III OSK 6041/21

III OSK 6041/21 - Wyrok NSA
Data orzeczenia
2025-01-14
orzeczenie prawomocne
Data wpływu
2021-08-12
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Jerzy Stelmasiak /przewodniczący/
Maciej Kobak /sprawozdawca/
Piotr Korzeniowski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1898/20 - Wyrok WSA w Warszawie z 2021-04-13
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U.UE.L 2016 nr 237 poz 1 art. 4 pkt 1
Rozporządzenie delegowane Komisji (UE) 2016/1450 z dnia 23 maja 2016 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady  2014/59/UE w odniesieniu do regulacyjnych standardów technicznych określających kryteria dotyczące metody ustalania wysokości  minimalnego wymogu w zakresie funduszy własnych i zobowiązań kwalifikowalnych.
Publikacja w u.z.o.
ONSAiWSA Nr 3/2025, poz. 48
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Jerzy Stelmasiak Sędziowie: sędzia NSA Piotr Korzeniowski sędzia del. WSA Maciej Kobak (spr.) Protokolant asystent sędziego Marita Sikora po rozpoznaniu w dniu 14 stycznia 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 kwietnia 2021 r. sygn. akt II SA/Wa 1898/20 w sprawie ze skargi X Spółka z o.o. z siedzibą w P. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 31 lipca 2020 r. nr ZSPR.440.1865.2019.PR.AKR w przedmiocie przetwarzania danych osobowych I. oddala skargę kasacyjną, II. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz X Spółka z o.o. z siedzibą w P. kwotę 240 (dwieście czterdzieści) zł tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z dnia 13 kwietnia 2021 r., sygn. akt II SA/Wa 1898/20 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi X Spółka z o.o. z siedzibą w P. (dalej: "skarżąca") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 31 lipca 2020 r. nr ZSPR.440.1865.2019.PR.AKR w przedmiocie przetwarzania danych osobowych uchylił zaskarżoną decyzję i zasądził zwrot kosztów postępowania.
Powyższy wyrok zapadł w następujących okolicznościach faktycznych i prawnych sprawy.
W dniu 29 października 2019 r. do organu wpłynęła skarga P. C. (dalej: "wnioskodawca"), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez skarżącą; upatrywał ich w przetwarzaniu swoich danych osobowych - w szczególności numeru telefonu - bez podstawy prawnej, a także niezrealizowaniu żądań w zakresie: udzielenia wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz otrzymania kopii przetwarzanych danych.
Z wyjaśnień złożonych przez skarżącą w dniu 5 marca 2020 r. wynika, że pozyskała ona numer telefonu wnioskodawcy w związku z nabyciem pakietu danych (numerów telefonu, wytypowanych w oparciu o kryterium geograficzne) od Y Sp. z o.o. z siedzibą w T. (...) – zwanej dalej "Spółką II".
W dniu 1 października 2019 r. wnioskodawca zwrócił się drogą elektroniczną z żądaniem dostarczenia kopii jego danych, przetwarzanych przez skarżącą oraz udzielenie informacji o źródle ich pozyskania.
Pismem z 28 października 2019 r. skarżąca odmówiła realizacji żądań wnioskodawcy, gdyż według niej numer telefonu nie stanowi danych osobowych.
Decyzją z dnia 31 lipca 2020 r. nr ZSPR.440.1865.2019.PR.AKR organ przywołując art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm., dalej: "K.p.a.") oraz art. 4 pkt. 1, art. 6 ust. 1, art. 15 ust. 1 i 3 oraz art. 58 ust. 2 lit. b i c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE., L 119 z 4 maja 2016, dalej: "RODO"): udzielił skarżącej upomnienia za naruszenie art. 15 ust. 1 lit. g i art. 15 ust. 3 RODO, polegające na odmowie realizacji żądania wnioskodawcy - udzielenia mu wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz kopii jego danych osobowych i nakazał jej wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych wnioskodawcy, poprzez ich usunięcie, jako przetwarzanych bez podstawy prawnej.
W skardze do WSA, powyższej decyzji zarzucono naruszenie szeregu przepisów RODO i K.p.a., wskutek czego wniesiono o jej uchylenie.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
W dodatkowym piśmie procesowym (k. 39-44), Spółka potrzymała zarzuty i ich uzasadnienie.
