II SA/Wa 1335/22

II SA/Wa 1335/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-12-15
orzeczenie prawomocne
Data wpływu
2022-08-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /przewodniczący/
Arkadiusz Koziarski
Piotr Borowiecki /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 2325
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2019 poz 1781
art. 58 ust. 2 lit. b, art. 12 ust. 1 w zw. z  art. 15 ust. 1 lit. g
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Piotr Borowiecki (spr.), Asesor WSA Arkadiusz Koziarski, Protokolant specjalista Wiesława Jesiotr, po rozpoznaniu na rozprawie w dniu 15 grudnia 2022 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (UODO) decyzją z dnia [...] maja 2022 r. znak: [...], działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm., zwana dalej: k.p.a.) w zw. z art. 7 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781); zwana dalej: u.o.d.o., art. 6 ust. 1, art. 17 ust. 1 lit. c, art. 21 ust. 2 i 3 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, zwane dalej: rozporządzeniem 2016/679), udzielił [...] spółce z ograniczoną odpowiedzialnością z siedzibą w [...] ([...]) upomnienia za naruszenie art. 6 ust. 1 i art. 21 ust. 2 i 3 rozporządzenia 2016/679 polegającego na przetwarzaniu danych osobowych P. P. w zakresie jego numeru telefonu bez podstawy prawnej w celach marketingowych pomimo złożenia przez niego sprzeciwu.
W uzasadnieniu rozstrzygnięcia organ wskazał, że w dniu [...] kwietnia 2021 r. P. P. (powoływany dalej jako: wnioskodawca, uczestnik postępowania) wniósł do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] spółka z ograniczoną odpowiedzialnością z siedzibą w [...] ([...]), (zwana dalej: spółka), działającą poprzez swój oddział w Polsce - [...] spółka z ograniczoną odpowiedzialnością Oddział w Polsce z siedzibą w [...], polegające na przetwarzaniu jego danych osobowych w celach marketingowych, pomimo złożonego żądania w zakresie usunięcia danych.
W toku postępowania organ ustalił, że P. P. w dniu [...] kwietnia 2021 r. około godziny 10:36 otrzymał na numer swojego telefonu komórkowego, tj.: [...], połączenie telefoniczne o charakterze marketingowym od Spółki. Dnia [...] kwietnia 2021 r. wnioskodawca przesłał na adres e-mail Spółki: [...] żądanie w zakresie zaprzestania przetwarzania jego danych osobowych oraz ich usunięcia z bazy danych Spółki. W dniu [...] kwietnia 2021 r. Spółka ustosunkowała się do ww. żądania wnioskodawcy informując, że jego numer telefonu został usunięty z jej bazy danych i nie będzie już przez Spółkę wykorzystywany. Pomimo złożonego żądania Spółka w dniu [...] maja 2021 r. o godzinie 18:56 (kontaktując się z numeru telefonu: [...]), [...] sierpnia 2021 r. o godzinie 11:53 (kontaktując się z numeru telefonu: [...]) oraz [...] sierpnia 2021 r. o godzinie 10:55 (kontaktując się z numeru telefonu: [...]), ponownie wykonała do P. P. połączenia telefoniczne o charakterze marketingowym. Numery telefonów, z których skarżący w dniach: [...] maja 2021 r., [...] sierpnia 2021 r. oraz [...] sierpnia 2021 r. otrzymał kwestionowane połączenia telefoniczne, tj.: [...], [...] oraz [...] należą do Spółki. Spółka oświadczyła, że cyt.: "podjęła czynności sprawdzające, mające na celu ustosunkowanie się do skargi skarżącego i z informacji uzyskanych z działu technicznego wynika, że w dniu [...] maja 2021 r. - nie było wykonywane połączenie na numer skarżącego". Ponadto zdaniem Spółki przedłożone przez P. P. zrzuty ekranu telefonu nie dowodzą, że połączenia telefoniczne z dnia [...] sierpnia 2021 r. oraz [...] sierpnia 2021 r. wykonane zostały przez Spółkę na jego numer telefonu. Spółka pierwotnie pozyskała numer telefonu wnioskodawcy na podstawie umowy o udostępnianie pakietu danych z dnia [...] lipca 2020 r. zawartej pomiędzy Spółką, a [...] Spółka z ograniczoną odpowiedzialnością z siedzibą w miejscowości [...] ([...]). Umowa ta obowiązywała do dnia [...] czerwca 2021 r. Po usunięciu numeru telefonu wnioskodawcy Spółka ponownie, czterokrotnie pozyskiwała jego numer telefonu na podstawie umowy o udostępnianie pakietu danych z dnia [...] lipca 2021 r. zawartej pomiędzy Spółką a [...] Spółka z ograniczoną odpowiedzialnością z siedzibą w miejscowości [...] ([...]). Spółka usuwała numer telefonu wnioskodawcy ze swojej bazy danych kolejno w dniach: [...] sierpnia 2021 r., [...] sierpnia 2021 r., [...] września 2021 r. oraz [...] stycznia 2022 r. Oświadczyła, że numer telefonu wnioskodawcy przetwarzany był w ramach prowadzonej przez Spółkę działalności, tj. umawiania pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej. Spółka wskazała, że w trakcie rozmowy telefonicznej telemarketer prosi o udzielenie zgody na przetwarzanie danych potencjalnego klienta, który w przypadku jej udzielenia podaje Spółce swoje dane. Zdaniem Spółki numer telefonu należący do P. P. nie stanowi danych osobowych w rozumieniu przepisów rozporządzenia 2016/679, gdyż w trakcie rozmowy telefonicznej z telemarketerem wnioskodawca odmówił podania dodatkowych danych osobowych, co - w ocenie Spółki - uniemożliwiło jego prawidłową identyfikację. Dane osobowe P. P. w zakresie imienia, nazwiska, adresu zamieszkania, numeru telefonu, numeru PESEL oraz adresu e-mail wnioskodawcy, Spółka pozyskała w związku z prowadzonym przez Prezesa UODO postępowaniem administracyjnym w niniejszej sprawie. Ponadto Spółka przetwarza dane osobowe Skarżącego w zakresie imienia, nazwiska, numeru telefonu oraz adresu e-mail w związku ze skierowanym do Spółki żądaniem usunięcia danych osobowych.
Powołując orzecznictwo Europejskiego Trybunału Sprawiedliwości Prezes UODO wskazał, że podmiotem praw i obowiązków wynikających z decyzji i jednocześnie uczestnikiem w postępowaniu administracyjnym jako strona jest przedsiębiorca zagraniczny, czyli spółka, działająca poprzez swój oddział w Polsce.
Odwołując się do opinii nr 4/2007 Grupy Roboczej ds. ochrony danych powołanej na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady WE, Prezes UODO stwierdził, że dysponując informacją w postaci numerów telefonów, Spółka podejmowała działania nakierowane na identyfikację osób, w tym wnioskodawcę. Zaznaczył też, że identyfikacja ta nie wymagała od Spółki poniesienia nadmiernych kosztów bądź czasu, a ponadto przetwarzanie numeru telefonu służyło identyfikacji wnioskodawcy jako klienta dla podmiotów współpracujących ze Spółką. Organ wyjaśnił, że w przedmiotowym postępowaniu niewątpliwie mamy do czynienia z pośrednią identyfikacją P. P. poprzez jego numer telefonu.
Wobec powyższego Prezes UODO stanął na stanowisku, że w niniejszej sprawie numer telefonu wykorzystywany był w celu skontaktowania się z konkretną osobą, tj. z posiadaczem tego numeru. Nie ma znaczenia przy tym uprzednie posiadanie informacji o imieniu i nazwisku osoby, ponieważ jest ona, w ocenie organu, już w chwili pozyskania numeru telefonu identyfikowalna za pomocą tej danej. W konsekwencji Prezes UODO przyjął, że przetwarzanie przez Spółkę numeru telefonu wnioskodawcy stanowi przetwarzanie jego danych osobowych.
Odnosząc się do podstaw prawnych przetwarzania przez Spółkę danych osobowych P.P. w zakresie jego numeru telefonu Prezes UODO wskazał, że zgodnie z przepisami rozporządzenia 2016/679 przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy administrator legitymuje się którąkolwiek z przesłanek, o których mowa w art. 6 ust. 1 tego rozporządzenia. Każda z przesłanek wymienionych w tym przepisie ma charakter autonomiczny i niezależny, co oznacza, że spełnienie co najmniej jednej z nich stanowi w danym przypadku o zgodnym z prawem przetwarzaniu danych osobowych.
Powołując treść art. 6 ust. 1 lit. f oraz motyw 47 rozporządzenia 2016/679 Prezes UODO podniósł, że dopuszczona jest możliwość prowadzenia marketingu bezpośredniego na podstawie prawnie uzasadnionych interesów administratora. Aby jednak wskazane przetwarzanie było dopuszczalne na podstawie art. 6 ust. 1 lit. f tego rozporządzenia interesy administratora danych muszą być nadrzędne wobec praw i wolności osób, których dane dotyczą. Uznaje się zatem, że powyższa przesłanka jest spełniona w przypadku, kiedy podmiot danych może oczekiwać przetwarzania dla tych celów - tj. między innymi w przypadku, w którym pomiędzy osobą a administratorem istnieje relacja prawna, np. strony wiąże umowa.
Zebrany w niniejszej sprawie materiał dowodowy wykazał, że Spółka pierwotnie pozyskała numer telefonu P. P. nabywając pakiet danych (numerów telefonów) na podstawie umowy o udostępnianie pakietu danych z dnia [...] lipca 2020 r. zawartej z [...] spółka z ograniczoną odpowiedzialnością z siedzibą w miejscowości [...] ([...]), która obowiązywała do dnia [...] czerwca 2021 r. Ponadto jak ustalono, w związku z żądaniem wnioskodawcy w zakresie zaprzestania przetwarzania jego danych i usunięciem jego numeru telefonu, Spółka ponownie, kilkukrotnie pozyskała jego numer telefonu nabywając pakiet danych (numerów telefonów) na podstawie umowy o udostępnianie pakietu danych z dnia [...] lipca 2021 r. zawartej z [...] Spółka z ograniczoną odpowiedzialnością z siedzibą w miejscowości [...] ([...]). W przedmiotowej sprawie we wszystkich ww. okolicznościach nie było przesłanek, na podstawie których wnioskodawca mógł spodziewać się zarówno pozyskania, jak i przetwarzania jego danych osobowych dla celów marketingu bezpośredniego przez Spółkę. Nie zachodziło żadne powiązanie pomiędzy wnioskodawcą a Spółką.
