A skoro minął rok od RODO… czy podanie przez operatora osobie postronnej — która zadzwoniła do BOK za zgodą i wiedzą abonenta, z telefonu abonenta — informacji o nazwie usługi abonamentowej, o pakiecie internetowym i ilości wykorzystanych danych stanowi naruszenie tajemnicy telekomunikacyjnej? I przy okazji: czy te informacje są danymi osobowymi? A może w ogóle nie ma znaczenia czy takie dane stanowią czy nie stanowią danych osobowych? (wyrok Sądu Najwyższego z 29 stycznia 2019 r., I NSK 8/18).
Orzeczenie dotyczyło nałożonej przez Urząd Komunikacji Elektronicznej kary za naruszenie tajemnicy telekomunikacyjnej przez operatora komórkowego, który ujawnił osobie nieuprawnionej dane osobowe i transmisyjne abonenta.
art. 159 ust. 1 ustawy prawo telekomunikacyjne
Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej „tajemnicą telekomunikacyjną”, obejmuje:
1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2;
2) treść indywidualnych komunikatów;
3) dane transmisyjne które oznaczają dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług telekomunikacyjnych wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych;
4) dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku;
5) dane o próbach uzyskania połączenia między zakończeniami sieci (…).
Do naruszenia obowiązków przez operatora doszło podczas dwóch rozmów z BOK przeprowadzonych przez osobę trzecią — z telefonu abonentki, za jej zgodą (kobieta była przy prowadzonych rozmowach); abonentka chciała mieć włączony dostęp do internetu i poprosiła o pomoc znajomego. Podczas tych rozmów pracownik operatora podał rozmówcy informacje „o nazwie usługi abonamentowej, o liczbie przesyłanych danych w danym dniu oraz o godzinach nawiązywania połączeń, podczas których dane były przesyłane, o wykorzystywanym pakiecie internetowym oraz od kiedy został włączony, o braku blokad włączonych dla numeru, o braku połączeń z internetem z danego dnia oraz o nawiązywaniu w tym dniu połączeń z numerami komórkowymi”.
Kilka dni później abonentka wniosła skargę do UKE zarzucając, iż przedsiębiorca telekomunikacyjny naruszył obowiązek zachowania tajemnicy — a UKE nałożył na operatora karę w wysokości 20 tys. złotych.
art. 160 ust. 1 ustawy prawo telekomunikacyjne
Podmiot uczestniczący w wykonywaniu działalności telekomunikacyjnej w sieciach publicznych oraz podmioty z nim współpracujące są obowiązane do zachowania tajemnicy telekomunikacyjnej.
W ocenie kara była bezzasadna. Skoro informacje przekazano osobie dzwoniącej z telefonu abonentki, za jej zgodą, to zarzut naruszenia tajemnicy telekomunikacyjnej prowadzi do nadużycia prawa podmiotowego (art. 5 kc).
Sąd I instancji oddalił odwołanie od skargi: obowiązek zachowania tajemnicy telekomunikacyjnej obejmującej dane użytkownika (art. 161 ust. 2-3 pt) i dane transmisyjne (art. 159 ust. 1 pkt 3 pt) dotyczy wszystkich podmiotów (art. 160 ust. 1 pt). Informacja o nazwie usługi abonamentowej jest daną dotyczącą użytkownika, ponieważ pozwala na pośrednią identyfikację tożsamości abonenta, a to poprzez zestawienie tej informacji z pozostałymi danymi, przez co można ustalić numer telefoniczny, a w konsekwencji odkryć tożsamość osoby. Skoro więc operator udostępnił dane bez weryfikacji osoby dzwoniącej (art. 159 ust. 2 pkt 2 pt), zaś abonentka nie wyraziła zgody w sposób określony w art. 174 pt, to nie ma znaczenia czy późniejsza skarga stanowi nadużycie prawa do tajemnicy telekomunikacyjnej — operator naruszył prawo, więc musi ponieść tego konsekwencje.
