustawy o ochronie danych osobowych z 1997 roku,
- stanowisko Spółki nie jest poglądem odosobnionym; w podobnym tonie wypowiadają się przedstawicie nauki prawa, którzy podnoszą: "sam numer telefonu w większości przypadków (tj. z wyjątkiem sytuacji, gdy administrator danych - dysponent informacji - będzie miał również inne informacje, które umożliwiają identyfikację osoby fizycznej) nie będzie stanowił danych osobowych. Możliwość identyfikowania osoby fizycznej - jak już wskazano - należy, zdaniem autorów, odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną)" (Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, komentarz red. dr. Paweł Litwiński Legalis 2018 r.); ten sam komentator wskazał: "w nauce prawa nie udzielono jasnej odpowiedzi na pytanie, kiedy informacja pozwala określić tożsamość osoby. Niewątpliwie należy zgodzić się ze stanowiskiem, że to, czy informacje pozwalałyby na identyfikację osoby, wynikało z kontekstu, w jakim informacja ta występowała, a osobowy charakter nie może być z góry przypisany jakiejkolwiek kategorii danych (A. Mednis, Ochrona prawna, s. 35). Czasami bowiem podanie nazwiska, a nawet imienia i nazwiska osoby nie pozwala na określenie tożsamości tej osoby." (...) "Nie można zgodzić się ze stanowiskiem zajętym przez GIODO w uzasadnieniu decyzji z [...].1.2008 r. [...], w którym uznając za dane osobowe m.in. numer telefonu, odniósł pojęcie możliwości zidentyfikowania do bezpośredniego kontaktu z osobą fizyczną (z wykorzystaniem numeru telefonu). Uzasadnienie tego stanowiska przez GIODO budzi poważne wątpliwości, gdyż stwierdza on w decyzji, że choć dane te (numer telefonu i imię) nie określają bezpośrednio tożsamości osób fizycznych, to umożliwiają one określenie tożsamości przez bezpośredni kontakt z tą osobą. Zdaniem autorów powyższe założenia nie znajdują oparcia w treści art. 6 OchrDanychU97 oraz w treści komentowanego przepisu (art. 4 RODO - przyp. red.), a sam numer telefonu w większości przypadków (tj. z wyjątkiem sytuacji, gdy administrator danych - dysponent informacji - będzie miał również inne informacje, które umożliwiają identyfikację osoby fizycznej) nie będzie stanowił danych osobowych. Możliwość identyfikowania osoby fizycznej – jak już wskazano - należy, zdaniem autorów, odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną)",
- na gruncie niniejszej sprawy niezwykle istotna pozostaje kwestia rozróżnienia zbioru danych - mających przymiot danych osobowych, w rozumieniu art. 4 pkt 1 RODO - od czynności identyfikacyjnych - w celu poszerzenie katalogu posiadanych danych i w efekcie nadania zbiorowi danych waloru danych osobowych,
- jedynym sposobem identyfikacji podmiotu danych, który nie pozostawia wątpliwości, co do prawidłowego przyporządkowania nr telefonu do danych osobowych abonenta, jest dostęp do listy abonentów, prowadzonej przez operatorów telefonicznych; Spółka nie posiada i nigdy nie posiadała dostępu do takiej bazy danych osobowych, a udzielenie informacji przez operatorów jest ściśle reglamentowane przepisami prawa; przy tym Spółka nie spełnia przesłanek uzyskania takich informacji od operatorów; mając to na uwadze, należy nie tylko ocenić łatwość identyfikacji, ale przede wszystkim realną możliwość jej dokonania; składają się na nią prawidłowość, skuteczność oraz dostępność danej metody identyfikacji dla mającego podejmować "czynności identyfikacyjne" podmiotu; tylko metodę identyfikacji, dająca jednoznacznie prawidłowy wynik, można uznać za spełniające kryteria wskazane w RODO - w kwestii ustalenia tożsamości podmiotu i przypisania do konkretnej osoby zbioru danych,
