II SA/Wa 1265/22

II SA/Wa 1265/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-12-22
orzeczenie nieprawomocne
Data wpływu
2022-07-25
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Joanna Kube, Sędzia WSA Andrzej Góraj, Protokolant starszy specjalista Aleksandra Weiher po rozpoznaniu na rozprawie w dniu 8 grudnia 2022 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2022r. nr [...]. w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] maja 2022r. nr [...] udzielił [...] Sp. z o.o. z siedzibą w [...] (zwana dalej: "Spółką" albo "Skarżącą"), działającą przez oddział w [...] ([...] Sp. z o.o. z siedzibą w [...], zwany dalej "Oddziałem") upomnienia za naruszenie art. 6 ust. 1 rozporządzenia 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz.UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35 zwane dalej: "RODO"), polegające na przetwarzaniu danych osobowych A. S. (zwana dalej "Uczestniczką") w zakresie Jej numeru telefonu, bez podstawy prawnej w celach marketingowych. W podstawie prawnej decyzji powołano też art. 104 § 1 Kodeksu postępowania administracyjnego (Dz.U. z 2021r., poz. 735 ze zm., zwana dalej "k.p.a.") w zw. z art. 7 ust. 1 i 2 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana dalej "u.o.d.o.") oraz art. 4 pkt 1 i art. 58 ust. 2 lit. b RODO.
Prezes UODO w uzasadnieniu ww. decyzji wskazał, że Uczestniczka w skardze z [...] lutego 2022r. zgłosiła nieprawidłowości w procesie przetwarzania Jej danych osobowych przez Spółkę, polegające na przetwarzaniu danych osobowych w celach marketingowych, bez podstawy prawnej. Prezes UODO ustalił na podstawie wyjaśnień Spółki i po zgromadzeniu materiału dowodowego, że Uczestniczka, wbrew woli, otrzymywała od Spółki połączenia telefoniczne o charakterze marketingowym i nie wyrażała Spółce zgody na przetwarzanie numeru telefonu i nie wie skąd go pozyskano (pismo Uczestniczki z [...] lutego 2022). Spółka w pismach z [...] marca i [...] kwietnia 2022r. wyjaśniła, że pozyskała numer telefonu Uczestniczki w związku z umową z [...] Sp. z o.o. w [...] ([...]) z [...] lipca 2020r. o udostępnienie pakietu danych (numerów telefonu, wytypowanych w oparciu o kryterium geograficzne), która łączyła strony do [...] czerwca 2021r. i w związku z umową z [...] Sp. z o.o. w [...] ([...]) o udostępnienie pakietu danych z [...] lipca 2021r. Spółka wyjaśniła, że Uczestniczka [...] lutego 2022r. wystosowała do Spółki wiadomość e-mail, w której zażądała zaprzestania kontaktu i dalszego przetwarzania nr [...] i usunięcia go z bazy danych. Spółka w odpowiedzi z [...] lutego 2022r. potwierdziła usunięcie nr i poinformowała, że nr nie będzie używany do celu wykonywania połączeń przez Spółkę po upływie 5 dni roboczych. Spółka w piśmie z [...] marca 2022r. wskazała, że w związku z prowadzeniem działalności w zakresie umawiania pokazów i prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej, wykonywała połączenia telefoniczne, pod posiadane numery telefonów, ale bez ich przyporządkowania do danych osobowych ich właścicieli lub użytkowników. W przypadku nawiązania kontaktu z daną osobą nie znane są dane rozmówcy (imię, nazwisko, wiek, adres zamieszkania) do czasu ich ewentualnego podania drogą telefoniczną, celem przesłania m.in. zaproszenia, voucher lub dalszych informacji, a z informacji posiadanych przez Spółkę wynika, że Uczestniczka w trakcie rozmowy telefonicznej nie podała identyfikujących ją danych osobowych. Spółka nie dysponuje środkami prawnymi, technicznymi bądź organizacyjnymi, umożliwiającymi dokonanie identyfikacji podmiotów, z którymi kontaktują się Jej przedstawiciele. Nie jest też w stanie przypisać numeru telefonu do konkretnej osoby fizycznej. Do momentu ewentualnego podania danych osobowych przez rozmówcę, rozmowa odbywa się anonimowo. W opinii Spółki nie jest zasadne uznanie nr telefonu za dane osobowe.
Prezes UODO, odnosząc się do przetwarzania danych osobowych przez Spółkę (przedsiębiorca zagraniczny działający przez Oddział) przywołał wyrok Europejskiego Trybunału Sprawiedliwości (zwany dalej "TS") z 18 marca 1981r. sygn. akt C-139/80 oraz wyrok WSA w Gorzowie Wielkopolskim z 22 maja 2013r. sygn. akt II SA/Go 199/13, wskazując, że przedsiębiorca zagraniczny staje się podmiotem praw i obowiązków wynikających z decyzji i to on, przez swój oddział, uczestniczy w postępowaniu administracyjnym, jako strona. Wszelkie działania dokonane przez oddział przedsiębiorcy zagranicznego oraz wobec oddziału odnoszą bezpośrednio skutek prawny w stosunku do przedsiębiorcy zagranicznego. Pojęcie oddziału, agencji lub każdego innego zakładu jest równoznaczne z istnieniem centrum operacyjnego, które manifestuje się w sposób trwały na zewnątrz jako przedłużenie przedsiębiorstwa macierzystego, ma dyrekcję i jest materialnie wyposażone tak, aby istniała możliwość negocjowania spraw z osobami trzecimi w taki sposób, aby ci ostatni, wiedząc, że zostanie nawiązany ewentualny stosunek prawny z przedsiębiorstwem macierzystym z siedzibą za granicą, byli zwolnieni z konieczności bezpośredniego zwrócenia się do niego i mogli prowadzić interesy z centrum operacyjnym, które stanowi jego przedłużenie.
Prezes UODO, odnosząc się do treści art. 4 pkt 1 RODO wskazał, że w zakresie możliwości zidentyfikowania osoby fizycznej należy zwrócić szczególną uwagę na fakt, że poszczególna informacja może w zależności od okoliczności stanowić daną osobową, bądź nie być za nią uznawana. Należy rozróżnić sytuację, w której prawdopodobieństwo zidentyfikowania osoby nie istnieje lub jest nieznaczne i osoba ta nie powinna zostać uznana za "możliwą do zidentyfikowania" oraz przypadek, w którym taka identyfikacja nie jest uprawdopodobniona. Przy weryfikacji, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebny do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Dodatkowo wskazał na stanowisko Grupy Roboczej ds. ochrony danych, powołanej na mocy art. 29 w Opinii 4/2007: Krajowe organy ds. ochrony danych osobowych zetknęły się ze sprawami, w których administrator twierdził, że przetwarza jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym i przekonywał, że dane nie powinny być uważane za dane osobowe i nie powinny podlegać przepisom dotyczącym ochrony danych osobowych. Jednak przetwarzanie takich informacji ma sens jedynie wtedy, jeżeli umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania. W przypadkach gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, jakimi można się posłużyć w celu zidentyfikowania osoby, której dane dotyczą. Twierdzenie, że osoby nie są możliwe do zidentyfikowania, gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. Dlatego informacje takie należy uważać za dotyczące osób możliwych do zidentyfikowania, a przetwarzanie ich powinno podlegać przepisom dotyczącym ochrony danych.
Prezes UODO uznał, na podstawie wyjaśnień Spółki, że dysponując informacją w postaci numeru telefonu, podejmowała Ona działania nakierowane na identyfikację osób, w tym Uczestniczki. Identyfikacja tych osób nie wymagała od Spółki nadmiernych kosztów bądź czasu, a ponadto przetwarzanie numeru telefonu służyło identyfikacji Uczestniczki jako klienta u podmiotów współpracujących ze Spółką. Zgodnie z ww. Opinią 4/2007 Grupy Roboczej Art. 29 tożsamość osoby można ustalić bezpośrednio przez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub przez zestawienie istotnych kryteriów, które umożliwią odróżnienie tej osoby przez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.).
W ocenie Prezesa UODO w postępowaniu mamy do czynienia z pośrednią identyfikacją Uczestniczki przez Jej numer telefonu. Organ odwołał się też do wyroku WSA w Krakowie z 11 października 2013r. sygn. akt II SA/Kr 682/13 (LEX nr 1490608) i wskazał, że nie ma znaczenia uprzednie posiadanie informacji o imieniu i nazwisku osoby, bo osoba ta jest już w chwili pozyskania numeru telefonu identyfikowalna za pomocą tej danej. W związku z tym przetwarzanie przez Spółkę numeru telefonu Uczestniczki stanowi przetwarzanie Jej danych osobowych. Nr telefonu wykorzystywany jest w celu skontaktowania się z konkretną osobą – posiadaczem tego nr. Nie ma przy tym znaczenia uprzednie posiadanie informacji o imieniu i nazwisku osoby, bo osoba ta jest już chwili pozyskania nr tel. identyfikowalna za pomocą tej danej. Wobec tego przetwarzanie przez Spółkę nr telefonu Uczestniczki stanowi przetwarzanie jej danych osobowych.
Przetwarzanie danych osobowych jest dopuszczalne, gdy administrator legitymuje się którąś z autonomicznych przesłanek z art. 6 ust. 1 RODO. W sprawie istotny jest art. 6 ust. 1 lit. f) RODO – przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą jest dzieckiem. W motywie 47 RODO dopuszczono możliwość prowadzenia marketingu bezpośredniego na podstawie prawnie uzasadnionych interesów administratora. Aby jednak ww. przetwarzanie było dopuszczalne, na podstawie art. 6 ust. 1 lit. f RODO interesy administratora danych muszą być nadrzędne wobec praw i wolności osób, których dane dotyczą. Powyższa przesłanka jest spełniona, gdy podmiot danych może oczekiwać przetwarzania dla tych celów, m.in. gdy między osobą a administratorem istnieje relacja prawna, np. strony wiąże umowa.
