A skoro niedawno było o tym, że „goły” numer telefonu to nie dane osobowe, dziś czas na kilka słów o tym, czy możliwa jest identyfikacja osoby na podstawie jej numeru telefonu? Czy call-center, dzwoniące „w ciemno” pod numer z bazy, narusza RODO? I, poniekąd nie na marginesie: czy odpowiedź, że dane osobowe nie są przetwarzane, też powinna być udzielona w terminach wynikających z RODO? (wyrok Naczelnego Sądu Administracyjnego z 15 kwietnia 2026 r., III OSK 896/23).
stan faktyczny:
- sprawa zaczęła się od wykonania przez call-center połączenia telefonicznego w celu przedstawienia jakiejś tam oferty handlowej;
- wkurzony odbiorca poprosił o wyjaśnienie, skąd firma miała jego numer telefonu, jednak pracownik firmy nie był w stanie niczego wyjaśnić, więc ograniczył się do podania namiarów na inspektora ochrony danych; zainteresowany wysłał żądanie udzielenia informacji o przetwarzaniu danych osobowych…
- …a ponieważ odpowiedź została wysłana z przekroczeniem miesięcznego terminu, do PUODO trafiła skarga;
art. 15 ust. 1 RODO
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: […]
art. 12 ust. 3 RODO
Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. […]
- zdaniem spółki numer telefonu nie stanowi danych osobowych, zatem w sprawie nie mają zastosowania art. 15 i art. 12 ust. 3 RODO (ale też powołano się na komplikacje organizacyjne, bo koronawirus) — niemniej numer został z bazy usunięty;
decyzja PUODO:
- prawo dostępu do informacji obejmuje także upewnienie się, czy przetwarzanie w ogóle ma miejsce;
- skoro więc odpowiedź została wysłana, acz z uchybieniem miesięcznego terminu, to doszło do naruszenia RODO (więc upomnienie);
skarga na decyzję:
- numer telefonu plus dane geolokalizacyjne (na poziomie województwa lub powiatu) nie mogą być zaliczane do danych osobowych, ponieważ identyfikacja osoby na podstawie samego numeru telefonu jest niemożliwa;
- a ponieważ RODO ma zastosowanie tylko w przypadku przetwarzania danych osobowych — podmiot przetwarzający dane nie-osobowe nie musi stosować się do tych przepisów, w tym nie musi informować użytkowników o przetwarzaniu danych, które nie są danymi osobowymi;
wyrok WSA:
- każdy ma prawo domagać się potwierdzenia przez administratora, czy jego dane osobowe są przetwarzane, w tym o źródle, z którego dane zostały pozyskane;
- skoro telemarketer zatelefonował, to użytkownik miał prawo skorzystania z prawa do informacji — więc spółka miała obowiązek udzielenia odpowiedzi w odpowiednim terminie;
- nie ma przy tym znaczenia, czy numer telefoniczny można traktować jako dane osobowe, czy też nie — i tu dłuższy wywód, że owa niepowtarzalna kombinacja cyfr to nic innego jak „punkt kontaktowy”, przeto nawet jeśli nie pozwala na określenie imienia i nazwiska, to przecież daje możliwość wywierania na rozmówcę „określonego wpływu”, dzięki czemu można go zidentyfikować (i jeszcze kilka zdań o tajemnicy telekomunikacyjnej, spisie abonentów i prezentacji numeru, a także o tym, że adres IP też może być daną osobową);
- a jeśli ktoś ma wątpliwości, to przecież numer telefonu nierzadko służy jako identyfikator użytkownika, zaś wprowadzenie go np. w Signalu czy Łocapie może ujawnić określone informacje o użytkowniku (np. zdjęcie profilowe, a czasem imię i nazwisko) — zaś firma profesjonalnie prowadząca call-center może mieć (i pewnie ma) swoje sposoby dla pogłębienia owej wiedzy;
- co w sumie oznacza, że decyzja PUODO była prawidłowa — zatem skarga została oddalona (wyrok WSA w Warszawie z 22 grudnia 2022 r., II SA/Wa 981/22);
skarga kasacyjna:
- numer telefoniczny to nie dane osobowe, ponieważ nijak nie pozwala na zidentyfikowanie konkretnej osoby;
- więc RODO nie ma zastosowania, niezależnie od tego, czy informacja jest wykorzystywana w celach marketingu bezpośredniego — jest to wszakże klasyczne przetwarzanie niewymagające identyfikacji;
wyrok NSA:
- dane osobowe to wszystkie informacje o osobie zidentyfikowanej lub możliwej do zidentyfikowania, tj. takiej, której tożsamość można odcyfrować (etc.,etc.);
- w sprawie jest jasne, że call-center zna wyłącznie numer telefonu i ogólne dane lokalizacyjne — nie zna imienia i nazwiska oraz innych danych…
- …co oznacza, że nie posiada żadnych danych osobowych — ponieważ „goły” numer telefonu nie zalicza się do danych osobowych — a zgromadzona wiedza, jak też „wszelkie obiektywne czynniki, takie jak koszt i czas” oraz dostępna technologia sprawiają, że identyfikacja osoby fizycznej na podstawie jej numeru telefonu jest niemożliwa;
- RODO nie ma zastosowania do informacji anonimowych, czyli niezwiązanych ze zidentyfikowanym lub możliwym do identyfikacji człowiekiem, jak też do danych (następnie) zanonimizowanych;
- wszystko pamiętając, że taka sama informacja raz może być traktowana jako dane osobowe, a innym razem wcale nie — więc numer telefonu stanowiłby dane osobowe, aczkolwiek dopiero od momentu, kiedy administrator pozyskałby inne dane identyfikujące — zaś „sama możliwość wykonania połączenia telefonicznego nie stanowi o możliwości identyfikacji właściciela numeru telefonu„, bo przecież nikt nie ma pewności, że rozmówca się przedstawi;
- nie ma też znaczenia, że dzwonienie w celach marketingowych na numery wybrane na chybił-trafił, bez zgody użytkownika, jest nielegalne — bo przecież nie tego dotyczył spór, a poza tym w tamtej sprawie nie zajmował się tym, czy numer telefoniczny stanowi dane osobowe.
Stwierdzając, że identyfikacja osoby fizycznej przez call-center tylko na podstawie znajomości numeru telefonu abonenta jest niemożliwa, NSA uchylił wyrok i decyzję — co oznacza, że sprawa wraca do ponownego rozpoznania w PUODO.
(A jeśli kogoś boli, że NSA nie pochylił się nad kwestią terminu udzielenia odpowiedzi negatywnej — jak się PUODO znów wypowie, to się WSA/NSA może pochyli.)