II SA/Wa 981/22

II SA/Wa 981/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-12-22
orzeczenie nieprawomocne
Data wpływu
2022-06-09
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Joanna Kube, Sędzia WSA Andrzej Góraj, Protokolant starszy specjalista Aleksandra Weiher po rozpoznaniu na rozprawie w dniu 8 grudnia 2022 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z [...] marca 2022r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] marca 2022r. nr [...] udzielił [...] Sp. z o.o. z siedzibą w [...] (zwana dalej: "Spółką" albo "Skarżącą"), działającą przez oddział w Polsce ([...] Sp. z o.o. z siedzibą w [...], zwany dalej "Oddziałem") upomnienia za naruszenie art. 12 ust. 3 w zw. z art. 15 ust. 1 lit. g) rozporządzenia 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz.UE L 119 z 4.05.2016, str. 1, Dz.Urz.UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35 zwane dalej: "RODO"), polegające na poinformowaniu D. B. (zwany dalej "Uczestnikiem") o źródle pozyskania Jego danych osobowych po przekroczeniu terminu określonego w art. 12 ust. 3 RODO. W podstawie prawnej decyzji powołano też art. 104 § 1 Kodeksu postępowania administracyjnego (Dz.U. z 2021r., poz. 735 ze zm., zwana dalej "k.p.a.") w zw. z art. 7 ust. 1 i 2 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana dalej "u.o.d.o.") i art. 58 ust. 2 lit. b RODO.
Prezes UODO w uzasadnieniu ww. decyzji wskazał, że Uczestnik w skardze z [...] kwietnia 2021r. zgłosił nieprawidłowości w procesie przetwarzania Jego danych osobowych przez Spółkę, polegające na braku odpowiedzi na pytanie o źródło pochodzenia danych osobowych. Prezes UODO ustalił, na podstawie wyjaśnień Spółki i po zgromadzeniu materiału dowodowego, że Uczestnik [...] marca 2021r. odebrał połączenie telefoniczne od przedstawiciela Spółki z ofertą handlową, pochodzące z nr tel. [...]. Pracownik Spółki podczas rozmowy nie był w stanie udzielić odpowiedzi, z jakiego źródła Spółka pozyskała Jego dane osobowe, podał tylko adres e-mail Inspektora Ochrony Danych Osobowych Spółki. Tego samego dnia Uczestnik wysłał wiadomość e-mail pod adres: [...], w której zażądał informacji - m.in. o źródle pozyskania danych osobowych (kopia wniosku Uczestnika z [...] marca 2021r. i pismo z [...] kwietnia 2021r.). Spółka udzieliła Uczestnikowi odpowiedzi [...] maja 2021r., informując m.in. o źródle pozyskania danych osobowych (wyjaśnienia Spółki z 26 sierpnia 2021r. z kopią korespondencji skierowanej do Uczestnika drogą mailową [...]maja 2021r.). Spółka podniosła, że termin udzielenia odpowiedzi wynikał z sytuacji związanej z epidemią COVID-19, która przyczyniła się do zmiany trybu pracy Spółki i braków kadrowych. Zdaniem Spółki nr telefonu Uczestnika nie stanowi danych osobowych w rozumieniu przepisów RODO, wobec czego Spółka nie była związana terminem przewidzianym w przepisach o ochronie danych osobowych (wyjaśnienia Spółki z 26 sierpnia 2021r.).
Prezes UODO na wstępie przywołał wyrok Europejskiego Trybunału Sprawiedliwości (zwany dalej "TS") z 18 marca 1981r. sygn. akt C-139/80 i wyrok WSA w Gorzowie Wielkopolskim z 22 maja 2013r. sygn. akt II SA/Go 199/13, wskazując, że przedsiębiorca zagraniczny staje się podmiotem praw i obowiązków wynikających z decyzji i to on, poprzez swój oddział, uczestniczy w postępowaniu administracyjnym, jako jego strona. Wszelkie działania dokonane przez oddział przedsiębiorcy zagranicznego oraz wobec oddziału odnoszą bezpośrednio skutek prawny w stosunku do przedsiębiorcy zagranicznego. Pojęcie "oddziału, agencji lub każdego innego zakładu jest równoznaczne z istnieniem centrum operacyjnego, które manifestuje się w sposób trwały na zewnątrz jako przedłużenie przedsiębiorstwa macierzystego, ma dyrekcję i jest materialnie wyposażone tak, aby istniała możliwość negocjowania spraw z osobami trzecimi w taki sposób, aby ci ostatni, wiedząc, że zostanie nawiązany ewentualny stosunek prawny z przedsiębiorstwem macierzystym z siedzibą za granicą, byli zwolnieni z konieczności bezpośredniego zwrócenia się do niego i mogli prowadzić interesy z centrum operacyjnym, które stanowi jego przedłużenie.
Zdaniem Prezesa UODO skarga Uczestnika była zasadna, bo skorzystał On podczas rozmowy telefonicznej z przedstawicielem Spółki z przysługującego, na mocy art. 15 ust. 1 lit. g RODO, prawa do uzyskania informacji o przetwarzanych danych osobowych - o źródle ich pozyskania. Uczestnik tego samego dnia wniósł o zrealizowanie tego prawa także drogą mailową. Spółka zobligowana zatem była do udzielenia Uczestnikowi odpowiedzi bez zbędnej zwłoki, a najpóźniej w terminie miesiąca. Spółka wystosowała odpowiedź na ww. wniosek dopiero [...] maja 2021r. (z przekroczeniem terminu z art. 12 ust. 3 RODO), wskazując skąd posiada dane osobowe Uczestnika. Wprawdzie Skarżąca argumentuje, że niezwłocznej odpowiedzi nie udzieliła, z uwagi na panującą w Polsce epidemię COVID-19, która przyczyniła się do zmiany trybu pracy Spółki i braków kadrowych, ale wówczas – zdaniem Prezesa UODO - należało skorzystać z możliwości przedłużenia terminu do realizacji żądania, na mocy art. 12 ust. 3 RODO. Spółka tego nie uczyniła.
Prezes UODO wskazał, że choć Skarżąca kwestionuje, że nie była zawiązana terminami przewidzianymi w przepisach o ochronie danych osobowych, tym niemniej osoba zainteresowana może zwrócić się do administratora z żądaniem dotyczącym jej danych osobowych także wówczas, gdy nie ma pewności czy administrator ten przetwarza dane osobowe jej dotyczące. Zgodnie z art. 15 ust. 1 RODO nawet, gdyby podmiot ten nie przetwarzał danych osobowych strony, byłby zobligowany - na podstawie przepisów RODO - do udzielenia odpowiedzi, w terminach określonych w tym akcie.
Prezes UODO mając na względzie żądania zawarte w skardze Uczestnika, podniósł, że jakkolwiek Spółka udzieliła po terminie informacji o źródle pochodzenia danych Uczestnika, to nie było podstaw do wydania decyzji nakazującej spełnienie żądania w tym zakresie. Prezes UODO udzielił natomiast Spółce upomnienia, stosownie do art. 58 ust. 2 lit. b RODO, gdyż Skarżąca naruszyła art. 12 ust. 3 RODO w związku z art. 15 ust. 1 lit. g RODO.