Opisanym na wstępie wyrokiem WSA w Warszawie uwzględnił skargę, gdyż uznał za trafne zarzuty skarżącej, w których podniesiono, że orzekając w sprawie naruszono przepisy prawa materialnego określające, co należy traktować jako dane osobowe, których przetwarzanie podlega regułom RODO. Mylna konstatacja organu, jakoby skarżąca przetwarzała dane osobowe wnioskodawcy, prowadziła do bezpodstawnego wydania orzeczenia, którym udzielono jej upomnienia oraz zobowiązano do podjęcia określonych czynności.
W ocenie Sądu pierwszej instancji trafnie wywiedziono w skardze, że organ - prowadząc postępowanie oraz przywołując określone okoliczności formalne sprawy - nie wykazał w istocie, aby skarżąca - dysponując wyłącznie zbiorem określonych numerów telefonów (jest to niesporne, w kontekście posiadanych danych wnioskodawcy) przetwarzała dane osobowe - w rozumieniu art. 4 pkt 1 RODO.
Zasadnie zauważył organ, że danymi takimi mogą być informacje, które nie identyfikują konkretnej osoby, lecz jest możliwe - przy ich pomocy i wykorzystaniu nieznacznych środków - zidentyfikowanie konkretnej osoby. Organ nie wywiódł jednak, aby tego rodzaju charakter miał sam numer telefonu - nieprzypisany do konkretnej osoby, w ramach zbioru informacji posiadanych przez podmiot dysponujący tymi danymi, bądź w łatwy sposób pozyskiwalnymi.
Skoro nabyty przez skarżącą zbiór danych (baza numerów telefonów) identyfikuje wyłącznie osoby zamieszkujące pewien teren to sam numer telefonu nie jest wystarczający do identyfikacji konkretnej osoby, jako jednostki o przypisanych jej cechach indywidualnych. Nie sposób więc uznać, aby skarżąca dysponowała danymi osobowymi wnioskodawcy i je przetwarzała.
Skoro zaś skarżąca nie przetwarzała danych osobowych wnioskodawcy, nie znajdą do niej zastosowania wymagania określone RODO. Nie mogła być też wydana wobec niej decyzja w następstwie naruszenie stosownych reguł, wynikających z tego aktu.
Trafne są zatem zarzuty naruszenia wymienionych w skardze przepisów prawa materialnego. Chybione są natomiast te, dotyczące naruszenia przepisów postępowania w kontekście obowiązku właściwego wyjaśnienie sprawy. Żadne bowiem okoliczności faktyczne nie były sporne, zaś różnica stanowisk dotyczyła odmiennej oceny, czy określona informacja - sam numer telefonu - powinna być kwalifikowana jako dane osobowe. Nie naruszono też wymienionych w skardze przepisów art. 15 i 126 K.p.a., gdyż regulacje te nie znajdowały w ogóle w sprawie zastosowania.
Skargę kasacyjną od powyższego wyroku wniósł organ, zaskarżając go w całości i zarzucając mu naruszenie przepisów prawa materialnego, tj. art. 4 pkt 1 RODO poprzez jego błędną wykładnię polegającą na przyjęciu, że numer telefonu nie stanowi danej osobowej, pozwalającej na zidentyfikowanie osoby fizycznej, co miało istotny wpływ na wynik postępowania, skutkując uchyleniem zaskarżonej decyzji.
Mając na względzie powyższe wniesiono o uchylenie wyroku w całości i rozpoznanie skargi kasacyjnej przez Naczelny Sąd Administracyjny; ewentualnie o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, oraz o zasądzenie zwrotu kosztów postępowania na rzecz organu, a także o rozpoznanie skargi kasacyjnej na rozprawie.
W odpowiedzi na skargę kasacyjną wniesiono o jej oddalenie, zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego oraz opłaty skarbowej od pełnomocnictwa, a także rozpoznanie sprawy na rozprawie.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183
§ 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.
W skardze kasacyjnej podniesiono wyłącznie jeden zarzut: naruszenia art. 4 pkt 1 RODO poprzez jego błędną wykładnię polegającą na wyłączeniu z zakresu normatywnego pojęcia danych osobowych numeru telefonu.