- Spółka nie podziela stanowiska, wyrażonego w uzasadnieniu powołanego przez organ wyroku o sygn. akt: II SA/Wa 981/22; motywy rozstrzygnięcia zostały tam oparte na sprawozdaniu na temat stosowania zasad ochrony danych osobowych w stosunku do ogólnoświatowych sieci telekomunikacyjnych - przygotowane przez Yvesa Poulleta i jego zespół dla komitetu konsultacyjnego Rady Europy ds. konwencji o ochronie osób; nie tylko nie stanowi ono jakiegokolwiek źródła prawa, ale zostało sporządzone w ramach organizacji międzynarodowej - odrębnej od struktur Unii Europejskiej, a także w całkowitym oderwaniu od RODO; sprawozdanie to dotyczy innego aktu - konwencji o ochronie osób; dokument ten stanowi też ocenę istniejącego stanu rzeczy i ewentualne postulaty nie zaś obiektywne wnioski interpretacyjne na gruncie RODO; Sąd w uzasadnieniu wyroku przyjmuje - w ślad za sprawozdaniem - definicję pojęcia danych osobowych oraz pojęć związanych z ochroną danych osobowych poza aktami obowiązującego prawa wspólnotowego; prawodawca unijny nie bez przyczyny sformułował legalne definicje; powinny być one stosowane w celu dokonania poprawnej wykładni przepisów RODO; Sąd w uzasadnieniu wyroku odchodzi od definicji legalnych i - wychodząc poza zakres swoich kompetencji - dąży do poparcia stanowiska stosując rozszerzającą wykładnie pojęcia danych osobowych; uzasadniając stanowisko odwołano się do dokumentów nie stanowiących źródeł powszechnie obowiązującego prawa, zgodnie z konstytucyjną hierarchią jego źródeł; dotyczy to przeniesienia pojęć takich jak "punkt zaczepienia" oraz "punkt kontaktowy" na grunt stosowania przepisów RODO, będącego elementem obowiązującego systemu prawnego, który - na potrzeby swojego zastosowania - zawiera własne legalne definicje,
- ustawodawca unijny wprost opiera definicję danej osobowej na identyfikacji osoby fizycznej, lub możliwości jej zidentyfikowania; od niej uzależnia uznanie danej informacji za daną osobową; przyjęcie przez Sąd, że nr telefonu - niepozwalający zidentyfikować osoby fizyczne - również należałoby rozumieć jaką daną osobową nie jest dopuszczalne - burzy wszelkie założenia unijnego prawodawcy w kontekście ochrony danych osobowych; przyjmując nawet hipotetycznie prezentowaną w przywołanym uzasadnieniu koncepcję tożsamości, dla możliwości uznania, że określona informacja – w postaci "punktu zaczepienia" czy też "punktu kontaktowego" - może stanowić dane osobowe, musi ona prowadzić do innych informacji o osobie, umożliwiających jej identyfikację; takie stwierdzenie prowadzi do wniosku, że - skoro niezbędne są dodatkowe dane - tym bardziej samodzielna dana w postaci "punktu kontaktowego", która nie prowadzi do innych danych, nie pozwala na ustalenie tożsamości - nie stanowi danych osobowych,
- odnosząc się do argumentacji w uzasadnieniu o sygn. akt II SA/Wa 981/22 - dotyczącej zastosowania dyrektywy 2002/58/WE - wskazano, że akt prawny tej rangi nie znajduje bezpośredniego zastosowania do niniejszej sprawy; wymaga ona bowiem stosownej implementacji do porządku krajowego - odniesienia się bezpośrednio do przepisów prawa krajowego,
- Spółka nie kwestionuje, że zbiór zawartych w publicznie dostępnym spisie abonentów danych, o którym mowa w artykule 169 ust. 1 pkt 1 - 3 ustawy - Prawo telekomunikacyjne, stanowi zbiór danych osobowych; z przepisu tego nie wynika jednak, jakoby sam nr telefonu miał stanowić dane osobowe; interpretacja taka jest za zbyt daleko idącą - nie znajduje oparcia w treści danego przepisu; w szczególności, nie jest dopuszczalne posiłkowanie się w tym zakresie projektem innego aktu normatywnego; nie tylko nie stanowi on źródła powszechnie obowiązującego prawa, ale także może ulec daleko idącym zmianom - w toku procesu legislacyjnego,