2. Spółka, reprezentowana przez pełnomocnika adw. M. P. , w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła o uwzględnienie przez Prezesa UODO skargi w całości i uchylenie ww. decyzji Prezesa UODO, a w razie braku dokonania samokontroli przez organ wniosła o uchylenie przez Sąd ww. decyzji i przekazanie sprawy Prezesowi UODO do ponownego rozpatrzenia oraz o zasądzenie na rzecz Spółki kosztów postępowania, w tym zwrotu kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa, według norm przepisanych, zarzucając naruszenie:
a) art. 4 pkt 1 RODO - przez błędne uznanie, że nr tel. z ogólną daną geolokalizacyjną (na poziomie województwa lub powiatu) stanowi daną osobową umożliwiającą zidentyfikowanie osoby fizycznej, gdy nr tel. z ogólną daną geolokalizacyjną nie jest informacją o charakterze osobowym, w zakres której wchodzą dane o cechach identyfikujących daną osobę, gdyż taki zbiór danych nie pozwala na ustalenie przez Spółkę tożsamości osoby, która się nim posługuje i w żaden sposób nie wskazuje na personalia tej osoby;
b) art. 4 pkt 2 RODO - przez błędne uznanie, że Spółka przetwarzała dane osobowe Uczestnika, gdy nie można przypisać Spółce roli w procesie przetwarzania wyłącznie nr tel., gdyż dane te nie stanowią danych osobowych w rozumieniu RODO;
c) art. 4 pkt 7 i 8 RODO - przez błędne uznanie, że Spółka pełniła rolę administratora danych osobowych lub podmiotu przetwarzającego, gdy Spółka ani samodzielnie ani wspólnie z innymi - w ramach prowadzonej działalności gospodarczej - nie decydowała o celach i środkach przetwarzania danych osobowych, nie przetwarzała danych osobowych Uczestnika w imieniu administratora;
d) art. 6 ust. 1 RODO – przez jego błędne zastosowanie i przyjęcie, że ma on zastosowania, gdy Spółka nie przetwarza danych osobowych w rozumieniu RODO;
e) art. 11 ust. 1 RODO w zw. z motywem 57 RODO - przez nieprawidłowe przyjęcie, że do czynności realizowanych przez Spółkę, a objętych zaskarżoną decyzją zastosowanie znajduje RODO, gdy w toku czynności objętych decyzją nie dochodzi do przetwarzania danych osobowych, a Spółka nie jest obowiązana do ich pozyskiwania wyłącznie w celu zastosowania RODO;
f) art. 15 ust. 1 lit. g) RODO w zw. z art. 12 ust. 3 RODO - przez błędne uznanie, że Spółka dopuściła się odmowy realizacji żądania Uczestnika w zakresie źródła pozyskania danych osobowych, gdy Spółka:
- nie była obowiązana do udzielenia takich informacji w związku z brakiem przetwarzania danych osobowych Uczestnika i niestosowaniem RODO do podejmowanych czynności;
- nie przetwarzała danych osobowych Uczestnika bez podstawy prawnej w celach marketingowych;
- nie pełniła roli administratora danych osobowych Uczestnika;
- mimo braku obowiązku, udzieliła informacji o źródle pozyskania danych nieosobowych Uczestnika w postaci numeru telefonu;
g) art. 58 ust. 2 lit. b RODO - przez błędne uznanie, iż Spółka pełniła rolę administratora danych lub podmiotu przetwarzającego, gdy ww. przepis przyznaje uprawnienie organowi nadzorczemu do udzielenia upomnień lub nakazanie spełnienia żądania osoby, której dane dotyczą - wyłącznie administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów RODO przez operacje przetwarzania, co nie może mieć miejsca w opisanej sytuacji, gdyż Spółka nie pełniła ww. ról;
h) art. 8 i art. 11 k.p.a. - przez zaniechanie odniesienia się do stanowiska Spółki i załączonych dokumentów oraz zaniechanie pełnego uzasadnienia decyzji, a w konsekwencji uniemożliwienie Spółce pełnego ustosunkowania się do decyzji;
i) art. 14 k.p.a. w zw. z art. 107 k.p.a. - przez ograniczenie uzasadnienia decyzji i nie odniesienie się do wszystkich twierdzeń Spółki, oraz dokumentów przedłożonych w toku postępowania;
j) art. 7, art. 77 § 1 i art. 80 k.p.a. - przez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością, a co za tym idzie przyznania racji Uczestnikowi, gdy:
- sam nr telefonu, nawet w połączeniu z ogólną daną geolokalizacyjną, bez innych danych umożliwiających ustalenie podmiotu danych nie stanowi danej osobowej umożliwiającej zidentyfikowanie osoby fizycznej,
- Spółka nie posiadała danych osobowych Uczestnika, więc nie przetwarzała danych osobowych do celów marketingowych bez podstawy prawnej,
- Spółka nie prowadzi działalności o charakterze marketingowym, w tym na potrzeby marketingu bezpośredniego,
- Spółka nie pełniła roli administratora, współadministratora ani podmiotu przetwarzającego dane osobowe Uczestnika w rozumieniu art. 4 pkt 1 RODO,
- Spółka nie pozyskiwała danych osobowych od innego podmiotu, pozyskała bazę danych nieosobowych, wśród której znajdował się wyłącznie nr tel.,
- Spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą;
- Spółka mimo braku obowiązku poinformowała Uczestnika o źródle pozyskania jego danych nieosobowych w postaci numeru telefonu;
k) art. 6 i art. 7 k.p.a. - przez prowadzenie postępowania w sposób niezgodny z zasadami praworządności, demokratycznego państwa prawa oraz pewności prawa, przejawiające się w braku:
- odniesienia się do wszystkich zarzutów i twierdzeń Spółki,
- ponownego zbadania sprawy na skutek uzupełnienia stanowiska oraz przedłożenia przez Spółkę dokumentacji, a także przedłożenia umowy łączącej Spółkę z podmiotem udostępniającym bazę danych nieosobowych, zawierającą wyłącznie numery telefonu;
l) art. 8 i art. 11 k.p.a. - przez prowadzenie postępowania w sposób niezgodny z zasadą przekonywania i pogłębiania zaufania do organów administracji, przejawiające się w: - zaniechaniu pełnego uzasadnienia decyzji, - nieustosunkowaniu się do podniesionych twierdzeń i dowodów Spółki;
m) art. 15 k.p.a. - przez nierozpoznanie sprawy w całokształcie wszystkich jej okoliczności faktycznych i prawnych,
n) art. 124 § 2 k.p.a. - przez nie zawarcie w zaskarżonej decyzji uzasadnienia faktycznego obejmującego wskazanie faktów, które organ uznał za udowodnione, dowodów na których się oparł oraz przyczyn z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej.
Zdaniem Skarżącej powyższe naruszenia spowodowały błąd w ustaleniach faktycznych i nieuprawnione przyjęcie, że Spółka:
- przetwarzała dane osobowe w zakresie nr tel. Uczestnika bez podstawy prawnej, w sytuacji w której numer ten nie stanowi danych osobowych, a Spółka nie przetwarza żadnych danych osobowych;
- nie spełniła żądania Uczestnika w zakresie wskazania źródła pozyskania danych osobowych po upływie terminu, gdy Spółka nie przetwarzała danych osobowych Uczestnika, więc nie była zobligowana do wskazania źródła pozyskania danych nieosobowych w terminie przewidzianym przepisami RODO,
- pomimo braku ciążącego na Niej obowiązku wskazała, że termin udzielenia odpowiedzi wynikał z sytuacji związanej z epidemią COVID-19, która przyczyniła się do zmiany trybu pracy Spółki i braków kadrowych, oraz że nr telefonu nie stanowi danych osobowych w rozumieniu przepisów RODO, wobec czego Spółka nie była związana terminem przewidzianym w przepisach o ochronie danych osobowych.
Spółka w uzasadnieniu skargi przytoczyła przebieg postępowania i omówiła szerzej zarzuty skargi. Wskazała, że prowadzi działalność gospodarczą w zakresie umawiania pokazów i prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej, wykonuje połączenia telefoniczne pod posiadane numery telefonów, ale bez przyporządkowania do nich danych osobowych ich właścicieli lub użytkowników. Spółka, kontaktując się z osobą nie zna jej danych osobowych, w tym imienia, nazwiska czy adresu zamieszkania, do czasu ich ewentualnego podania przez rozmówcę drogą telefoniczną, celem przesłania zaproszenia na pokaz czy prezentację. Spółka, realizując działalność, wykonuje połączenia telefoniczne pod numery telefonów otrzymane (nabyte) od współpracującego podmiotu, w ramach każdorazowo odrębnie generowanych pakietów danych. Spółka nabywa pakiety danych w ramach współpracy gospodarczej łączącej oba podmioty. Celem połączenia nie było pozyskanie danych identyfikacyjnych rozmówcy, lecz ustalenie zainteresowania udziałem w organizowanych spotkaniach lub prezentacjach, a dopiero w przypadku wyrażenia woli udziału w spotkaniu, rozmówca wyrażał zgodę na przetwarzanie danych osobowych i podawał niezbędne dane w celu wzięcia udziału w spotkaniu.
Spółka w kontekście art. 4 ust. 1 RODO oraz motywu 26 Preambuły RODO przywołała wyroki NSA z: 19 stycznia 2010r. sygn. akt I OSK 491/09; 19 maja 2011r. sygn. akt I OSK 1086/10 i 22 listopada 2016r. sygn. akt I OSK 496/15, zgodnie z którymi tylko i wyłącznie informacje, które bez nadzwyczajnego wysiłku oraz bez nieproporcjonalnie dużych nakładów dają się powiązać z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych. W zaskarżonej decyzji organ nie wskazał, że identyfikacja nie wymagała nadmiernych kosztów bądź czasu.
Spółka podkreśliła, że w analogicznym stanie faktycznym WSA w Warszawie w wyroku z 18 maja 2021r. sygn. akt II SA/Wa 1898/20 wskazał, że sam numer telefonu nie pozwala na identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacza numeru - abonenta lub osoby, która faktycznie używa danego numeru. Skoro nabyty przez Spółkę od Spółki II zbiór danych (baza numerów telefonów) identyfikuje wyłącznie osoby zamieszkujące pewien teren (tak powołane przez Spółkę kryteria zasobu nabytej bazy - geograficzne), to sam numer telefonu nie jest wystarczający do identyfikacji konkretnej osoby, jako jednostki o przypisanych jej cechach indywidualnych. Nie sposób więc uznać, aby Spółka dysponowała danymi osobowymi Wnioskodawcy i je przetwarzała. Skoro zaś Spółka nie przetwarzała danych osobowych Wnioskodawcy, nie znajdą do niej zastosowania wymagania określone RODO. Wobec tego Spółka wskazała, że nie dysponowała środkami prawnymi, technicznymi, bądź organizacyjnymi, umożliwiającymi jej dokonanie identyfikacji podmiotów, z którymi kontaktowali się Jej przedstawiciele, nie była również w stanie przypisać danego numeru telefonu do konkretnej osoby fizycznej, gdyż do momentu ewentualnego podania danych osobowych przez rozmówcę, rozmowa odbywała się anonimowo. Numer telefonu nie posiada dla Spółki żadnego waloru informacyjnego, gdyż nie dysponuje narzędziami czy rozwiązaniami technicznymi umożliwiającymi identyfikację osoby fizycznej.