W ocenie Prezesa UODO Spółka nie miała podstaw do pozyskania oraz następczo przetwarzania danych osobowych P. P. Żadnej z ww. umów o udostępnianie pakietu danych nie można uznać za przesłankę legalizującą proces przetwarzania danych wnioskodawcy przez Spółkę. Odmienne stanowisko oznaczałoby możliwość swoistego następczego wykreowania podstawy prawnej dla procesu przetwarzania, podczas gdy zachodziłby brak podstawy pierwotnej w przepisach o ochronie danych osobowych. Takie działanie narusza interesy wnioskodawcy z uwagi na fakt, że nie mógł on spodziewać się przetwarzania, a w konsekwencji ograniczona zostaje możliwość realizacji jego praw, w tym między innymi podjęcia czynności zmierzających do wstrzymania procesu przetwarzania przez administratora. Przetwarzanie danych osobowych dla celów marketingu bezpośredniego może odbywać się na podstawie zgody podmiotu danych. Spółka jednak taką zgodą na żadnym etapie przetwarzania danych nie dysponowała. W tych okolicznościach interes P. P. do ochrony dotyczących go danych osobowych należy uznać za nadrzędny wobec interesu Spółki do prowadzenia wobec niego działań marketingowych. W związku z powyższym Spółka pierwotnie pozyskując i przetwarzając jego dane, jak również - w dalszym czasie, tj. po usunięciu jego numeru telefonu w dniu [...] kwietnia 2021 r. - ponownie je pozyskując i przetwarzając naruszyła art. 6 ust. 1 rozporządzenia 2016/679.
W złożonych przed Prezesem UODO wyjaśnieniach Spółka wskazała, że nie przetwarzała danych osobowych wnioskodawcy w celach marketingowych. Niemniej jednak w ocenie organu wykonane do wnioskodawcy przez Spółkę połączenia telefoniczne mające na celu zachęcenie do skorzystania z usług oferowanych przez podmioty współpracujące ze Spółką, stanowiły informacje o treści marketingowej. Pojęcie marketingu bezpośredniego nie jest co prawda wprost zdefiniowane w przepisach o ochronie danych osobowych, jednak w ocenie Prezesa UODO należy uznać, że za marketing bezpośredni rozumie się ogół działań administratora danych, które poprzez przekazywanie informacji do indywidualnych podmiotów mają na celu wywołanie reakcji ze strony osoby, której dane dotyczą, związanej z potrzebą posiadania określonego produktu. Tak więc połączenia telefoniczne wykonane na numer telefonu wnioskodawcy służyły do promowania wizerunku i usług Spółki i podmiotów z nią współpracujących. Tym samym działanie Spółki nakierowane było na wywołanie reakcji wnioskodawcy i osiągnięcie korzyści stricte handlowych. Działanie Spółki wykonane było zatem w celu marketingu bezpośredniego. Spółka naruszyła więc przepisy o ochronie danych osobowych przetwarzając dane osobowe P. P., niemniej jednak aktualnie Spółka zaprzestała przetwarzania jego danych, bowiem w dniu [...] stycznia 2022 r. usunęła jego numer telefonu ze swojej bazy danych.
P. P. przedmiotem skargi uczynił niespełnienie przez Spółkę jego żądania w zakresie zaprzestania przetwarzania jego danych w celach marketingowych oraz ich usunięcia z bazy Spółki. Zgodnie z art. 17ust. 1 lit. c rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe w sytuacji, gdy osoba ta wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania łub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania.
Jak wynika z zebranego materiału dowodowego wnioskodawca w dniu [...] kwietnia 2021 r. przesłał na adres e-mail Spółki: [...] żądanie w zakresie zaprzestania przetwarzania jego danych osobowych oraz ich usunięcia z bazy danych Spółki sprzeciwiając się ich przetwarzaniu w celach marketingowych. Jego żądanie wypełnia treść art. 17 ust. 1 lit. c rozporządzenia 2016/619. Dla przetwarzania danych osobowych w celach marketingowych prawodawca przewidział też regulację zawartą w ww. art. 21 ust. 2 rozporządzenia 2016/679 - wyszczególniając dodatkowo uprawnienia osób, których dane dotyczą w sytuacjach, gdy ich dane przetwarzane są w celach marketingowych. Bezsprzecznie wniosek P. P.należy rozumieć nie tylko jako żądanie usunięcia danych wynikające z art. 17 ust. 1 lit. c rozporządzenia 2016/679, lecz przede wszystkim jako sprzeciw wobec przetwarzania jego danych osobowych na potrzeby marketingu bezpośredniego w oparciu o art. 21 ust. 2 rozporządzenia 2016/679. Artykuł 21 ust. 2 rozporządzenia 2016/679 stanowi bowiem, że jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Ustęp 3 tego artykułu precyzuje, że jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów. Tym samym, mając na uwadze wniesione przez wnioskodawcę żądanie oraz ww. przepisy rozporządzenia 2016/679, Spółka zobowiązana była do nieprzetwarzania jego danych osobowych w celach marketingowych.
Jak ustalono Spółka usunęła numer telefonu wnioskodawcy ze swojej bazy danych w dniu [...] kwietnia 2021 r., informując go o tym fakcie (tj. w terminie określonym w art. 12 ust. 3 rozporządzenia 2016/679). Niemniej jednak po usunięciu jego danych Spółka ponownie pozyskała jego numer telefonu nabywając pakiet danych na podstawie umowy o udostępnianie pakietu danych z dnia [...] lipca 2021 r. zawartej z [...] Spółka z ograniczoną odpowiedzialnością. Taka sytuacja miała miejsce kilkukrotnie, bowiem Spółka przyznała, że numer telefonu wnioskodawcy nabywany był przez nią od ww. podmiotu, a następnie usuwany z bazy danych Spółki czterokrotnie, tj. kolejno w dniach: [...] sierpnia 2021 r., [...] sierpnia 2021 r., [...] września 2021 r. oraz [...] stycznia 2022 r. Działanie to realizowało definicję przetwarzania danych, zgodnie z którą "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, m. in. taką jak zbieranie, utrwalanie, pobieranie, czy ich wykorzystywanie (art. 4 pkt 2 rozporządzenia 2016/679). Ponownie pozyskując numer telefonu wnioskodawcy i przetwarzając go poprzez wykonywanie do niego w dalszym ciągu połączeń o charakterze marketingowym (tj. w dniach: [...] maja 2021 r., [...] sierpnia 2021 r., [...] sierpnia 2021 r.). Spółka dopuściła się naruszenia zarówno art. 6 ust. 1 rozporządzenia 2016/679 jak i art. 21 ust. 2 i 3 rozporządzenia 2016/679. Spółka nie posiadała bowiem ku temu działaniu żadnej podstawy prawnej, wyżej zaś powołany art. 21 ust. 3 stanowi, co należy podkreślić, że jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania danych osobowych do celów marketingu bezpośredniego, nie wolno już ich przetwarzać do takich celów. Spółka natomiast pozyskała te same dane, tej samej osoby i wykorzystała je w tych samych celach, co przed ich pierwszym usunięciem. Bezsprzecznym zatem jest, że Spółka permanentnie przetwarzała dane osobowe wnioskodawcy bez podstawy prawnej (na zmianę pozyskując, wykorzystując je w swych celach i usuwając). Poprzez działanie polegające na czterokrotnym, ponownym pozyskaniu i przetwarzaniu danych osobowych wnioskodawcy w celach marketingowych - po zgłoszonym sprzeciwie wobec przetwarzania jego danych w tych celach - dokonała naruszenia przepisów o ochronie danych osobowych. Spółka nie zrealizowała przy tym zgłoszonego przez P.P. sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych, naruszając tym samym art. 21 ust. 2 i 3 rozporządzenia 2016/679. Działanie Spółki jako administratora danych osobowych wnioskodawcy, polegające na ciągłym pozyskiwaniu na nowo jego danych osobowych i ich ponownym przetwarzaniu w niezgodny z prawem sposób jest naganne i świadczy o braku rzetelności przetwarzania danych przez Spółkę. Wymóg rzetelności przetwarzania danych wynika bezpośrednio z treści art. 5 ust. 1 lit. a rozporządzenia 2016/679.
Organ podkreślił, że Spółka w złożonych przed Prezesem UODO wyjaśnieniach podniosła, że cyt.: "podjęła czynności sprawdzające, mające na celu ustosunkowanie się do skargi wnioskodawcy i z informacji uzyskanych z działu technicznego wynika, że w dniu [...] maja 2021 r. nie było wykonywane połączenie na numer wnioskodawcy". Ponadto zdaniem Spółki przedłożone przez P.P. zrzuty ekranu z telefonu nie dowodzą, że połączenia telefoniczne z dnia [...] sierpnia 2021 r. oraz [...] sierpnia 2021 r. wykonane zostały przez Spółkę pod numer jego telefonu. Niemniej jednak wnioskodawca wraz z pismem z dnia [...] sierpnia 2021 r. przedstawił dowód na okoliczność przetwarzania przez Spółkę jego danych osobowych w celach marketingowych w postaci zrzutów ekranu telefonu potwierdzających otrzymanie przez niego w dniach 14 sierpnia 2021 r. oraz [...] sierpnia 2021 r. połączeń telefonicznych pochodzących z numerów telefonów, które należą do niej. Organ uznał zatem twierdzenia wnioskodawcy za wiarygodne i mające potwierdzenie w zgromadzonym materiale dowodowym w niniejszej sprawie.
Prezes UODO wskazał także, że w art. 58 ust. 2 rozporządzenia 2016/679 zostały określone uprawnienia naprawcze, jakie przysługują organowi nadzorczemu (Prezesowi UODO) w trakcie prowadzenia postępowania z zakresu ochrony danych osobowych. Skoro poczynione w sprawie ustalenia faktyczne oraz prawne wykazały, że spółka pozyskała i przetwarzała dane osobowe P. P. w zakresie jego numeru telefonu bez podstawy prawnej w celach marketingowych, to Prezes UODO na podstawie art. 58 ust. 2 lit. b rozporządzenia uznał za uzasadnione udzielenie Spółce upomnienia w zakresie stwierdzonego naruszenia przepisów art. 6 ust. 1 i art. 21 ust. 2 i 3 rozporządzenia.
Prezes UODO zaznaczył, że w przypadku zaistnienia podobnego zdarzenia w przyszłości, tj. ponownego przetwarzania danych osobowych wnioskodawcy w zakresie jego numeru telefonu w celach marketingowych przez Spółkę, może skutkować ono zastosowaniem przez organ innych niż upomnienie środków naprawczych wynikających z art. 58 ust. 2 rozporządzenia 2016/679. Każde przyszłe upomnienie wydane przez Prezesa UODO wobec Spółki będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej.
Pismem z dnia [...] lipca 2022 r. [...] spółka z ograniczoną odpowiedzialnością z siedzibą w [...], reprezentowana przez profesjonalnego pełnomocnika, złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie, za pośrednictwem Prezesa UODO, skargę na decyzję tego organu z dnia [...] maja 2022 r. nr [...] w przedmiocie udzielenia upomnienia za naruszenie art. 6 ust. 1 oraz art. 21 ust. 2 i 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) polegające na przetwarzaniu danych osobowych P. P. w zakresie jego numeru telefonu, bez podstawy prawnej w celach marketingowych, pomimo złożenia przez niego sprzeciwu.
