III OSK 274/23

III OSK 274/23 - Wyrok NSA
Data orzeczenia
2026-01-08
orzeczenie prawomocne
Data wpływu
2023-02-13
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Hanna Knysiak - Sudyka
Przemysław Szustakiewicz
Zbigniew Ślusarczyk /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 710/22 - Wyrok WSA w Warszawie z 2022-11-25
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 4 pkt 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2024 poz 935
184 art. 183
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Zbigniew Ślusarczyk (spr.) Sędziowie: sędzia NSA Przemysław Szustakiewicz sędzia del. WSA Hanna Knysiak-Sudyka Protokolant starszy asystent sędziego Przemysław Iżycki po rozpoznaniu w dniu 8 stycznia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 25 listopada 2022 r. sygn. akt II SA/Wa 710/22 w sprawie ze skargi C. Sp. z o.o. z siedzibą we W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 lutego 2022 r. nr ZSPR.440.807.2019.PR.MS w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 25 listopada 2022 r. sygn. akt II SA/Wa 710/22, po rozpoznaniu sprawy ze skargi C. Sp. z o.o. z siedzibą we W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 17 lutego 2022 r. nr ZSPR.440.807.2019.PR.MS w przedmiocie przetwarzania danych osobowych, na podstawie art. 145 § 1 pkt 1 lit. a i c oraz art. 200 i art. 205 § 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329) zwanej dalej p.p.s.a., uchylił zaskarżoną decyzję w zakresie pkt 1 (pkt 1) oraz zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącej kwotę 697 złotych, tytułem zwrotu kosztów postępowania (pkt 2).
W uzasadnieniu wyroku Sąd I instancji wskazał, że zaskarżoną decyzją organ, na podstawie art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) – zwanego dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi T. R. na przetwarzanie jego danych osobowych w celach marketingowych oraz niespełnienie obowiązku informacyjnego wynikającego z art. 14 ust. 2 lit. f RODO – w zakresie źródła pozyskania danych przez C. Sp. z o.o. z siedzibą we W. (dalej jako "Spółka"):
1) nakazał Spółce wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych T. R. poprzez usunięcie jego danych osobowych w zakresie numeru telefonu, przetwarzanych bez podstawy prawnej;
2) w pozostałym zakresie odmówił uwzględnienia wniosku.
Sąd wyjaśnił, że decyzja została wydana na skutek skargi T. R. (dalej jako uczestnika) na przetwarzanie jego danych osobowych w celach marketingowych oraz niespełnienie obowiązku informacyjnego wynikającego z art. 14 ust. 2 lit. f RODO przez Spółkę - w zakresie źródła pozyskania danych. Organ przyjął, że choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, więc numer telefonu stanowi dane osobowe w rozumieniu przepisów RODO.
Zdaniem Sądu I instancji nieprawidłowa jest ocena organu, iż Spółka dysponując wyłącznie numerem telefonu przekazanym przez firmę T. Sp. z o.o. na potrzeby realizacji akcji marketingowej, przetwarzała dane osobowe uczestnika. Błędne jest stanowisko organu, że choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, ale z uwagi na to, że umożliwia bezpośredni kontakt z określoną osobą, a skontaktowanie się z tą osobą może prowadzić do ustalenia jej tożsamości, bez poniesienia nadmiernych kosztów, czasu lub działań, to tym samym numer telefonu stanowi dane osobowe w rozumieniu RODO. Numer telefonu może stanowić dane osobowe w sytuacji, gdy dysponent tego numeru telefonu jest w posiadaniu także innych informacji, które umożliwiają identyfikację danej osoby fizycznej.
Zdaniem Sądu I instancji, jeśli celem wykonywania połączeń telefonicznych przez konsultantów Spółki jest pozyskanie danych osobowych osób, których numer telefonu Spółka posiada, to sam numer telefonu nie stanowi danych osobowych osoby fizycznej. Skoro zaś Spółka nie przetwarzała danych osobowych uczestnika nie było podstaw do skorzystania przez Prezesa UODO z uprawnień naprawczych przewidzianych w art. 58 ust. 2 lit. g RODO. Mając powyższe na uwadze, Sąd stwierdził, że zaskarżona decyzja została wydana z naruszeniem art. 4 ust. 1 pkt 1 i art. 58 ust. 2 lit. g RODO.