- dodatkowo, o ile ustawodawca wspólnotowy w przywołanej przez Sąd dyrektywie 2002/58/WE posługuje się pojęciem danych osobowych, to ewidentnie nie uznaje za nie samego nr telefonu; wynika to z art. 10 tej dyrektywy; stanowi on o możliwości zablokowania przez operatora telefonicznego możliwości korzystania przez użytkowników z opcji ukrycia numeru, tzw. "zastrzeżenie numeru"; w tej kwestii ustawodawca wspólnotowy jasno wskazuje, że numer ten prowadzi do identyfikacji rozmowy, a nie którejkolwiek ze stron połączenia; co więcej, ustawodawca zestawia to z obowiązkiem operatora telekomunikacyjnego do zachowania danych identyfikujących abonenta dzwoniącego; wymaga więc od operatora dołączenia przez niego informacji o samym numerze do pozostałych danych abonenta celem umożliwienia jego identyfikacji (także na potrzeby ewentualnych postępowań); z samej powyższej analizy wynika, że intencją ustawodawcy wspólnotowego nie było uznanie za dane osobowe wyłącznie nr telefonu,
- transpozycją wyżej wymienionej normy do porządku krajowego jest art. 171 ustawy - Prawo telekomunikacyjne; wskazano w nim, że nr telefonu jest "prezentacją identyfikacji linii wywołującej"; ustawodawca krajowy również – na gruncie przywołanej ustawy - posługuje się pojęciem danych osobowych abonenta lub użytkownika, co trafnie dostrzegł Wojewódzki Sąd Administracyjny; pominął jednak, że ustawodawca w przywołanym przepisie nie zdecydował się na zastosowanie pojęcia danych osobowych; wskazał, że (odmiennie nieco od ustawodawcy wspólnotowego), dana ta prowadzi wyłącznie do identyfikacji linii wywołującej połączenie; gdyby jego wolą było, aby nr telefonu samodzielnie stanowił dane osobowe, dałby temu wyraz również w ramach przywołanej normy.
Wniesiono o stwierdzenie nieważności zaskarżonej decyzji bądź jej uchylenie oraz zasądzenie zwrotu kosztów postępowania sądowego.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
W trakcie rozprawy uczestnik postępowania – Wnioskodawca - podnosił, że - wbrew stanowisku Spółki - podczas rozmowy telefonicznej, która zainicjowała skargę w sprawie, osoba doń dzwoniąca poinformowała, że jest on w grupie osób w wieku około 50 lat. Odpowiadało to wówczas stanowi faktycznemu. Wcześniej nękano go telefonami Spółki, przedstawiając oferty. Wnioskodawca wskazał, że za każdym razem prosił o wykreślenie jego nr telefonu z bazy danych, lecz nigdy nie zostało to zrealizowane. Podniósł ponadto, że - korzystając z formularza kontaktowego na stronie internetowej Spółki - wysłał do niej żądanie wykreślenia jego nr z bazy danych kontaktowych. Spółka - wbrew swojemu twierdzeniu - administrowała danymi osobowymi.
Sąd zważył, co następuje:
Skarga zasługuje na uwzględnienie, gdyż trafne są zarzuty Spółki, gdzie podniesiono, że orzekając w sprawie naruszono przepis prawa materialnego zakreślający, co należy traktować jako dane osobowe (art. 4 pkt 1 RODO), których przetwarzanie podlega regułom RODO. Mylna konstatacja organu, jakoby Spółka przetwarza dane osobowe Wnioskodawcy, prowadziła do bezpodstawnego wydania orzeczenia, którym udzielono Spółce upomnienia.
Na wstępie trzeba odnotować, że nie są w istocie sporne okoliczności faktyczne sprawy, stanowiące podstawę orzekania na dzień wydania skarżonej decyzji – wykonanie przez Spółkę połączenia do Wnioskodawcy, przy czym - jak twierdziła Spółka zaś organ tego dotąd nie kwestionował - dysponowała ona wyłącznie nr telefonu, jako należącym do abonenta wedle określonej lokalizacji geograficznej. Trafnie organ przewołał treść stosownych regulacji normatywnych, które mogą mieć istotne znaczenie w sprawie. Wobec zreferowania stanowiska organu w danym zakresie, powtarzanie tych informacji byłoby zbędne. Sąd przyjmuje tu stanowisko organu za własne.