Zaskarżonemu rozstrzygnięciu zarzucił:
1) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy tj.:
a) przepisu art. 4 pkt 1 RODO, poprzez błędne uznanie, że numer telefonu stanowi daną osobową umożliwiającą zidentyfikowanie osoby fizycznej w sytuacji, w której numer telefonu nie jest informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę, gdyż taki zbiór danych nie pozwala na ustalenie przez Spółkę tożsamości osoby, która się nim posługuje i w żaden sposób nie wskazuje na personalia tej osoby;
b) przepisu art. 4 pkt 2 RODO, poprzez błędne uznanie, że spółka przetwarzała dane osobowe P.P. w sytuacji, w której jest brak możliwości przypisania Spółce jakiejkolwiek roli w procesie przetwarzania danych osobowych w postaci wyłącznie numeru telefonu, w tym na potrzeby marketingu bezpośredniego, gdyż dane te nie stanowią danych osobowych w rozumieniu RODO;
c) przepisu art. 4 pkt 7 i pkt 8 RODO, poprzez błędne uznanie, że spółka pełniła rolę administratora danych osobowych lub podmiotu przetwarzającego w sytuacji, w której Spółka ani samodzielnie, ani wspólnie z innymi podmiotami w ramach prowadzonej działalności gospodarczej, nie decydowała o celach i środkach przetwarzania danych osobowych, nie przetwarzała również danych osobowych P. P. w imieniu administratora;
d) przepisu art. 6 ust. 1 RODO, poprzez błędne zastosowanie tego przepisu i przyjęcie, że w niniejszej sprawie znajduje on zastosowanie, podczas gdy Spółka nie przetwarza danych osobowych w rozumieniu RODO;
e) przepisu art. 11 ust. 1 RODO w zw. z motywem 57 RODO poprzez nieprawidłowe przyjęcie przez organ, że do czynności realizowanych przez Spółkę, a objętych zaskarżoną decyzją, zastosowanie znajduje RODO podczas, gdy w toku podejmowanych przez Spółkę czynności objętych decyzją nie dochodzi do przetwarzania danych osobowych, w tym na potrzeby marketingu bezpośredniego, a Spółka nie jest obowiązana do ich pozyskiwania wyłącznie w celu zastosowania RODO;
f) przepisu art. 12 ust. 3 RODO w zw. z art. 17 ust. 1 RODO, poprzez błędne uznanie, że Spółka dopuściła się uchybienia polegającego na nieusunięciu danych osobowych P. P., w sytuacji, w której:
– Spółka nie była obowiązana do udzielenia takich informacji w związku z brakiem przetwarzania przez nią danych osobowych P.P., w tym na potrzeby marketingu bezpośredniego i niestosowaniem RODO do podejmowanych czynności,
– pomimo braku ciążącego na Spółce obowiązku usuwała numer P. P., pomimo tego, iż danych osobowych on nie stanowi,
– spółka nie przetwarzała danych osobowych P.P. bez podstawy prawnej w celach marketingowych,
– Spółka nie prowadzi działalności o charakterze marketingu bezpośredniego,
– Spółka nie pełniła roli administratora danych osobowych P. P.;
g) przepisu art. 21 ust. 2 i 3 RODO, poprzez błędne uznanie, że Spółka dopuściła się uchybienia polegającego na przetwarzaniu danych osobowych P. P. w zakresie jego numeru telefonu bez podstawy prawnej w celach marketingowych, pomimo złożenia przez niego sprzeciwu, w sytuacji, w której:
– Spółka nie była obowiązana do udzielenia takich informacji w związku z brakiem przetwarzania przez nią danych osobowych P. P., w tym na potrzeby marketingu bezpośredniego, w tym profilowania i niestosowaniem RODO do podejmowanych czynności,
– pomimo braku ciążącego na Spółce obowiązku usuwała numer P. P., pomimo tego, iż danych osobowych on nie stanowi,
– Spółka nie przetwarzała danych osobowych P. P. bez podstawy prawnej w celach marketingowych, w tym zakresie profilowania,
– Spółka nigdy nie przetwarzała danych osobowych P. P. do celów marketingu bezpośredniego,
– Spółka nie pełniła roli administratora danych osobowych P. P.
h) przepisu art. 58 ust. 2 lit. b RODO, poprzez błędne uznanie, że Spółka pełniła rolę administratora danych lub podmiotu przetwarzającego, w sytuacji w której przywołany przepis przyznaje uprawnienie organowi nadzorczemu do udzielenia upomnień - wyłącznie administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania, co w opisanej sytuacji nie może mieć miejsca, z uwagi na brak pełnienia ww. ról przez Spółkę.
2) naruszenie przepisów postępowania w sposób mający istotny wpływ na wynik sprawy, w szczególności:
a) art. 8 i art. 11 K.p.a., poprzez zaniechanie odniesienia się do stanowiska zawartego pismach Spółki, w szczególności przedstawionej argumentacji oraz załączonych dokumentów oraz zaniechanie pełnego uzasadnienia decyzji, a w konsekwencji uniemożliwienie pełnego ustosunkowania się Spółki do decyzji organu,
b) art. 7, art. 77 § 1 oraz art. 80 K.p.a. poprzez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością, a w konsekwencji przyznania P.P. racji w zakresie złożonej przez niego skargi do organu, w sytuacji w której:
– sam numer telefonu, bez innych danych umożliwiających ustalenie podmiotu danych, nie stanowi danej osobowej umożliwiającej zidentyfikowanie osoby fizycznej,
– Spółka nie znajdowała się w posiadaniu danych osobowych P. P., tym samym nie przetwarzała danych osobowych dla celów marketingowych bez podstawy prawnej,
– Spółka nie prowadzi działalności o charakterze marketingowym, w tym na potrzeby marketingu bezpośredniego,
Spółka nie pełniła roli administratora, współadministratora ani podmiotu przetwarzającego dane osobowe P. P. w rozumieniu art. 4 pkt 1 RODO,
– Spółka nie pozyskiwała danych osobowych od innego podmiotu, pozyskała wyłącznie bazę danych, wśród której znajdował się wyłącznie numer telefonu,
– Spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą,
– celem kierowanych połączeń przez Spółkę nie były działania nakierowane na identyfikację osób;
c) art. 6 i art. 7 K.p.a., poprzez prowadzenie przedmiotowego postępowania w sposób niezgodny z zasadami praworządności, demokratycznego państwa prawa oraz pewności prawa, przejawiające się:
– w braku odniesienia się przez organ do wszystkich zarzutów i twierdzeń podniesionych w pismach Spółki kierowanych do organu,
– braku ponownego zbadania sprawy na skutek uzupełnienia stanowiska przez Spółkę, w tym przedłożenia umów łączących Spółkę z podmiotem udostępniającym bazę danych nieosobowych, zawierającą wyłącznie numery telefonu;
d) art. 8 i art. 11 K.p.a., poprzez prowadzenie przedmiotowego postępowania w sposób niezgodny z zasadą przekonywania i pogłębiania zaufania do organów administracji, przejawiające się w:
– zaniechaniu pełnego uzasadnienia decyzji,
– nieustosunkowaniu się organu do podniesionych twierdzeń i dowodów Spółki;
e) art. 124 § 2 K.p.a., poprzez brak zawarcia w uzasadnieniu zaskarżonej decyzji uzasadnienia faktycznego obejmującego wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej;
a w konsekwencji powyższych naruszeń:
3) błąd w ustaleniach faktycznych i nieuprawnione przyjęcie, że:
a) Spółka nawiązała połączenie telefoniczne o charakterze marketingowym w sytuacji, w której spółka nie prowadzi działalności marketingowej i nie wykonuje połączeń o tym charakterze;
b) Spółka przetwarzała dane osobowe w zakresie numeru telefonu P. P., bez podstawy prawnej w celach marketingowych w sytuacji, w której numer telefonu nie stanowi danych osobowych, a Spółka nie przetwarza żadnych danych osobowych w celach marketingowych;
c) Spółka nie wykonała ciążącego na niej obowiązku w przedmiocie niezwłocznego usunięcia danych osobowych P. P., w sytuacji której Spółka nie przetwarzała danych osobowych P. P., więc nie była zobligowana do usunięcia danych w terminie przewidzianym przepisami RODO;
d) Spółka nie spełniła żądania P. P. w zakresie zaprzestania przetwarzania jego numeru telefonu w przewidzianym w prawie terminie, w sytuacji której:
- Spółka nie przetwarzała danych osobowych P. P. na potrzeby marketingu bezpośredniego, więc nie była zobligowana do wskazania powyższych informacji w terminie przewidzianym przepisami RODO,
- Spółka nie pozyskuje danych osobowych od innych podmiotów, Spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą (podmiotu danych),
e) Spółka wykonywała połączenia telefoniczne mające na celu zachęcenie do skorzystania z usług oferowanych przez podmioty współpracujące ze Spółką, które to informacje stanowiły treści marketingowe w sytuacji, w której Spółka nie promuje określonego, konkretnego produktu konkretnego podmiotu - beneficjenta czynności marketingowych, a także nie dokonuje sprzedaży produktów, ani nie oferuje takiej możliwości w trakcie bezpośredniego kontaktu z konsumentem.
Wobec tak postawionych zarzutów Spółka wniosła: o uwzględnienie przez Prezesa UODO skargi w całości i uchylenie zaskarżonej decyzji – na podstawie przepisu art. 54 § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329, z późn. zm.); zwanej dalej P.p.s.a., w przypadku braku dokonania samokontroli przez organ: o uchylenie w całości zaskarżonej decyzji Prezesa UODO przez Sąd na podstawie art. 145 § 1 pkt 1 lit. a i c i pkt 3 P.p.s.a. w związku z art. 135 P.p.s.a.; ewentualnie w razie stwierdzenia braku podstaw do uchylenia: o przekazanie sprawy organowi do ponownego rozpoznania.
Ponadto, na podstawie przepisu art. 200 P.p.s.a. i art 205 P.p.s.a. Spółka wniosła o zasądzenie na rzecz spółki kosztów postępowania, w tym zwrotu kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa, według norm przepisanych.
Uzasadniając złożoną skargę, Spółka szczegółowo opisała ww. zarzuty.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi, podtrzymując argumentację zawartą w zaskarżonej decyzji.