W sprawie nie było podstaw, aby Uczestniczka mogła się spodziewać pozyskania i przetwarzania Jej danych osobowych do celów marketingu bezpośredniego. Nie zachodziło powiązanie między Spółką a Uczestniczką. Spółka nie miała więc podstaw do pozyskania i następczo przetwarzania danych osobowych Uczestniczki. Sama umowa sprzedaży bazy danych nie jest bowiem przesłanką legalizującą proces przetwarzania. Odmienne stanowisko oznaczałoby możliwość następczego wykreowania podstawy prawnej dla procesu przetwarzania, gdy zachodził brak podstawy pierwotnej w przepisach o ochronie danych osobowych. Takie działanie narusza interesy Uczestniczki, gdyż nie może Ona spodziewać się przetwarzania, a w konsekwencji ograniczona zostaje możliwość realizacji Jej praw, w tym m.in. podjęcia czynności zmierzających do wstrzymania przetwarzania przez administratora. Interesy Uczestniczki - w tym prawo do ochrony danych osobowych Jej dotyczących - są nadrzędne wobec interesu administratora. Spółka pozyskując i przetwarzając dane uczestniczki naruszyła więc art. 6 ust. 1 RODO.
Połączenia telefoniczne wykonane na numer telefonu Uczestniczki służyły do promowania wizerunku i usług Spółki oraz podmiotów z Nią współpracujących. Działanie Spółki było więc nakierowane na wywołanie reakcji Uczestniczki i osiągnięcie korzyści stricte handlowych, czyli było wykonane w celu marketingu bezpośredniego (ogół działań administratora danych, które przez przekazywanie informacji do indywidualnych podmiotów mają na celu wywołanie reakcji u osoby, której dane dotyczą, związanej z potrzebą posiadania określonego produktu).
Prezes UODO, odwołując się do art. 17 ust. 1 RODO wskazał, że Spółka - po złożeniu przez Uczestniczkę sprzeciwu wobec przetwarzania Jej danych w celach marketingowych - nie może wyznaczać sobie terminu (5 dni), w którym te działania zostaną przez Nią zaniechane. Z art. 21 ust. 3 RODO wynika obowiązek niezwłocznego zaprzestania przetwarzania danych w celach marketingowych. Tym samym, jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, nie wolno już przetwarzać tych danych do takich celów. Wykonanie połączenie o charakterze marketingowym po złożeniu sprzeciwu przez Uczestniczkę stanowiłoby naruszenie prawa i nie byłoby uzasadnione, w szczególności przez odwołanie się do wewnętrznych regulacji obowiązujących u danego administratora (kwestie techniczne czy organizacyjne).
Prezes UODO w związku ze stwierdzonym naruszeniem art. 6 ust. 1 RODO – pozyskaniem bez podstawy prawnej danych Uczestniczki - Jej nr telefonu – za zasadne uznał udzielenie Spółce upomnienia, na mocy art. 58 ust. 2 lit. b RODO.
2. Spółka, reprezentowana przez pełnomocnika adw. M. P., w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła o uwzględnienie przez Prezesa UODO skargi i uchylenie ww. decyzji, a w razie braku dokonania samokontroli przez organ, o uchylenie przez Sąd ww. decyzji i przekazanie sprawy Prezesowi UODO do ponownego rozpatrzenia i o zasądzenie na rzecz Skarżącej kosztów postępowania, w tym zwrotu kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa, według norm przepisanych, zarzucając naruszenie:
a) art. 4 pkt 1 RODO - przez błędne uznanie, że numer telefonu stanowi daną osobową umożliwiającą zidentyfikowanie osoby fizycznej, gdy nie jest on informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę, gdyż taki zbiór danych nie pozwala na ustalenie przez Spółkę tożsamości osoby, która się nim posługuje i w żaden sposób nie wskazuje na personalia tej osoby;
b) art. 4 pkt 2 RODO - przez błędne uznanie, że Spółka przetwarzała dane osobowe Uczestniczki, gdy brak możliwości przypisania Spółce roli w procesie przetwarzania danych osobowych wyłącznie w postaci numeru telefonu, gdyż dane te nie stanowią danych osobowych w rozumieniu RODO;
c) art. 4 pkt 7 i 8 RODO - przez błędne uznanie, że Spółka pełniła rolę administratora danych osobowych lub podmiotu przetwarzającego, gdy Spółka ani samodzielnie ani wspólnie z innymi, w ramach prowadzonej działalności gospodarczej nie decydowała o celach i środkach przetwarzania danych osobowych, nie przetwarzała danych osobowych Uczestniczki w imieniu administratora;
d) art. 6 ust. 1 RODO - przez jego błędne zastosowanie i przyjęcie, że ma on zastosowanie w sprawie, gdy Spółka nie przetwarza danych osobowych w rozumieniu RODO;
e) art. 11 ust. 1 RODO w zw. z motywem 57 RODO - przez nieprawidłowe przyjęcie, że do czynności realizowanych przez Spółkę, a objętych zaskarżoną decyzją zastosowanie znajduje RODO, gdy w toku tych czynności nie dochodzi do przetwarzania danych osobowych, a Spółka nie jest obowiązana do ich pozyskiwania wyłącznie w celu zastosowania RODO;
f) art. 12 ust. 3 RODO w zw. z art. art. 17 ust. 1 RODO - przez błędne uznanie, że Spółka dopuściła się uchybienia polegającego na zwłoce w zakresie usunięcia danych osobowych Uczestniczki po upływie terminu, gdy nie ma dowodów, że Uczestniczka zwracała się z takim żądaniem do Spółki, która nie była obowiązana do usunięcia danych osobowych, bo ich nie przetwarzała i nie miała obowiązku stosowania RODO, a ponadto - mimo braku obowiązku - usunęła nr tel. Uczestniczki, choć nie stanowi on danych osobowych; Spółka nie przetwarzała też danych osobowych Uczestniczki bez podstawy prawnej w celach marketingowych i nie pełniła roli administratora tych danych osobowych;
g) art. 58 ust. 2 lit. b RODO - przez błędne uznanie, że Spółka pełniła rolę administratora danych lub podmiotu przetwarzającego, gdy ww. przepis przyznaje uprawnienie organowi nadzorczemu do udzielenia upomnień - wyłącznie administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów RODO przez operacje przetwarzania, co nie może mieć miejsca, z uwagi na brak pełnienia ww. ról przez Spółkę;
h) art. 8, art. 11 k.p.a. - przez zaniechanie odniesienia się do stanowiska zawartego w pismach Spółki (argumentacja i załączone dokumenty) oraz zaniechanie pełnego uzasadnienia decyzji, co uniemożliwia pełne ustosunkowanie do zaskarżonej decyzji,
i) art. 7, art. 77 § 1 i art. 80 k.p.a. - przez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością, a co za tym idzie przyznania Uczestniczce racji, gdy:
- sam numer telefonu, bez innych danych umożliwiających ustalenie podmiotu danych nie stanowi danej osobowej umożliwiającej zidentyfikowanie osoby fizycznej,
- Spółka nie znajdowała się w posiadaniu danych osobowych Uczestniczki, więc nie przetwarzała ich do celów marketingowych bez podstawy prawnej,
- Spółka nie prowadzi działalności o charakterze marketingowym, w tym na potrzeby marketingu bezpośredniego,
- Spółka nie pełniła roli administratora, współadministratora ani podmiotu przetwarzającego dane osobowe Uczestniczki w rozumieniu art. 4 pkt 1 RODO,
- Spółka nie pozyskiwała danych osobowych od innego podmiotu, pozyskała wyłącznie bazę danych, wśród której znajdował się wyłącznie numer telefonu,
- Spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą;
j) art. 6 i art. 7 k.p.a. - przez prowadzenie postępowania w sposób niezgodny z zasadami praworządności i demokratycznego państwa prawa oraz pewności prawa, przejawiające się w braku: - odniesienia się do wszystkich zarzutów i twierdzeń podniesionych w pismach Spółki; - ponownego zbadania sprawy na skutek uzupełnienia stanowiska przez Spółkę, w tym przedłożenia umowy łączącej Spółkę z podmiotem udostępniającym bazę danych nieosobowych zawierającą wyłącznie numery telefonu;
k) art. 8 i art. 11 k.p.a. - przez prowadzenie postępowania w sposób niezgodny z zasadą przekonywania i pogłębiania zaufania do organów administracji, gdyż zaniechano pełnego uzasadnienia decyzji i nie ustosunkowano się do twierdzeń Spółki i przedłożonych dowodów;
l) art. 124 § 2 k.p.a. - przez brak uzasadnienia faktycznego zaskarżonej decyzji, obejmującego wskazanie faktów, które organ uznał za udowodnione, dowodów na których się oparł oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej.
Zdaniem Skarżącej powyższe naruszenia spowodowały błąd w ustaleniach faktycznych i nieuprawnione przyjęcie, że Spółka:
- przetwarzała dane osobowe w zakresie numeru telefonu Uczestniczki, bez podstawy prawnej w celach marketingowych, gdy nr telefonu nie stanowi danych osobowych, a Spółka nie przetwarza danych osobowych w celach marketingowych;
- nie wykonała ciążącego na Niej obowiązku - niezwłocznego usunięcia danych osobowych Uczestniczki, gdy Spółka ich nie przetwarzała, więc nie była zobligowana do ich usunięcia w terminie przewidzianym przepisami RODO,
- nie spełniła żądania Uczestniczki w zakresie zaprzestania przetwarzania Jej numeru telefonu w terminie prawem przewidzianym, gdy Spółka nie przetwarzała danych osobowych Uczestniczki, więc nie była zobligowana do ich wskazania w terminie przewidzianym przepisami RODO;
- pozyskuje dane osobowe od innych podmiotów, gdy pozyskuje je wyłącznie od osoby, której dane dotyczą (podmiotu danych).