Zdaniem Spółki nieaktualna jest teza z wyroku WSA w Krakowie z 11 października 2013r. (II SA/Wa 682/13) powołanego w zaskarżonej decyzji, gdyż dotyczy nieobowiązującej ustawy z 29 sierpnia 1997r. o ochronie danych osobowych, a ponadto odnosi się do innego stanu faktycznego i innego zestawu danych, więc nie ma zastosowania w sprawie.
Spółka, powołując się na doktrynę, zaznaczyła, że sam nr telefonu w większości przypadków (z wyjątkiem, gdy administrator danych - dysponent informacji - będzie miał również inne informacje, które umożliwiają identyfikację osoby fizycznej) nie będzie stanowił danych osobowych. Możliwość identyfikowania osoby fizycznej należy odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Tego pojęcia nie można odnosić do podejmowania działań zmierzających do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną) (Komentarz do Rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, red. dr Pawła Litwińskiego, 2018, Legalis).
Skoro Prezes UODO przyjmuje, że nr tel. stanowi jedynie informację, a tym samym przyjmuje przeciwne stanowisko, że nr tel. stanowi informację o możliwej do zidentyfikowania osobie fizycznej to (pomijając, że w decyzji wyrażono sprzeczne stanowiska) winien tę okoliczność wykazać przez wskazanie sposobu identyfikacji podmiotu danych, z zastrzeżeniem realizacji kryteriów określonych w art. 4 pkt 1 RODO. Nieprzekazanie przez podmiot danych informacji pozwalających na jego identyfikację powoduje, że Spółka nie tylko nie posiada danych osobowych podmiotu danych, ale traci możliwość pozyskania danych abonenta, które w zestawieniu z posiadanym numerem telefonu mogłyby stanowić dane osobowe. Należy też wziąć pod uwagę możliwość podania przez rozmówcę danych niezgodnych ze stanem faktycznym, co nie pozwala na przeprowadzenie prawidłowej identyfikacji osoby, której dane dotyczą. Jedynym sposobem identyfikacji podmiotu danych, który nie pozostawia wątpliwości co do prawidłowego przyporządkowania numeru telefonu do danych osobowych abonenta, jest dostęp do listy abonentów prowadzonej przez operatorów telefonicznych. Spółka nie posiada i nie posiadała dostępu do takiej bazy.
Należy więc nie tylko ocenić łatwość identyfikacji, ale możliwość jej dokonania, na którą składają się prawidłowość, skuteczność oraz dostępność danej metody identyfikacji dla podmiotu mającego podejmować "czynności identyfikacyjne". Prezes UODO nie wykazał ani nie uprawdopodobnił, że istnieją okoliczności faktyczne, które wskazują na istnienie po stronie Spółki sposobów, jakimi można się posłużyć w celu zidentyfikowania osoby. Spółka nabywa pakiety danych w celu realizacji usług i zapraszania rozmówców na organizowane pokazy, a nie w celu identyfikacji osób czy pozyskania danych tych osób. Identyfikacja rozmówców następuje wyłącznie w chwili zainteresowania propozycją udziału w prezentacji i dobrowolnym podaniu danych przez rozmówcę właśnie w tym celu. Brak zatem możliwości przypisania Spółce przetwarzania danych osobowych Uczestniczki w postaci wyłącznie numeru telefonu, gdyż dana ta nie stanowi danych osobowych w rozumieniu RODO.
Prezes UODO nie wskazał, jak: - miałaby przebiegać procedura identyfikacji rozmówcy w oparciu o dostępne techniki; - miałoby następować potwierdzenie tożsamości rozmówcy; - rozróżniać dane użytkownika numeru telefonu od abonenta (właściciela); - zidentyfikować rozmówcę, gdy odmówi podania danych.
Skarżąca wskazała, że wbrew stanowisku Prezesa UODO nie wystąpiły przesłanki z art. 15 ust. 1 lit. g RODO, gdyż w sprawie nie można było stosować RODO, bo Spółka nie realizowała czynności w rozumieniu art. 4 pkt 1 i 2 RODO i nie sprawowała roli administratora w rozumieniu art. 4 pkt 7 RODO, nie wystąpiło też uprawnione żądanie zidentyfikowanego podmiotu danych. W związku z tym na Spółce nie ciążył obowiązek wynikający z art. 12 ust. 3 RODO w zw. z art. 15 ust. 1 RODO. Dodatkowo, choć Spółka nie miała takiego obowiązku, zarówno usunęła nr tel. tej osoby, a termin udzielenia Uczestnikowi odpowiedzi wynikał z epidemii COVID-19. Ponadto, skoro nr telefonu nie jest daną osobową, to Skarżąca nie była związana tym terminem ani nie miała obowiązku na mocy art. 11 ust. 1 RODO i motywu 57 RODO pozyskiwana dodatkowych danych o podmiocie w celu zastosowania RODO. Zdaniem Spółki nie ma ona wystarczających danych by ustalić legitymację Uczestnika do występowania w sprawie.
Spółka zaznaczyła, że zaniechanie pełnego uzasadnienia decyzji, uniemożliwiło Jej pełne ustosunkowanie się do ww. decyzji. Prezes UODO winien był ponownie zbadać sprawę na skutek uzupełnienia stanowiska Spółki, przedłożenia stosownych dokumentów, a także przedłożenia umowy łączącej Spółkę z podmiotem, z którym współpracuje.
3. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko wyrażone w zaskarżonej decyzji, rozszerzając argumentację. Wskazał m.in., że Spółka, składając wyjaśnienia nie wskazała, że przetwarzany przez nią numer telefonu Uczestnika powiązany jest z ogólną daną geolokalizacyjną (na poziomie województwa lub powiatu), choć kwestię tę podnosi w zarzutach i w uzasadnieniu skargi. Skoro Spółka posiadała dodatkową informację o Uczestniku, w postaci Jego geolokalizacji, przemawia to za uznaniem nr tel. za daną osobową. Działania Spółki w odniesieniu do nr tel. Uczestnika należy uznać za skierowanie komunikatu do osoby fizycznej jako potencjalnego klienta podmiotów współpracujących ze Spółką. Celem wykonywania połączeń było pozyskanie dodatkowych danych osobowych podmiotu, niezbędnych do wysłania ww. zaproszenia.
Prezes UODO, odwołując się do art. 4 pkt RODO i zarzutu, że nr tel. nie jest daną osobową umożliwiającą zidentyfikowanie osoby fizycznej odwołał się do ustaleń postępowania, które wykazało, że Skarżąca kierowała do osób fizycznych, jako potencjalnych klientów osób współpracujących ze Spółką, komunikaty w celu pozyskania dodatkowych danych niezbędnych do wysłania zaproszenia, co nie wymagało od Skarżącej nadmiernych kosztów bądź czasu. Dodatkowo dysponowanie przez Spółkę nr telefonu Uczestnika pozwala na jego pośrednią identyfikację. W tym zakresie organ powoła się na wyrok WSA w Krakowie z 11 października 2013r. sygn. akt II SA/Kr 682/13, LEX nr 1490608, w którym stwierdzono, że "Podanie numeru telefonu i adresu poczty internetowej stanowi podanie danych osobowych w rozumieniu art. 6 ust. 1-3 ustawy z 29 sierpnia 1997r. o ochronie danych osobowych (Dz.U. z 2002r. Nr 101, poz. 926 ze zm.), bo dane te pozwalają na szybkie zidentyfikowanie konkretnej osoby. Stanowisko to jest aktualne w odniesieniu do obecnie obowiązujących przepisów. Grupa Robocza ds. ochrony danych, powołana na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady WE w Opinii 4/2007 wskazała, że tożsamość osoby można ustalić bezpośrednio przez jej nazwisko lub pośrednio przez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub przez zestawienie istotnych kryteriów, które umożliwiają odróżnienie tej osoby przez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.). TS w wyroku z 6 listopada 2003r. C-101/2001 wskazał, że "operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi "przetwarzanie danych osobowych (...)" w rozumieniu (...) dyrektywy 95/46. Ww. wytyczne Grupy Roboczej ds. ochrony danych i ww. orzeczenie należy stosować do zapisów RODO, które zastąpiło w porządku prawnym ww. dyrektywę 95/46.
