Czy numer telefonu to dane osobowe? Ważne stanowiska UODO i sądu
Odwieczne pytanie każdego Administratora brzmi: czy ten zakres danych to już dane osobowe? Co mówią przepisy RODO? W artykule wskazujemy możliwe podejścia do przetwarzania numeru telefonu, w zależności od kontekstu.
Jak RODO określa informacje o możliwej do zidentyfikowania osobie? Kontekst przetwarzania numeru telefonu.
Rozważając, czy uznajemy coś za dane osobowe, musimy zwrócić uwagę na definicję danych osobowych, która znajduje się w art. 4 pkt. 1 RODO:
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Powyższa definicja nie przybliża nas do odpowiedzi czy numery telefonów stanowią dane osobowe. Jednocześnie wskazuje ona, że to czy dana informacja jest daną osobową zależy od kontekstu, w którym ta informacja występuje oraz w zestawie z jakimi innymi informacjami czy danymi ją przetwarzamy.
Czy imię i nazwisko to dane osobowe? Dowiesz się z tego artykułu
Gdy numer będzie przypisany do konkretnego imienia i nazwiska nie mamy wątpliwości, że połączenie tych danych stanowi dane osobowe, ponieważ jesteśmy w stanie bezpośrednio lub pośrednio zidentyfikować kim jest ta osoba.
RODO. Kiedy numer telefonu jest daną osobową?
Urząd Ochrony Danych Osobowych nie ma wątpliwości:
Choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, a samo ustalenie tożsamości nie wymaga poniesienia nadmiernych kosztów, czasu lub działań. Sama zatem możliwość skontaktowania się z tą osobą może prowadzić do ustalenia jej tożsamości, a więc numer telefonu stanowi dane osobowe w rozumieniu przepisów rozporządzenia 2016/679.
– czytamy w dokumencie "Przegląd stanowisk UODO i orzecznictwa krajowego w zakresie pojęcia danych osobowych".
Powyższe opracowanie ukazało się w marcu zeszłego roku, czyli już po wprowadzeniu i ugruntowaniu przepisów RODO. Można w nim znaleźć cytaty z orzeczeń sądu:
Wyrok WSA w Warszawie z 25.11.2022 r. II SA/Wa 710/22:
„numer telefonu może stanowić dane osobowe w sytuacji, gdy dysponent tego numeru jest w posiadaniu także innych informacji, które umożliwiają identyfikację osoby fizycznej, takich jak np. imię i nazwisko, adres zamieszkania, nr PESEL. Możliwość identyfikowania osoby fizycznej należy bowiem odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną)”.
Wyrok WSA w Warszawie z 22.12.2022 r. II SA/Wa 981/22
"Przepisy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) - Dz.U.UE. L. z 2002r. Nr 201, str. 37 ze zm. i ustawy Prawo telekomunikacyjne wskazują, że numer abonenta, będącego osobą fizyczną (lub znak identyfikujący abonenta), stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania - daną osobową tego abonenta, w stosunku do której - kierując się ochroną prawa do prywatności i poufności - pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów"
Klauzula CV – zgoda na przetwarzanie danych w rekrutacji
Telemarketing - losowanie telefonów
Często podczas rozmów z osobami, które nie rozumieją realnego wpływu RODO na ochronę naszej prywatności, przytaczamy przykłady związane z nękaniem przez firmy zajmujące się sprzedażą garnków, pościeli czy paneli fotowoltaicznych. Działania takich podmiotów od 2018r. zdecydowanie wyhamowały.
Jest ich mniej, ponieważ RODO stało się aktem prawnym znanym masowo. W mediach słyszymy o RODO, incydentach, naruszeniach czy wyciekach danych. Nasza świadomość co do ochrony naszych danych rośnie z roku na rok.
Sprawdź artykuł LexDigital: Dane osobowe wrażliwe, a dane osobowe zwykłe
Osoby, które odbierają te telefony pytają i mają do tego prawo: Skąd macie Państwo mój numer telefonu?