Spółka w uzasadnieniu skargi przytoczyła przebieg postępowania i omówiła szerzej zarzuty skargi. Wskazała, że prowadzi działalność gospodarczą w zakresie umawiania pokazów i prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej, wykonuje połączenia telefoniczne pod posiadane numery telefonów, ale bez przyporządkowania do nich danych osobowych ich właścicieli lub użytkowników. Spółka, kontaktując się z osobą nie zna jej danych osobowych, w tym imienia, nazwiska czy adresu zamieszkania, do czasu ich ewentualnego podania przez rozmówcę drogą telefoniczną, celem przesłania zaproszenia na pokaz czy prezentację. Spółka, realizując działalność, wykonuje połączenia telefoniczne pod numery telefonów otrzymane (nabyte) od współpracującego podmiotu, w ramach każdorazowo odrębnie generowanych pakietów danych. Spółka nabywa pakiety danych w ramach współpracy gospodarczej łączącej oba podmioty. Celem połączenia nie było pozyskanie danych identyfikacyjnych rozmówcy, lecz ustalenie zainteresowania udziałem w organizowanych spotkaniach lub prezentacjach, a dopiero w przypadku wyrażenia woli udziału w spotkaniu, rozmówca wyrażał zgodę na przetwarzanie danych osobowych i podawał niezbędne dane w celu wzięcia udziału w spotkaniu.
Spółka w kontekście art. 4 ust. 1 RODO oraz motywu 26 Preambuły RODO przywołała wyroki NSA z: 19 stycznia 2010r. sygn. akt I OSK 491/09; 19 maja 2011r. sygn. akt I OSK 1086/10 i 22 listopada 2016r. sygn. akt I OSK 496/15, zgodnie z którymi tylko i wyłącznie informacje, które bez nadzwyczajnego wysiłku oraz bez nieproporcjonalnie dużych nakładów dają się powiązać z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych. W zaskarżonej decyzji organ nie wskazał, że identyfikacja nie wymagała nadmiernych kosztów bądź czasu.
Spółka podkreśliła, że w analogicznym stanie faktycznym WSA w Warszawie w wyroku z 18 maja 2021r. sygn. akt II SA/Wa 1898/20 wskazał, że sam numer telefonu nie pozwala na identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacza numeru - abonenta lub osoby, która faktycznie używa danego numeru. Skoro nabyty przez Spółkę od Spółki II zbiór danych (baza numerów telefonów) identyfikuje wyłącznie osoby zamieszkujące pewien teren (tak powołane przez Spółkę kryteria zasobu nabytej bazy - geograficzne), to sam numer telefonu nie jest wystarczający do identyfikacji konkretnej osoby, jako jednostki o przypisanych jej cechach indywidualnych. Nie sposób więc uznać, aby Spółka dysponowała danymi osobowymi Wnioskodawcy i je przetwarzała. Skoro zaś Spółka nie przetwarzała danych osobowych Wnioskodawcy, nie znajdą do niej zastosowania wymagania określone RODO. Wobec tego Spółka wskazała, że nie dysponowała środkami prawnymi, technicznymi, bądź organizacyjnymi, umożliwiającymi jej dokonanie identyfikacji podmiotów, z którymi kontaktowali się Jej przedstawiciele, nie była również w stanie przypisać danego numeru telefonu do konkretnej osoby fizycznej, gdyż do momentu ewentualnego podania danych osobowych przez rozmówcę, rozmowa odbywała się anonimowo. Numer telefonu nie posiada dla Spółki żadnego waloru informacyjnego, gdyż nie dysponuje narzędziami czy rozwiązaniami technicznymi umożliwiającymi identyfikację osoby fizycznej.
Zdaniem Spółki nieaktualna jest teza z wyroku WSA w Krakowie z 11 października 2013r. (II SA/Wa 682/13) powołanego w zaskarżonej decyzji, gdyż dotyczy nieobowiązującej ustawy z 29 sierpnia 1997r. o ochronie danych osobowych, a ponadto odnosi się do innego stanu faktycznego i innego zestawu danych, więc nie ma zastosowania w sprawie.
Spółka, powołując się na doktrynę, zaznaczyła, że sam nr telefonu w większości przypadków (z wyjątkiem, gdy administrator danych - dysponent informacji - będzie miał również inne informacje, które umożliwiają identyfikację osoby fizycznej) nie będzie stanowił danych osobowych. Możliwość identyfikowania osoby fizycznej należy odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Tego pojęcia nie można odnosić do podejmowania działań zmierzających do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną) (Komentarz do Rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, red. dr Pawła Litwińskiego, 2018, Legalis).
Skoro Prezes UODO przyjmuje, że nr tel. stanowi jedynie informację, a tym samym przyjmuje przeciwne stanowisko, że nr tel. stanowi informację o możliwej do zidentyfikowania osobie fizycznej to (pomijając, że w decyzji wyrażono sprzeczne stanowiska) winien tę okoliczność wykazać przez wskazanie sposobu identyfikacji podmiotu danych, z zastrzeżeniem realizacji kryteriów określonych w art. 4 pkt 1 RODO. Nieprzekazanie przez podmiot danych informacji pozwalających na jego identyfikację powoduje, że Spółka nie tylko nie posiada danych osobowych podmiotu danych, ale traci możliwość pozyskania danych abonenta, które w zestawieniu z posiadanym numerem telefonu mogłyby stanowić dane osobowe. Należy też wziąć pod uwagę możliwość podania przez rozmówcę danych niezgodnych ze stanem faktycznym, co nie pozwala na przeprowadzenie prawidłowej identyfikacji osoby, której dane dotyczą. Jedynym sposobem identyfikacji podmiotu danych, który nie pozostawia wątpliwości co do prawidłowego przyporządkowania numeru telefonu do danych osobowych abonenta, jest dostęp do listy abonentów prowadzonej przez operatorów telefonicznych. Spółka nie posiada i nie posiadała dostępu do takiej bazy.
Należy więc nie tylko ocenić łatwość identyfikacji, ale możliwość jej dokonania, na którą składają się prawidłowość, skuteczność oraz dostępność danej metody identyfikacji dla podmiotu mającego podejmować "czynności identyfikacyjne". Prezes UODO nie wykazał ani nie uprawdopodobnił, że istnieją okoliczności faktyczne, które wskazują na istnienie po stronie Spółki sposobów, jakimi można się posłużyć w celu zidentyfikowania osoby. Spółka nabywa pakiety danych w celu realizacji usług i zapraszania rozmówców na organizowane pokazy, a nie w celu identyfikacji osób czy pozyskania danych tych osób. Identyfikacja rozmówców następuje wyłącznie w chwili zainteresowania propozycją udziału w prezentacji i dobrowolnym podaniu danych przez rozmówcę właśnie w tym celu. Brak zatem możliwości przypisania Spółce przetwarzania danych osobowych Uczestniczki w postaci wyłącznie numeru telefonu, gdyż dana ta nie stanowi danych osobowych w rozumieniu RODO.
Prezes UODO nie wskazał, jak: - miałaby przebiegać procedura identyfikacji rozmówcy w oparciu o dostępne techniki; - miałoby następować potwierdzenie tożsamości rozmówcy; - rozróżniać dane użytkownika numeru telefonu od abonenta (właściciela); - zidentyfikować rozmówcę, gdy odmówi podania danych.
Spółka zanegowała stanowisko Prezesa UODO, że jej działania spełniają kryteria marketingu bezpośredniego i wskazała, że mamy z nim do czynienia wyłącznie, gdy promowany jest konkretny produkt, a Spółka, zapraszając w rozmowie na spotkania, nie prowadzi sprzedaży, nie informuje o konkretnych produktach, a jedynie o tematyce spotkania i kategoriach prezentowanych produktów. Spółka realizuje połączenia we własnym imieniu i we własnym imieniu umawia spotkania, które następnie są sprzedawane na rzecz jej kontrahentów z branży sprzedaży bezpośredniej. Do uznania danych czynności za marketing bezpośredni, poza ww. przesłankami, należałoby spełnić łącznie jeszcze jedną przesłankę - dokonać sprzedaży produktu lub co najmniej oferować taką możliwość w trakcie bezpośredniego kontaktu z konsumentem.
Zdaniem Spółki w sprawie nie zaszła też przesłanka z art. 17 RODO, więc na Spółce nie ciążył obowiązek wynikający z art. 12 ust. 3 i 4 RODO.
3. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko wyrażone w zaskarżonej decyzji, rozszerzając argumentację. Wskazał m.in., że daną osobową jest dowolna inna informacja prowadząca do identyfikacji osoby fizycznej. Taką informacją jest adres IP. Informacje, które wiążą się z określoną osobą - choćby pośrednio – niosą pewien komunikat o niej. Informacją dotyczącą osoby jest zarówno informacja, odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale przez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej (wyrok NSA z 19 maja 2011r. sygn. akt I OSK 1079/10). Okoliczność dysponowania wyłącznie numerem telefonu, który - co do zasady na dłuższy okres - każdorazowo przyporządkowany jest do konkretnej osobowy fizycznej. Służy też do kontaktu z jego indywidualnym użytkownikiem i bezpośredniego dotarcia do osoby nim się posługującej.