W obszernej replice datowanej na [...] sierpnia 2022 r. na odpowiedź organu na skargę Spółka podtrzymała w całości dotychczasowe swoje stanowisko zajęte w skardze na decyzję Prezesa UODO oraz wniosła o jej uchylenie w całości, względnie o przekazanie sprawy do ponownego rozpoznania w przypadku zaistnienia przesłanek. Wniosła nadto o nieuwzględnienie wniosku organu w przedmiocie oddalenia skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Stosownie do treści art. 1 § 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym w świetle paragrafu drugiego powołanego wyżej artykułu kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
W myśl natomiast art. 134 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 259, z późn. zm.); zwanej dalej P.p.s.a., Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, gdyż decyzja Prezesa UODO z dnia [...] maja 2022 r. nie narusza prawa.
Kluczowe znaczenie dla oceny zasadności zarzutów skargi ma kwestia kwalifikacji dokonanej przez Prezesa UODO, że numer telefonu komórkowego P. P. stanowi danę osobową. O ile bowiem okazałoby się, że ustalenia organu w tym zakresie są błędne, niedopuszczalna byłaby ocena przetwarzania przez skarżącego tej informacji pod względem zgodności z przepisami RODO.
Należy zatem zauważyć, że zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować,
w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Z motywu 26 RODO wynika natomiast, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych
do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać
za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. RODO nie dotyczy więc przetwarzania anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
Definicja danych osobowych w RODO nie różni się istotnie od definicji,
którą zawierał art. 2 lit. a dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. Nr 281, str. 31 ze zm.), dalej powoływanej jako "dyrektywa 95/46/WE". Przepis ten stanowił bowiem, że dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dane dotyczą"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.
Z motywu 26 dyrektywy 95/46/WE wynikało natomiast, że zasady ochrony danych muszą odnosić się do wszelkich informacji dotyczących zidentyfikowanych
lub możliwych do zidentyfikowania osób; w celu ustalenia, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć
się administrator danych lub inna osoba w celu zidentyfikowania owej osoby; zasady ochrony danych nie mają zastosowania do danych, którym nadano anonimowy charakter w taki sposób, że podmiot danych nie będzie mógł być zidentyfikowany.
Dokładne porównanie art. 2 lit. a dyrektywy 95/46/WE z art. 4 pkt 1 RODO
oraz motywów 26 obu aktów pozwala dostrzec pewne różnice w ich treści. Może nawet sugerować, że w przypadku RODO prawodawca unijny zdecydował się wprowadzić nowy element – nieznany dyrektywie – w postaci "uzasadnionego prawdopodobieństwa", który subiektywizuje rozumienie określeń "zidentyfikowana"
i "możliwa do zidentyfikowania" w większym stopniu niż wynikało to z postanowień dyrektywy 95/46/WE. Różnice te są jednak pozorne.
Jak zaznacza w swym orzecznictwie Trybunał Sprawiedliwości (dalej "TS"),
akty prawa wspólnotowego są redagowane w wielu językach i różne wersje językowe są na równi autentyczne. Wykładnia przepisu prawa wspólnotowego wymaga zatem porównania poszczególnych wersji językowych. Konieczność jednolitej interpretacji
w celu jednolitego stosowania przepisu zakazuje jego rozpatrywania w układzie wyizolowanym i nakazuje jego interpretowanie w świetle wszystkich pozostałych wersji (zob. np. wyroki TS: z 6 października 1982 r. w sprawie 283/81 CILFIT,
z 20 października 2005 r. w sprawie C-247/04 Transport Maatschappij Traffic,
z 12 kwietnia 2005 r. w sprawie C-265/03 Simutenkov).
Uwzględniając powyższe, po pierwsze należy zauważyć, że jakkolwiek w polskiej wersji językowej RODO w art. 4 pkt 1 posłużono się sformułowaniem: osoba, którą można bezpośrednio lub pośrednio zidentyfikować, a w polskiej wersji językowej dyrektywy 95/46/WE w art. 2 lit. a użyto zwrotu: osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, to w wersji angielskiej obu aktów zwrot ten brzmi: is one who can be identified, directly or indirectly. W wersji francuskiej w art. 4 pkt 1 RODO użyto sformułowania: une personne physique qui peut être identifiée, directement ou indirectement, a w art. 2 lit. a dyrektywy sformułowania: une personne qui peut être identifiée, directement ou indirectement. W wersji niemieckiej RODO użyto z kolei sformułowania: als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, (...) identifiziert werden kann, a wersji niemieckiej dyrektywy sfromułowania: als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann.
Po drugie należy zauważyć, że w świetle zd. 3 motywu 26 w polskiej wersji językowej RODO, aby stwierdzić, czy dana osoba fizyczna jest możliwa
do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Wedle natomiast motywu 26 dyrektywy 95/46/WE, w celu ustalenia, czy daną osobę można zidentyfikować, należało wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator danych lub inna osoba w celu zidentyfikowania owej osoby.
W wersji angielskiej RODO w motywie 26 posłużono się jednak następującym sformułowaniem (zd. 3 i zd. 4): To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments.
W wersji angielskiej dyrektywy użyto natomiast zwrotu: to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person.
W wersji francuskiej zd. 3 i zd. 4 motywu 26 brzmią następująco: Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci.
W motywie 26 dyrektywy w wersji francuskiej stwierdzono natomiast: pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.
Wreszcie w wersji niemieckiej RODO zd. 3 i zd. 4 motywu 26 brzmią: Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. W wersji niemieckiej dyrektywy użyto natomiast sformułowania: Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.
Wykładając zatem art. 4 pkt 1 w zw. z motywem 26 RODO zgodnie ze stawianym przez TS wymogiem porównania poszczególnych wersji językowych aktu prawnego UE, należy dojść do następujących wniosków.
Po pierwsze, sformułowania "osoba, którą można bezpośrednio lub pośrednio zidentyfikować" i "osoba, której tożsamość można ustalić bezpośrednio lub pośrednio", użyte odpowiednio w RODO i dyrektywie 95/46/WE, mają to samo znaczenie.
Po drugie, RODO w motywie 26 nie zawiera nowego elementu, nieznanego dyrektywie 95/46/WE, tj. "uzasadnionego prawdopodobieństwa". Zarówno w RODO,
jak i w dyrektywie posłużono się sformułowaniami równoznacznymi: account should be taken of all the means reasonably likely to be used (RODO) oraz account should be taken of all the means likely reasonably to be used (dyrektywa); il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilizes (RODO) oraz il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre (dyrektywa); sollten alle Mittel berücksichtigt werden, (...) allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren (RODO) oraz sollten alle Mittel berücksichtigt werden, die vernünftigerweise (...) eingesetzt werden könnten, um die betreffende Person zu bestimmen (dyrektywa).
"Uzasadnione", czy też "rozsądne" prawdopodobieństwo wykorzystania określonego sposobu identyfikacji osoby fizycznej było zatem także wymogiem uznania, że jest ona możliwa do zidentyfikowania, wynikającym z motywu 26 dyrektywy 95/46/WE. Odwołanie się do niego w motywie 26 RODO nie stanowi więc nowości normatywnej.
Po trzecie, jakkolwiek w polskiej wersji językowej w motywie 26 RODO posłużono się dwoma sformułowaniami, mianowicie "wszelkie rozsądnie prawdopodobne sposoby" oraz "sposoby (...), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane (...)", to w świetle porównania tej wersji z wersjami angielską, francuską i niemiecką, nie budzi wątpliwości, że oba te sformułowania oznaczają w istocie jeden wymóg, mianowicie rozsądnego (uzasadnionego) prawdopodobieństwa wykorzystania danego sposobu identyfikacji osoby fizycznej przez administratora lub inną osobę.
Po czwarte, zdanie 4 motywu 26, w którym posłużono się sformułowaniem
"czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany" odnosi się do wskazanych w zdaniu 3 "rozsądnie prawdopodobnych sposobów",
to znaczy do sposobów, "w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane". Zdanie 4 zawiera wyłącznie wyjaśnienie, jak należy ustalać, czy określony sposób, którym może posłużyć się administrator lub inna osoba, jest rozsądnie prawdopodobny, a właściwie, czy rozsądnie prawdopodobne jest, że zostanie on wykorzystany.
Po piąte, kryteria podobne do zawartych w zdaniu 4 motywu 26 RODO TS wymienił w wydanym na tle przepisów dyrektywy 95/46/WE wyroku z 19 października 2016 r. w sprawie C-582/14 Breyer, w którym, odwołując się do pkt 68 opinii rzecznika generalnego w tej sprawie, zauważył, że nie będzie podstaw, by uznać określony sposób za rozsądnie prawdopodobny do wykorzystania w celu zidentyfikowania, jeśli identyfikacja osoby, której dane dotyczą, byłaby zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się ona z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydaje się w rzeczywistości znikome (zob. punkty 42 - 46 wyroku).
Po szóste zatem, z powyższych względów w ocenie Sądu, w stanie prawnym obowiązującym od 25 maja 2018 r. zachowują aktualność odwołujące się do definicji danych osobowych zawartej w art. 2 lit. a dyrektywy 95/46/WE w związku z motywem 26 tej dyrektywy, zarówno orzeczenia TS, jak i powołana w uzasadnieniu zaskarżonej decyzji Opinia nr 4/2007 Grupy Roboczej ds. ochrony danych, powołanej na mocy
art. 29 dyrektywy 95/46/WE, w sprawie pojęcia danych osobowych (20 czerwca 2007 r., 01248/07/PL, WP 136).
Prezes UODO trafnie zatem odwołał się w uzasadnieniu zaskarżonej decyzji do wzmiankowanej Opinii, natomiast Sąd podziela stanowisko wyrażone przez Grupę Roboczą, zgodnie z którym w przypadkach, gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, jakimi można się posłużyć w celu zidentyfikowania osoby, której dane dotyczą także wtedy, gdy przetwarzają jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym. Przetwarzanie takich informacji ma bowiem sens tylko wtedy, gdy umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania (str. 16 powołanej Opinii). Przywołana konstatacja zyskuje zdaniem Sądu na aktualności w świetle zd. 4 motywu 26 RODO, w którym wskazuje się na konieczność uwzględnienia m.in. technologii dostępnej w momencie przetwarzania danych, jak i postępu technologicznego.
Zawarta w art. 4 pkt 1 RODO definicja danych osobowych, podobnie jak
w dyrektywie 95/46/WE, opiera się na koncepcji "zidentyfikowania" lub "możliwości zidentyfikowania" osób, których dane dotyczą. Jakkolwiek art. 4 pkt 1 RODO wyjaśnia, jaką osobę należy uznać za "możliwą do zidentyfikowania", a motyw 26 RODO zawiera swoisty test "możliwości identyfikacji" osoby fizycznej, to przepisy RODO nie wyjaśniają wprost, co oznacza "identyfikacja". Określeniem niejednoznacznym jest zatem również "możliwość zidentyfikowania", czy "ustalenia tożsamości" (pojęcie zastosowane w polskiej wersji językowej dyrektywy 95/46/WE – przyp. Sądu).