Stosownie do postanowień art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane
o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Prawodawca unijny definiując dane osobowe dokonał dychotomicznego podziału informacji, które je stanowią. Po pierwsze, jako dane osobowe traktuje wszelkie informacje o osobie zidentyfikowanej. Nie musi to zatem być informacja, która identyfikuje daną osobę, lecz informacja o takiej osobie. Co do zasady będzie to więc dodatkowa informacja o osobie, którą administrator już zidentyfikował i w tym znaczeniu poszerzająca zakres dostępnych dla administratora danych, które jej dotyczą. Chodzi zatem o wszystkie komunikaty, wyrażone i zapisane w jakikolwiek sposób, np.: znakami graficznymi, symbolami, w języku komputerowym, na fotografii na taśmie magnetofonowej lub magnetowidowej, których treść odnosi się do konkretnej osoby. Innymi słowy, jest to każda informacja, która dotyczy osoby, którą administrator danych może w sposób pewny wskazać bez konieczności podejmowania jakichkolwiek dalszych czynności w celu jej identyfikacji.
W realiach niniejszej sprawy nie ma wątpliwości, że numer telefonu wnioskodawcy P. C. nie stanowi danych osobowych o osobie zidentyfikowanej. Z niekwestionowanego stanu faktycznego sprawy wynika bowiem, że skarżąca, poza numerem telefonu, nie dysponowała żadną inną informacją dotyczącą wnioskodawcy, a zatem bez podejmowania dalszych czynności identyfikacyjnych, nie mogła przypisać go do jakiejkolwiek osoby fizycznej.
Zasadnicze znaczenie w sprawie ma kwestia dopuszczalności zakwalifikowania numeru telefonu, jako informacji o "możliwej do zidentyfikowania osobie fizycznej". RODO w art. 4 pkt 1 definiuje osobę możliwą do zidentyfikowania jako osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 RODO postanowiono, że "[a]by stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych."
Dane osobowe umożliwiające zidentyfikowanie osoby fizycznej bezpośrednio to takie informacje, które same w sobie inkorporują treść pozwalającą na identyfikację tej osoby, bez konieczności integrowania (łączenia) tych danych z innymi informacjami.
A contrario, danymi osobowymi umożliwiającymi zidentyfikowanie osoby fizycznej pośrednio, będą takie informacje, które w celu identyfikacji tej osoby należy treściowo zespolić z innymi informacjami. Zastrzec przy tym należy, iż nie jest wymagane, aby wszystkie dane umożlwiające zidentyfikowanie danej osoby fizycznej znajdowały się w dyspozycji jednego podmiotu. Potwierdzeniem przyjętych założeń jest treść art. 4 pkt 5 RODO w zw. z motywem 26 RODO. Prawodawca unijny przyjął bowiem, że spseudoanimizowane informacje, a więc takie, których nie można przypisać do konkretnej osoby fizycznej (art. 4 pkt 5 RODO) należy uznać, za informacje o możliwej do zidentyfikowania osobie fizycznej, jeżeli takie przypisanie jest możliwe, przy użyciu dodatkowych informacji (motyw 26).
Dla ustalenia pośredniej możliwości identyfikacji osoby fizycznej istotne jest zatem to, czy administrator lub inna osoba (tak w motywie 26) ma możliwość treściowego skorelowania będącej w jego dyspozycji informacji z innymi, posiadanymi przez siebie lub inny podmiot informacjami, tworząc w ten sposób zbiór danych identyfikujących daną osobę fizyczną. Za dane osobowe należy zatem uznać informację, która po połączeniu z innymi informacjami (informacją), pozwala zidentyfikować daną osobę fizyczną albo administratorowymi tej informacji, albo innemu podmiotowi, którą ją od administratora pozyskał.
Z postanowień art. 4 pkt 1 oraz pkt 5 RODO w zw. z motywem 26 RODO wynikają istotne dla niniejszej sprawy wnioski.
Po pierwsze, trzeba przyjąć, że możliwość pośredniej identyfikacji osoby fizycznej odnosi się wyłącznie do takich układów, w których występuje "informacja zasadnicza", która samodzielnie nie stanowi danych osobowych, albowiem bez połączenia jej z innymi informacjami nie identyfikuje osoby fizycznej, oraz "informacje dodatkowe" (taką terminologią posługuje się RODO w art. 4 pkt 5 oraz w motywie 26), które samodzielnie albo po ich treściowym skorelowaniu z "informacja zasadniczą", pozwalają na zidentyfikowanie osoby fizycznej. W pierwszym układzie "informacja zasadnicza" będzie informacją dołączoną do zbioru informacji o zidentyfikowanej osobie fizycznej. Konstytutywną cechą takiej informacji będzie to, że dopiero w zestawieniu z "informacjami dodatkowymi" będzie można przypisać jej cechy identyfikujące. W drugim układzie, zarówno "informacja zasadnicza" jak i "informacje dodatkowe" samodzielnie nie identyfikują osoby fizycznej, do której się odnoszą. Dopiero w momencie ich połączenia powstaje zbiór informacji identyfikujących daną osobę fizyczną. Możliwość stworzenia zbioru informacji, w zakres którego wchodzą "informacja zasadnicza" i "informacje dodatkowe", a następnie zidentyfikowania na ich podstawie danej osoby fizycznej ma ten skutek, że "informacja zasadnicza" uzyskuje przymiot danych osobowych.