Skargę kasacyjną wniósł organ, zaskarżając powyższy wyrok w całości. Zarzucił naruszenie przepisów prawa procesowego, tj. art. 145 § 1 pkt 1 lit. a i c p.p.s.a. w zw. z art. 4 pkt 1 i art. 58 ust. 2 lit. g RODO, przez przyjęcie błędnej wykładni, że numer telefonu nie stanowi danej osobowej pozwalającej na zidentyfikowanie osoby fizycznej, a w konsekwencji uznanie, że organ dopuścił się naruszenia art. 58 ust. 2 lit. g RODO, co miało istotny wpływ na wynik postępowania, skutkując uchyleniem zaskarżonej decyzji.
W oparciu o tak sformułowany zarzut organ wniósł o uchylenie wyroku w całości i rozpoznanie skargi kasacyjnej przez Naczelny Sąd Administracyjny, ewentualnie o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Ponadto wniósł o zasądzenie zwrotu kosztów postępowania na rzecz organu według norm prawem przepisanych, w tym kosztów zastępstwa procesowego.
W uzasadnieniu skargi kasacyjnej organ podniósł, że dane osobowe w ogólności mieszczą się w zakresie pojęcia "prywatności". W orzecznictwie sądowoadministracyjnym podkreśla się przy tym, że celem przepisów o ochronie danych osobowych jest ochrona prywatności w rozumieniu art. 47 Konstytucji RP.
Zdaniem organu niewątpliwie to, czy informacja pozwala na identyfikację danej osoby, wynika z kontekstu, w jakim informacja ta jest używana. Choć numer telefonu nie określa wprost tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, a samo ustalenie tożsamości nie wymaga poniesienia nadmiernych kosztów, czasu lub działań. Sama zatem możliwość skontaktowania się z tą osobą może prowadzić do ustalenia jej tożsamości, więc numer telefonu stanowi dane osobowe w rozumieniu przepisów RODO. Danymi osobowymi nie są wyłącznie informacje, pozwalające na bezpośrednie określenie tożsamości danej osoby, ale także takie, które co prawda nie pozwalają na jej identyfikację z imienia i nazwiska, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej dokonania.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935) zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonej podstawy kasacyjnej.
W skardze kasacyjnej podniesiono wyłącznie jeden zarzut: naruszenia art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. w zw. z art. 4 pkt 1 i art. 58 ust. 2 lit. g RODO przez jego błędną wykładnię polegającą na wyłączeniu przez Sąd I instancji z zakresu normatywnego pojęcia danych osobowych numeru telefonu i w konsekwencji uznanie, że organ nie miał podstaw do nakazania usunięcia danych osobowych uczestnika w postaci jego numeru telefonu. Zdaniem Naczelnego Sądu Administracyjnego zarzut ten nie jest zasadny, za trafne należy uznać stanowisko Sądu I instancji, że Prezes UODO w oparciu o zebrany w sprawie materiał dowodowy błędnie ustalił, iż C. Sp. z o.o. (dalej Spółka) dysponując wyłącznie numerem telefonu, na zlecenie firmy T. Sp. z o.o., na potrzeby realizacji akcji marketingowej, przetwarzała dane osobowe uczestnika - w rozumieniu art. 4 pkt 1 RODO.
Obowiązkiem organu ochrony danych osobowych w ramach postępowania zainicjowanego skargą uczestnika była ocena zasadności zarzutów skargi, a zatem ustalenie w pierwszej kolejności, czy Spółka przetwarzała dane osobowe skarżącego w rozumieniu art. 4 pkt 1 RODO, a jeżeli tak, to czy miała do tego podstawę prawną. Skorzystanie przez organ ochrony danych osobowych z uprawnień naprawczych przyznanych mu w art. 58 ust. 2 RODO musi być bowiem poprzedzone ustaleniem, że doszło do naruszenia przepisów o ochronie danych osobowych.