Prezes UODO wskazał, że daną osobową jest dowolna inna informacja prowadząca do identyfikacji osoby fizycznej. Taką informacją jest adres IP. Informacje, które wiążą się z określoną osobą - choćby pośrednio – niosą pewien komunikat o niej. Informacją dotyczącą osoby jest zarówno informacja, odnosząca się do niej wprost, jak i taka, która odnosi się bezpośrednio do przedmiotów czy urządzeń, ale przez możliwość powiązania tych przedmiotów czy urządzeń z określoną osobą pośrednio stanowi informację także o niej samej (wyrok NSA z 19 maja 2011r. sygn. akt I OSK 1079/10). Okoliczność dysponowania wyłącznie numerem telefonu, który - co do zasady na dłuższy okres - każdorazowo przyporządkowany jest do konkretnej osobowy fizycznej. Służy też do kontaktu z jego indywidualnym użytkownikiem i bezpośredniego dotarcia do osoby nim się posługującej.
Zdaniem Prezesa UODO, analogicznie do stanu faktycznego przedstawionego w wyroku WSA w Warszawie z 3 lutego 2010r. sygn. akt II SA/Wa 1598/09, w wyroku TS z 19 października 2016r. C-582/14, w Opinii 1/2010(WP 169) z 16 lutego 2010r., przyjąć należy, że posiadanie numeru telefonu podmiotu danych, a dodatkowo kontaktowanie się w celu pozyskania jeszcze większej ilości danych powoduje, że tożsamość danej osoby można ustalić. Może to nastąpić zarówno bezpośrednio w toku samej rozmowy, jak i pośrednio, gdy będą w jej trakcie pozyskane dodatkowe informacje, np. o lokalizacji (ulicy zamieszkania), wieku, wykształceniu, czy preferencjach produktowych, a finalnie imienia i nazwiska oraz adresu zamieszkania - do których pozyskania Spółka przecież dążyła. Prezes UODO, powołując się na wyroki NSA z: 5 lutego 2008r. sygn. akt. I OSK 37/07; 14 marca 2019r. sygn. akt I OSK 1429/17, zaznaczył, że Straż Miejska jest uprawniona do pozyskania wszelkich dodatkowych danych osobowych użytkownika telefonu w celu ustalenia sprawcy wykroczenia, a następnie skierowania do sądu stosownego wniosku o ukaranie, gdy pierwotnie jedyną daną osobową, jaką podmiot ten dysponował był numer telefonu. Nie kwestionowano przy tym, że nr tel. stanowi daną osobową. Nie można też podważać, że daną osobową jest nr PESEL, czy adres zamieszkania, a z uchwały Sądu Najwyższego z 17 lutego 2016r. III SZP 7/15 wynika, że do wykorzystania numerów telefonów w celach marketingowych niezbędne jest uzyskanie zgody, analogicznie jak dla przetwarzania danych osobowych, a w konsekwencji numer telefonu abonenta został umiejscowiony jako jego dana osobowa. Numer telefonu stanowi więc w okolicznościach sprawy daną osobową, a Spółkę należy uznać za administratora danych osobowych zgodnie z art. 4 pkt 7 RODO.
Prezes UODO podniósł, iż w stosownie do treści art. 2 pkt 2 ustawy z 18 lipca 2002r. o świadczeniu usług drogą elektroniczną (Dz.U. 2020r., poz. 344 zwana dalej "u.ś.u.d.e."), połączenia telefoniczne wykonywane na numer telefonu Uczestnika, służyły do promowania wizerunku i usług Spółki i podmiotów z nią współpracujących. Tym samym działania Spółki nakierowane były na wywołanie reakcji Uczestnika i osiągnięciu korzyści stricte handlowych. Wobec tego połączenia te miały na celu chęć wywołania pożądanej przez Spółkę reakcji podmiotu danych. Działania Spółki były zatem wykonywane w celu marketingu bezpośredniego.
Prezes UODO podtrzymał stanowisko, że Spółka nie dopełniła ciążącego na Niej zobowiązania w terminie określonym w art. 15 ust. 1 lit. g) i art. 12 ust. 3 RODO. Podkreślił też, że decyzję zaskarżoną wydano na podstawie wyjaśnień Spółki, a do umowy zawartej przez Spółkę z [...] Sp. z o.o. nie odnoszono się, bo przedmiotem prowadzonego postępowania nie była kwestia legalności przetwarzania danych Uczestnika. Dodał, że niezadowolenie stron postępowania z decyzji nie może być utożsamiane z naruszeniem wynikającego z art. 8 k.p.a. obowiązku prowadzenia postępowania w sposób budzący zaufanie jego uczestników do władzy publicznej.
4. Skarżąca w piśmie z 5 lipca 2022r. podtrzymała wnioski i zarzuty zawarte w skardze oraz wniosła o nieuwzględnienie wniosku Prezesa UODO o oddalenie skargi. Wskazała, że podjęła uchwałę o likwidacji Oddziału, który [...] czerwca 2022r. wykreślono z KRS.
Spółka zakwestionowała stanowisko Prezesa UODO w zakresie art. 4 pkt 1 RODO i motywu 26 RODO, podnosząc, że sam nr tel. nie pozwala na identyfikację konkretnej osoby. Odwołała się w tym zakresie do poglądów prezentowanych w judykaturze (wyrok WSA w Warszawie z 18 maja 2021r. sygn. akt II SA/Wa 1898/20) i w piśmiennictwie (zob. P. Litwiński w Komentarzu do Ogólnego rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe, 2021r.). Podkreśliła też, że nie ma możliwości identyfikujących podmiot, bo Uczestnik ich nie przekazał, a ponadto traci możliwość pozyskania danych abonenta, które w zestawieniu z nr tel. mogłyby stanowić dane osobowe. Zdaniem Skarżącej organ błędnie łączy możliwość identyfikacji danej osoby z dalszymi czynnościami, skutkującymi rozszerzeniem katalogu danych osobowych. Organ nie wykazał też, że celem działań Spółki miało być pozyskiwanie danych osobowych rozmówców, choć Spółka wskazywała, że nabywała pakiety danych w celu realizacji usług i zapraszania rozmówców na organizowane pokazy, a nie w celu identyfikacji osób czy pozyskania danych tych osób. Identyfikacja rozmówców następuje wyłącznie w chwili zainteresowania propozycją udziału w prezentacji i dobrowolnym podaniu danych przez rozmówcę właśnie w tym celu. Organ nie wykazał, że czynności Spółki stanowiły cele marketingu bezpośredniego, pominął wyjaśnienia Spółki w zakresie sposobu jej funkcjonowania. Wskazała, że mimo braku obowiązku usunęła nr. tel. Uczestnika i zaprzeczyła, by dane osobowe nie zostały zebrane od osoby, której dotyczyły. Wskazała, że organ nie dostrzegł, że Uczestnikowi w toku rozmowy telefonicznej wskazano na klauzulę informacyjną oraz podano stronę internetową. Ma to zawsze miejsce, także gdy rozmówca nie podaje danych osobowych. Dodała, że obszar geograficzny również nie pozwala na zidentyfikowanie podmiotu danych, pozwala na wskazanie konkretnego adresu - chociaż nie w każdym przypadku będzie to umożliwiało zidentyfikowanie konkretnej osoby. Pod danym adresem lub na danym obszarze zamieszkiwać mogą osoby posiadające tożsame dane osobowe w postaci imienia i nazwiska.
Spółka, odnosząc się m.in. do art. 159 ustawy prawo telekomunikacyjne (zwane dalej "u.P.t.") wskazała, że przepis ten odsyła do odrębnych przepisów i nie daje bezpośredniej podstawy do ujawnienia tajemnicy telekomunikacyjnej. Nie uznała za zasadne zrównanie możliwości pozyskiwania danych osobowych sprawców wykroczeń przez organy ścigania - Straż Miejską w celu ustalenia ich tożsamości (wyrok NSA z 14 marca 2019r. sygn. akt I OSK 1429/17). Powołała się też na wyrok NSA z 28 czerwca 2019r. sygn. I OSK 2063/17, zgodnie z którym brak możliwości powiązania numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia, że numer rejestracyjny pojazdu nie ma statusu danych osobowych. Często z tego samego pojazdu korzystają różne osoby. Wskazuje to, że nie jest możliwe, w sposób prosty i łatwy, powiązania numer rejestracyjny pojazdu z konkretną osobą - właściciela (lub posiadacza) pojazdu. Sąd Okręgowy w [...] w wyroku z [...] marca 2020r. sygn. akt [...] uznał, że bez zasięgnięcia informacji w CEPIK, która nie jest dostępna bez szczególnego uzasadnienia prawnego, nie sposób, by osoba trzecia ustaliła tożsamość właściciela konkretnego pojazdu. Spółka wskazała, że wyrok WSA w Warszawie sygn. akt II SA/Wa1598/09 dotyczy odmiennego stanu faktycznego, więc stosowanie analogii do identyfikacji osoby publikującej treści w internecie, po adresie IP lub użytym pseudonimie, jest niewłaściwe, gdyż Spółka nie pozyskuje danych osobowych w przypadku braku zgody rozmówcy.
II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
1. skargę należało oddalić.