Zasadnie jednak wywiedziono w skardze, że organ - prowadząc postępowanie oraz przywołując określone okoliczności formalne sprawy - nie wykazał w istocie, aby Spółka – dysponując wyłącznie zbiorem określonych nr telefonów - jest to niesporne, w kontekście posiadanych danych Wnioskodawcy (choć Spółka wywodzi, że nie była administratorem ich bazy) - przetwarzała dane osobowe, w rozumieniu art. 4 pkt 1 RODO.
Zasadnie zauważa organ, że danymi takimi mogą być informacje, które nie identyfikują konkretnej osoby lecz jest możliwe - przy ich pomocy i wykorzystaniu nieznacznych środków - zidentyfikowanie konkretnej osoby. Organ nie wywiódł jednak, aby tego rodzaju charakter miał w danym przypadku sam nr telefonu - nieprzypisany do konkretnej osoby, w ramach zbioru informacji posiadanych przez podmiot, dysponujący tymi danymi, bądź w łatwy sposób pozyskiwalnymi. Co trafnie zauważa Spółka, stanowisko jakoby sam nr telefonu nie stanowił danej osobowej, było także podzielone w doktrynie i judykaturze (patrz: wcześniej przywołane wywody skargi), choć - co trafnie zauważa organ - w aktualnym orzecznictwie Wojewódzkiego Sądu Administracyjnego w Warszawie prezentowany jest także pogląd odmienny. Sąd w tym składzie go jednak nie podziela. Uznaje tu za trafną argumentację, prezentowaną przez Spółkę - zreferowaną uprzednio w ramach przywołania stanowiska skargi.
Stanowisko Spółki wypada uzupełnić jedynie w następujący sposób.
Co zasadnie odnotowano w uzasadnieniu zaskarżonego aktu, niektóre dane – w zależności od ich powiązania z innym zbiorem informacji o osobach – mogą w pewnych sytuacjach stanowić dane osobowe bądź nimi nie być. Uwagę te odnieść należy także do nr telefonu jako danej o charakterze numerycznym przypisanej do konkretnego abonenta – osoby związanej z operatorem umową na świadczenie usług telekomunikacyjnych. Jak trafnie wywiedziono w skardze, sam nr telefonu nie pozwala na prostą identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacze numeru – faktycznego abonenta lub osoby, która faktycznie używa danego numeru. Skoro nabyty przez Spółkę od Spółki II zbiór danych (baza nr telefonów) identyfikuje wyłącznie osoby zamieszkujące pewien teren (tak powołane przez Spółkę kryteria zasobu nabytej bazy - geograficzne) to sam nr telefonu nie jest wystarczający do identyfikacji konkretnej osoby fizycznej - jako jednostki o przypisanych jej cechach indywidualnych. Nie sposób więc uznać, aby Spółka – wedle stanu faktycznego ustalonego przez organ - dysponowała danymi osobowymi Wnioskodawcy i je przetwarzała.