Skarżący kasacyjnie Prezes UODO uznając, że Spółka przetwarzała dane osobowe uczestnika twierdzi, że choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, ale z uwagi na to, że umożliwia bezpośredni kontakt z określoną osobą, a skontaktowanie się z tą osobą może prowadzić do ustalenia jej tożsamości, bez poniesienia nadmiernych kosztów, czasu lub działań, to tym samym numer telefonu stanowi dane osobowe w rozumieniu RODO.
Stosownie do postanowień art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Prawodawca unijny definiując dane osobowe dokonał dychotomicznego podziału informacji, które je stanowią. Po pierwsze, jako dane osobowe traktuje wszelkie informacje o osobie zidentyfikowanej. Nie musi to zatem być informacja, która identyfikuje daną osobę, lecz informacja o takiej osobie. Co do zasady będzie to więc dodatkowa informacja o osobie, którą administrator już zidentyfikował i w tym znaczeniu poszerzająca zakres dostępnych dla administratora danych, które jej dotyczą. Chodzi zatem o wszystkie komunikaty, wyrażone i zapisane w jakikolwiek sposób, np.: znakami graficznymi, symbolami, w języku komputerowym, na fotografii na taśmie magnetofonowej lub magnetowidowej, których treść odnosi się do konkretnej osoby. Innymi słowy, jest to każda informacja, która dotyczy osoby, którą administrator danych może w sposób pewny wskazać bez konieczności podejmowania jakichkolwiek dalszych czynności w celu jej identyfikacji.
W realiach niniejszej sprawy nie ma wątpliwości, że numer telefonu uczestnika nie stanowi danych osobowych o osobie zidentyfikowanej. Z niekwestionowanego stanu faktycznego sprawy wynika bowiem, że Spółka, poza numerem telefonu, nie dysponowała żadną inną informacją dotyczącą uczestnika, a zatem bez podejmowania dalszych czynności identyfikacyjnych, nie mogła przypisać go do jakiejkolwiek osoby fizycznej.
Zasadnicze znaczenie w sprawie ma kwestia dopuszczalności zakwalifikowania numeru telefonu, jako informacji o "możliwej do zidentyfikowania osobie fizycznej". RODO w art. 4 pkt 1 definiuje osobę możliwą do zidentyfikowania jako osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 RODO postanowiono, że "[a]by stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych."
Dane osobowe umożliwiające zidentyfikowanie osoby fizycznej bezpośrednio to takie informacje, które same w sobie inkorporują treść pozwalającą na identyfikację tej osoby, bez konieczności integrowania (łączenia) tych danych z innymi informacjami. A contrario, danymi osobowymi umożliwiającymi zidentyfikowanie osoby fizycznej pośrednio, będą takie informacje, które w celu identyfikacji tej osoby należy treściowo zespolić z innymi informacjami. Zastrzec przy tym należy, iż nie jest wymagane, aby wszystkie dane umożlwiające zidentyfikowanie danej osoby fizycznej znajdowały się w dyspozycji jednego podmiotu. Potwierdzeniem przyjętych założeń jest treść art. 4 pkt 5 RODO w zw. z motywem 26 RODO. Prawodawca unijny przyjął bowiem, że spseudoanimizowane informacje, a więc takie, których nie można przypisać do konkretnej osoby fizycznej (art. 4 pkt 5 RODO) należy uznać, za informacje o możliwej do zidentyfikowania osobie fizycznej, jeżeli takie przypisanie jest możliwe, przy użyciu dodatkowych informacji (motyw 26).
Dla ustalenia pośredniej możliwości identyfikacji osoby fizycznej istotne jest zatem to, czy administrator lub inna osoba (tak w motywie 26) ma możliwość treściowego skorelowania będącej w jego dyspozycji informacji z innymi, posiadanymi przez siebie lub inny podmiot informacjami, tworząc w ten sposób zbiór danych identyfikujących daną osobę fizyczną. Za dane osobowe należy zatem uznać informację, która po połączeniu z innymi informacjami (informacją), pozwala zidentyfikować daną osobę fizyczną albo administratorowymi tej informacji, albo innemu podmiotowi, którą ją od administratora pozyskał.