2. Sąd na wstępie wyjaśnia, że zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2022r., poz. 2492) kontrola sądowa zaskarżonych decyzji, postanowień bądź innych aktów, wymienionych w art. 3 § 2 ustawy z 30 sierpnia 2002r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2022r., poz. 329 ze zm., zwana dalej: "P.p.s.a."), sprawowana jest przez Sądy administracyjne w oparciu o kryterium zgodności z prawem. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzję) konieczne jest stwierdzenie, że doszło w niej do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.). Sąd, stosownie do art. 151 P.p.s.a., w razie nieuwzględnienia skargi w całości albo w części, oddala skargę odpowiednio w całości albo w części.
Sąd wyjaśnia również, że stosownie do art. 134 § 1 P.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Ostatni z ww. przepisów nie miał jednak zastosowania w sprawie, gdyż organ administracyjny wydał decyzję administracyjną, którą zaskarżyła Spółka Skarżąca, a nie interpretację indywidualną, o której mowa w art. 57a P.p.s.a.
3. W ocenie Sądu, analizowana pod tym kątem skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja odpowiadała prawu.
Kwestią sporną w sprawie było to czy Prezes UODO prawidłowo uznał, że numer telefonu komórkowego Uczestnika stanowił daną osobową i czy w związku z tym możliwe było przyjęcie, że nie doszło do nieterminowego, naruszającego art. 12 ust. 3 RODO w związku z art. 15 ust. 1 lit. g) RODO, poinformowania Uczestnika o źródle pozyskania Jego danych osobowych w postaci nr telefonu, który z bazy Spółki został na żądanie usunięty.
4. Sąd w związku z tym wskazuje w pierwszej kolejności, że w okolicznościach faktycznych, które wynikają z akt administracyjnych sprawy, niezasadne były zarzuty procesowe skargi, opierające się na naruszeniu przepisów k.p.a., które były i mogły być stosowane w sprawie.
Zdaniem Sądu, Prezes UODO zarówno zebrał, jak i rozważył całokształt materiału dowodowego sprawy, uwzględniając zasadę prawdy obiektywnej wyrażoną w art. 7 i art. 77 § 1 k.p.a. Prezes UODO, ustalając stan faktyczny sprawy opierał się na obszernym materiale dowodowym, w tym na złożonych przez Spółkę w trakcie postępowania administracyjnego wyjaśnieniach i dowodach, biorąc pod uwagę podnoszone przez Skarżącą okoliczności i oceniając je z punktu widzenia obowiązujących przepisów, w tym RODO. Niezadowolenie Skarżącej z wydanej decyzji nie może być utożsamiane z naruszeniem wynikającego z art. 8 k.p.a. obowiązku prowadzenia postępowania w sposób budzący zaufanie jego uczestników do władzy publicznej, czy też z naruszeniem zasady przekonywania, wyrażonej w art. 11 k.p.a.
Prezes UODO podał w uzasadnieniu zaskarżonej decyzji wystarczające argumenty, które przemawiały za prawidłowością zajętego w niej stanowiska, choć nie satysfakcjonowało ono Spółki, z uwagi na zastosowaną sankcję przewidzianą w art. 58 ust. 2 lit. b) RODO. Organ nadzorczy w postępowaniu w sprawie skargi wniesionej przez osobę, której dane dotyczą, wykazał też, że zobowiązany był zastosować sankcję – udzielić upomnienia – Spółce, która nieterminowo z naruszeniem art. 12 ust. 3 w związku z art. 15 ust. 1 lit. g) RODO udzieliła Uczestnikowi odpowiedzi o źródle pochodzenia Jego danych osobowych. W toku postępowania – na co wskazują dowody znajdujące się w aktach administracyjnych – Uczestnik odebrał [...] marca 2021r. połączenie telefoniczne od przedstawiciela Spółki z ofertą handlową. Pracownik Spółki podczas tej rozmowy nie był w stanie udzielić odpowiedzi, z jakiego źródła Spółka pozyskała Jego dane osobowe, podał tylko adres e-mail Inspektora Ochrony Danych Osobowych Spółki. Tego samego dnia Uczestnik wysłał wiadomość e-mail pod adres: [...], w której zażądał informacji - m.in. o źródle pozyskania danych osobowych (kopia wniosku Uczestnika z [...] marca 2021r. i pismo z [...] kwietnia 2021r.). Spółka udzieliła Uczestnikowi odpowiedzi 9 maja 2021r., informując m.in. o źródle pozyskania danych osobowych (wyjaśnienia Spółki z 26 sierpnia 2021r. z kopią korespondencji skierowanej do Uczestnika drogą mailową 9 maja 2021r.). Spółka podniosła, że termin udzielenia odpowiedzi wynikał z sytuacji związanej z epidemią COVID-19, która przyczyniła się do zmiany trybu pracy Spółki i braków kadrowych. Zdaniem Spółki nr telefonu Uczestnika nie stanowi danych osobowych w rozumieniu przepisów RODO, wobec czego Spółka nie była związana terminem przewidzianym w przepisach o ochronie danych osobowych (wyjaśnienia Spółki z 26 sierpnia 2021r.).
W świetle ww. ustaleń organu, brak jest więc podstaw do uznania, że przed wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozpatrzenie sprawy. Prezes UODO odmiennie natomiast od oczekiwań Spółki skarżącej ocenił stan faktyczny sprawy, który wcześniej ustalił i rozpatrzył z zachowaniem reguł przewidzianych w art. 7, art. 8 § 1, art. 77 § 1 i art. 80 k.p.a., a ponadto w uzasadnieniu podał racjonalne powody i przepisy prawa, które stanowiły podstawę do wyrażonego przez organ stanowiska.
Zgodnie z art. 17 ust. 1 lit. d RODO, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe były przetwarzane niezgodnie z prawem. Ponadto administrator, stosownie do art. 12 ust. 3 RODO, bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
Stosownie do art. 15 ust. 1 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: a) cele przetwarzania; b) kategorie odnośnych danych osobowych; c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; f) informacje o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle; h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Z art. 15 ust. 1 lit. g) RODO wynika zatem, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji o źródle informacji, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą.
Powołanie się zatem przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji na ww. przepisy art. 15 ust. 1 lit. g i art. 12 ust. 3 RODO nie budziło wątpliwości w okolicznościach faktycznych sprawy. Zdaniem Prezes UODO skarga Uczestnika była zasadna, bo skorzystał On podczas rozmowy telefonicznej z przedstawicielem Spółki z przysługującego, na mocy art. 15 ust. 1 lit. g RODO, prawa do uzyskania informacji o przetwarzanych danych osobowych - o źródle ich pozyskania. Organ wskazał ponadto, że Uczestnik tego samego dnia wniósł o zrealizowanie tego prawa przez Spółkę także drogą mailową. Spółka zobligowana zatem była do udzielenia Uczestnikowi odpowiedzi bez zbędnej zwłoki, a najpóźniej w terminie miesiąca. Spółka wystosowała natomiast odpowiedź na ww. wniosek dopiero [...] maja 2021r. (z przekroczeniem terminu z art. 12 ust. 3 RODO), wskazując skąd posiada dane osobowe Uczestnika. Warto też wskazać, że Prezes UODO rozważył okoliczności podnoszone przez Spółkę w zakresie nieterminowego udzielenia Uczestnikowi ww. odpowiedzi, wskazują, że panującą w Polsce epidemia COVID-19, która przyczyniła się do zmiany trybu pracy Spółki i braków kadrowych powinna być przesłanką do skorzystania z możliwości przedłużenia terminu do realizacji żądania, na mocy art. 12 ust. 3 RODO. Z akt sprawy wynika jednak, że Spółka tego nie uczyniła.
Prezes UODO ustosunkował się ponadto w uzasadnieniu zaskarżonej decyzji, do twierdzeń Skarżącej o braku związania Spółki terminami przewidzianymi w przepisach o ochronie danych osobowych, powołując się na art. 15 ust. 1 RODO, z którego wynika, że nawet, gdyby podmiot nie przetwarzał danych osobowych Uczestnika, to byłby zobligowany - na podstawie przepisów RODO - do udzielenia odpowiedzi, w terminach określonych w tym akcie.
Tym samym - wbrew stanowisku prezentowanemu w skardze - uzasadnienie zaskarżonej decyzji odpowiadało prawu, zawierało bowiem wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Warto też wskazać, że prawidłowo w odpowiedzi na skargę Prezes UODO podniósł, że zaskarżoną decyzję wydano na podstawie wyjaśnień Spółki, a do umowy zawartej przez Spółkę z [...] Sp. z o.o. nie odnoszono się, bo przedmiotem prowadzonego postępowania nie była kwestia legalności przetwarzania danych Uczestnika, lecz jedynie terminowość wypełnienia przez Skarżącą spółkę obowiązku informacyjnego, o którym mowa w art. 15 ust. 1 lit. g RODO w związku z art. 12 ust. 3 RODO. W kwestii terminowości udzielonej Uczestnikowi przez Skarżącą odpowiedzi wypowiedział się Prezes UODO, prawidłowo podnosząc, które z przepisów zostały w sprawie naruszone (art. 15 ust. 1 lit. g) i art. 12 ust. 3 RODO) i dlaczego w związku z tym zastosowano sankcję w postaci upomnienia.
