Wojewódzki Sąd Administracyjny w Warszawie uchylając decyzję Prezesa Urzędu Ochrony Danych Osobowych wyrokiem z dnia 13 kwietnia 2021 r., sygn. akt: II SA/Wa 1898/20 orzekł, że numer telefon nie stanowił danych osobowych. Wyrok nie jest prawomocny.

 

Czy numer telefonu jest daną osobową? Aktualne regulacje

W świetle art. 4 pkt 1) RODO dane osobowe to „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

Wyrok zapadł w wyniku rozpoznania skargi, która wpłynęła do PUODO w związku z nieprawidłowościami w procesie przetwarzania danych osobowych przez Spółkę, w tym przetwarzanie danych osobowych – w szczególności numeru telefonu – bez podstawy prawnej. Przedmiot działalności wspomnianej spółki koncentrował się na umawianiu pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej. W tym celu Spółka kontaktowała się telefonicznie poprzez zatrudnionych telemarketerów z potencjalnymi klientami. Spółka pozyskała numery telefonów tych osób w związku z nabyciem pakietu danych innego podmiotu (numery telefonu wytypowane na podstawie kryteriów geograficznych).

 

PUODO udzielił Spółce upomnienia za naruszenie przepisów RODO, polegające na odmowie realizacji żądania wnioskodawcy – udzielenia mu wszelkich dostępnych informacji o źródle pozyskania danych osobowych oraz kopii jego danych osobowych. PUODO stanął na stanowisku, że numer telefonu stanowi dane osobowe i w związku z tym jego przetwarzanie podlega wymogom RODO. Podkreślał on, iż rzeczywistym celem Spółki, która nabyła bazę numerów telefonów, było pozyskanie informacji o potencjalnych odbiorcach oferowanych usług. Przetwarzanie zebranych numerów telefonów podlegało wg PUODO regulacjom RODO.

 

WSA nie zgodził się ze stanowiskiem PUODO, jakoby danymi osobowymi były numery telefonu, gdyż nie było możliwe przypisanie ich do konkretnych osób. Zostały one pozyskane w ramach zbioru informacji od podmiotu, który nimi dysponował i były łatwo pozyskiwalne. Zatem czy numer telefonu to dane osobowe? WSA wskazał, że sam numer telefonu nie pozwala na identyfikację konkretnej osoby, a może jedynie stanowić podstawę dla podjęcia określonych czynności mających na celu przypisanie posiadaczowi numeru cech identyfikujących. Zbiór numerów, który posiadała spółka, pozwalał jedynie na przyporządkowanie do konkretnej osoby pewnego obszaru geograficznego, w którym zamieszkiwała, co nie jest jednak równoznaczne z możliwością zidentyfikowania osoby fizycznej. Baza numerów telefonów, w jakiej posiadaniu była spółka, może zatem stanowić jedynie podstawę do zgromadzenia danych osobowych w wyniku podjęcia określonych czynności. Tylko w przypadku skutecznego zebrania informacji o konkretnych osobach spółka zobowiązana będzie do spełnienia obowiązków wynikających z RODO. Przedmiotowy wyrok rozpoczyna dyskusję w przedmiocie możliwości korzystania z baz danych np. w celach marketingowych. Dotyczy to w szczególności marketingu bezpośredniego i zastosowania automatycznych systemów wywołujących. Wyjątkiem od tej reguły są sytuacje, kiedy użytkownik końcowy uprzednio wyraził zgodę na to, aby nawiązać kontakt telefoniczny, np. przez używanie telekomunikacyjnych urządzeń końcowych.

 

Służbowy numer telefonu a RODO

Przepisy o ochronie danych osobowych i RODO dotyczą zarówno przedsiębiorców, jak i pracowników. Wszystkie osoby, które posiadają dane, nawet te, które nie określają bezpośrednio tożsamości osoby, ale dają możliwość określenia tożsamości na drodze bezpośredniego kontaktu, muszą zadbać o ochronę tych informacji.

Zgodnie z przepisami o ochronie danych osobowych konieczne jest przygotowanie procedur postępowania z danymi osobowymi. Do zadań przedsiębiorcy należą:

  • opracowanie polityki prywatności w zakresie postępowania ze smartfonem,
  • ustanowienie zasad postępowania z urządzeniami służbowymi,
  • ograniczenie wykorzystania publicznych sieci bezprzewodowych,
  • szyfrowanie urządzeń mobilnych,
  • ustanowienie zabezpieczeń, np. podwójne uwierzytelnienie,
  • instalacja oprogramowania antywirusowego.

Pracownik powinien mieć także możliwość uzyskania informacji w ujęciu prawnym i świadomość konsekwencji wycieku danych osobowych.

Dowiedz się więcej na temat prawa pracy i skorzystaj z kompleksowego wsparcia w takich obszarach jak kadrypłace.

 

Numer telefonu a RODO – o czym pamiętać?

Dysponując wyłącznie numerem telefonu, istnieje szansa zidentyfikowania osoby fizycznej. Możliwość bezpośredniego kontaktu sprawia, że numer telefonu komórkowego może być zatem traktowany jako dana osobowa.

Zachęcamy Państwa do kontaktu z naszym zespołem ekspertów prawnych, który rozwieje wszelkie wątpliwości związane z kwestią ochrony danych osobowych, a także wskaże, w jakim zakresie czynności podejmowane w ramach Państwa działalności stanowią przetwarzanie danych oraz związane z tym obowiązki. Oferujemy kompleksowe doradztwo w zakresie RODO i pomoc we wdrożeniu w organizacji odpowiednich procedur. Wspomagamy w ochronie danych zarówno firmy, jak organizacje pożytku publicznego czy organy samorządowe.

 

Wszystkich przedsiębiorców i osoby aktywnie zaangażowane w prowadzenie działalności zapraszamy do zapoznania się z takimi zagadnieniami jak:

 

 

Skontaktuj się

 


 

 

Kontakt

Logo LinkedIn Logo LinkedIn

Krzysztof Jarosiński

Partner, radca prawny, audytor wiodący ISO 27001