Trafnego zdaniem Sądu podziału możliwych postaci identyfikacji dokonał [...] i jego zespół w opracowanym dla Komitetu Konsultacyjnego Rady Europy
ds. konwencji o ochronie osób, Sprawozdaniu na temat stosowania zasad ochrony danych w stosunku do ogólnoświatowych sieci telekomunikacyjnych ([...]). Według autorów (str. 30 powołanego dokumentu), koncepcja tożsamości może obejmować trzy różne aspekty: (1) cechy charakteryzujące osobę fizyczną dotyczące jej lub jej życia (np. imię i nazwisko, płeć, wiek, hobby, rodzina, pracodawca, kwalifikacje zawodowe, zakupy, etc.); (2) pewien "punkt zaczepienia" (np. identyfikator internetowy, numer klienta, sesyjny plik cookie),
który pozwala na powiązanie ze sobą kilku cech charakteryzujących daną osobę,
o których mowa w pkt 1 ("punkt zaczepienia" nie jest sam w sobie informacją o cechach danej osoby, niemniej stanowi "ślad" wskazujący miejsce, w którym są przechowywane takie informacje i pozwala je połączyć w sposób określający tożsamość danej osoby fizycznej); (3) "punkt kontaktowy", który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną (np. pocztą elektroniczną, pocztą, faksem, telefonicznie itp.).
Wymienione trzy aspekty tożsamości osoby fizycznej pozostają koncepcyjnie odrębne, chociaż mogą w praktyce współistnieć lub nawet się łączyć, czego przykładem jest adres zamieszkania osoby fizycznej (składający się z imienia i nazwiska, numeru ulicy i miejscowości). Łączy on w sobie co najmniej dwa z wyżej wymienionych aspektów tożsamości – jest informacją o miejscu pobytu osoby fizycznej, a także stanowi "punkt kontaktowy", ponieważ umożliwia każdemu wysłanie poczty do konkretnej osoby (zob. szerzej powołane Sprawozdanie – str. 30 i nast.).
W świetle powyższego nie budzi wątpliwości, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu (zob. Opinia Grupy Roboczej z 20 czerwca 2007 r. nr 4/2007; str. 14; zob. też D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81). Nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r., str. 181).
Taką możliwość daje numer telefonu osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych.
Jak wynika z art. 126 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2021 r. poz. 576, z późn. zm. – stan prawny na dzień wydania zaskarżonej decyzji; dalej powołana jako "Prawo telekomunikacyjne" lub "P.t."),
Prezes UKE przydziela numerację zgodnie z planami numeracji krajowej dla sieci publicznych. Stosownie do treści art. 71 P.t., abonent będący stroną umowy z dostawcą usług, w której przydzielany jest abonentowi numer z planu numeracji krajowej dla publicznych sieci telekomunikacyjnych, może żądać przy zmianie dostawcy usług przeniesienia przydzielonego numeru do istniejącej sieci operatora na: 1) obszarze geograficznym - w przypadku numerów geograficznych; 2) terenie całego kraju - w przypadku numerów niegeograficznych. Jak z kolei wynika z art. 131 ust. 1 P.t., podmiot, który uzyskał przydział numeracji, może dokonać niezbędnej zmiany numeracji dla określonych obszarów swojej sieci publicznej lub zmiany indywidualnych numerów abonentów tej sieci, w przypadku zmiany przydziału zakresu numeracji albo przebudowy lub rozbudowy eksploatowanej sieci publicznej. W świetle art. 131 ust. 3 P.t., podmiot, który uzyskał przydział numeracji, jest obowiązany zawiadomić abonentów o planowanej zmianie ich indywidualnych numerów oraz o ich nowych numerach.
Powołane przepisy Prawa telekomunikacyjnego świadczą o ścisłym związku numeru telefonu z abonentem, a w przypadku, w którym umowa o świadczenie usług telekomunikacyjnych zawierana jest przez użytkownika końcowego, z tym użytkownikiem, gwarantując mu możliwość przeniesienia przydzielonego numeru przy zmianie dostawcy usług oraz chroniąc przed arbitralną zmianą przydzielonego numeru przez dostawcę usług. Można zakładać, że w wielu przypadkach numer telefonu jest związany z będącym osobą fizyczną abonentem silniej i przez dłuższy czas niż np. miejsce jego zamieszkania.
Numer telefonu osoby fizycznej stanowi zatem wspomniany wyżej "punkt kontaktowy", ponieważ umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej stanowi niepowtarzalną kombinację cyfr, która jest do tej osoby przypisana i odróżnia ją, po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (połączeń telefonicznych), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia podmiotowi, który wejdzie w posiadanie numeru telefonu, kontakt z nią i skierowanie do niej określonej informacji (zarówno ustnej, jak i tekstowej). W realiach rozpoznanej sprawy nie budzi natomiast wątpliwości, że numer telefonu komórkowego P. P., jest numerem do niego przypisanym, z którego korzysta on dla zaspokojenia własnych potrzeb. Jest zatem użytkownikiem końcowym, o którym mowa w art. 2
pkt 50 P.t.
Dodatkowych argumentów za uznaniem numeru telefonu osoby fizycznej za jej dane osobowe i to niezależnie od tego, czy podmiot, który jest w jego posiadaniu dysponuje innymi informacjami umożliwiającymi identyfikację tej osoby lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich informacji, dostarczają przepisy Prawa telekomunikacyjnego implementujące dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. U. UE. L. z 2002 r. Nr 201, str. 37 ze zm.) (dalej powoływana jako "dyrektywa 2002/58").
Należy przy tym zaznaczyć, że zgodnie z art. 1 ust. 1 celem powołanej dyrektywy jest harmonizacja przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz zapewnienie swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności elektronicznej. Stosownie natomiast do treści art. 1 ust. 2, przepisy dyrektywy 2002/58 dookreślają i uzupełniają dyrektywę 95/46/WE zgodnie z celami przedstawionymi w ust. 1. Ponadto zapewniają ochronę uzasadnionych interesów abonentów będących osobami prawnymi.
Z art. 94 ust. 1 i ust. 2 zd. 1 RODO wynika z kolei, że odesłania do dyrektywy 95/46/WE należy traktować jako odesłania do RODO. Jak przy tym zastrzeżono
w art. 95 RODO, nie nakłada ono dodatkowych obowiązków na osoby fizyczne ani prawne co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określony w dyrektywie 2002/58/WE.
Dyrektywa 2002/58 stanowi zatem względem RODO regulację szczególną, dookreślając je i uzupełniając, natomiast art. 95 RODO zapobiega temu, by na administratorach nie spoczywały podobne, ale nie identyczne obciążenia administracyjne, spoczywające na nich mocą przepisów implementujących dyrektywę 2002/58, których cel jest ten sam, co cel RODO – ochrona danych osobowych
(zob. też Opinia Rady do Spraw Ochrony Danych Osobowych z 12 marca 2019 r.
nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych, str. 13 – str. 15).
Dyrektywa 2002/58 jest przykładem prawa zapewniającego szczególną ochronę określonych kategorii danych, które mogą być danymi osobowymi (zob. powołana wyżej Opinia; str. 23). Celem dyrektywy 2002/58 jest zatem ochrona prawa do prywatności i poufności, w odniesieniu do przetwarzania "danych osobowych", o których mowa w art. 4 pkt 1 RODO tyle tylko, że w sektorze łączności elektronicznej. Dyrektywa nie zawiera własnej definicji "danych osobowych", ponieważ dookreśla i uzupełnia przepisy aktu o charakterze ogólnym, w którym zdefiniowano to pojęcie. Należy zatem zakładać, że jeśli posługuje się ona pojęciem "danych osobowych" w odniesieniu do określonej informacji, to w sektorze łączności elektronicznej informacja ta traktowana jest przez prawodawcę unijnego jako "dane osobowe" w rozumieniu art. 4 pkt 1 RODO. Trzeba natomiast zdecydowanie podkreślić, że obejmujące sektor łączności elektronicznej prawa i obowiązki przewidziane w dyrektywie 2002/58 i określone w implementujących ją aktach prawa krajowego, kierowane są nie tylko do przedsiębiorców telekomunikacyjnych i odnoszą się nie tylko do relacji między przedsiębiorcami telekomunikacyjnymi a podmiotami korzystającymi z ich usług, ale także do relacji między tymi podmiotami.
Mając powyższe na względzie, należy zauważyć, że w świetle motywu 38 zd. 2 dyrektywy 2002/58, prawo do prywatności osób fizycznych i uzasadniony interes osób prawnych wymaga, aby abonenci mieli możliwość ustalenia, czy ich dane osobowe są publikowane w spisach abonentów, a jeśli tak, to które z nich. Dostawcy publicznych spisów abonentów powinni informować abonentów o umieszczeniu ich w tych spisach, o celach spisu i każdym możliwym wykorzystaniu wersji elektronicznej publicznych spisów abonentów, szczególnie przy pomocy dostępnej w oprogramowaniu funkcji wyszukiwania takiej jak wyszukiwanie zwrotne pozwalające użytkownikom spisu ustalenie nazwiska (nazwy) i adresu abonenta wyłącznie na podstawie numeru telefonu.
Stosownie natomiast do treści art. 12 ust. 2 w zw. z ust. 4 dyrektywy 2002/58, Państwa Członkowskie zapewniają, że abonenci będący osobami fizycznymi posiadają możliwość ustalenia, czy ich dane osobowe znajdują się w publicznym spisie abonentów, a jeżeli tak, to które, w zakresie, w jakim te dane są niezbędne do celu spisu abonentów określonego przez dostawcę spisu abonentów i sprawdzania, poprawiania lub wycofywania tych danych (...).
Przepis art. 12 dyrektywy 2002/58 został implementowany do krajowego porządku prawnego przez art. 169 Prawa telekomunikacyjnego, który w ust. 1 stanowi, że dane osobowe posiadane przez przedsiębiorcę telekomunikacyjnego zawarte w publicznie dostępnym spisie abonentów, (...) wydawanym w formie książkowej lub elektronicznej, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego powinny być ograniczone do: 1) numeru abonenta lub znaku identyfikującego abonenta; 2) nazwiska i imion abonenta; 3) nazwy miejscowości oraz ulicy w miejscu zamieszkania, przy której znajduje się zakończenie sieci, udostępnione abonentowi - w przypadku stacjonarnej publicznej sieci telekomunikacyjnej albo nazwy miejscowości oraz ulicy w miejscu zamieszkania - w przypadku ruchomej publicznej sieci telekomunikacyjnej. Jak wynika z art. 169 ust. 3 P.t., zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności.
Powołane przepisy dyrektywy 2002/58 oraz Prawa telekomunikacyjnego (zawarte w dziale VII Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych) jednoznacznie wskazują na to, że numer abonenta będącego osobą fizyczną (lub znak identyfikujący abonenta) stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania – danę osobową tego abonenta, w stosunku do której – kierując się ochroną prawa
do prywatności i poufności - pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów.