Tym samym, w świetle ww. rozważań, na uwzględnienie nie zasługiwały podniesione w skardze zarzuty naruszenia przepisów prawa procesowego.
5. Sąd stwierdza ponadto, że jakkolwiek Prezes UODO w uzasadnieniu zaskarżonej decyzji, z uwagi na zastosowanie art. 15 ust. 1 lit. g) RODO w związku z art. 12 ust. 3 RODO oraz wskazanie, że osoba zainteresowana może zwrócić się do administratora z żądaniem dotyczącym jej danych osobowych także wówczas, gdy nie ma pewności czy administrator ten przetwarza dane osobowe jej dotyczące - nie ustosunkował się szerzej do kwestii możliwości przyjęcia, że telefon komórkowy Uczestnika jest numerem należącym do osoby fizycznej, z którego korzysta dla zaspokojenia własnych potrzeb oraz stanowi danę osobową, wskazując przy tym trafnie, że obowiązek informacyjny spoczywa także na podmiocie, który nie przetwarzał danych osobowych Uczestnika, tym niemniej Sąd, z uwagi na podniesione w skardze zarzuty uznał, że zasadne było odniesienie się do tej kwestii.
Sąd w związku z tym zauważa, że zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Zawarta w art. 4 pkt 1 RODO definicja danych osobowych opiera się na koncepcji "zidentyfikowania" lub "możliwości zidentyfikowania" osób, których dane dotyczą.
Z motywu 26 RODO wynika, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, że zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. RODO nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.
Jakkolwiek art. 4 pkt 1 RODO wyjaśnia, jaką osobę należy uznać za "możliwą do zidentyfikowania", a motyw 26 RODO zawiera swoisty test "możliwości identyfikacji" osoby fizycznej, to przepisy RODO nie wyjaśniają wprost, co oznacza "identyfikacja".
Sąd podkreśla w związku z tym, że definicja danych osobowych w RODO nie różni się istotnie od definicji, którą zawierał art. 2 lit. a) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE. L. z 1995r. Nr 281, str. 31 ze zm., zwana dalej "dyrektywa 95/46/WE"). Przepis ten stanowił bowiem, że dane osobowe oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dane dotyczą"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość.
Tym samym dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Określeniem niejednoznacznym jest zatem również "możliwość zidentyfikowania" (czy "ustalenia tożsamości" - takim pojęciem posługiwano się w polskiej wersji językowej dyrektywy 95/46/WE; wersja angielska RODO i dyrektywy jest tu identyczna). Jak trafnie dostrzeżono w Sprawozdaniu na temat stosowania zasad ochrony danych osobowych w stosunku do ogólnoświatowych sieci telekomunikacyjnych [przygotowane przez Yvesa Poulleta i jego zespół dla komitetu konsultacyjnego Rady Europy ds. konwencji o ochronie osób; Strasbourg 2004r., T-PD(2004)04 final; s. 29-30], koncepcja tożsamości może obejmować trzy różne aspekty: (1) cechy charakteryzujące osobę fizyczną dotyczące jej lub jej życia (np. imię i nazwisko, płeć, wiek, hobby, rodzina, pracodawca, kwalifikacje zawodowe, zakupy, etc.); (2) pewien "punkt zaczepienia" (np. identyfikator internetowy, numer klienta, sesyjny plik cookie), który pozwala na powiązanie ze sobą kilku cech charakteryzujących daną osobę, o których mowa w pkt 1 ("punkt zaczepienia" nie jest sam w sobie informacją o cechach danej osoby, niemniej stanowi "ślad" wskazujący miejsce, w którym są przechowywane takie informacje - nawet jeśli znajdują się w różnych miejscach i były gromadzone w różnym czasie - i pozwala je połączyć w sposób określający tożsamość danej osoby fizycznej); (3) "punkt kontaktowy", który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną (np. pocztą elektroniczną, pocztą, faksem, telefonicznie itp.).
Wymienione trzy aspekty tożsamości osoby fizycznej pozostają koncepcyjnie odrębne, chociaż mogą w praktyce współistnieć lub nawet się łączyć, czego przykładem jest adres zamieszkania osoby fizycznej (składający się z imienia i nazwiska, numeru ulicy i miejscowości). Łączący on w sobie co najmniej dwa z ww. aspektów tożsamości – jest informacją o miejscu pobytu osoby fizycznej, a także stanowi "punkt kontaktowy", ponieważ umożliwia każdemu wysłanie poczty do konkretnej osoby (zob. szerzej powołane Sprawozdanie...).
Sąd wskazuje, że zwrot "można zidentyfikować" rozumie się nie tylko jako możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz jako możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. Komentarz pod red. P. Litwińskiego [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Warszawa 2018r., s. 181). Zidentyfikowanie osoby fizycznej nie musi więc polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu.
Zdaniem Sądu, wbrew stanowisku Spółki prezentowanemu w skardze, numer telefonu osoby fizycznej daje możliwość identyfikowalności osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi umożliwiającymi identyfikację tej osoby lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych. Sąd podziela bowiem stanowisko wyrażone przez Grupę Roboczą w opinii z 20 czerwca 2007r. nr 4/2007 w sprawie pojęcia danych osobowych (01248/07/PL WP 136; s. 14), że w przypadkach, gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby dysponują sposobami, jakimi można się posłużyć w celu zidentyfikowania osoby, której dane dotyczą także wtedy, gdy przetwarzają jedynie niekompletne informacje bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym. Przetwarzanie takich informacji ma bowiem sens tylko wtedy, gdy umożliwia zidentyfikowanie konkretnych osób i zastosowanie wobec nich określonego sposobu traktowania (str. 16 powołanej Opinii). Konstatacja ta zyskuje na aktualności w świetle zd. 4 motywu 26 RODO, w którym wskazuje się na konieczność uwzględnienia m.in. technologii dostępnej w momencie przetwarzania danych, jak i postępu technologicznego.
Sąd wskazuje ponadto - mając na względzie argumentację Skarżącej podnoszoną przed Sądem w odniesieniu do ustawy z 16 lipca 2004r. Prawo telekomunikacyjne (Dz.U. z 2021r., poz. 576 ze zm.; zwana dalej "u.P.t."), że z 126 ust. 1 u.P.t. wynika, że Prezes UKE przydziela numerację, zgodnie z planami numeracji krajowej dla sieci publicznych. Stosownie ponadto do art. 71 u.P.t., abonent, będący stroną umowy z dostawcą usług, w której przydzielany jest abonentowi numer z planu numeracji krajowej dla publicznych sieci telekomunikacyjnych, może żądać przy zmianie dostawcy usług przeniesienia przydzielonego numeru do istniejącej sieci operatora na: 1) obszarze geograficznym - w przypadku numerów geograficznych; 2) terenie całego kraju – w przypadku numerów niegeograficznych.
Z art. 131 ust. 1 u.P.t. wynika natomiast, że podmiot, który uzyskał przydział numeracji, może dokonać niezbędnej zmiany numeracji dla określonych obszarów swojej sieci publicznej lub zmiany indywidualnych numerów abonentów tej sieci, w przypadku zmiany przydziału zakresu numeracji albo przebudowy lub rozbudowy eksploatowanej sieci publicznej.
W świetle art. 131 ust. 3 u.P.t., podmiot, który uzyskał przydział numeracji, jest obowiązany zawiadomić abonentów o planowanej zmianie ich indywidualnych numerów oraz o ich nowych numerach.
Powołane przepisy u.P.t. świadczą zatem o ścisłym związku numeru telefonu z abonentem, a w przypadku, w którym umowa o świadczenie usług telekomunikacyjnych zawierana jest przez użytkownika końcowego, z tym użytkownikiem, gwarantując mu możliwość przeniesienia przydzielonego numeru przy zmianie dostawcy usług oraz chroniąc przed arbitralną zmianą przydzielonego numeru przez dostawcę usług. Można zakładać, że w wielu przypadkach numer telefonu jest związany z abonentem, będącym osobą fizyczną, silniej i przez dłuższy czas niż miejsce jego zamieszkania.
Numer telefonu osoby fizycznej stanowi zatem – zdaniem Sądu - "punkt kontaktowy", który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej, a w szczególności używany przez nią numer telefonu komórkowego, z jakim mamy do czynienia w realiach rozpoznanej sprawy, stanowi niepowtarzalną kombinację cyfr, która jest przypisana do tej osoby i odróżnia ją po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (łączności telefonicznej), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia kontakt z nią i skierowanie do niego określonej informacji (zarówno ustnej, jak i tekstowej).
Tym samym Uczestnik, korzystając z nr tel., pod który dzwonił przedstawiciel Spółki, był użytkownikiem końcowym, o którym mowa w art. 2 pkt 50 u.P.t., na którego możliwe było wywieranie wpływu przez Spółkę.