Zdaniem Prezesa UODO, analogicznie do stanu faktycznego przedstawionego w wyroku WSA w Warszawie z 3 lutego 2010r. sygn. akt II SA/Wa 1598/09, w wyroku TS z 19 października 2016r. C-582/14, w Opinii 1/2010(WP 169) z 16 lutego 2010r., przyjąć należy, że posiadanie numeru telefonu podmiotu danych, a dodatkowo kontaktowanie się w celu pozyskania jeszcze większej ilości danych powoduje, że tożsamość danej osoby można ustalić. Może to nastąpić zarówno bezpośrednio w toku samej rozmowy, jak i pośrednio, gdy będą w jej trakcie pozyskane dodatkowe informacje, np. o lokalizacji (ulicy zamieszkania), wieku, wykształceniu, czy preferencjach produktowych, a finalnie imienia i nazwiska oraz adresu zamieszkania - do których pozyskania Spółka przecież dążyła. Prezes UODO, powołując się na wyroki NSA z: 5 lutego 2008r. sygn. akt. I OSK 37/07; 14 marca 2019r. sygn. akt I OSK 1429/17, zaznaczył, że Straż Miejska jest uprawniona do pozyskania wszelkich dodatkowych danych osobowych użytkownika telefonu w celu ustalenia sprawcy wykroczenia, a następnie skierowania do sądu stosownego wniosku o ukaranie, gdy pierwotnie jedyną daną osobową, jaką podmiot ten dysponował był numer telefonu. Nie kwestionowano przy tym, że nr tel. stanowi daną osobową. Nie można też podważać, że daną osobową jest nr PESEL, czy adres zamieszkania, a z uchwały Sądu Najwyższego z 17 lutego 2016r. III SZP 7/15 wynika, że do wykorzystania numerów telefonów w celach marketingowych niezbędne jest uzyskanie zgody, analogicznie jak dla przetwarzania danych osobowych, a w konsekwencji numer telefonu abonenta został umiejscowiony jako jego dana osobowa. Numer telefonu stanowi więc w okolicznościach sprawy daną osobową, a Spółkę należy uznać za administratora danych osobowych zgodnie z art. 4 pkt 7 RODO.
Stosownie ponadto do art. 2 pkt 2 ustawy z 18 lipca 2002r. o świadczeniu usług drogą elektroniczną (Dz.U. 2020r., poz. 344, zwana dalej "u.ś.u.d.e."), połączenia telefoniczne wykonywane na numer telefonu Uczestniczki, służyły do promowania wizerunku i usług Spółki i podmiotów z nią współpracujących. Działania Spółki były więc nakierowane na wywołanie reakcji Uczestniczki i osiągnięciu korzyści stricte handlowych. Połączenia te miały więc na celu chęć wywołania pożądanej przez Spółkę reakcji podmiotu danych. Działania Spółki były zatem wykonywane w celu marketingu bezpośredniego.
4. Skarżąca w piśmie z 12 sierpnia 2022r. podtrzymała wnioski i zarzuty zawarte w skardze oraz wniosła o nieuwzględnienie wniosku Prezesa UODO o oddalenie skargi. Wskazała, że podjęła uchwałę o likwidacji Oddziału, który 10 czerwca 2022r. wykreślono z Krajowego Rejestru Sądowego.
Spółka, odnosząc się m.in. do art. 159 Prawa telekomunikacyjnego, wskazała, że nie sposób uznać za zasadne zrównanie przez Organ możliwości pozyskiwania danych osobowych sprawców wykroczeń przez organy ścigania - Straż Miejską w celu ustalenia ich tożsamości. Powołała wyrok NSA z 28 czerwca 2019r. sygn. I OSK 2063/17, zgodnie z którym brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych. Często z tego samego pojazdu korzystają różne osoby. Wskazuje to, że nie jest możliwe, w sposób prosty i łatwy, powiązania numer rejestracyjny pojazdu z konkretną osobą - właściciela (lub posiadacza) pojazdu. Sąd Okręgowy w Warszawie w wyroku z 12 marca 2020r. sygn. akt I C 214/19 uznał, że bez zasięgnięcia informacji w CEPIK, która nie jest dostępna bez szczególnego uzasadnienia prawnego, nie sposób, by osoba trzecia ustaliła tożsamość właściciela konkretnego pojazdu.
Zdaniem Spółka niewłaściwe jest stosowanie analogii do identyfikacji osoby publikującej treści w sieci internet po adresie IP lub użytym pseudonimie, bo Spółka nie pozyskiwała danych osobowych bez zgody rozmówcy. Spółka dysponuje innymi informacjami tylko, gdy rozmówca podczas rozmowy telefonicznej dobrowolnie je poda. Nr tel. jest daną, która podlega zmianom, bo może być zmieniony, przypisany do innej osoby. Spółka dane nieosobowe pozyskuje od podmiotu współpracującego, więc nie dochodzi do przetwarzania opisanego przepisami RODO.
II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
1. skargę należało oddalić.
2. Sąd na wstępie wyjaśnia, że zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2022r., poz. 2492) kontrola sądowa zaskarżonych decyzji, postanowień bądź innych aktów, wymienionych w art. 3 § 2 ustawy z 30 sierpnia 2002r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2022r., poz. 329 ze zm., zwana dalej: "P.p.s.a."), sprawowana jest przez Sądy administracyjne w oparciu o kryterium zgodności z prawem. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzję) konieczne jest stwierdzenie, że doszło w niej do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.). Sąd, stosownie do art. 151 P.p.s.a., w razie nieuwzględnienia skargi w całości albo w części, oddala skargę odpowiednio w całości albo w części.
Sąd podnosi również, że stosownie do art. 134 § 1 P.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Ostatni z ww. przepisów nie miał jednak zastosowania w sprawie, gdyż organ administracyjny wydał decyzję administracyjną, którą zaskarżyła Spółka, a nie interpretację indywidualną, o której mowa w art. 57a P.p.s.a.
3. W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja odpowiadała prawu.
Kwestią sporną w sprawie było to czy Prezes UODO prawidłowo uznał, że numer telefonu komórkowego Uczestniczki stanowił daną osobową i czy w związku z tym możliwe było przyjęcie, że doszło do jego nieprawidłowego – bez podstawy prawnej - przetwarzania także ze względu na to, że Spółka mimo sprzeciwu Uczestniczki w trybie art. 21 ust. 1 i 2 RODO niezwłocznie nie zastosował się do zaprzestania przetwarzania danych, wskazując, że będzie to czyniła jeszcze przez 5 dni.
4. Sąd w związku z tym wskazuje w pierwszej kolejności, że w okolicznościach faktycznych, które wynikają z akt administracyjnych sprawy, niezasadne były zarzuty procesowe skargi, opierające się na naruszeniu przepisów k.p.a., które były i mogły być stosowane w sprawie.
Zdaniem Sądu, Prezes UODO zarówno zebrał, jak i rozważył całokształt materiału dowodowego sprawy, uwzględniając zasadę prawdy obiektywnej wyrażoną w art. 7 i art. 77 § 1 k.p.a. Prezes UODO, ustalając stan faktyczny sprawy opierał się na obszernym materiale dowodowym, w tym na złożonych przez Spółkę w trakcie postępowania administracyjnego wyjaśnieniach i dowodach, biorąc pod uwagę podnoszone przez Skarżącą okoliczności i oceniając je z punktu widzenia obowiązujących przepisów, w tym RODO. Niezadowolenie Skarżącej z wydanej decyzji nie może być utożsamiane z naruszeniem wynikającego z art. 8 k.p.a. obowiązku prowadzenia postępowania w sposób budzący zaufanie jego uczestników do władzy publicznej, czy też z naruszeniem zasady przekonywania, wyrażonej w art. 11 k.p.a.
Prezes UODO podał w uzasadnieniu zaskarżonej decyzji wystarczające argumenty, które przemawiały za prawidłowością zajętego w niej stanowiska, choć nie satysfakcjonowało ono Spółki, z uwagi na zastosowaną sankcję przewidzianą w art. 58 ust. 2 lit. b) RODO. Organ nadzorczy w postępowaniu w sprawie skargi wniesionej przez osobę, której dane dotyczą, wykazał też, że zobowiązany był zastosować sankcję – udzielić upomnienia – Spółce, która przetwarzała dane osobowe Uczestniczki z naruszeniem przepisów RODO. W toku postępowania – na co wskazują dowody znajdujące się w aktach administracyjnych – Uczestniczka, wbrew swej woli, otrzymywała bowiem od Spółki połączenia telefoniczne o charakterze marketingowym, a wcześniej nie wyrażała Spółce zgody na przetwarzanie numeru telefonu i nie wie skąd go pozyskano. Uczestniczka podczas rozmowy telefonicznej z przedstawicielem Spółki nie podała też swoich danych osobowych. Spółka w pismach z [...] marca i [...] kwietnia 2022r. wyjaśniła natomiast, że pozyskała numer telefonu Uczestniczki w związku z umową z [...] Sp. z o.o. w [...] ([...]) z [...] lipca 2020r. o udostępnienie pakietu danych (numerów telefonu, wytypowanych w oparciu o kryterium geograficzne), która łączyła strony do 30 czerwca 2021r. i w związku z umową z [...] Sp. z o.o. w [...] ([...]) o udostępnienie pakietu danych z [...] lipca 2021r. Z wyjaśnień Spółki złożonych w postępowaniu wynika też, że Uczestniczka wystosowała do Spółki wiadomość e-mail, w której zażądała zaprzestania kontaktu i dalszego przetwarzania swojego nr tel. oraz jego usunięcia z bazy danych Skarżącej. Wprawdzie Spółka w piśmie skierowanym do Uczestniczki potwierdziła usunięcie nr tel. i wskazała, że nie będzie używany do celu wykonywania połączeń przez Spółkę, ale wyjaśniła, że dopiero po upływie 5 dni roboczych. Spółka podała też, dlaczego wykonywała połączenia telefoniczne pod posiadane numery telefonów, w tym do Uczestniczki - w związku z prowadzeniem działalności w zakresie umawiania pokazów i prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej. Spółka podkreśla też, że nie przyporządkowywała nr tel. do danych osobowych ich właścicieli lub użytkowników, gdyż w chwili nawiązania kontaktu z daną osobą nie znane są dane rozmówcy (imię, nazwisko, wiek, adres zamieszkania) do czasu ich ewentualnego podania drogą telefoniczną, celem przesłania m.in. zaproszenia, voucher lub dalszych informacji. Skarżąca podkreślała też, że nie jest zasadne uznanie nr telefonu za dane osobowe, więc przepisy RODO nie mogły być, w jej ocenie, stosowane w sprawie.
W świetle ww. ustaleń organu, brak jest więc podstaw do uznania, że przed wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozpatrzenie sprawy. Prezes UODO odmiennie natomiast od oczekiwań Spółki skarżącej ocenił stan faktyczny sprawy, który wcześniej ustalił i rozpatrzył z zachowaniem reguł przewidzianych w art. 7, art. 8 § 1, art. 77 § 1 i art. 80 k.p.a., a ponadto w uzasadnieniu podał racjonalne powody i przepisy prawa, które stanowiły podstawę do wyrażonego przez organ stanowiska.