Kwalifikację numeru telefonu osoby fizycznej jako danej osobowej potwierdza też brzmienie projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej) [Bruksela, 2017 r.; COM(2017) 10 final 2017/0003 (COD)], w którym (motyw 31) numer telefonu literalnie wymieniono wśród kategorii danych osobowych zamieszczanych w spisie numerów: Jeżeli użytkownicy końcowi będący osobami fizycznymi udzielają zgody na umieszczenie swoich danych w takich spisach numerów, powinni móc określić, w formie zgody, jakie kategorie danych osobowych mają być zamieszczone w spisie numerów (na przykład imię i nazwisko, adres e-mail, adres domowy, nazwa użytkownika, numer telefonu) (...).
Przypominając, że celem dyrektywy 2002/58 jest zapewnienie równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa
do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych
w sektorze łączności elektronicznej, należy ponadto zauważyć, że w świetle motywu 34 tej dyrektywy, konieczna jest, w odniesieniu do identyfikacji rozmów przychodzących, ochrona prawa strony wybierającej do niedopuszczenia do wyświetlania identyfikacji numeru linii wywołującej, z której wychodzi połączenie oraz prawa strony, do której połączenie przychodzi do odrzucenia rozmowy z niezidentyfikowanych linii (zd. 1). W odniesieniu do identyfikacji rozmów wychodzących, konieczna jest ochrona prawa i uzasadnionego interesu strony wybieranej do wstrzymania wyświetlania identyfikacji numeru, z którym strona wybierająca jest aktualnie połączona, w szczególności w przypadkach połączeń przekazywanych (zd. 4). Dostawcy publicznie dostępnych usług łączności elektronicznej powinni informować swoich abonentów o istnieniu w sieci identyfikacji rozmów wychodzących i przychodzących, jak również o wszystkich oferowanych usługach związanych z identyfikacją rozmów wychodzących
i przychodzących oraz o możliwych opcjach ochrony prywatności (zd. 5.). Pozwoli to abonentom na podejmowanie świadomego wyboru w sprawie rodzajów możliwości ochrony prywatności, z których chcą skorzystać (zd. 6).
Konkretyzację motywu 34 stanowi art. 8 dyrektywy 2002/58. Przewiduje on
w szczególności, że (1) w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów przychodzących dostawca usług musi zaoferować użytkownikowi wybierającemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów przychodzących przy poszczególnych połączeniach telefonicznych. Abonent wybierający musi mieć taką możliwość w odniesieniu do każdej linii (art. 8 ust. 1); a także że (2) w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów wychodzących, dostawca usług musi zaoferować abonentowi wybieranemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów wychodzących u użytkownika wybierającego (art. 8 ust. 4).
Przepisy art. 8 dyrektywy 2002/58 zostały implementowane do krajowego porządku prawnego przez art. 171 Prawa telekomunikacyjnego, który w ust. 2 stanowi, że dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej umożliwiającej prezentację identyfikacji linii wywołującej jest obowiązany zapewnić za pomocą prostych środków: 1) użytkownikowi wywołującemu - możliwość jednorazowego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia; 2) abonentowi wywołującemu - możliwość stałego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia,
u operatora, do którego sieci jest przyłączony abonent będący stroną umowy
z dostawcą usług; 3) abonentowi wywoływanemu - możliwość eliminacji dla połączeń przychodzących prezentacji identyfikacji linii wywołującej, a jeżeli taka prezentacja jest dostępna przed rozpoczęciem połączenia przychodzącego, także możliwość blokady połączeń przychodzących od abonenta lub użytkownika stosującego eliminację prezentacji identyfikacji linii wywołującej. Jak z kolei wynika z art. 171 ust. 3 P.t., dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej zapewniającej prezentację identyfikacji linii wywoływanej, jest obowiązany zapewnić abonentowi wywoływanemu możliwość eliminacji, za pomocą prostych środków, prezentacji identyfikacji linii wywoływanej u użytkownika wywołującego.
Powołane przepisy dyrektywy 2002/58 oraz Prawa telekomunikacyjnego (zawarte w dziale VII "Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych") potwierdzają, że numer telefonu – jako taki - podlega ochronie z uwagi
na prawo do prywatności i poufności. Należy przy tym zaznaczyć, że możliwość wyeliminowania prezentacji numeru (linii wywołującej) gwarantowana jest nie tylko abonentowi, ale także użytkownikowi wywołującemu. Prawo do eliminacji prezentacji numeru jest też w świetle powołanych przepisów niezależne od tego, czy dochodzi
do nawiązania połączenia, które pozwala na uzyskanie dodatkowych danych identyfikujących, czy jedynie do wywoływania połączenia. Stanowi to kolejny argument za przyjęciem, że numer telefonu osoby fizycznej sam w sobie stanowi informację o osobie możliwej do zidentyfikowania i podlega przepisom o ochronie danych osobowych bez względu na to, czy podmiot, który jest w jego posiadaniu, dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym
do wykorzystania sposobem uzyskania takich danych (motyw 26 RODO).
Numer telefonu komórkowego użytkownika końcowego będącego osobą fizyczną, jakim jest ciąg cyfr przyporządkowanych do P. P. definiuje tego użytkownika, jako osobę korzystającą dla zaspokojenia własnych potrzeb z usług telekomunikacyjnych przypisanych do tego numeru, w tym z podstawowej usługi połączeń telefonicznych, a zatem umożliwia jego zidentyfikowanie poprzez nawiązanie z nim kontaktu w określonym celu i wywieranie na niego określonego wpływu.
Zastrzegając, że przedmiotem oceny Prezesa UODO w przedmiotowej sprawie nie było (bo nie leży to w jego kompetencji) naruszenie przez skarżącą Spółkę art. 24 ust. 1 i ust. 2 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2021 r. poz. 275, z późn. zm.) w zw. z art. 172 ust. 1 P.t., należy zauważyć, że na identyfikujący ("definiujący odbiorcę") charakter numeru telefonu komórkowego zwrócił uwagę Sąd Najwyższy w uchwale z 17 lutego 2016 r. sygn. akt III SZP 7/15, (OSNP z 2016 r. nr 8, poz. 111), w której przedmiotem rozważań było m.in. wykorzystanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Jak stwierdził Sąd Najwyższy, w okolicznościach sprawy będącej przedmiotem rozpoznania, zleceniodawca (przedsiębiorca telekomunikacyjny – przyp. Sądu) wskazywał zleceniobiorcy (firmie niebędącej takim przedsiębiorcą – przyp. Sądu) automatyczny system wybierania, jako narzędzie kierowania komunikatów marketingu bezpośredniego "do zdefiniowanego przez niego za pomocą numeru telefonu odbiorcy, co powoduje, że posługuje się on ASW (a zatem używa go w rozumieniu art. 172 ust. 1 PT) dla celów marketingu bezpośredniego". W uzasadnieniu powołanej uchwały Sąd Najwyższy odwołał się także do wymienionych wyżej celów dyrektywy 2002/58, dostrzegając z jednej strony znaczenie prawa do prywatności, a z drugiej uciążliwość form komunikacji marketingowej wymienionych w art. 172 ust. 1 P.t. dla użytkowników telefonii komórkowej.
Do kwestii wykonywania niechcianych połączeń telefonicznych do przypadkowo wybieranych osób fizycznych trafnie zdaniem Sądu odniósł się także Sąd Okręgowy w [...] w uzasadnieniu wyroku z dnia [...] grudnia 2020 r. sygn., akt [...]. Sąd ten nie podzielił stanowiska wyrażonego w wyroku Sądu Rejonowego dla [...] z dnia [...] kwietnia 2016 r., sygn. akt [...] (od którego apelację oddalono wyrokiem Sądu Okręgowego [...] w [...] z dnia [...] stycznia 2019 r., sygn. akt [...] – niepublikowany; dostępny LEX nr [...]), w którym wyrażono pogląd, że wykorzystywany samodzielnie anonimowo ciąg cyfr stanowiący numer telefoniczny nie może stanowić danej osobowej, gdyż nie pozwala on na identyfikację abonenta.
Wyrok Sądu Okręgowego w [...] z dnia [...] grudnia 2020 r., podobnie jak powołana wyżej uchwała Sądu Najwyższego z dnia 17 lutego 2016 r., został wydany
w sprawie praktyki naruszającej zbiorowe interesy konsumentów, niemniej
w okolicznościach tej sprawy, podobnie jak w okolicznościach sprawy zakończonej zaskarżoną decyzją PUODO, dochodziło do wykonywania połączeń telefonicznych
na losowo wybierane numery telefonów osób fizycznych m.in. w celu zapraszania
na spotkania i pokazy produktów. Co natomiast istotne, nie podzielając stanowiska wyrażonego w powołanym wyżej wyroku Sądu Rejonowego dla [...] z dnia [...] kwietnia 2016 r., Sąd Okręgowy w [...] odwołał się do
art. 1 ust. 1 oraz do motywu 40 dyrektywy 2002/58, zaznaczając w szczególności,
że ma ona na celu harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej, a także, że należy zapewnić środki zabezpieczające abonentów przed ingerencją w ich prywatność przez niezamówione komunikaty do celów marketingu bezpośredniego. Sąd Okręgowy stwierdził,
że kontaktowanie się z abonentem w celu uzyskania zgody na kontakt w celu marketingowym jest naruszeniem prawa do prywatności abonenta zmierzającym
do uzyskania zgody, której konsekwencją będzie możliwość przedstawienia oferty/informacji marketingowych przez przedsiębiorcę. Sąd trafnie skonstatował,
że przyjęcie stanowiska prezentowanego przez Sąd Rejonowy dla [...] w [...] prowadziłoby do obchodzenia przez przedsiębiorców zakazu wyrażonego w art. 172 P.t., a tym samym uczynienia go martwym. Przedsiębiorca mógłby bowiem niepokoić konsumenta takimi kontaktami/zapytaniami bez ograniczeń, nawet jeśli we wcześniejszej rozmowie konsument nie wyraził zgody na taki kontakt, gdyż za każdym razem tłumaczyłby się, że kontaktuje się z abonentem jedynie w celu uzyskania zgody na marketing bezpośredni, a nie w celu marketingu bezpośredniego w rozumieniu Prawa telekomunikacyjnego.