Z postanowień art. 4 pkt 1 oraz pkt 5 RODO w zw. z motywem 26 RODO wynikają istotne dla niniejszej sprawy wnioski.
Po pierwsze, trzeba przyjąć, że możliwość pośredniej identyfikacji osoby fizycznej odnosi się wyłącznie do takich układów, w których występuje "informacja zasadnicza", która samodzielnie nie stanowi danych osobowych, albowiem bez połączenia jej z innymi informacjami nie identyfikuje osoby fizycznej, oraz "informacje dodatkowe" (taką terminologią posługuje się RODO w art. 4 pkt 5 oraz w motywie 26), które samodzielnie albo po ich treściowym skorelowaniu z "informacja zasadniczą", pozwalają na zidentyfikowanie osoby fizycznej. W pierwszym układzie "informacja zasadnicza" będzie informacją dołączoną do zbioru informacji o zidentyfikowanej osobie fizycznej. Konstytutywną cechą takiej informacji będzie to, że dopiero w zestawieniu z "informacjami dodatkowymi" będzie można przypisać jej cechy identyfikujące. W drugim układzie, zarówno "informacja zasadnicza" jak i "informacje dodatkowe" samodzielnie nie identyfikują osoby fizycznej, do której się odnoszą. Dopiero w momencie ich połączenia powstaje zbiór informacji identyfikujących daną osobę fizyczną. Możliwość stworzenia zbioru informacji, w zakres którego wchodzą "informacja zasadnicza" i "informacje dodatkowe", a następnie zidentyfikowania na ich podstawie danej osoby fizycznej ma ten skutek, że "informacja zasadnicza" uzyskuje przymiot danych osobowych.
Po drugie, należy przyjąć, że "informacja zasadnicza" zawsze znajduje się w posiadaniu administratora danych osobowych, natomiast dysponentem "informacji dodatkowych" jest albo również ten administrator, albo "inna osoba" (tak motyw 26 RODO).
Po trzecie, nie ma znaczenia, czy zespolenia "informacji zasadniczej" z "informacjami dodatkowymi" i tym samym identyfikacji danej osoby fizycznej dokonuje administrator – dysponent "informacji zasadniczej" – czy inna osoba – dysponent "informacji dodatkowych". Dla przypisania "informacji zasadniczej" przymiotu danych osobowych istotne jest wyłącznie to, czy któryś z tych podmiotów ma możliwość zespolenia jej z "informacjami dodatkowymi" tworząc w ten sposób zbiór danych identyfikujących konkretną osobę fizyczną.
Po czwarte, ustalenie, czy administrator bądź inna osoba ma możliwość zespolenia "informacji zasadniczej" z "informacjami dodatkowymi" powinno opierać się na przewidzianych w motywie 26 kwantyfikatorach, a zatem uwzględniać "rozsądnie prawdopodobne sposoby", w stosunku do których istnieje "uzasadnione prawdopodobieństwo", iż zostaną wykorzystane w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Oznacza to, że o sprofilowaniu "informacji zasadniczej" jako danych osobowych nie decyduje to, czy rzeczywiście posłużyła ona do zidentyfikowania danej osoby fizycznej, po uprzednim zespoleniu jej z "informacjami dodatkowymi", tylko to, czy może posłużyć do takiej identyfikacji, uwzględniając racjonalność dostępnych mechanizmów połączenia jej z "informacjami dodatkowymi" oraz prawdopodobieństwo wykorzystania tych mechanizmów przez administratora bądź inną osobę.
Po piąte, o możliwości identyfikacji konkretnej osoby fizycznej na gruncie art. 4 pkt 1 RODO w zw. z motywem 26 RODO można mówić wówczas, gdy do stworzenia zbioru informacji identyfikujących tę osobę, na który składają się "informacja zasadnicza" i "informacje dodatkowe" dochodzi niezależnie od tej osoby. Chodzi o to, że zgodnie z powołanymi unormowaniami RODO, źródłem "informacji dodatkowych" może być wyłącznie administrator, albo "inna osoba", nie zaś osoba fizyczna, której identyfikacja jest możliwa przy wykorzystaniu tych informacji. Zatem dla zakwalifikowania określonych informacji do danych osobowych nie może mieć znaczenia możliwość dokonania samoidentyfikacji przez osobę, której dane dotyczą.