Nieco odmiennie spór oceniono po apelacji wniesionej przez operatora: informacja o nazwie usługi nie stanowi danej osobowej, ponieważ przejście całego trybu ustalenia tożsamości abonenta wymagałoby nadmiernych kosztów, czasu lub działań (art. 6 ust. 3 ustawy o ochronie danych osobowych z 1997 r.). Oznacza to, że operator bezprawnie ujawnił wyłącznie dane transmisyjne, zatem kara powinna być obniżona do 2 tys. złotych.
Od tego wyroku skargę kasacyjną wniósł UKE, którego zdaniem sąd m.in. bezzasadnie (i) zrównał pojęcie danych użytkownika z danymi osobowymi; (ii) uznał, że dane dotyczące nazwy usługi abonamentowej oraz inne informacje udostępnione rozmówcy nie stanowią danych dotyczących użytkownika; a przez to (iii) są objęte tajemnicą telekomunikacyjną; co doprowadziło do (iv) bezzasadnego obniżenia nałożonej kary.
Rozpatrując skargę kasacyjną Sąd Najwyższy przypomniał, że należy rozróżnić pojęcie abonenta („podmiot, który jest stroną umowy o świadczenie usług telekomunikacyjnych zawartej z dostawcą publicznie dostępnych usług telekomunikacyjnych”, art. 2 pkt 1 pt) od pojęcia użytkownika („podmiot korzystający z publicznie dostępnej usługi telekomunikacyjnej lub żądający świadczenia takiej usługi”, art. 2 pkt 49 pt), zaś ochrona tajemnicy telekomunikacyjnej dotyczy użytkowników. Część danych użytkownika stanowi dane osobowe, jednak tajemnicą objęte są także inne informacje, nawet jeśli nie mają charakteru osobowego (dotyczy to np. terminu zawarcia umowy, numeru konta użytkownika, numeru IMEI jego urządzenia, etc.; ale też sytuacji kiedy klientem jest np. spółka prawa handlowego). Ustawodawca uzależnił możliwość legalnego przetwarzania danych o użytkowniku będącym osobą fizyczną od dwóch okoliczności: albo zezwala na to przepis ustawy (art. 161 ust. 1 pt), albo przetwarzanie (innych) danych dopuszczalne jest wyłącznie za zgodą użytkownika (art. 161 ust. 3 pt wskazuje tutaj „w szczególności numer konta bankowego lub karty płatniczej, a także numery telefonów kontaktowych”).
Czymś innym są natomiast dane transmisyjne rozumiane jako dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za świadczone usługi (art. 159 ust. 1 pkt 3 pt, np. dane routingowe, czas trwania połączeń, czas rozpoczęcia i zakończenia połączenia, objętość komunikatu, format (protokół przekazu komunikatu), dane o położeniu urządzeń końcowych wywołującego i wywoływanego, sieć, w której następuje rozpoczęcie i zakończenie połączenia). Są to informacje towarzyszące, niezbędne do zestawienia połączenia lub transmisji komunikatu, identyfikacji zakończeń sieci, etc. — wspólnym mianownikiem jest to, iż dane transmisyjne także są chronione tajemnicą telekomunikacyjną.
Jeśli zakres przetwarzanych danych (transmisyjnych, użytkownika) pozwala na identyfikację osoby fizycznej, to stanowią one dane osobowe. Niezależnie od tego pamiętać należy, iż zgodnie z art. 5 d.uoodo jej przepisy stanowiły tylko normatywne minimum ochrony, a jeśli lex specialis gwarantowało więcej, to należało stosować te właśnie uregulowania — i dotyczy to właśnie pozycji operatora, który może zidentyfikować użytkownika i określić jego tożsamość na podstawie zindywidualizowanych informacji zebranych w związku ze świadczeniem usług.
Ponieważ sąd nie uwzględnił tych okoliczności, zaskarżony wyrok został uchylony, a sprawa zwrócona do ponownego rozpoznania.