Zgodnie z art. 17 ust. 1 lit. d RODO, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe były przetwarzane niezgodnie z prawem. Ponadto administrator, stosownie do art. 12 ust. 3 RODO, bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Dodatkowo z art. 21 ust. 1 RODO wynika, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f) RODO, w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Z art. 21 ust. 2 RODO wynika, że jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
Ponadto w art. 21 ust. 3 RODO wyraźnie wskazano, że jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych, nie wolno już przetwarzać do takich celów.
Powołanie się zatem przez organ w uzasadnieniu zaskarżonej decyzji na ww. przepisy art. 17 i art. 21 ust. 1-3 RODO nie budziło wątpliwości w okolicznościach faktycznych sprawy. Wbrew stanowisku prezentowanemu w skardze, uzasadnienie zaskarżonej decyzji odpowiadało prawu, zawierało bowiem wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
Tym samym, w świetle ww. rozważań, na uwzględnienie nie zasługiwały podniesione w skardze zarzuty naruszenia przepisów prawa procesowego.
5. Sąd stwierdza ponadto, że w sprawie nie budzi wątpliwości, że numer telefonu komórkowego Uczestniczki jest numerem należącym do osoby fizycznej, z którego Ona korzysta dla zaspokojenia własnych potrzeb. Skarżąca Spółka, nie zgadza się natomiast ze stanowiskiem Prezesa UODO uznającym nr telefonu za daną osobową i z tego względu wskazuje, że przepisy RODO nie mogły być stosowane w sprawie, powołując się na korzystne dla siebie poglądy prezentowane w piśmiennictwie i judykaturze.
Sąd w związku z tym zauważa, że zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Zawarta w art. 4 pkt 1 RODO definicja danych osobowych opiera się na koncepcji "zidentyfikowania" lub "możliwości zidentyfikowania" osób, których dane dotyczą.
Z motywu 26 RODO wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. RODO nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
Jakkolwiek art. 4 pkt 1 RODO wyjaśnia, jaką osobę należy uznać za "możliwą do zidentyfikowania", a motyw 26 RODO zawiera swoisty test "możliwości identyfikacji" osoby fizycznej, to przepisy RODO nie wyjaśniają wprost, co oznacza "identyfikacja".
Sąd podkreśla w związku z tym, że definicja danych osobowych w RODO nie różni się istotnie od definicji, którą zawierał art. 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE. L. z 1995r. Nr 281, str. 31 ze zm., zwana dalej "dyrektywa 95/46/WE"). Przepis ten stanowił bowiem, że dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dane dotyczą"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.
Tym samym dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Określeniem niejednoznacznym jest zatem również "możliwość zidentyfikowania" (czy "ustalenia tożsamości" - takim pojęciem posługiwano się w polskiej wersji językowej dyrektywy 95/46/WE; wersja angielska RODO i dyrektywy jest tu identyczna). Jak trafnie dostrzeżono w Sprawozdaniu na temat stosowania zasad ochrony danych osobowych w stosunku do ogólnoświatowych sieci telekomunikacyjnych [przygotowane przez Yvesa Poulleta i jego zespół dla komitetu konsultacyjnego Rady Europy ds. konwencji o ochronie osób; Strasbourg 2004r., T-PD(2004)04 final; s. 29-30], koncepcja tożsamości może obejmować trzy różne aspekty: (1) cechy charakteryzujące osobę fizyczną dotyczące jej lub jej życia (np. imię i nazwisko, płeć, wiek, hobby, rodzina, pracodawca, kwalifikacje zawodowe, zakupy, etc.); (2) pewien "punkt zaczepienia" (np. identyfikator internetowy, numer klienta, sesyjny plik cookie), który pozwala na powiązanie ze sobą kilku cech charakteryzujących daną osobę, o których mowa w pkt 1 ("punkt zaczepienia" nie jest sam w sobie informacją o cechach danej osoby, niemniej stanowi "ślad" wskazujący miejsce, w którym są przechowywane takie informacje - nawet jeśli znajdują się w różnych miejscach i były gromadzone w różnym czasie - i pozwala je połączyć w sposób określający tożsamość danej osoby fizycznej); (3) "punkt kontaktowy", który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną (np. pocztą elektroniczną, pocztą, faksem, telefonicznie itp.).
Wymienione trzy aspekty tożsamości osoby fizycznej pozostają koncepcyjnie odrębne, chociaż mogą w praktyce współistnieć lub nawet się łączyć, czego przykładem jest adres zamieszkania osoby fizycznej (składający się z imienia i nazwiska, numeru ulicy i miejscowości). Łączy on w sobie co najmniej dwa z ww. aspektów tożsamości – jest informacją o miejscu pobytu osoby fizycznej, a także stanowi "punkt kontaktowy", ponieważ umożliwia każdemu wysłanie poczty do konkretnej osoby (zob. szerzej powołane Sprawozdanie...).
Sąd wskazuje, że zwrot "można zidentyfikować" rozumie się nie tylko jako możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz jako możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. Komentarz pod red. P. Litwińskiego [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Warszawa 2018r., s. 181). Zidentyfikowanie osoby fizycznej nie musi więc polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu.
W tym zakresie Sąd podziela stanowisko Prezesa UODO wyrażone w zaskarżonej decyzji z uwzględnieniem opinii Grupy Roboczej z 20 czerwca 2007r. nr 4/2007 w sprawie pojęcia danych osobowych (01248/07/PL WP 136; s. 14), że nr Uczestniczki wykorzystywany jest w celu skontaktowania się z konkretną osobą – posiadaczem tego numeru. Rację ma także Prezes UODO wskazując, że nie ma znaczenia uprzednie posiadanie informacji o imieniu i nazwisku osoby, ponieważ osoba ta - już w chwili pozyskania nr tel. - jest identyfikowalna za pomocą tej danej.
Prezes UODO mógł także w tym zakresie powołać się na wyrok WSA w Krakowie z 11 października 2013r. sygn. akt II SA/Kr 682/13, choć nie dotyczył on przepisów RODO, lecz poprzednio obowiązującej ustawy o ochronie danych osobowych z 29 sierpnia 1997r., gdyż stanowisko to zachowuje aktualność. W orzeczeniu tym trafnie bowiem przyjęto, że nr tel. stanowi daną osobową. Warto też odwołać się do stanowiska wyrażonego przez D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020r., s. 81], odnoszącego się do możliwości identyfikacji w środowisku cyfrowym.
Zdaniem Sądu, wbrew stanowisku Spółki prezentowanemu w skardze, numer telefonu osoby fizycznej daje możliwość identyfikowalności osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi umożliwiającymi identyfikację tej osoby lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych. Sąd podziela bowiem stanowisko wyrażone przez Grupę Roboczą, że w przypadkach, gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, jakimi można się posłużyć w celu zidentyfikowania osoby, której dane dotyczą także wtedy, gdy przetwarzają jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym. Przetwarzanie takich informacji ma bowiem sens tylko wtedy, gdy umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania (str. 16 powołanej Opinii). Konstatacja ta zyskuje na aktualności w świetle zd. 4 motywu 26 RODO, w którym wskazuje się na konieczność uwzględnienia m.in. technologii dostępnej w momencie przetwarzania danych, jak i postępu technologicznego.
Sąd wskazuje ponadto - mając na względzie argumentację Skarżącej podnoszoną przed Sądem w odniesieniu do ustawy z 16 lipca 2004r. Prawo telekomunikacyjne (Dz.U. z 2021r., poz. 576 ze zm.; zwana dalej "u.P.t."), że z 126 ust. 1 u.P.t. wynika, że Prezes UKE przydziela numerację, zgodnie z planami numeracji krajowej dla sieci publicznych. Stosownie ponadto do art. 71 u.P.t., abonent, będący stroną umowy z dostawcą usług, w której przydzielany jest abonentowi numer z planu numeracji krajowej dla publicznych sieci telekomunikacyjnych, może żądać przy zmianie dostawcy usług przeniesienia przydzielonego numeru do istniejącej sieci operatora na: 1) obszarze geograficznym - w przypadku numerów geograficznych; 2) terenie całego kraju – w przypadku numerów niegeograficznych.
Z art. 131 ust. 1 u.P.t. wynika natomiast, że podmiot, który uzyskał przydział numeracji, może dokonać niezbędnej zmiany numeracji dla określonych obszarów swojej sieci publicznej lub zmiany indywidualnych numerów abonentów tej sieci, w przypadku zmiany przydziału zakresu numeracji albo przebudowy lub rozbudowy eksploatowanej sieci publicznej.
W świetle art. 131 ust. 3 u.P.t., podmiot, który uzyskał przydział numeracji, jest obowiązany zawiadomić abonentów o planowanej zmianie ich indywidualnych numerów oraz o ich nowych numerach.
Powołane przepisy u.P.t. świadczą zatem o ścisłym związku numeru telefonu z abonentem, a w przypadku, w którym umowa o świadczenie usług telekomunikacyjnych zawierana jest przez użytkownika końcowego, z tym użytkownikiem, gwarantując mu możliwość przeniesienia przydzielonego numeru przy zmianie dostawcy usług oraz chroniąc przed arbitralną zmianą przydzielonego numeru przez dostawcę usług. Można zakładać, że w wielu przypadkach numer telefonu jest związany z abonentem, będącym osobą fizyczną, silniej i przez dłuższy czas niż miejsce jego zamieszkania.