Dodatkowych argumentów za uznaniem numeru telefonu osoby fizycznej za jej daną osobową i to niezależnie od tego, czy podmiot, który jest w jego posiadaniu dysponuje innymi informacjami umożliwiającymi identyfikację tej osoby lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich informacji (zob. motyw 26 RODO), dostarczają przepisy u.P.t., implementujące dyrektywę 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002r. dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) - Dz.U.UE. L. z 2002r. Nr 201, str. 37 ze zm. (zwana dalej "dyrektywą 2002/58"). Celem tej dyrektywy jest harmonizacja przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz zapewnienie swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności elektronicznej (art. 1 ust. 1). Przepisy tej dyrektywy dookreślają i uzupełniają dyrektywę 95/46/WE (obecnie RODO), zgodnie z celami przedstawionymi w ust. 1. Ponadto zapewniają ochronę uzasadnionych interesów abonentów będących osobami prawnymi (art. 1 ust. 2 dyrektywy 2002/58).
Z art. 94 ust. 1 i 2 zd. 1 RODO wynika natomiast, że odesłania do dyrektywy 95/46/WE należy traktować jako odesłania do RODO.
W art. 95 RODO zastrzeżono, że nie nakłada ono dodatkowych obowiązków na osoby fizyczne ani prawne, co do przetwarzania w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii w sprawach, w których podmioty te podlegają szczegółowym obowiązkom mającym ten sam cel określony w dyrektywie 2002/58.
W konsekwencji dyrektywa 2002/58 stanowi względem RODO regulację szczególną, dookreślając RODO i uzupełniając. Art. 95 RODO zapobiega, by na administratorach nie spoczywały podobne, ale nie identyczne obciążenia administracyjne, spoczywające na nich mocą przepisów implementujących dyrektywę 2002/58, których cel jest ten sam, co cel RODO – ochrona danych osobowych (zob. opinia Rady do Spraw Ochrony Danych Osobowych z 12 marca 2019r. nr 5/2019 w sprawie wzajemnej zależności między dyrektywą o prywatności i łączności elektronicznej, a RODO, w szczególności w zakresie właściwości, zadań i uprawnień organów ochrony danych, s. 13 - 16). Celem dyrektywy 2002/58 jest ochrona prawa do prywatności i poufności, w odniesieniu do przetwarzania "danych osobowych", o których mowa w art. 4 pkt 1 RODO, tyle tylko, że w sektorze łączności elektronicznej.
Sąd, mając powyższe na względzie, zauważa, że w świetle motywu 12 zd. 1 dyrektywy 2002/58, abonentami publicznie dostępnych usług łączności elektronicznej mogą być osoby fizyczne lub prawne. Dyrektywa 2005/58 - jako uzupełnienie dyrektywy 95/46/WE (obecnie RODO) - zmierza do ochrony podstawowych praw osób fizycznych, w szczególności ich prawa do prywatności, jak również uzasadnionych interesów osób prawnych (art. 1 ust. 2 dyrektywy 2005/58).
Wedle motywu 38 zd. 2 dyrektywy 2005/58 prawo do prywatności osób fizycznych i uzasadniony interes osób prawnych wymaga, aby abonenci mieli możliwość ustalenia, czy ich dane osobowe są publikowane w spisach abonentów, a jeśli tak, to które z nich. Dostawcy publicznych spisów abonentów powinni informować abonentów o umieszczeniu ich w tych spisach, o celach spisu i każdym możliwym wykorzystaniu wersji elektronicznej publicznych spisów abonentów, szczególnie przy pomocy dostępnej w oprogramowaniu funkcji wyszukiwania, takiej jak wyszukiwanie zwrotne pozwalające użytkownikom spisu ustalenie nazwiska (nazwy) i adresu abonenta wyłącznie na podstawie numeru telefonu.
Państwa Członkowskie, stosownie natomiast do art. 12 ust. 2 w zw. z ust. 4 dyrektywy 2005/58, zapewniają, że abonenci będący osobami fizycznymi posiadają możliwość ustalenia czy ich dane osobowe znajdują się w publicznym spisie abonentów, a jeżeli tak, to które, w zakresie, w jakim te dane są niezbędne do celu spisu abonentów określonego przez dostawcę spisu abonentów i sprawdzania, poprawiania lub wycofywania tych danych. Zastrzeżenie numeru, sprawdzanie, poprawianie lub wycofywanie danych osobowych ze spisu abonentów jest wolne od opłat.
Art. 12 dyrektywy 2005/58 implementowano do krajowego porządku prawnego w art. 169 u.P.t. (zawarty w dziale VII "Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych"). Art. 169 ust. 1 u.P.t. stanowi, że dane osobowe posiadane przez przedsiębiorcę telekomunikacyjnego zawarte w publicznie dostępnym spisie abonentów, (...) wydawanym w formie książkowej lub elektronicznej, a także udostępniane za pośrednictwem służb informacyjnych przedsiębiorcy telekomunikacyjnego powinny być ograniczone do: 1) numeru abonenta lub znaku identyfikującego abonenta; 2) nazwiska i imion abonenta; 3) nazwy miejscowości oraz ulicy w miejscu zamieszkania, przy której znajduje się zakończenie sieci, udostępnione abonentowi - w przypadku stacjonarnej publicznej sieci telekomunikacyjnej albo nazwy miejscowości oraz ulicy w miejscu zamieszkania - w przypadku ruchomej publicznej sieci telekomunikacyjnej.
Z art. 169 ust. 3 u.P.t. wynika, że zamieszczenie w spisie danych identyfikujących abonenta będącego osobą fizyczną może nastąpić wyłącznie po uprzednim wyrażeniu przez niego zgody na dokonanie tych czynności.
Ww. przepisy dyrektywy 2002/58 i u.P.t. wskazują więc, że numer abonenta będącego osobą fizyczną (lub znak identyfikujący abonenta) stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania - daną osobową tego abonenta, w stosunku do której – kierując się ochroną prawa do prywatności i poufności - pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów.
Sąd wskazuje ponadto, że przyjętą wyżej kwalifikację prawną numeru telefonu osoby fizycznej potwierdza projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, który uchyla dyrektywę 2002/58 (rozporządzenie w sprawie prywatności i łączności elektronicznej) [Bruksela, 2017r.; COM(2017) 10 final 2017/0003 (COD)]. W motywie 31 ww. rozporządzenia numer telefonu literalnie wymieniono wśród kategorii danych osobowych zamieszczanych w spisie numerów: "Jeżeli użytkownicy końcowi będący osobami fizycznymi udzielają zgody na umieszczenie swoich danych w takich spisach numerów, powinni móc określić, w formie zgody, jakie kategorie danych osobowych mają być zamieszczone w spisie numerów (na przykład imię i nazwisko, adres e-mail, adres domowy, nazwa użytkownika, numer telefonu) [...]".
Zdaniem Sądu powyższe rozważania wskazują, że prawidłowe było uznanie przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji, że możliwe było zastosowanie wobec Spółki przepisów RODO, jak również sankcji w postaci upomnienia za nieterminowe wypełnienie obowiązku informacyjnego, stosownie do art. 15 ust. 1 lit. g) RODO w związku z art. 12 ust. 3 RODO, a ponadto, że argumenty podniesione w skardze, które miały uzasadniać podnoszone zarzuty nie miały wpływu na wynik sprawy. Uwzględnione nie mogło być przede wszystkim stanowisko Skarżącej, że sam nr tel. nie pozwala na identyfikację konkretnej osoby, jak też poglądy judykatury i piśmiennictwa z tego zakresu. Do takiego wniosku prowadzi wykładnia art. 4 pkt 1 RODO w zw. z motywem 26 RODO w związku z powołanymi wyżej przepisami dyrektywy 2002/58. Skoro bowiem celem dyrektywy 2002/58 jest zapewnienie równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej, to należy zauważyć, że w świetle motywu 34 tej dyrektywy, konieczna jest - w odniesieniu do identyfikacji rozmów przychodzących - ochrona prawa strony wybierającej do niedopuszczenia do wyświetlania identyfikacji numeru linii wywołującej, z której wychodzi połączenie oraz prawa strony, do której połączenie przychodzi do odrzucenia rozmowy z niezidentyfikowanych linii (zd. 1). W odniesieniu do identyfikacji rozmów wychodzących, konieczna jest ochrona prawa i uzasadnionego interesu strony wybieranej do wstrzymania wyświetlania identyfikacji numeru, z którym strona wybierająca jest aktualnie połączona, w szczególności w przypadkach połączeń przekazywanych (zd. 4 motywu 34 tej dyrektywy).
Dostawcy publicznie dostępnych usług łączności elektronicznej powinni informować swoich abonentów o istnieniu w sieci identyfikacji rozmów wychodzących i przychodzących, jak również o wszystkich oferowanych usługach związanych z identyfikacją rozmów wychodzących i przychodzących oraz o możliwych opcjach ochrony prywatności (zd. 5 motywu 34 tej dyrektywy). Pozwoli to abonentom na podejmowanie świadomego wyboru w sprawie rodzajów możliwości ochrony prywatności, z których chcą skorzystać (zd. 6 motywu 34 tej dyrektywy). Opcje ochrony prywatności oferowane dla konkretnej linii jako osobna usługa nie muszą być dostępne jako automatyczna usługa sieci, lecz na podstawie zwykłego wniosku skierowanego do dostawcy publicznie dostępnych usług łączności elektronicznej (zd. 7 motywu 34 tej dyrektywy).
