LexDigital

Czy numer telefonu to dane osobowe? Ważne stanowiska UODO i sądu

Odwieczne pytanie każdego Administratora brzmi: czy ten zakres danych to już dane osobowe? Co mówią przepisy RODO? W artykule wskazujemy możliwe podejścia do przetwarzania numeru telefonu, w zależności od kontekstu.

Czy numer telefonu to dane osobowe? Ważne stanowiska UODO i sądu

Jak RODO określa informacje o możliwej do zidentyfikowania osobie? Kontekst przetwarzania numeru telefonu.

Rozważając, czy uznajemy coś za dane osobowe, musimy zwrócić uwagę na definicję danych osobowych, która znajduje się w art. 4 pkt. 1 RODO:

  „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

rodo możliwa do zidentyfikowania osoba
Możliwa do zidentyfikowania osoba fizyczna to osoba, którą zidentyfikujemy - bezpośrednio lub pośrednio.

Powyższa definicja nie przybliża nas do odpowiedzi czy numery telefonów stanowią dane osobowe. Jednocześnie wskazuje ona, że to czy dana informacja jest daną osobową zależy od kontekstu, w którym ta informacja występuje oraz w zestawie z jakimi innymi informacjami czy danymi ją przetwarzamy.

Czy imię i nazwisko to dane osobowe? Dowiesz się z tego artykułu


Gdy numer będzie przypisany do konkretnego imienia i nazwiska nie mamy wątpliwości, że połączenie tych danych stanowi dane osobowe, ponieważ jesteśmy w stanie bezpośrednio lub pośrednio zidentyfikować kim jest ta osoba.

nr telefonu rodo
Czy na podstawie numerów telefonów możliwe jest ustalenie tożsamości danej osoby?


RODO. Kiedy numer telefonu jest daną osobową?

Urząd Ochrony Danych Osobowych nie ma wątpliwości:

Choć numer telefonu nie określa bezpośrednio tożsamości osoby fizycznej, to jest on informacją, która umożliwia bezpośredni kontakt z określoną osobą, a samo ustalenie tożsamości nie wymaga poniesienia nadmiernych kosztów, czasu lub działań. Sama zatem możliwość skontaktowania się z tą osobą może prowadzić do ustalenia jej tożsamości, a więc numer telefonu stanowi dane osobowe w rozumieniu przepisów rozporządzenia 2016/679.

– czytamy w dokumencie "Przegląd stanowisk UODO i orzecznictwa krajowego w zakresie pojęcia danych osobowych".

Powyższe opracowanie ukazało się w marcu zeszłego roku, czyli już po wprowadzeniu i ugruntowaniu przepisów RODO. Można w nim znaleźć cytaty z orzeczeń sądu:

Wyrok WSA w Warszawie z 25.11.2022 r. II SA/Wa 710/22:

„numer telefonu może stanowić dane osobowe w sytuacji, gdy dysponent tego numeru jest w posiadaniu także innych informacji, które umożliwiają identyfikację osoby fizycznej, takich jak np. imię i nazwisko, adres zamieszkania, nr PESEL. Możliwość identyfikowania osoby fizycznej należy bowiem odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji. Nie można natomiast odnosić tego pojęcia do podejmowania działań zmierzających dopiero do ustalenia (uzyskania) informacji, które mogą stanowić dane osobowe (identyfikować konkretną osobę fizyczną)”.
ustawa z 1997 r. a rodo
RODO zastąpiło ustawę z sierpnia 1997 r. o ochronie danych osobowych.


Wyrok WSA w Warszawie z 22.12.2022 r. II SA/Wa 981/22

"Przepisy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) - Dz.U.UE. L. z 2002r. Nr 201, str. 37 ze zm. i ustawy Prawo telekomunikacyjne wskazują, że numer abonenta, będącego osobą fizyczną (lub znak identyfikujący abonenta), stanowi obok (a nie tylko łącznie z) nazwiska i imion oraz nazwy miejscowości i ulicy w miejscu zamieszkania - daną osobową tego abonenta, w stosunku do której - kierując się ochroną prawa do prywatności i poufności - pozostawiono mu decyzję o tym, czy chce by znalazła się w spisie abonentów"
telefon rodo
Czy na podstawie samego telefonu można mówić o możliwej do zidentyfikowania osobie fizycznej?

Klauzula CV – zgoda na przetwarzanie danych w rekrutacji

Telemarketing - losowanie telefonów

Często podczas rozmów z osobami, które nie rozumieją realnego wpływu RODO na ochronę naszej prywatności, przytaczamy przykłady związane z nękaniem przez firmy zajmujące się sprzedażą garnków, pościeli czy paneli fotowoltaicznych. Działania takich podmiotów od 2018r. zdecydowanie wyhamowały.