Numer telefonu osoby fizycznej stanowi zatem – zdaniem Sądu - "punkt kontaktowy", który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej, a w szczególności używany przez nią numer telefonu komórkowego, z jakim mamy do czynienia w realiach rozpoznanej sprawy, stanowi niepowtarzalną kombinację cyfr, która jest przypisana do tej osoby i odróżnia ją po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (łączności telefonicznej), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia kontakt z nią i skierowanie do niego określonej informacji (zarówno ustnej, jak i tekstowej). Uczestniczka, korzystająca z nr tel., pod który dzwonił przedstawiciel Spółki, była użytkownikiem końcowym, o którym mowa w art. 2 pkt 50 u.P.t., na którego możliwe było wywieranie wpływu przez Spółkę.
Dodatkowych argumentów za uznaniem numeru telefonu osoby fizycznej za jej daną osobową i to niezależnie od tego, czy podmiot, który jest w jego posiadaniu dysponuje innymi informacjami umożliwiającymi identyfikację tej osoby lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich informacji (zob. motyw 26 RODO), dostarczają przepisy u.P.t., implementujące dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) - Dz.U.UE. L. z 2002r. Nr 201, str. 37 ze zm. (zwana dalej "dyrektywą 2002/58"). Celem tej dyrektywy jest harmonizacja przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz zapewnienie swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności elektronicznej (art. 1 ust. 1). Przepisy tej dyrektywy dookreślają i uzupełniają dyrektywę 95/46/WE (obecnie RODO), zgodnie z celami przedstawionymi w ust. 1. Ponadto zapewniają ochronę uzasadnionych interesów abonentów będących osobami prawnymi (art. 1 ust. 2 dyrektywy 2002/58).
Z art. 94 ust. 1 i 2 zd. 1 RODO wynika natomiast, że odesłania do dyrektywy 95/46/WE należy traktować jako odesłania do RODO.
W art. 95 RODO zastrzeżono, że nie nakłada ono dodatkowych obowiązków na osoby fizyczne ani prawne, co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określonym w dyrektywie 2002/58.
W konsekwencji dyrektywa 2002/58 stanowi względem RODO regulację szczególną, dookreślając RODO i uzupełniając. Art. 95 RODO zapobiega, by na administratorach nie spoczywały podobne, ale nie identyczne obciążenia administracyjne, spoczywające na nich mocą przepisów implementujących dyrektywę 2002/58, których cel jest ten sam, co cel RODO – ochrona danych osobowych (zob. opinia Rady do Spraw Ochrony Danych Osobowych z 12 marca 2019r. nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej, a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych, s. 13 - 16). Celem dyrektywy 2002/58 jest ochrona prawa do prywatności i poufności, w odniesieniu do przetwarzania "danych osobowych", o których mowa w art. 4 pkt 1 RODO, tyle tylko, że w sektorze łączności elektronicznej.
Sąd, mając powyższe na względzie, zauważa, że w świetle motywu 12 zd. 1 dyrektywy 2002/58, abonentami publicznie dostępnych usług łączności elektronicznej mogą być osoby fizyczne lub prawne. Dyrektywa 2005/58 - jako uzupełnienie dyrektywy 95/46/WE (obecnie RODO) - zmierza do ochrony podstawowych praw osób fizycznych, w szczególności ich prawa do prywatności, jak również uzasadnionych interesów osób prawnych (art. 1 ust. 2 dyrektywy 2005/58).
Wedle motywu 38 zd. 2 dyrektywy 2005/58 prawo do prywatności osób fizycznych i uzasadniony interes osób prawnych wymaga, aby abonenci mieli możliwość ustalenia, czy ich dane osobowe są publikowane w spisach abonentów, a jeśli tak, to które z nich. Dostawcy publicznych spisów abonentów powinni informować abonentów o umieszczeniu ich w tych spisach, o celach spisu i każdym możliwym wykorzystaniu wersji elektronicznej publicznych spisów abonentów, szczególnie przy pomocy dostępnej w oprogramowaniu funkcji wyszukiwania, takiej jak wyszukiwanie zwrotne pozwalające użytkownikom spisu ustalenie nazwiska (nazwy) i adresu abonenta wyłącznie na podstawie numeru telefonu.
Państwa Członkowskie, stosownie natomiast do art. 12 ust. 2 w zw. z ust. 4 dyrektywy 2005/58, zapewniają, że abonenci będący osobami fizycznymi posiadają możliwość ustalenia czy ich dane osobowe znajdują się w publicznym spisie abonentów, a jeżeli tak, to które, w zakresie, w jakim te dane są niezbędne do celu spisu abonentów określonego przez dostawcę spisu abonentów i sprawdzania, poprawiania lub wycofywania tych danych. Zastrzeżenie numeru, sprawdzanie, poprawianie lub wycofywanie danych osobowych ze spisu abonentów jest wolne od opłat.
Art. 12 dyrektywy 2005/58 implementowano do krajowego porządku prawnego w art. 169 u.P.t. (zawarty w dziale VII "Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych"). Art. 169 ust. 1 u.P.t. stanowi, że dane osobowe posiadane przez przedsiębiorcę telekomunikacyjnego zawarte w publicznie dostępnym spisie abonentów, (...) wydawanym w formie książkowej lub elektronicznej, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego powinny być ograniczone do: 1) numeru abonenta lub znaku identyfikującego abonenta; 2) nazwiska i imion abonenta; 3) nazwy miejscowości oraz ulicy w miejscu zamieszkania, przy której znajduje się zakończenie sieci, udostępnione abonentowi - w przypadku stacjonarnej publicznej sieci telekomunikacyjnej albo nazwy miejscowości oraz ulicy w miejscu zamieszkania - w przypadku ruchomej publicznej sieci telekomunikacyjnej.
Z art. 169 ust. 3 u.P.t. wynika, że zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności.
Ww. przepisy dyrektywy 2002/58 i u.P.t. wskazują więc, że numer abonenta będącego osobą fizyczną (lub znak identyfikujący abonenta) stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania - daną osobową tego abonenta, w stosunku do której – kierując się ochroną prawa do prywatności i poufności - pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów.
Sąd wskazuje ponadto, że przyjętą wyżej kwalifikację prawną numeru telefonu osoby fizycznej potwierdza projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, który uchyla dyrektywę 2002/58 (rozporządzenie w sprawie prywatności i łączności elektronicznej) [Bruksela, 2017r.; COM(2017) 10 final 2017/0003 (COD)]. W motywie 31 ww. rozporządzenia numer telefonu literalnie wymieniono wśród kategorii danych osobowych zamieszczanych w spisie numerów: "Jeżeli użytkownicy końcowi będący osobami fizycznymi udzielają zgody na umieszczenie swoich danych w takich spisach numerów, powinni móc określić, w formie zgody, jakie kategorie danych osobowych mają być zamieszczone w spisie numerów (na przykład imię i nazwisko, adres e-mail, adres domowy, nazwa użytkownika, numer telefonu) [...]".
W tym kontekście stanowisko wyrażone przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji należy uznać za prawidłowe, a argumenty skarżącej Spółki uzasadniające podniesione w skardze zarzuty za niemające istotnego wpływu na wynik sprawy.
Sąd dodatkowo wskazuje, że skoro celem dyrektywy 2002/58 jest zapewnienie równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej, to należy zauważyć, że w świetle motywu 34 tej dyrektywy, konieczna jest - w odniesieniu do identyfikacji rozmów przychodzących - ochrona prawa strony wybierającej do niedopuszczenia do wyświetlania identyfikacji numeru linii wywołującej, z której wychodzi połączenie oraz prawa strony, do której połączenie przychodzi do odrzucenia rozmowy z niezidentyfikowanych linii (zd. 1). W odniesieniu do identyfikacji rozmów wychodzących, konieczna jest ochrona prawa i uzasadnionego interesu strony wybieranej do wstrzymania wyświetlania identyfikacji numeru, z którym strona wybierająca jest aktualnie połączona, w szczególności w przypadkach połączeń przekazywanych (zd. 4 motywu 34 tej dyrektywy).
Dostawcy publicznie dostępnych usług łączności elektronicznej powinni informować swoich abonentów o istnieniu w sieci identyfikacji rozmów wychodzących i przychodzących, jak również o wszystkich oferowanych usługach związanych z identyfikacją rozmów wychodzących i przychodzących oraz o możliwych opcjach ochrony prywatności (zd. 5 motywu 34 tej dyrektywy). Pozwoli to abonentom na podejmowanie świadomego wyboru w sprawie rodzajów możliwości ochrony prywatności, z których chcą skorzystać (zd. 6 motywu 34 tej dyrektywy). Opcje ochrony prywatności oferowane dla konkretnej linii jako osobna usługa nie muszą być dostępne jako automatyczna usługa sieci, lecz na podstawie zwykłego wniosku skierowanego do dostawcy publicznie dostępnych usług łączności elektronicznej (zd. 7 motywu 34 tej dyrektywy).
Konkretyzację motywu 34 stanowi art. 8 dyrektywy 2002/58. Przewiduje on w szczególności, że (1) w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów przychodzących dostawca usług musi zaoferować użytkownikowi wybierającemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów przychodzących przy poszczególnych połączeniach telefonicznych. Abonent wybierający musi mieć taką możliwość w odniesieniu do każdej linii (art. 8 ust. 1); a także (2), że w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów wychodzących, dostawca usług musi zaoferować abonentowi wybieranemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów wychodzących u użytkownika wybierającego (art. 8 ust. 8 ust. 4 dyrektywy 2002/58).
Przepisy art. 8 dyrektywy 2002/58 zostały implementowane do krajowego porządku prawnego przez art. 171 u.P.t., który w ust. 2 stanowi, że dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej umożliwiającej prezentację identyfikacji linii wywołującej jest obowiązany zapewnić za pomocą prostych środków:
1) użytkownikowi wywołującemu - możliwość jednorazowego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia;
2) abonentowi wywołującemu - możliwość stałego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia, u operatora, do którego sieci jest przyłączony abonent będący stroną umowy z dostawcą usług;
3) abonentowi wywoływanemu - możliwość eliminacji dla połączeń przychodzących prezentacji identyfikacji linii wywołującej, a jeżeli taka prezentacja jest dostępna przed rozpoczęciem połączenia przychodzącego, także możliwość blokady połączeń przychodzących od abonenta lub użytkownika stosującego eliminację prezentacji identyfikacji linii wywołującej.