W kontekście niespornych uwarunkowań faktycznych danej sprawy uprawnione jest założenie, że Spółka dokonywała operacji na pozyskanej od Spółki II w bazie danych nr telefonu, których abonenci przypisani są do określonej lokalizacji geograficznej. Bez ich zgody na przetwarzanie danych dotyczyło to jedynie stosownego oznaczania, czy osoba odbierająca połączenie (nie koniecznie to abonent) wykazuje zainteresowanie przedstawioną obecnie konkretną ofertą. Dane takie niewątpliwie gromadzono i Spółka miała do nich dostęp, gdyż w innym przypadku nie byłoby możliwe realizowanie połączeń wedle pozyskanej listy - te same działania wobec losowych numerów byłyby wykonywane wówczas wielokrotnie zaś - co do innych - w ogóle. Spółka wywodziła - zaś organ tego nie podważał - że bazy danych nr telefonów były pozyskiwane osobno (wielokrotnie) od podmiotu trzeciego (w przypadku skargi Wnioskodawcy od Spółki II) dla potrzeb przedstawienia każdej z ofert. Organ nie ustalił, aby zgromadzone w trakcie przedstawienia konkretnej propozycji informacje o braku nią zainteresowania przez odbierające połączenie osoby – to jedyne informacje, powiązane z nr abonenta – po wykonaniu usługi na rzecz określonej firmy archiwizowano bądź przekazywano innym podmiotom. Nie odbywał się więc proces gromadzenia istotnych informacji, które mogły charakteryzować abonentów identyfikowanych nr telefonu, czy w istocie osoby odbierające połączenia kierowane na określonym numer. Trafnie też wychodzi Spółka że nie istnieje – w każdym razie organ nie przywołał ani nie jest znane Sądowi z urzędu - narzędzie pozwalające przyporządkować w sposób prosty, szybki i ekonomicznie opłacalny (np. przez zautomatyzowane wyszukiwanie) nr telefonów wobec konkretnego zbioru osób fizycznych. Organ nie wywodził nawet, aby prawdopodobnie było podejmowanie tego rodzaju działań w kontekście potencjalnych kosztów i korzyści - wobec rodzaju pozyskanych informacji (to: brak zainteresowania ofertą). Nie może mieć istotnego znaczenia sama potencjalna możliwość identyfikacji poszczególnych osób przy pomocy określonych aplikacji czy komunikatorów (tak powołane przez organ tezy orzeczenia), skoro - w kontekście danej sprawy - nie uprawdopodobniono nawet aby – wobec rodzaju posiadanych przez Spółkę danych – mogły być takie działania realizowane przez nią czy podmioty trzecie.
Skoro Spółka nie przetwarzała danych osobowych Wnioskodawcy, nie znajdą do niej zastosowania wymagania określone RODO. Nie mogła być też wydana wobec niej decyzja w następstwie naruszenie stosownych reguł, wynikających z tego aktu.
Odnosząc się do argumentacji organu, że rzeczywistym celem Spółki – przy nabyciu praw do bazy danych, obejmującej nr telefonów - jest zgromadzenie informacji o potencjalnych odbiorcach usług przez nią oferowanych, należy wskazać, że – w takim razie - także w ocenie organu posiadane informacje mogą być wyłącznie przydatne do utworzenia w przyszłości określonego zasobu informacji o danych osobowych, a więc ich przetwarzania. Tylko jeżeli określone działania Spółki przyniosą zakładane przez nią skutki będzie ona obowiązana wobec pewnych abonentów - osób, których dane osobowe faktycznie zgromadzi - do zachowania reguł określonych w RODO. Ich naruszenie uzasadni zaś zastosowanie przez organ przypisanych mu środków dyscyplinujących.
Trafne są zatem zarzuty naruszenia wymienionego w skardze przepisu prawa materialnego – art. 4 pkt 1 RODO, przez błędne przyjęcie jakoby - w myśl w wskazanej definicji legalnej - sam nr telefonu stanowił daną osobą w jej rozumieniu. Czyni to zasadnymi zarzuty naruszenia innych reguł RODO (powołanych w skardze przepisów prawa materialnego), skoro unormowania danego aktu nie znajdą w sprawie zastosowania.
Orzekając w sprawie Sąd miał na uwadze, że sam obrót bazami nr telefonów w celu wykonywania połączeń do wytypowanej ich grupy, bez uprzedniej zgody abonenta, może być uważany za praktykę naganną. Swoje stanowisko wyraził Wnioskodawca, wnosząc skargę do organu a potem w trakcie rozprawy przed Sądem - wskazywał na bezskuteczne próby usunięcia swojego nr telefonu z baz pozyskiwanych i wykorzystywanych przez danego teleoferenta (Spółkę). Rozwiązanie danego problemu - w myśl preferencji większości obywateli - może jednak nastąpić wyłącznie przez wprowadzenie stosownego prawodawstwa na stosownym szczeblu. Wykluczenie praktyk w danym zakresie nie może zaś nastąpić w oparciu o stosowną wykładnię przepisów RODO w aktualnym brzmieniu – z wyżej wskazanych względów.