Z poczynionym już wyżej zastrzeżeniem, że w niniejszej sprawie nie oceniano, czy skarżąca Spółka dopuściła się praktyki naruszającej zbiorowe interesy konsumentów, należy stwierdzić, że powołane wyżej orzeczenia Sądu Najwyższego i Sądu Okręgowego w [...] potwierdzają wniosek, iż przetwarzanie informacji o osobie fizycznej w postaci numeru telefonu, z którego korzysta, a co za tym idzie,
który umożliwia skontaktowanie się z nią, stanowi przetwarzanie danych osobowych tej osoby fizycznej, niezależnie od tego, czy dysponujący tą informacją podmiot posiada także inne dane pozwalające zidentyfikować tę osobę lub dysponuje środkami, które z uzasadnionym prawdopodobieństwem mogą być wykorzystane w celu uzyskania takich informacji. Nie chodzi tu bowiem o skontaktowanie się w celu uzyskania dodatkowych danych identyfikujących, lecz o sam kontakt, który per se narusza chronione tak dyrektywą 2002/58, jak i RODO, prawo do prywatności osoby fizycznej zawarowane w art. 7 Karty praw podstawowych Unii Europejskiej (Dz. U. UE. C. z 2007 r. Nr 303, str. 1 ze zm.), a na poziomie krajowym w art. 47 Konstytucji Rzeczypospolitej Polskiej. Do takiego wniosku prowadzi w ocenie Sądu wykładnia
art. 4 pkt 1 w zw. z motywem 26 RODO w związku z powołanymi wyżej przepisami dyrektywy 2002/58. Jak już podniesiono, oba te akty prawne odnoszą się do tego samego obszaru stosunków społecznych, tj. przetwarzania danych osobowych i oba mają na celu w szczególności ochronę osób fizycznych w związku z przetwarzaniem danych osobowych, przy czym drugi z nich dookreśla i uzupełnia pierwszy w sektorze łączności elektronicznej, a określając prawa i obowiązki podmiotów należących do tego sektora, kształtuje też relacje między podmiotami spoza niego (zob. np. powołany wyżej art. 8 dyrektywy 2002/58). Z uwzględnieniem tej funkcji dyrektywy 2002/58 należy wykładać zawarte w niej normy w związku z ogólnymi regulacjami RODO. Tak rozumiana relacja między RODO a dyrektywą 2002/58 prowadzi do wniosku, że zbieranie i przechowywanie numerów telefonów osób fizycznych, w tym numeru telefonu komórkowego uczestnika postępowania, a następnie wykorzystywanie ich w celu nawiązania połączenia, stanowi przetwarzanie danych osobowych tych osób w rozumieniu art. 4 pkt 2 RODO.
Nawet jednak przy założeniu, że sam numer telefonu nie pozwala na zidentyfikowanie osoby fizycznej, do której należy, w ocenie Sądu należałoby przyjąć, że stanowi on dane osobowe P. P.
We wstępnej części wyjaśnienia podstawy prawnej wyroku podano powody,
z których aktualne na gruncie przepisów RODO pozostają, odwołujące się do definicji danych osobowych zawartej w art. 2 lit. a dyrektywy 95/46/WE w związku z motywem 26 tej dyrektywy, orzeczenia TS, jak i powołana w uzasadnieniu zaskarżonej decyzji Opinia nr 4/2007 Grupy Roboczej w sprawie pojęcia danych osobowych. Podzielono też argumentację Grupy Roboczej, zaznaczając, że zyskuje ona na aktualności w świetle zd. 4 motywu 26 RODO, gdzie wskazuje się na konieczność uwzględnienia
m.in. technologii dostępnej w momencie przetwarzania danych, jak i postępu technologicznego.
Uwzględniając powyższe, należy zauważyć, że z powołanego wyżej wyroku TS z dnia 19 października 2016 r. w sprawie C-582/14 Breyer wynika, że: (1) by określone dane mogły zostać uznane za "dane osobowe", nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w posiadaniu tylko jednej osoby (zob. pkt 43 wyroku); (2) należy jednak ustalić, czy możliwość połączenia tych danych z owymi dodatkowymi informacjami będącymi w posiadaniu innego podmiotu stanowi sposób, który może być z uzasadnionym prawdopodobieństwem wykorzystany (zob. pkt 45 wyroku); (3) nie miałoby to miejsca w przypadku, gdyby identyfikacja osoby, której dane dotyczą, była zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydaje się w rzeczywistości znikome.
Uwzględniając powyższe, w ocenie Sądu należy stwierdzić, że uwzględniając obowiązujące przepisy, a także dostępne obecnie technologie i postęp technologiczny, nie ma podstaw, by przyjąć, iż w okolicznościach przedmiotowej sprawy ryzyko uzyskania przez podmiot dysponujący numerem telefonu osoby fizycznej dodatkowych danych ją identyfikujących było w rzeczywistości znikome.
Po pierwsze, należy zaznaczyć, że szanse uzyskania dodatkowych danych identyfikujących w przypadku dysponowania numerem telefonu są zdecydowanie większe niż w przypadku dysponowania numerem IP, a zwłaszcza numerem dynamicznym, który był przedmiotem rozważań TS w wyroku w sprawie C-582/14. Wynika to z faktu, że numer IP jest przypisany nie do osoby, jak numer telefonu
do abonenta będącego osobą fizyczną, a w przypadku abonenta będącego użytkownikiem końcowym, do użytkownika końcowego, lecz do urządzenia, a ściślej rzecz ujmując, do zakończenia sieci. Adres IP może być zatem kwalifikowany jako "punkt zaczepienia", wyróżniony w powołanym wyżej Sprawozdaniu na temat stosowania zasad ochrony danych osobowych w stosunku do ogólnoświatowych sieci telekomunikacyjnych.
Po drugie, należy zauważyć, że z przepisów Prawa telekomunikacyjnego wynika obowiązek zapewnienia w ramach usługi powszechnej ogólnokrajowej informacji o numerach telefonicznych oraz ogólnokrajowego spisu abonentów (art. 81 ust. 3 pkt 4 i pkt 5 P.t.). W świetle natomiast powołanego już art. 169 ust. 1 P.t., dane osobowe zawarte w publicznie dostępnym spisie abonentów, a także udostępniane
za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego mogą obejmować: 1) numer abonenta lub znak identyfikujący abonenta; 2) nazwisko i imiona abonenta; 3) nazwę miejscowości oraz ulicy w miejscu zamieszkania. Zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może oczywiście nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności (art. 169 ust. 3 P.t.). Nie zmienia to jednak faktu, że w przypadku wyrażenia takiej zgody i zamieszczenia innych niż numer telefonu, wyżej wymienionych danych osobowych w spisie, podmiot, który dysponuje numerem telefonu ma możliwość uzyskania tych informacji.
Ponadto, jakkolwiek wykorzystanie tego typu środków przez skarżącą Spółkę w świetle akt sprawy nie wydaje się rozsądnie prawdopodobne, to należy zaznaczyć,
że uzyskanie na podstawie numeru telefonu dodatkowych danych identyfikujących osobę fizyczną od przedsiębiorcy telekomunikacyjnego – nawet w przypadku braku zgody osoby, której dane te dotyczą – nie jest całkowicie wyłączone w świetle przepisów Prawa telekomunikacyjnego.
Po trzecie, uwzględniając dostępne obecnie technologie, należy zauważyć,
że w powszechnie dostępnych aplikacjach służących jako komunikatory (np. [...], [...]) konta użytkowników muszą być powiązane z numerami telefonów użytkowników. W przypadku nieograniczenia w tego typu komunikatorach opcji udostępniania informacji osobistych w ustawieniach prywatności, informacje takie,
jak np. zdjęcie profilowe, widoczne są dla innych użytkowników aplikacji. W takiej sytuacji, dysponując wyłącznie numerem telefonu, można uzyskać tego typu dane identyfikujące.
Po czwarte zatem, w ocenie Sądu, biorąc pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania, oraz uwzględniając dostępną technologię i postęp technologiczny, należy stwierdzić, że skarżąca Spółka,
której oddział w Polsce profesjonalnie zajmował się działalnością centrów telefonicznych (call center), przetwarzaniem danych, a także zarządzaniem stronami internetowymi (zob. dane w rejestrze przedsiębiorców Krajowego Rejestru Sądowego
nr [...]), dysponowała sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących uczestnika postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać.
Biorąc pod uwagę wszystko, co powyżej wywiedziono, Sąd stwierdził,
że skarżąca Spółka, pozyskując numer telefonu komórkowego P.P., przechowując go i wykorzystując następnie do nawiązania połączenia telefonicznego, przetwarzała jego dane osobowe. Podkreślenia przy tym wymaga, że numer telefonu komórkowego użytkownika końcowego będącego osobą fizyczną definiuje tego użytkownika jako osobę korzystającą dla zaspokojenia własnych potrzeb z usług telekomunikacyjnych przypisanych do tego numeru, w tym z podstawowej usługi połączeń telefonicznych, a zatem umożliwia jego zidentyfikowanie poprzez nawiązanie z nim kontaktu w określonym celu i wywieranie na niego określonego wpływu. Nawet przy założeniu, iż sam numer telefonu nie pozwala na zidentyfikowanie osoby fizycznej, należy stwierdzić, że skarżąca Spółka dysponowała sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących uczestnika postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać.
Organ nadzorczy prawidłowo także stwierdził też, że przetwarzanie danych osobowych P. P. odbywało się dla celów marketingu bezpośredniego.
Jak wywodzi skarżąca Spółka, celem połączenia telefonicznego było ustalenie zainteresowania rozmówcy udziałem w organizowanych spotkaniach lub prezentacjach, a dopiero w przypadku wyrażenia woli udziału w spotkaniu rozmówca wyrażał zgodę na przetwarzanie jego danych osobowych i podawał niezbędne dane w celu wzięcia udziału w spotkaniu. Spółka twierdzi, że jej działalność skupia się na zapraszaniu na organizowane spotkania, podczas których kontrahenci Spółki poruszają tematykę spotkań wcześniej określoną podczas składania zaproszenia abonentom. Podczas wyżej wymienionych spotkań uczestnicy mają alternatywną możliwość zapoznania się z ofertą kontrahenta Spółki lub zakupu towarów prezentowanych przez ten podmiot poprzez przyjęcie prezentowanej tam oferty. Spółka podnosi też, że zapraszając na spotkania, w rozmowie nie prowadzi żadnej sprzedaży, nie informuje też o żadnych konkretnych produktach, a jedynie o tematyce spotkania oraz kategoriach prezentowanych produktów. Twierdzi też, że realizuje połączenia we własnym imieniu oraz we własnym imieniu umawia spotkania, które następnie są sprzedawane na rzecz jej kontrahentów z branży sprzedaży bezpośredniej. W takim stanie rzeczy w ocenie skarżącej nie można przypisać korzyści z rzekomego marketingu jakiemukolwiek podmiotowi, a w szczególności Spółce, gdyż nie prowadzi ona podczas połączeń sprzedaży, a produkty oferowane na pokazach nie stanowią w żadnym razie jej własności.