Z art. 171 ust. 3 u.P.t. wynika, że dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej zapewniającej prezentację identyfikacji linii wywoływanej, jest obowiązany zapewnić abonentowi wywoływanemu możliwość eliminacji, za pomocą prostych środków, prezentacji identyfikacji linii wywoływanej u użytkownika wywołującego.
Powołane przepisy dyrektywy 2002/58 i u.P.t. (zawarte w dziale VII "Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych") potwierdzają, że numer telefonu – jako taki - podlega ochronie, z uwagi na prawo do prywatności i poufności. Należy przy tym zaznaczyć, że możliwość wyeliminowania prezentacji numeru (linii wywołującej) gwarantowana jest nie tylko abonentowi, ale także użytkownikowi wywołującemu, który nie musi być w tym przypadku abonentem.
Prawo do eliminacji prezentacji numeru jest też, w świetle powołanych przepisów, niezależnie od tego, czy dochodzi do nawiązania połączenia, które pozwala na uzyskanie dodatkowych danych identyfikujących, czy jedynie do wywoływania połączenia. Tym samym numer telefonu osoby fizycznej sam w sobie stanowi informację o osobie możliwej do zidentyfikowania i podlega przepisom o ochronie danych osobowych, bez względu na to, czy podmiot, który jest w jego posiadaniu, dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych (motyw 26 RODO).
Sąd, mając na względzie ww. rozważania, w tym art. 4 pkt 1 i motyw 26 RODO, ww. opinię Grupy Roboczej Art. 29 (4/2007), cel dyrektywy 2002/58 (zapewnienie równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej) nie podziela stanowiska Litwińskiego i autorki glosy do wyroku WSA w Warszawie z 18 maja 2021r. sygn. akt II SA/Wa 1898/20. W ww. motywie zawarto dodatkową przesłankę subiektywizującą ("punkt kontaktowy" - umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną). Tym samym identyfikacja może nastąpić na podstawie np. nr tel., bo tożsamość osoby można ustalić bezpośrednio przez jej nazwisko lub pośrednio przez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwią odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.
Sąd podkreśla ponadto, że Sąd Najwyższy w uchwale z 17 lutego 2016r. sygn. akt III SZP 7/15, (OSNP 2016/nr 8/poz. 111), która odnosiła się m.in. do wykorzystania automatycznych systemów wywołujących do celów marketingu bezpośredniego, wskazał na możliwość identyfikacji odbiorcy za pomocą numeru telefonu, odwołując się do ww. celów dyrektywy 2002/58, dostrzegając z jednej strony znaczenie prawa do prywatności, a z drugiej uciążliwość form komunikacji marketingowej wymienionych w art. 172 ust. 1 u.P.t. dla użytkowników telefonii komórkowej. Również Sąd Okręgowy w Warszawie odniósł się do wykonywania niechcianych połączeń telefonicznych do przypadkowo wybieranych osób fizycznych m.in. w celu zapraszania na spotkania i pokazy produktów, wskazując w uzasadnieniu wyroku z 11 grudnia 2020r. sygn. akt XVII AmA 22/19, że nie podziela stanowiska Sądu Rejonowego dla Warszawy Pragi-Południe (wyrażonego w wyroku z 5 kwietnia 2016r. sygn. akt VII C 523/16, od którego apelację oddalono wyrokiem Sądu Okręgowego Warszawa-Praga w Warszawie z 4 stycznia 2019r. sygn. akt IV Ca 1873/16 – niepubl; LEX nr 2745113), że wykorzystywany samodzielnie anonimowo ciąg cyfr stanowiący numer telefoniczny nie może stanowić danej osobowej, gdyż nie pozwala on na identyfikację abonenta. Sąd Okręgowy odwołał się do motywu 40 i art. 1 ust. 1 dyrektywy 2002/58, zaznaczając, że ma ona na celu harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej, a także, że należy zapewnić środki zabezpieczające abonentów przed ingerencją w ich prywatność przez niezamówione komunikaty do celów marketingu bezpośredniego. Kontaktowanie się z abonentem w celu uzyskania zgody na kontakt w celu marketingowym jest naruszeniem prawa do prywatności abonenta, zmierzającym do uzyskania zgody, której konsekwencją będzie możliwość przedstawienia oferty/informacji marketingowych przez przedsiębiorcę. Zdaniem Sądu Okręgowego przyjęcie stanowiska prezentowanego przez ww. Sąd Rejonowy prowadziłoby do obchodzenia przez przedsiębiorców zakazu wyrażonego w art. 172 u.P.t., a tym samym uczynienia go martwym. Przedsiębiorca mógłby bowiem niepokoić konsumenta takimi kontaktami/zapytaniami bez ograniczeń, nawet jeśli we wcześniejszej rozmowie konsument nie wyraził zgody na taki kontakt, gdyż za każdym razem tłumaczyłby się, że kontaktuje się z abonentem jedynie w celu uzyskania zgody na marketing bezpośredni, a nie w celu marketingu bezpośredniego w rozumieniu u.P.t.
Ww. orzeczenia Sądu Najwyższego i Sądu Okręgowego w Warszawie potwierdzają stanowisko Prezesa UODO, że przetwarzanie informacji o osobie fizycznej w postaci numeru telefonu, który umożliwia skontaktowanie się z nią, stanowi przetwarzanie danych osobowych tej osoby fizycznej, niezależnie od tego, czy podmiot dysponujący tą informacją ma dostęp do innych danych pozwalających zidentyfikować tę osobę lub dysponuje środkami, które z uzasadnionym prawdopodobieństwem mogą być wykorzystane w celu zidentyfikowania takiej osoby. Nie chodzi tu bowiem o skontaktowanie się w celu uzyskania dodatkowych danych identyfikujących, lecz o sam kontakt, który per se narusza chronione tak dyrektywą 2002/58, jak i RODO, prawo do prywatności osoby fizycznej, zagwarantowane w art. 7 Karty praw podstawowych Unii Europejskiej (Dz. U. UE. C. z 2007r. Nr 303, str. 1 ze zm.), a na poziomie krajowym w art. 47 Konstytucji RP. Do takiego wniosku prowadzi - w ocenie Sądu – wykładnia powołanego przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji przepisu art. 4 pkt 1 RODO w zw. z motywem 26 RODO w związku z powołanymi wyżej przepisami dyrektywy 2002/58. Oba te akty prawne odnoszą się do tego samego obszaru stosunków społecznych - przetwarzania danych osobowych i mają na celu w szczególności ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, przy czym drugi z nich dookreśla i uzupełnia pierwszy (RODO) w sektorze łączności elektronicznej, a określając prawa i obowiązki podmiotów należących do tego sektora, kształtuje też relacje między podmiotami spoza niego (zob. np. art. 8 dyrektywy 2002/58). Z uwzględnieniem tej funkcji dyrektywy 2002/58 należy wykładać zawarte w niej normy w związku z ogólnymi regulacjami RODO. Ww. relacja między RODO a dyrektywą 2002/58 wskazuje, że zbieranie i przechowywanie numerów telefonów osób fizycznych, w tym numeru telefonu komórkowego Uczestniczki postępowania, a następnie wykorzystywanie ich w celu nawiązania połączenia, stanowi przetwarzanie danych osobowych tych osób w rozumieniu art. 4 pkt 2 RODO.
Potwierdzeniem ww. rozważań jest wyrok TS z 19 października 2016r. w sprawie C-582/14 Breyer, w którym wskazano, że: 1) by określone dane mogły zostać uznane za "dane osobowe", nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w posiadaniu tylko jednej osoby (pkt 43 wyroku); 2) należy jednak ustalić, czy możliwość połączenia tych danych z owymi dodatkowymi informacjami będącymi w posiadaniu innego podmiotu stanowi sposób, który może być z uzasadnionym prawdopodobieństwem wykorzystany (pkt 45 wyroku); 3) nie miałoby to miejsca w przypadku, gdyby identyfikacja osoby, której dane dotyczą, była zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydaje się w rzeczywistości znikome.
Sąd nie podziela w związku z tym stanowiska Skarżącej, że w okolicznościach rozpoznawanej sprawy, jak też ze względu na dostępne obecnie technologie i postęp technologiczny, znikome było ryzyko uzyskania przez Spółkę (podmiot dysponujący numerem telefonu osoby fizycznej) dodatkowych danych identyfikujących Uczestnika. Sąd jedynie tytułem przykładu wskazuje, że w powszechnie dostępnych aplikacjach służących jako komunikatory (np. [...], [...]) konta użytkowników muszą być powiązane z numerami telefonów użytkowników. W przypadku nieograniczenia w tego typu komunikatorach opcji udostępniania informacji osobistych w ustawieniach prywatności, informacje takie, jak np. zdjęcie profilowe, widoczne są dla innych użytkowników aplikacji. W takiej sytuacji, dysponując wyłącznie numerem telefonu, można uzyskać tego typu dane identyfikujące. Sąd - biorąc też pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania, oraz uwzględniając dostępną technologię i postęp technologiczny, jak również uwzględniając dane Oddziału Skarżącej zawarte w KRS, z których wynika, że profesjonalnie zajmował się on działalnością centrów telefonicznych (call center), przetwarzaniem danych, a także zarządzaniem stronami internetowymi – uznał, że wbrew stanowisku Spółki, dysponowała ona sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących Uczestniczkę postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać.
Tym samym rację miał Prezes UODO, że Spółka, pozyskując numer telefonu komórkowego Uczestniczki, przechowując go i wykorzystując następnie do nawiązania połączenia telefonicznego przetwarzała Jej dane osobowe, gdyż numer telefonu komórkowego użytkownika końcowego, będącego osobą fizyczną, definiuje tego użytkownika jako osobę korzystającą dla zaspokojenia własnych potrzeb z usług telekomunikacyjnych, przypisanych do tego numeru, w tym z podstawowej usługi połączeń telefonicznych, a zatem umożliwia jego zidentyfikowanie przez nawiązanie z nim kontaktu w określonym celu i wywieranie na niego określonego wpływu.