Konkretyzację motywu 34 stanowi art. 8 dyrektywy 2002/58. Przewiduje on w szczególności, że (1) w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów przychodzących dostawca usług musi zaoferować użytkownikowi wybierającemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów przychodzących przy poszczególnych połączeniach telefonicznych. Abonent wybierający musi mieć taką możliwość w odniesieniu do każdej linii (art. 8 ust. 1); a także (2), że w przypadku gdy oferowane jest wyświetlanie identyfikacji rozmów wychodzących, dostawca usług musi zaoferować abonentowi wybieranemu, w sposób prosty i wolny od opłat, zablokowanie wyświetlania identyfikacji rozmów wychodzących u użytkownika wybierającego (art. 8 ust. 8 ust. 4 dyrektywy 2002/58).
Przepisy art. 8 dyrektywy 2002/58 zostały implementowane do krajowego porządku prawnego przez art. 171 u.P.t., który w ust. 2 stanowi, że dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej umożliwiającej prezentację identyfikacji linii wywołującej jest obowiązany zapewnić za pomocą prostych środków:
1) użytkownikowi wywołującemu - możliwość jednorazowego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia;
2) abonentowi wywołującemu - możliwość stałego wyeliminowania prezentacji identyfikacji linii wywołującej u użytkownika wywoływanego podczas wywołania i połączenia, u operatora, do którego sieci jest przyłączony abonent będący stroną umowy z dostawcą usług;
3) abonentowi wywoływanemu - możliwość eliminacji dla połączeń przychodzących prezentacji identyfikacji linii wywołującej, a jeżeli taka prezentacja jest dostępna przed rozpoczęciem połączenia przychodzącego, także możliwość blokady połączeń przychodzących od abonenta lub użytkownika stosującego eliminację prezentacji identyfikacji linii wywołującej.
Z art. 171 ust. 3 u.P.t. wynika, że dostawca publicznie dostępnych usług telefonicznych świadczonych w publicznej sieci telekomunikacyjnej zapewniającej prezentację identyfikacji linii wywoływanej, jest obowiązany zapewnić abonentowi wywoływanemu możliwość eliminacji, za pomocą prostych środków, prezentacji identyfikacji linii wywoływanej u użytkownika wywołującego.
Powołane przepisy dyrektywy 2002/58 i u.P.t. (zawarte w dziale VII "Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych") potwierdzają, że numer telefonu – jako taki - podlega ochronie, z uwagi na prawo do prywatności i poufności. Należy przy tym zaznaczyć, że możliwość wyeliminowania prezentacji numeru (linii wywołującej) gwarantowana jest nie tylko abonentowi, ale także użytkownikowi wywołującemu, który nie musi być w tym przypadku abonentem.
Prawo do eliminacji prezentacji numeru jest też, w świetle powołanych przepisów, niezależnie od tego, czy dochodzi do nawiązania połączenia, które pozwala na uzyskanie dodatkowych danych identyfikujących, czy jedynie do wywoływania połączenia. Tym samym numer telefonu osoby fizycznej sam w sobie stanowi informację o osobie możliwej do zidentyfikowania i podlega przepisom o ochronie danych osobowych, bez względu na to, czy podmiot, który jest w jego posiadaniu, dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych (motyw 26 RODO).
Potwierdzeniem ww. rozważań jest wyrok TS z 19 października 2016r. w sprawie C-582/14 [...], w którym wskazano, że: 1) by określone dane mogły zostać uznane za "dane osobowe", nie jest wymagane, by wszystkie informacje umożliwiające identyfikację osoby, której dane dotyczą, musiały znajdować się w posiadaniu tylko jednej osoby (pkt 43 wyroku); 2) należy jednak ustalić, czy możliwość połączenia tych danych z owymi dodatkowymi informacjami będącymi w posiadaniu innego podmiotu stanowi sposób, który może być z uzasadnionym prawdopodobieństwem wykorzystany (pkt 45 wyroku); 3) nie miałoby to miejsca w przypadku, gdyby identyfikacja osoby, której dane dotyczą, była zakazana prawem lub niewykonalna w praktyce, przykładowo z powodu okoliczności, że wiąże się z nadmiernym nakładem czasu, kosztów i pracy ludzkiej, tak że ryzyko identyfikacji wydaje się w rzeczywistości znikome.
Sąd nie podziela w związku z tym prezentowanego przed Sądem stanowiska Skarżącej, że w okolicznościach rozpoznawanej sprawy, jak też ze względu na dostępne obecnie technologie i postęp technologiczny, znikome było ryzyko uzyskania przez Spółkę (podmiot dysponujący numerem telefonu osoby fizycznej) dodatkowych danych identyfikujących Uczestnika. Sąd jedynie tytułem przykładu wskazuje, że w powszechnie dostępnych aplikacjach służących jako komunikatory (np. WhatsApp, Signal) konta użytkowników muszą być powiązane z numerami telefonów użytkowników. W przypadku nieograniczenia w tego typu komunikatorach opcji udostępniania informacji osobistych w ustawieniach prywatności, informacje takie, jak np. zdjęcie profilowe, widoczne są dla innych użytkowników aplikacji. W takiej sytuacji, dysponując wyłącznie numerem telefonu, można uzyskać tego typu dane identyfikujące. Sąd - biorąc też pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania, oraz uwzględniając dostępną technologię i postęp technologiczny, jak również uwzględniając dane Oddziału Skarżącej zawarte w KRS, z których wynika, że profesjonalnie zajmował się on działalnością centrów telefonicznych (call center), przetwarzaniem danych, a także zarządzaniem stronami internetowymi – uznał, że wbrew stanowisku Spółki, dysponowała ona sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących Uczestniczkę postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać.
6. Zdaniem Sądu nie mogły być uwzględnione podniesione w skardze zarzuty o braku zajęcia przez Prezesa UODO stanowiska w uzasadnieniu zaskarżonej decyzji, co do kwestii przetwarzania danych osobowych Uczestnika do celów marketingu bezpośredniego oraz danych geolokalizacyjnych, co do posiadania których przyznała się Spółka na etapie wnoszenia skargi. Po pierwsze dlatego, że Prezes UODO na gruncie stanu faktycznego sprawy nie miał obowiązku czynienia rozważań z tego zakresu, z uwagi na jasne żądanie Uczestnika zawarte we wniesionej do tego organu skardze z [...] kwietnia 2021r. oraz przepisy RODO, które w tym zakresie mogły być zastosowane (art. 15 ust. 1 lit. g) i art. 12 ust. 3 RODO). Skarga Uczestnika dotyczyła bowiem nieuzyskania odpowiedzi skąd Spółka posiada numer telefonu, pod który wykonała połączenie telefoniczne. Po drugie to Uczestnik postępowania decyduje, w jakim zakresie zaskarża działania administratora danych – Spółki, zakreślając granice sprawy.
Sąd po trzecie stwierdza, że podnoszona w piśmie procesowym Skarżącej okoliczność podjęcia uchwały o likwidacji Oddziału, który wykreślono z KRS już po wydaniu zaskarżonej decyzji, nie mogła mieć decydującego znaczenia w sprawie, gdyż prawidłowo w uzasadnieniu tej decyzji Prezes UODO podniósł, powołując się na orzecznictwo, że przedsiębiorca zagraniczny staje się podmiotem praw i obowiązków wynikających z decyzji i to on, poprzez swój oddział, uczestniczy w postępowaniu administracyjnym, jako jego strona. Sąd stanowisko wyrażone przez TS w wyroku z 18 marca 1981r. sygn. akt C-139/80 i przez WSA w Gorzowie Wielkopolskim w wyroku z 22 maja 2013r. sygn. akt II SA/Go 199/13 podziela i wskazuje, że wszelkie działania dokonane przez oddział przedsiębiorcy zagranicznego oraz wobec oddziału odnoszą bezpośrednio skutek prawny w stosunku do przedsiębiorcy zagranicznego. Pojęcie "oddziału, agencji lub każdego innego zakładu jest równoznaczne z istnieniem centrum operacyjnego, które manifestuje się w sposób trwały na zewnątrz jako przedłużenie przedsiębiorstwa macierzystego, ma dyrekcję i jest materialnie wyposażone tak, aby istniała możliwość negocjowania spraw z osobami trzecimi w taki sposób, aby ci ostatni, wiedząc, że zostanie nawiązany ewentualny stosunek prawny z przedsiębiorstwem macierzystym z siedzibą za granicą, byli zwolnieni z konieczności bezpośredniego zwrócenia się do niego i mogli prowadzić interesy z centrum operacyjnym, które stanowi jego przedłużenie.
7. Sąd, mając powyższe na względzie, na mocy art. 151 P.p.s.a., oddalił skargę.