Po szóste, zasadnicze znaczenie przy ustaleniu, czy dana osoba fizyczna jest możliwa do zidentyfikowania w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 RODO ma przyjęty sposób rozumienia użytego w tych przepisach przymiotnika "możliwa". W ocenie Naczelnego Sądu Administracyjnego "możliwa do zidentyfikowania osoba fizyczna " w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 to osoba, w stosunku do której istnieje "możliwość" połączenia dotyczących jej "informacji podstawowej" z "informacjami dodatkowymi" i przez to ustalenia jej tożsamości. "Możliwość" zidentyfikowania danej osoby fizycznej odnosi się więc do samej dostępności zagregowania "informacji podstawowej" z "informacjami dodatkowymi". Nie odnosi się natomiast do rezultatu tej agregacji. Przez "możliwość" zidentyfikowania danej osoby fizycznej należy więc rozumieć dostępność połączenia "informacji zasadniczej" z "informacjami dodatkowymi", których rezultatem zawsze będzie zidentyfikowanie tej osoby. "Możliwość" zidentyfikowania danej osoby fizycznej nie oznacza więc niepewności co do rezultatów połączenia "informacji zasadniczej" z "informacjami dodatkowymi", ta bowiem jest z założenia wykluczona. Odnosi się ona do dostępności działań integrujących te informacje w celu identyfikacji danej osoby fizycznej. "Możliwa" do zidentyfikowania będzie więc taka osoba fizyczna, w stosunku do której albo administrator, albo "inna osoba" będą posiadali dostęp do połączenia dotyczących ją "informacji zasadniczej" i "informacji dodatkowych" w rezultacie czego, dojdzie do ustalenia jej tożsamości. Prezentowanych wniosków nie podważają użyte w motywie 26 zwroty: "rozsądnie prawdopodobne sposoby" i "uzasadnione prawdopodobieństwo". W przywołanych zwrotach prawdopodobieństwo, a zatem nie pewność lecz potencjalność, dotyczy samych metod/form połączenia "informacji zasadniczej" z "informacjami dodatkowymi" oraz potencjalności ich wykorzystania. "Rozsądnie prawdopodobne sposoby" należy więc korelować z racjonalnością każdej z możliwych dla administratora lub "innej osoby" metod integracji "informacji zasadniczej" z "informacjami dodatkowymi". Z kolei "uzasadnione prawdopodobieństwo" odnosić trzeba do przewidywalności skorzystania z tych metod przez te podmioty. Omawiane zwroty stanowią koordynaty dla formułowania ocen, co do tego, czy dostępne dla administratora lub "innej osoby" sposoby połączenia "informacji zasadniczej" z "informacjami dodatkowymi" nie są dla tych podmiotów zbyt kosztowne w sensie finansowym, czasowym, infrastrukturalnym, etc., w stosunku do efektów (korzyści), jakie spowoduje identyfikacja osoby fizycznej, której te informacje dotyczą. Zaznaczyć przy tym należy, że chodzi oczywiście o sposoby zgodne z prawem. Świadczy to jednoznacznie o tym, że kwalifikacja danej informacji jako umożliwiającej identyfikację danej osoby fizycznej nie opiera się wyłącznie na jej treści, ale również na potencjale konkretnego podmiotu, który nią dysponuje do połączenia jej z "informacjami dodatkowymi".
Przy takim założeniu należy potwierdzić formułowany w doktrynie pogląd o relatywizacji danych osobowych, który sprowadza się do możliwości różnego kwalifikowania takiej samej informacji z punktu widzenia definicji danych osobowych w zależności od tego, jaki podmiot tę informację przetwarza, jakimi środkami identyfikacji dysponuje, jakie jeszcze inne informacje przetwarza – zob. D. Lubasz, A. Szkurłat, Relatywizacja pojęcia danych osobowych w świetle orzecznictwa polskich sądów administracyjnych i powszechnych, Monitor Prawniczy 2021, nr 23.