Po drugie, należy przyjąć, że "informacja zasadnicza" zawsze znajduje się
w posiadaniu administratora danych osobowych, natomiast dysponentem "informacji dodatkowych" jest albo również ten administrator, albo "inna osoba" (tak motyw 26 RODO).
Po trzecie, nie ma znaczenia, czy zespolenia "informacji zasadniczej"
z "informacjami dodatkowymi" i tym samym identyfikacji danej osoby fizycznej dokonuje administrator – dysponent "informacji zasadniczej" – czy inna osoba – dysponent "informacji dodatkowych". Dla przypisania "informacji zasadniczej" przymiotu danych osobowych istotne jest wyłącznie to, czy któryś z tych podmiotów ma możliwość zespolenia jej z "informacjami dodatkowymi" tworząc w ten sposób zbiór danych identyfikujących konkretną osobę fizyczną.
Po czwarte, ustalenie, czy administrator bądź inna osoba ma możliwość zespolenia "informacji zasadniczej" z "informacjami dodatkowymi" powinno opierać się na przewidzianych w motywie 26 kwantyfikatorach, a zatem uwzględniać "rozsądnie prawdopodobne sposoby", w stosunku do których istnieje "uzasadnione prawdopodobieństwo", iż zostaną wykorzystane w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Oznacza to, że o sprofilowaniu "informacji zasadniczej" jako danych osobowych nie decyduje to, czy rzeczywiście posłużyła ona do zidentyfikowania danej osoby fizycznej, po uprzednim zespoleniu jej z "informacjami dodatkowymi", tylko to, czy może posłużyć do takiej identyfikacji, uwzględniając racjonalność dostępnych mechanizmów połączenia jej z "informacjami dodatkowymi" oraz prawdopodobieństwo wykorzystania tych mechanizmów przez administratora bądź inną osobę.
Po piąte, o możliwości identyfikacji konkretnej osoby fizycznej na gruncie art. 4 pkt 1 RODO w zw. z motywem 26 RODO można mówić wówczas, gdy do stworzenia zbioru informacji identyfikujących tę osobę, na który składają się "informacja zasadnicza" i "informacje dodatkowe" dochodzi niezależnie od tej osoby. Chodzi o to, że zgodnie z powołanymi unormowaniami RODO, źródłem "informacji dodatkowych" może być wyłącznie administrator, albo "inna osoba", nie zaś osoba fizyczna, której identyfikacja jest możliwa przy wykorzystaniu tych informacji.
Po szóste, zasadnicze znaczenie przy ustaleniu, czy dana osoba fizyczna jest możliwa do zidentyfikowania w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 RODO ma przyjęty sposób rozumienia użytego w tych przepisach przymiotnika "możliwa". W ocenie Naczelnego Sądu Administracyjnego "możliwa do zidentyfikowania osoba fizyczna " w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 to osoba, w stosunku do której istnieje "możliwość" połączenia dotyczących jej "informacji podstawowej" z "informacjami dodatkowymi" i przez to ustalenia jej tożsamości. "Możliwość" zidentyfikowania danej osoby fizycznej odnosi się więc do samej dostępność zagregowania "informacji podstawowej" z "informacjami dodatkowymi". Nie odnosi się natomiast do rezultatu tej agregacji. Przez "możliwość" zidentyfikowania danej osoby fizycznej należy więc rozumieć dostępność połączenia "informacji zasadniczej" z "informacjami dodatkowymi", których rezultatem zawsze będzie zidentyfikowanie tej osoby. "Możliwość" zidentyfikowania danej osoby fizycznej nie oznacza więc niepewności co do rezultatów połączenia "informacji zasadniczej" z "informacjami dodatkowymi", ta bowiem jest z założenia wykluczona. Odnosi się ona do dostępności działań integrujących te informacje w celu identyfikacji danej osoby fizycznej. "Możliwa" do zidentyfikowania będzie więc taka osoba fizyczna, w stosunku do której albo administrator, albo "inna osoba" będą posiadali dostęp do połączenia dotyczących ją "informacji zasadniczej" i "informacji dodatkowych" w rezultacie czego, dojdzie do ustalenia jej tożsamości. Prezentowanych wniosków nie podważają użyte w motywie 26 zwroty: "rozsądnie prawdopodobne sposoby" i "uzasadnione prawdopodobieństwo". W przywołanych zwrotach