Sąd dodatkowo wywiódł, że nawet przy założeniu, że sam numer telefonu nie pozwala na zidentyfikowanie osoby fizycznej, to Skarżąca dysponowała sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących Uczestniczki, które mogła z uzasadnionym prawdopodobieństwem wykorzystać. Sąd w związku z tym nie podziela stanowiska wyrażonego w wyroku WSA w Warszawie z 18 maja 2021r. sygn. akt II SA/Wa 1898/20.
6. Zdaniem Sądu prawidłowe było ponadto w stanie faktycznym sprawy uznanie przez Prezesa UODO, że przetwarzanie danych osobowych Uczestniczki postępowania odbywało się dla celów marketingu bezpośredniego. Wynika to z powyższych ustaleń faktycznych organu, przedstawionych w uzasadnieniu zaskarżonej decyzji, opierających się o wyjaśnienia Spółki.
Choć Skarżąca wskazuje, że: a) celem połączenia telefonicznego było ustalenie zainteresowania rozmówcy udziałem w organizowanych spotkaniach lub prezentacjach, a dopiero w przypadku wyrażenia woli udziału w spotkaniu rozmówca wyrażał zgodę na przetwarzanie jego danych osobowych i podawał niezbędne dane w celu wzięcia udziału w spotkaniu; b) działalność Spółki skupia się na zapraszaniu na organizowane spotkania, podczas których kontrahenci Spółki poruszają tematykę spotkań wcześniej określoną podczas składania zaproszenia abonentom; c) uczestnicy ww. spotkań mają alternatywną możliwość zapoznania się z ofertą kontrahenta Spółki lub zakupu towarów prezentowanych przez ten podmiot poprzez przyjęcie prezentowanej tam oferty; d) Spółka, zapraszając na spotkania w rozmowie nie prowadzi sprzedaży, nie informuje o konkretnych produktach, a jedynie o tematyce spotkania i kategoriach prezentowanych produktów; e) we własnym imieniu realizuje połączenia i umawia spotkania, które następnie są sprzedawane na rzecz jej kontrahentów z branży sprzedaży bezpośredniej - więc nie można jej przypisać korzyści z rzekomego marketingu, gdyż nie prowadzi podczas połączeń sprzedaży, a produkty oferowane na pokazach nie stanowią w żadnym razie jej własności – prawidłowo Prezes UODO odwołał się do definicji pojęcia "marketingu bezpośredniego" zawartej w rekomendacji R (85)20 Komitetu Ministrów dla Państw Członkowskich w sprawie ochrony danych osobowych używanych dla celów marketingu bezpośredniego Rady Europy "Ochrona danych osobowych wykorzystywanych dla potrzeb marketingu bezpośredniego" z 25 października 1985r. Zgodnie z tą definicją "marketing bezpośredni", to ogół działań, jak również wszelkich dotyczących go usług pomocniczych, umożliwiających oferowanie produktów lub usług bądź przekazywanie innych informacji do grupy ludności - za pośrednictwem poczty, telefonu lub innych bezpośrednich środków - w celach informacyjnych bądź wcelu wywołania reakcji ze strony osoby, której dane dotyczą. Na zasadność odwołania się do ww. definicji wskazywały: Sąd Ochrony Konkurencji i Konsumentów w wyroku z 21 marca 2014r. sygn. akt AmT 10/12 (Lex nr 2155559), Sąd Okręgowy w Warszawie w ww. wyroku z 11 grudnia 2020r. sygn. akt XVII AmA 22/19. W związku z tym wykonywanie połączeń telefonicznych w celu zaproszenia konsumenta na pokaz lub spotkanie, podczas którego istnieje możliwość zakupu produktów, jest marketingiem bezpośrednim, ponieważ jest przekazaniem informacji w celu wywołania reakcji ze strony konsumenta w postaci udania się na pokaz i zakupienia oferowanych produktów. Nie ma przy tym znaczenia, że produkty oferowane na pokazach, na które zapraszała Spółka, nie były jej własnością, czy też nie były oferowane przez nią, lecz przez jej kontrahentów. Sąd Najwyższy w ww. uchwale z 17 lutego 2016r. sygn. akt III SZP 7/15, podniósł z uwagi na znaczenie prawa do prywatności i uciążliwość form komunikacji marketingowej, o których mowa w art. 172 ust. 1 u.P.t., zwroty, którymi posłużył się ustawodawca w tym przepisie ("używanie telekomunikacyjnych urządzeń końcowych", "używanie automatycznych systemów wywołujących") nie mogą być interpretowane zawężająco. Skoro Spółka używała telekomunikacyjnych urządzeń końcowych w celu zaproszenia konsumentów na pokazy lub spotkania, podczas których istniała możliwość zakupu produktów, to używała tych urządzeń w celu marketingu bezpośredniego. To, kto następnie oferował produkty na umawianych przez nią spotkaniach nie ma znaczenia z perspektywy normy prawnej zawartej w art. 172 ust. 1 u.P.t.
Stwierdzenie, że przetwarzanie danych osobowych Uczestniczki odbywało się dla celów marketingu bezpośredniego ma o tyle istotne znaczenie, że zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W świetle natomiast motywu 47 zd. 6 RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Niemniej jednak, prawnie uzasadnione interesy administratora mogą być podstawą prawną przetwarzania, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (zob. motyw 47 RODO zd. 1 – zd. 3).
Europejska Rada Ochrony Danych Osobowych dostrzegła w Opinii z 12 marca 2019r. nr 5/2019, że organy ochrony danych posiadają właściwość do przeprowadzenia kontroli podzbiorów przetwarzania podlegających przepisom krajowym transponującym dyrektywę o prywatności i łączności elektronicznej tylko wtedy, gdy prawo krajowe stanowi, że należy to do ich właściwości. Przetwarzanie podzbioru wchodzi w zakres dyrektywy o prywatności i łączności elektronicznej nie ogranicza właściwości organów ochrony danych na podstawie RODO (s. 22 i 26 ww. Opinii). Naruszenie przepisów RODO może również stanowić naruszenie krajowych przepisów dotyczących prywatności i łączności elektronicznej. Organ ochrony danych może uwzględnić to faktyczne stwierdzenie naruszenia przepisów dotyczących prywatności i łączności elektronicznej przy stosowaniu RODO (np. oceniając, czy przestrzegano zasady zgodności z prawem lub zasady rzetelności na podstawie art. 5 ust. 1 lit. a) RODO). Wszelkie decyzje w zakresie egzekwowania prawa muszą być jednak uzasadnione na podstawie RODO, chyba że w prawie państwa członkowskiego rozszerzono właściwość organu ochrony danych (s. 24 i 26 ww. Opinii).
Podzielając powyższe stanowisko, należy zaznaczyć, że w świetle art. 172 ust. 1 u.P.t., dookreślającego i precyzującego przepisy RODO, zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego (...), chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z art. 174 u.P.t., do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Skoro zatem używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego dopuszczalne jest pod warunkiem uprzedniego wyrażenia zgody przez abonenta lub użytkownika końcowego, to brak takiej zgody ze strony uczestnika/uczestniczki postępowania, powoduje, że nie mógł on/mogła ona mieć rozsądnych przesłanek, by spodziewać się, że może nastąpić przetwarzanie jego/jej danej osobowej w postaci numeru telefonu do tych celów. Skarżąca nie była uprawniona do przetwarzania danych osobowych Uczestniczki w zakresie numeru telefonu, na mocy art. 6 ust. 1 lit. f RODO. W tym bowiem przypadku nadrzędny charakter nad prawnie uzasadnionym interesem skarżącej ma prawo uczestnika postępowania do ochrony podstawowego prawa - prawa do prywatności, chronionego przepisem u.P.t., implementującym przepisy dyrektywy 2002/58.
Prezes UODO trafnie uznał więc, że Spółka przetwarzała dane osobowe Uczestniczki bez podstawy prawnej, przez co naruszyła art. 6 ust. 1 RODO.
Sąd stwierdza też, że podnoszona w piśmie procesowym Skarżącej okoliczność podjęcia uchwały o likwidacji Oddziału, który wykreślono z KRS już po wydaniu zaskarżonej decyzji, nie mogła mieć decydującego znaczenia w sprawie, gdyż prawidłowo w uzasadnieniu tej decyzji Prezes UODO podniósł, powołując się na orzecznictwo, że przedsiębiorca zagraniczny staje się podmiotem praw i obowiązków wynikających z decyzji i to on, poprzez swój oddział, uczestniczy w postępowaniu administracyjnym, jako jego strona. Sąd stanowisko wyrażone przez TS w wyroku z 18 marca 1981r. sygn. akt C-139/80 i przez WSA w Gorzowie Wielkopolskim w wyroku z 22 maja 2013r. sygn. akt II SA/Go 199/13 podziela i wskazuje, że wszelkie działania dokonane przez oddział przedsiębiorcy zagranicznego oraz wobec oddziału odnoszą bezpośrednio skutek prawny w stosunku do przedsiębiorcy zagranicznego. Pojęcie "oddziału, agencji lub każdego innego zakładu jest równoznaczne z istnieniem centrum operacyjnego, które manifestuje się w sposób trwały na zewnątrz jako przedłużenie przedsiębiorstwa macierzystego, ma dyrekcję i jest materialnie wyposażone tak, aby istniała możliwość negocjowania spraw z osobami trzecimi w taki sposób, aby ci ostatni, wiedząc, że zostanie nawiązany ewentualny stosunek prawny z przedsiębiorstwem macierzystym z siedzibą za granicą, byli zwolnieni z konieczności bezpośredniego zwrócenia się do niego i mogli prowadzić interesy z centrum operacyjnym, które stanowi jego przedłużenie.
7. Sąd, mając powyższe na względzie, na mocy art. 151 P.p.s.a., oddalił skargę.