Odnosząc się do powyższej argumentacji, w realiach sprawy, w której PUODO stwierdził w zaskarżonej decyzji, że dane osobowe P.P. przetwarzane były dla celów marketingu bezpośredniego, w ocenie Sądu należy odwołać się
do definicji pojęcia "marketingu bezpośredniego" zawartej w rekomendacji R(85)20 Komitetu Ministrów dla Państw Członkowskich w sprawie ochrony danych osobowych używanych dla celów marketingu bezpośredniego Rady Europy "Ochrona danych osobowych wykorzystywanych dla potrzeb marketingu bezpośredniego"
z 25 października 1985 r. Zgodnie z nią, "marketing bezpośredni", to ogół działań,
jak również wszelkich dotyczących go usług pomocniczych, umożliwiających oferowanie produktów lub usług bądź przekazywanie innych informacji do grupy ludności - za pośrednictwem poczty, telefonu lub innych bezpośrednich środków - w celach informacyjnych bądź w celu wywołania reakcji ze strony osoby, której dane dotyczą.
Na zasadność odwołania się do przywołanej definicji wskazał również Sąd Ochrony Konkurencji i Konsumentów w wyroku z dnia [...] marca 2014 r., sygn. akt [...] (Lex nr [...]), a także Sąd Okręgowy w [...] w powołanym wyżej wyroku z dnia [...] grudnia 2020 r., sygn. akt [...].
Przyjmując natomiast takie rozumienie pojęcia marketingu bezpośredniego, należy stwierdzić, że wykonywanie połączeń telefonicznych w celu zaproszenia konsumenta na pokaz lub spotkanie, podczas którego istnieje możliwość zakupu produktów, jest marketingiem bezpośrednim, ponieważ jest przekazaniem informacji
w celu wywołania reakcji ze strony konsumenta w postaci udania się na pokaz
i zakupienia oferowanych produktów.
Nie ma przy tym znaczenia, że produkty oferowane na pokazach, na które zapraszała skarżąca Spółka, nie były jej własnością, czy też nie były oferowane przez nią, lecz przez jej kontrahentów. Należy bowiem podkreślić, odwołując się ponownie
do powołanej wyżej uchwały Sądu Najwyższego z dnia 17 lutego 2016 r., sygn. akt
III SZP 7/15, że z uwagi na znaczenie prawa do prywatności oraz uciążliwość form komunikacji marketingowej, o których mowa w art. 172 ust. 1 Prawa telekomunikacyjnego, dla użytkowników telefonii komórkowej, zwroty, którymi posłużył się ustawodawca w tym przepisie ("używanie telekomunikacyjnych urządzeń końcowych", "używanie automatycznych systemów wywołujących") nie mogą być interpretowane zawężająco. Skoro zatem skarżąca Spółka używała telekomunikacyjnych urządzeń końcowych w celu zaproszenia konsumentów na pokazy lub spotkania, podczas których istniała możliwość zakupu produktów, to używała tych urządzeń w celu marketingu bezpośredniego. To, kto następnie oferował produkty na umawianych przez nią spotkaniach nie ma znaczenia z perspektywy normy prawnej zawartej w art. 172 ust. 1 P.t.
Stwierdzenie, że przetwarzanie danych osobowych P. P. odbywało się dla celów marketingu bezpośredniego ma o tyle istotne znaczenie,
że zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W świetle natomiast motywu 47 zd. 6 RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Niemniej jednak, prawnie uzasadnione interesy administratora mogą być podstawą prawną przetwarzania, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny
i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (zob. motyw 47 RODO zd. 1 – zd. 3).
Jak dostrzegła Europejska Rada Ochrony Danych Osobowych w powołanej wyżej Opinii z 12 marca 2019 r. nr 5/2019, organy ochrony danych posiadają właściwość do przeprowadzenia kontroli podzbiorów przetwarzania podlegających przepisom krajowym transponującym dyrektywę o prywatności i łączności elektronicznej tylko wtedy, gdy prawo krajowe stanowi, że należy to do ich właściwości. Niemniej jednak, sam fakt, że podzbiór przetwarzania wchodzi w zakres dyrektywy o prywatności i łączności elektronicznej nie ogranicza właściwości organów ochrony danych na podstawie RODO (str. 22 i str. 26 powołanej Opinii). Naruszenie przepisów RODO może również stanowić naruszenie krajowych przepisów dotyczących prywatności i łączności elektronicznej. Organ ochrony danych może uwzględnić to faktyczne stwierdzenie naruszenia przepisów dotyczących prywatności i łączności elektronicznej przy stosowaniu RODO (np. oceniając, czy przestrzegano zasady zgodności z prawem lub zasady rzetelności na podstawie art. 5 ust. 1 lit. a RODO). Wszelkie decyzje w zakresie egzekwowania prawa muszą być jednak uzasadnione na podstawie RODO, chyba że w prawie państwa członkowskiego rozszerzono właściwość organu ochrony danych (str. 24 i str. 26 powołanej Opinii).
Podzielając powyższe stanowisko, należy zaznaczyć, że w świetle dookreślającego i precyzującego przepisy RODO art. 172 ust. 1 P.t., zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z art. 174 P.t., do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.
Skoro zatem używanie telekomunikacyjnych urządzeń końcowych
i automatycznych systemów wywołujących dla celów marketingu bezpośredniego dopuszczalne jest pod warunkiem uprzedniego wyrażenia zgody przez abonenta
lub użytkownika końcowego, to brak takiej zgody ze strony P. P., powoduje, że nie mógł on mieć rozsądnych przesłanek, by spodziewać się, że może nastąpić przetwarzanie jego danej osobowej w postaci numeru telefonu do tych celów.
Co za tym idzie, skarżąca Spółka nie była uprawniona do przetwarzania danych osobowych uczestnika postępowania w zakresie numeru telefonu w oparciu o art. 6 ust. 1 lit. f RODO. W tym bowiem przypadku nadrzędny charakter nad prawnie uzasadnionym interesem skarżącej ma prawo uczestnika postępowania do ochrony jego podstawowego prawa - prawa do prywatności, chronionego przepisem
Prawa telekomunikacyjnego implementującym przepisy dyrektywy 2002/58.
W świetle powyższego należało stwierdzić, że Prezes UODO trafnie uznał, że skarżąca Spółka przetwarzała dane osobowe P. P. bez podstawy prawnej przez co naruszyła art. 6 ust. 1 RODO.
Nie można też podzielić stanowiska Spółki, że Prezes UODO nie dokonał wystarczających ustaleń w zakresie obejmującym złożenie przez P. P. żądania usunięcia jego danych osobowych w zakresie numeru telefonu oraz wskazania informacji dotyczących źródła pozyskiwania danych osobowych.
Organ nadzorczy w postępowaniu w sprawie skargi wniesionej przez osobę, której dane dotyczą, zobowiązany jest kierować się, określonymi w K.p.a.,
ogólnymi zasadami postępowania oraz przepisami określającymi jego obowiązki
w postępowaniu dowodowym. Stosownie do treści art. 7 K.p.a., w toku postępowania powinnością Prezesa UODO jest zatem stanie na straży praworządności i podejmowanie z urzędu lub na wniosek stron wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, z uwzględnieniem interesu społecznego i słusznego interesu obywateli. Przepis art. 77 § 1 K.p.a. obliguje zaś do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego. Zebrane przez organ administracji dowody podlegają ocenie zgodnie z zasadą swobodnej oceny dowodów, która nakazuje jako dowód dopuścić wszystko, co może przyczynić się do wyjaśnienia sprawy, a nie jest sprzeczne z prawem (art. 75 § 1 zd. 1 K.p.a.) oraz ocenić na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona (art. 80 K.p.a.).
Jak wynika z akt sprawy, pracownicy skarżącej Spółki wykonywali połączenia telefoniczne do P. P. Fakt ten skarżąca Spółka potwierdziła w złożonych w sprawie wyjaśnieniach. Stwierdziła także, że uczestnik postępowania nie zdecydował się na podanie danych osobowych podczas rozmowy z telemarketerem, a tenże dysponował jedynie numerem telefonu pozyskanym z pakietu danych. Dane osobowe P. P. skarżąca Spółka pozyskała w trakcie postępowania zainicjowanego przez zainteresowanego przed Prezesem UODO. Przez cały tok postępowania, zarówno przed organem nadzoru, jak i przed Sądem utrzymywała, że numer telefonu uczestnika postępowania nie stanowi dla niej danych osobowych. Natomiast P. P., w skardze do Prezesa UODO podał, że [...] kwietnia 2021 r. przesłał na adres e-mail Spółki: [...] żądanie w zakresie zaprzestania przetwarzania jego danych osobowych oraz ich usunięcia z bazy danych Spółki. Twierdzeń P. P. skarżąca Spółka nie kwestionuje utrzymując konsekwentnie, iż numer telefonu nie jest daną osobową, a co się z tym wiąże, dysponując jedynie ciągiem cyfr numeru telefonicznego nie ma miała możliwości wdrożyć procedur usunięcia danych osobowych.
W tych okolicznościach materiał dowodowy zgromadzony w toku postępowania, oceniony zgodnie z powołanymi wyżej przepisami K.p.a. w całokształcie, dawał podstawę do stwierdzenia, że uczestnik postępowania złożył żądanie usunięcia danych osobowych.
Zgodnie z art. 17 ust. 1 lit. d RODO, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe były przetwarzane niezgodnie z prawem.
Wedle natomiast art. 12 ust. 1 RODO, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Jak wynika z akt sprawy, Spółka w dniu [...] kwietnia 2021 r. usunęła numer telefonu P. P. z posiadanej bazy numerów.
W świetle powyższego należy uznać za uzasadnione stanowisko organu odnośnie tego, że skarżąca dopuściła się naruszenia art. 15 ust. 1 lit. g RODO, ponieważ nie poinformowała P. P. o źródle pozyskania jego danych osobowych. Spółka dopuściła się zatem naruszenia art. 12 ust. 1 w zw. z art. 15 ust. 1 lit. g rozporządzenia 2016/679.
Reasumując, kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania, jak też naruszeniem prawa materialnego. Brak jest podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy. Materiał dowodowy zgormadzony w toku postępowania zakończonego zaskarżoną decyzją stanowił wystarczającą podstawę do skorzystania przez Prezesa UODO z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO, który wyposaża organ nadzorczy w kompetencję do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania. Uzasadnienie zaskarżonej decyzji odpowiada prawu. Zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
Prezes UODO prawidłowo ustalił, że skarżąca Spółka przetwarzała dane osobowe P. P. w zakresie numeru telefonu oraz że przetwarzanie to odbywało się bez podstawy prawnej. Trafnie stwierdził też, że skarżąca Spółka po terminie spełniła żądanie uczestnika postępowania w zakresie usunięcia danych osobowych oraz nie udzielił mu informacji na temat źródła pozyskania danych osobowych, przy czym w związku z usunięciem numeru telefonu z bazy danych, nie było podstaw do zobowiązania do wykonania tego obowiązku.
Z tych względów Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji wyroku.