Chybione są przy tym zarzuty skargi w pozostałym zakresie - co nie może mieć wpływu na treść rozstrzygnięcia - z następujących przyczyn:
- bezzasadne byłoby rozważanie, czy Spółka w istocie była administratorem bazy danych z numerami telefonów gdy nie stanowiły one faktycznie zbioru danych osobowych; gdyby jednak gromadzone przez Spółkę (a więc przetwarzane) informacje miały taki charakter, byłaby ona ich administratorem, o ile posiadałaby możliwość samodzielnego zarządzania zgromadzonymi informacjami, przypisanymi do konkretnych numerów - udostępnionych przez Spółkę II - i ich dalszego wykorzystywania,
- samo nawiązywanie kontaktu w celu ustalenia, czy określona osoba jest zainteresowana określoną ofertą (także proponowana przez inna firmę), stanowi element szerszej działalności określonej generalnie mianem marketing czy promocja; bezzasadne byłoby uznanie, że wykonywanie pojedynczych czynności, związanych z danym procesem, nie powinno być poddane identycznym rygorom wobec dotyczących prowadzenia działań kompleksowych,
- orzekając w sprawie organ nie naruszył przepisów postępowania w zakresie w jakim mogłoby mieć to istotny wpływ na wynik sprawy; żadne bowiem istotne okoliczności faktyczne nie były w niej sporne; zarzuty skargi dotyczą w istocie błędnej kwalifikacji prawnej ustalonych zdarzeń nie zaś wadliwego ustalenia stanu faktycznego; wypada przy tym odnotować, że w sprawie nie znajdzie zastosowania powołany w skardze art. 126 K.p.a., który dotyczy formy postanowienia, to zaś nie było przedmiotem zaskarżenia; organ prawidłowo uzasadnił orzeczenie, wobec przyjętych (nota bene wadliwie) ram prawnych sprawy, wyjaśniając motywy, jakimi się kierował,
- wobec treści skargi Wnioskodawcy - na nieprawidłowość przetwarzaniu jego danych osobowych przez wskazany podmiot - stroną postępowania wszczętego danym podaniem przed organem była właśnie Spółka; w toku postępowania ocenie podlegało wyłącznie zachowanie wynikających z RODO reguł przez dany podmiot; stąd bezzasadny jest zarzut naruszenia art. 28 K.p.a., jak i wniosek o stwierdzenia nieważności skarżonego aktu, w następstwie wydania decyzji wobec osoby niebędącej stroną w sprawie.
Odnosząc się do stanowiska Wnioskodawcy na rozprawie należy wskazać, że ewentualna kwestia gromadzenia czy posiadania (przetwarzania) dodatkowych informacji o abonentach poszczególnych numerów, czy osobach odbierających połączenie - poza przypisaniem lokalizacji geograficznej nr (np. o wieku osoby) – w kontekście uznania, że przetwarzane są dane osobowe w rozumieniu RODO nie było dotąd w ogóle przedmiotem rozważań organu. Zajmowanie w tej kwestii stanowiska przez Sąd byłoby więc przedwczesne. Wypada jedynie odnotować, że chociaż - jak wskazano wcześniej - sam nr telefonu nie może być a priori traktowany jako dana osobowa to jednak tworzenie bazy informacji o abonentach, identyfikowanych nr telefonu (względnie osobach, podejmujących połączenia pod danym numerem), wobec rodzaju gromadzonych danych, może być kwalifikowane jako proces przetwarzania danych osobowych. Dotyczy to sytuacji, gdy rodzaj i charakter pozyskanych wiadomości może czynić zasadnym - z perspektywy interesów administratora lub podmiotu, któremu zbiór danych zostanie przekazany - identyfikację osób (czy wybranej ich grupy), których one dotyczą.
Z przytoczonych wyżej przyczyn - na podstawie art. 145 § 1 pkt 1 lit. a ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r., poz. 1634 ze zm.) - orzeczono jak w pkt 1 sentencji. O zwrocie kosztów postępowania Sąd orzekł jak w pkt 2 sentencji, w myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz.U. z 2023 r. poz. 2631 ze zm.). Sumę kosztów stanowiło wynagrodzenie pełnomocnika Spółki w kwocie 480 zł, wpis sądowy od skargi w kwocie 200 zł oraz 17 zł tytułem opłaty skarbowej od pełnomocnictwa.
Rozpatrując ponownie sprawę organ administracji uwzględni ocenę prawną, sformułowaną w niniejszym uzasadnieniu.