Przedstawione wyżej stanowisko zostało już zaprezentowane przez NSA w sprawach o podobnym stanie faktycznym i prawnym, tj. w wyrokach z 14 stycznia 2025 r. sygn. akt. III OSK 6041/21 i z 15 października 2025 r. sygn. akt III OSK 2357/22.
Z przyjętymi wnioskami nie pozostają w sprzeczności tezy powołanego w skardze kasacyjnej wyroku ETS z 19 października 2016 r., Breyer, C-582/14, EU:C:2016:779. Powołany wyrok zapadł wprawdzie na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), która została uchylona przez RODO, jednakże z uwagi na treściową tożsamość obu aktów orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje co do zasady zastosowanie również w odniesieniu do RODO – wyrok ETS z 17 czerwca 2021 r., C-597/19, EU:C:2021:492, pkt 107. W powołanym wyroku Trybunał rozważał możliwość uznania za dane osobowe adresów IP rejestrowanych przez dostawcę internetowych usług medialnych, w sytuacji, gdy dodatkowe informacje pozwalające na identyfikację użytkownika strony internetowej posiada inny podmiot – dostawca usług internetowych. Trybunał jednoznacznie stwierdził, iż taka sytuacja wystąpi jedynie po ustaleniu, że istnieje możliwość połączenia adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu dostawcy dostępu do Internetu w sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą. Trybunał nakazał zbadać, czy dostawca internetowych usług medialnych może zwrócić się do właściwych organów państwowych o pozyskanie informacji identyfikujących użytkownika adresu IP od dostawcy Internetu, w sytuacji gdy doszło do popełnienia przestępstwa – pkt 44-48 wyroku. Trybunał uzależnił więc kwalifikację adresu IP jako danych osobowych od ustalenia, czy istnieje możliwość połączenia go z informacjami dodatkowymi identyfikującymi użytkownika tego adresu. W układzie powołanej sprawy chodziło więc o dostęp do informacji posiadanych przez inny podmiot, niż osoba fizyczna podlegająca identyfikacji, a nadto o dostęp, który gwarantuje identyfikację tej osoby, a nie jedynie potencjalność tej identyfikacji zależną od woli tego podmiotu.
W powołanym w skardze kasacyjnej wyroku ETS z 6 listopada 2003 r., C-101/01, ECR 2003/11A/I-12971 ETS istotnie stwierdził, że "operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi "przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany" w rozumieniu art. 3 ust. 1 dyrektywy 95/46" – pkt 27 wyroku. Skarżący kasacyjnie pomija jednak, że uczynił to po uprzedniej konkluzji, że termin dane osobowe, jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej odnosi się "bez wątpienia do nazwiska osoby w połączeniu z jej numerem telefonu lub informacjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu" – pkt 24 wyroku. Trybunał wprost więc przyjął, że numer telefonu będzie stanowił dane osobowe, jeżeli zostanie połączony z informacjami dodatkowymi, identyfikującymi osobę fizyczną, do której należy.
Przedstawione uwagi odnoszące się do sposobu interpretacji art. 4 pkt 1 RODO znajdują istotne przełożenie w niniejszej sprawie. Na ich podstawie należy bowiem stwierdzić, że Spółka dysponowała wyłącznie numerem telefonu uczestnika, przy czym nie posiadała wiedzy ani co do tego, który z numerów telefonów dostępnych w uzyskanym zbiorze należy do uczestnika, ani że w ogóle którykolwiek z tych numerów należy do uczestnika. Innymi słowy, Spółka nie miała informacji pozwalających jej na stwierdzenie, że któryś z posiadanych przez nią numerów należy do uczestnika, jak też na wyodrębnienie konkretnego numeru telefonu z posiadanego zbioru i przypisanie go uczestnikowi. Spółka przy pomocy posiadanych numerów mogła wykonać połączenie telefoniczne i realizując swoje cele gospodarcze pozyskać dodatkowe informacje pozwalające skorelować dany numer telefonu z konkretną osobą fizyczną, dopiero po jej samoidentyfikacji. Naczelny Sąd Administracyjny zauważa, że do momentu podania przez rozmówcę swoich danych osobowych Spółka nie mogła zidentyfikować osoby fizycznej, do której ten numer należy. Co ma zasadnicze znaczenie, Spółka nie łączyła informacji w postaci numeru telefonu z dodatkowymi informacjami pozwalającymi zidentyfikować jego właściciela, na podstawie posiadanych przez siebie danych. Nie czyniła tego również w oparciu o dostęp do informacji posiadanych przez inne podmioty. Jedynym dostępnym dla Spółki sposobem zidentyfikowania uczestnika, jako osoby fizycznej, do której należy posiadany przez nią numer telefonu, był bezpośredni kontakt telefoniczny z wnioskodawcą, w ramach którego mógł on udostępnić dane osobowe, które go identyfikują. Nie można jednak przyjąć, że posiadany przez Spółkę numer telefonu uczestnika był "rozsądnie prawdopodobnym sposobem" pozyskania przez nią "informacji dodatkowych" pozwalających na jego identyfikację, albowiem skorzystanie z tego sposobu nie gwarantowało takiego rezultatu. Co więcej, w trakcie rozmowy uczestnik odmówił podania swoich danych osobowych rozłączył się, co wyłączyło możliwość przypisania mu numeru telefonu, na który zadzwonił konsultant.