Powinniśmy przecież spełnić obowiązek informacyjny w momencie gromadzenia danych. Lub jeżeli nie pozyskujemy danych bezpośrednio od osoby, której dane dotyczą, podczas pierwszego kontaktu z nią (lub do miesiąca od momentu zgromadzenia, jeśli kontakt nie nastąpił wcześniej) ciąży na nas taki sam obowiązek informacyjny.
Przygotuj się na NIS 2! Wdrożenie ISO 27001 z LexDigital
Dolejmy oliwy do ognia - co na to Prawo telekomunikacyjne?
Nie tylko RODO rości sobie prawa do ustalania wymagań co do przetwarzania danych osobowych. W przypadku, gdy numer telefonu ma zostać wykorzystany do działań marketingowych tj. promowania produktów czy usług należy zweryfikować czy działamy zgodnie z art. 172 Prawa telekomunikacyjnego, który brzmi:
Art. 172. [Używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego]
- Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
- Przepis ust. 1 nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw.
- Używanie środków, o których mowa w ust. 1, dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta.
W rozumieniu art. 172 PT nie mówimy już tylko o możliwej do zidentyfikowania fizycznej osobie, ale o użytkowniku końcowym. To oznacza, że każdy numer telefonu posiada użytkownika końcowego, który jakby nie patrzeć jest osobą fizyczną.
Zgodnie z wymaganiami Prawa telekomunikacyjnego - w przypadku chęci kontaktu z potencjalnym klientem potrzebujemy uzyskać jego uprzednią zgodę. Tutaj trudno jest uznać, że w procesie prowadzenia marketingu Administrator nie wie, do kogo go kieruje, a numer telefonu to jedyne dane osobowe, które posiada.
Co grozi za publikowanie zdjęć bez zgody?
Nagrywanie rozmów telefonicznych
Nawet, jeżeli posiadamy tylko numer telefonu konkretnej osoby, podczas gdy w naszej organizacji nagrywamy rozmowy telefoniczne należy wskazać, że podane podczas rozmowy dane będą stanowiły dane osobowe i w połączeniu z numerem telefonu są daną osobową. Bardzo często systemy centralne obsługujące połączenia infolinii zbierają również dane o lokalizacji.
Proces ten będzie wymagał, jak każda inna sytuacja gromadzenia danych osobowych, pozyskania odpowiedniej podstawy prawnej np. zgody osoby oraz poinformowania o przetwarzaniu. Dlatego podczas wybrania telefonu infolinii banku, recepcji hotelu itd. słyszymy na początku połączenia informację o tym, kto przetwarzana nasze dane, w jakim celu, jakie mamy prawa oraz pod którym klawiszem możemy odsłuchać szczegółowe informacje o ochronie naszych danych osobowych.
Udostępnianie danych osobowych bez zgody - dowiedz się więcej
RODO. Rozliczalność i dokumentowanie ryzyka
Każdy z Inspektorów ochrony danych osobowych zdaje sobie sprawę, że decyzja Administratora co do tego, czy uznaje numer telefonu jako dane osobowe czy nie i tak odbije się na konieczności opracowania dokumentacji wewnętrznej.
Czym jest rejestr czynności przetwarzania danych osobowych?
Taka dokumentacja będzie stanowiła dowód wykonania analizy ryzyka w tym procesie. Warto jest zatem - jaka ta decyzja nie będzie - udokumentować ją i rozliczyć się z podjętych działań na wypadek kontroli organu nadzorczego. Przemilczenie tej sprawy i brak dowodów na jej analizę może stanowić brak należytej staranności, którą UODO może negatywnie ocenić.
Podsumowując - rekomendujemy podejście, w którym telefon jest daną osobową osoby fizycznej. Zazwyczaj lepiej dmuchać na zimne i zagwarantować odpowiedni poziom ochrony wszystkim osobom, które pozostawiają nam swoje dane osobowe, nawet jeżeli jest to tylko i aż ich numer telefonu.