prawdopodobieństwo, a zatem nie pewność lecz potencjalność, dotyczy samych metod/form połączenia "informacji zasadniczej" z "informacjami dodatkowymi" oraz potencjalności ich wykorzystania. "Rozsądnie prawdopodobne sposoby" należy więc korelować z racjonalnością każdej z możliwych dla administratora lub "innej osoby" metod integracji "informacji zasadniczej" z "informacjami dodatkowymi". Z kolei "uzasadnione prawdopodobieństwo" odnosić trzeba do przewidywalności skorzystania z tych metod przez te podmioty. Omawiane zwroty stanowią koordynaty dla formułowania ocen, co do tego, czy dostępne dla administratora lub "innej osoby" sposoby połączenia "informacji zasadniczej" z "informacjami dodatkowymi" nie są dla tych podmiotów zbyt kosztowne w sensie finansowym, czasowym, infrastrukturalnym, etc., w stosunku do efektów (korzyści), jakie spowoduje identyfikacja osoby fizycznej, której te informacje dotyczą. Zaznaczyć przy tym należy, że chodzi oczywiście o sposoby zgodne
z prawem. Świadczy to jednoznacznie o tym, że kwalifikacja danej informacji jako umożliwiającej identyfikację danej osoby fizycznej nie opiera się wyłącznie na jej treści, ale również na potencjale konkretnego podmiotu, który nią dysponuje do połączenia jej z "informacjami dodatkowymi".
Przy takim założeniu należy potwierdzić formułowany w doktrynie pogląd
o relatywizacji danych osobowych, który sprowadza się do możliwości różnego kwalifikowania takiej samej informacji z punktu widzenia definicji danych osobowych
w zależności od tego, jaki podmiot tę informację przetwarza, jakimi środkami identyfikacji dysponuje, jakie jeszcze inne informacje przetwarza – zob. D. Lubasz, A. Szkurłat, Relatywizacja pojęcia danych osobowych w świetle orzecznictwa polskich sądów administracyjnych i powszechnych, Monitor Prawniczy 2021, nr 23.
Przedstawione uwagi odnoszące się do sposobu interpretacji art. 4 pkt 1 RODO znajdują istotne przełożenie w niniejszej sprawie. Na ich podstawie należy bowiem stwierdzić, że skarżąca dysponowała wyłącznie numerem telefonu wnioskodawcy, przy czym nie posiadała wiedzy ani co do tego, który z numerów telefonów dostępnych w zakupionym zbiorze należy do wnioskowany, ani że w ogóle którykolwiek z tych numerów należy do wnioskodawcy. Innymi słowy, skarżąca nie miała informacji pozwalających jej na stwierdzenie, że któryś z posiadanych przez nią numerów należy do wnioskodawcy, jak też na wyodrębnienie konkretnego numeru telefonu z posiadanego zbioru i przypisanie go do wnioskodawcy. Skarżąca przy pomocy posiadanych numerów mogła wykonać połączenie telefoniczne i realizując swoje cele gospodarcze pozyskać dodatkowe informacje pozwalające skorelować dany numer telefonu z konkretną osobą fizyczną. Naczelny Sąd Administracyjny zauważa, że do momentu podania przez rozmówcę swoich danych osobowych skarżąca nie mogła zidentyfikować osoby fizycznej, do której ten numer należy. Co ma zasadnicze znaczenie, skarżąca nie łączyła informacji w postaci numeru telefonu z dodatkowymi informacjami pozwalającymi zidentyfikować jego właściciela, na podstawie posiadanych przez siebie danych. Nie czyniła tego również w oparciu o dostęp do informacji posiadanych przez inne podmioty. Jedynym dostępnym dla skarżącej sposobem zidentyfikowania wnioskodawcy, jako osoby fizycznej, do której należy posiadany przez nią numer telefonu, był bezpośredni kontakt telefoniczny
z wnioskodawcą, w ramach którego mógł on udostępnić dane osobowe, które go identyfikują. Nie można jednak przyjąć, że posiadany przez skarżącą numer telefonu wnioskodawcy był "rozsądnie prawdopodobnym sposobem" pozyskania przez nią "informacji dodatkowych" pozwalających na jego identyfikację, albowiem skorzystanie z tego sposobu nie gwarantowało takiego rezultatu. Co więcej, w trakcie rozmowy wnioskodawca odmówił podania swoich danych osobowych, co wyłączyło możliwość przypisania mu numeru telefonu, na który zadzwoniła skarżąca.