Trzeba jednoznacznie stwierdzić, że dopóki Spółka nie miała dostępu do "informacji dodatkowych" pozwalających jej na stwierdzenie, że posiadany numer telefonu należy do uczestnika, nie można przyjąć, że posiadała jego dane osobowe. Sama możliwość wykonania połączenia telefonicznego nie stanowi o możliwości identyfikacji właściciela numeru telefonu, albowiem nie ma żadnej pewności, że dane pozwalające na taką identyfikację zostaną pozyskane. Dlatego też rację ma Sąd pierwszej instancji, że numer telefonu mógłby stanowić dane osobowe przetwarzane przez Spółkę, dopiero od momentu pozyskania przez nią informacji identyfikujących jego właściciela. Spółka tak we własnych zasobach, jak i w zasobach innych podmiotów, do których miała dostęp, nie posiadała informacji pozwalających przypisać jej konkretny numer telefonu do uczestnika.
Podsumowując, skoro numer telefonu nie pozwalał na zidentyfikowanie konkretnej osoby w oparciu o przypisane jej cechy indywidualne, nie sposób uznać, aby Spółka dysponowała danymi osobowymi uczestnika i je przetwarzała. W tych okolicznościach, należy stwierdzić, że Spółka nie przetwarzała danych osobowych uczestnika, dlatego nie było podstaw do skorzystania przez Prezesa UODO z uprawnień naprawczych przewidzianych w art. 58 ust. 2 lit. g RODO i nakazania Spółce usunięcia numeru telefonu uczestnika z jej zbiorów. Zatem w tym zakresie stanowisko Sądu I instancji nie narusza art. 58 ust. 2 lit. g RODO. W rezultacie Sąd ten prawidłowo zastosował art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. i uchylił zaskarżoną decyzję Prezesa UODO w zakresie punktu 1.
Naczelny Sąd Administracyjny miał na uwadze poruszane w skardze kasacyjnej problemy abonentów telefonicznych z ochroną swoich praw związanych z prywatnością. Jednak uciążliwość związana z niechcianymi połączeniami telefonicznymi wykonywanymi przez telemarkerów/konsultantów (podmiotów dysponujących tylko numerami telefonów) nie ma wpływu na kwalifikację posiadanych przez te podmioty danych (numerów telefonów) jako niebędących danymi osobowymi w rozumieniu art. 4 ust 1 RODO. Kwestia ta nie jest objęta ochroną danych osobowych osób fizycznych i wymaga ochrony na gruncie innych gałęzi prawa. Okoliczności niniejszej sprawy nie dają podstaw do zakwalifikowania posiadanego przez Spółkę numeru telefonu jako danych osobowych i objęcia uczestnika ochroną wynikająca z przepisów RODO. Dodać tu należy, że sądy administracyjne kontrolują działalność administracji publicznej pod względem jej zgodności z prawem i nie rozstrzygają spraw w oparciu o zasady słuszności.
Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie zawiera usprawiedliwionych podstaw, dlatego na mocy art. 184 p.p.s.a. ją oddalił.