Trzeba jednoznacznie stwierdzić, że dopóki skarżąca nie miała dostępu do "informacji dodatkowych" pozwalających jej na stwierdzenie, że posiadany numer telefonu należy do wnioskodawcy, nie można przyjąć, że posiadała jego dane osobowe. Sama możliwość wykonania połączenia telefonicznego nie stanowi
o możliwości identyfikacji właściciela numeru telefonu, albowiem nie ma żadnej pewności, że dane pozwalające na taką identyfikację zostaną pozyskane. Dlatego też rację ma Sąd pierwszej instancji, że numer telefonu mógłby stanowić dane osobowe przetwarzane przez skarżącą, dopiero od momentu pozyskania przez nią informacji identyfikujących jego właściciela. Skarżąca tak we własnych zasobach, jak i w zasobach innych podmiotów, do których miała dostęp, nie posiadała informacji pozwalających przypisać jej konkretny numer telefonu do wnioskodawcy.
Z przyjętymi wnioskami nie pozostają w sprzeczności tezy powołanego
w skardze kasacyjnej wyroku ETS z 19 października 2016 r., Breyer, C-582/14, EU:C:2016:779. Powołany wyrok zapadł wprawdzie na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), która została uchylona przez RODO, jednakże z uwagi na treściową tożsamość obu aktów orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje co do zasady zastosowanie również
w odniesieniu do RODO – wyrok ETS z dnia 17 czerwca 2021 r., C-597/19, EU:C:2021:492, pkt 107.
W powołanym wyroku Trybunał rozważał możliwość uznania za dane osobowe adresów IP rejestrowanych przez dostawcę internetowych usług medialnych, w sytuacji, gdy dodatkowe informacje pozwalające na identyfikację użytkownika strony internetowej posiada inny podmiot – dostawca usług internetowych. Trybunał jednoznacznie stwierdził, iż taka sytuacja wystąpi jedynie po ustaleniu, że istnieje możliwość połączenia adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu dostawcy dostępu do Internetu w sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą. Trybunał nakazał zbadać, czy dostawca internetowych usług medialnych może zwrócić się do właściwych organów państwowych o pozyskanie informacji identyfikujących użytkownika adresu IP od dostawcy Internetu, w sytuacji gdy doszło do popełnienia przestępstwa – pkt 44-48 wyroku. Trybunał uzależnił więc kwalifikację adresu IP jako danych osobowych od ustalenia, czy istnieje możliwość połączenia go z informacjami dodatkowymi identyfikującymi użytkownika tego adresu. W układzie powołanej sprawy chodziło więc o dostęp do informacji posiadanych przez inny podmiot, niż osoba fizyczna podlegająca identyfikacji, a nadto o dostęp, który gwarantuje identyfikację tej osoby, a nie jedynie potencjalność tej identyfikacji zależną od woli tego podmiotu.
W powołanym w skardze kasacyjnej wyroku ETS z 6 listopada 2003 r., C-101/01, ECR 2003/11A/I-12971 ETS istotnie stwierdził, że "operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi 'przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany' w rozumieniu art. 3 ust. 1 dyrektywy 95/46" – pkt 27 wyroku. Skarżący kasacyjnie pomija jednak, że uczynił to po uprzedniej konkluzji, że termin dane osobowe, jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej odnosi się "bez wątpienia do nazwiska osoby
w połączeniu z jej numerem telefonu lub informacjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu" – pkt 24 wyroku. Trybunał wprost więc przyjął, że numer telefonu będzie stanowił dane osobowe, jeżeli zostanie połączony z informacjami dodatkowymi, identyfikującymi osobę fizyczną, do której należy.
Mając na uwadze całość powyższego Naczelny Sąd Administracyjny nie znalazł podstaw do uwzględnienia skargi kasacyjnej i oddalił ją na podstawie art. 184 P.p.s.a.
O kosztach postępowania kasacyjnego rozstrzygnięto na podstawie art. 204 pkt 2 i art. 205 § 2 P.p.s.a.