Jest ich mniej, ponieważ RODO stało się aktem prawnym znanym masowo. W mediach słyszymy o RODO, incydentach, naruszeniach czy wyciekach danych. Nasza świadomość co do ochrony naszych danych rośnie z roku na rok.

Sprawdź artykuł LexDigital: Dane osobowe wrażliwe, a dane osobowe zwykłe

Osoby, które odbierają te telefony pytają i mają do tego prawo: Skąd macie Państwo mój numer telefonu?

Powinniśmy przecież spełnić obowiązek informacyjny w momencie gromadzenia danych. Lub jeżeli nie pozyskujemy danych bezpośrednio od osoby, której dane dotyczą, podczas pierwszego kontaktu z nią (lub do miesiąca od momentu zgromadzenia, jeśli kontakt nie nastąpił wcześniej) ciąży na nas taki sam obowiązek informacyjny.

telemarketing rodo
RODO. Przepisy o ochronie danych osobowych utrudniają pracę telemarketerom.

Przygotuj się na NIS 2! Wdrożenie ISO 27001 z LexDigital


Dolejmy oliwy do ognia - co na to Prawo telekomunikacyjne?

Nie tylko RODO rości sobie prawa do ustalania wymagań co do przetwarzania danych osobowych. W przypadku, gdy numer telefonu ma zostać wykorzystany do działań marketingowych tj. promowania produktów czy usług należy zweryfikować czy działamy zgodnie z art. 172 Prawa telekomunikacyjnego, który brzmi:

Art.  172.  [Używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego]

  1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
  2. Przepis ust. 1 nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw.
  3. Używanie środków, o których mowa w ust. 1, dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta.

W rozumieniu art. 172 PT nie mówimy już tylko o możliwej do zidentyfikowania fizycznej osobie, ale o użytkowniku końcowym. To oznacza, że każdy numer telefonu posiada użytkownika końcowego, który jakby nie patrzeć jest osobą fizyczną.

Zgodnie z wymaganiami Prawa telekomunikacyjnego - w przypadku chęci kontaktu z potencjalnym klientem potrzebujemy uzyskać jego uprzednią zgodę. Tutaj trudno jest uznać, że w procesie prowadzenia marketingu Administrator nie wie, do kogo go kieruje, a numer telefonu to jedyne dane osobowe, które posiada.

rodo dane osobowe
Telefon może pozwolić na identyfikację konkretnej osoby.

Co grozi za publikowanie zdjęć bez zgody?

Nagrywanie rozmów telefonicznych

Nawet, jeżeli posiadamy tylko numer telefonu konkretnej osoby, podczas gdy w naszej organizacji nagrywamy rozmowy telefoniczne należy wskazać, że podane podczas rozmowy dane będą stanowiły dane osobowe i w połączeniu z numerem telefonu są daną osobową. Bardzo często systemy centralne obsługujące połączenia infolinii zbierają również dane o lokalizacji.

Proces ten będzie wymagał, jak każda inna sytuacja gromadzenia danych osobowych, pozyskania odpowiedniej podstawy prawnej np. zgody osoby oraz poinformowania o przetwarzaniu. Dlatego podczas wybrania telefonu infolinii banku, recepcji hotelu itd. słyszymy na początku połączenia informację o tym, kto przetwarzana nasze dane, w jakim celu, jakie mamy prawa oraz pod którym klawiszem możemy odsłuchać szczegółowe informacje o ochronie naszych danych osobowych.

możliwa do zidentyfikowania osoba fizyczna
Dane osobowe oznaczają takie informacje, które pozwalają zidentyfikować konkretną osobę.

Udostępnianie danych osobowych bez zgody - dowiedz się więcej

RODO. Rozliczalność i dokumentowanie ryzyka

Każdy z Inspektorów ochrony danych osobowych zdaje sobie sprawę, że decyzja Administratora co do tego, czy uznaje numer telefonu jako dane osobowe czy nie i tak odbije się na konieczności opracowania dokumentacji wewnętrznej.

Czym jest rejestr czynności przetwarzania danych osobowych?

Taka dokumentacja będzie stanowiła dowód wykonania analizy ryzyka w tym procesie. Warto jest zatem - jaka ta decyzja nie będzie - udokumentować ją i rozliczyć się z podjętych działań na wypadek kontroli organu nadzorczego. Przemilczenie tej sprawy i brak dowodów na jej analizę może stanowić brak należytej staranności, którą UODO może negatywnie ocenić.

co to dane osobowe
RODO. Czy numery telefonów stanowią dane osobowe? Bezpieczniej uznać, że tak.


Podsumowując - rekomendujemy podejście, w którym telefon jest daną osobową osoby fizycznej. Zazwyczaj lepiej dmuchać na zimne i zagwarantować odpowiedni poziom ochrony wszystkim osobom, które pozostawiają nam swoje dane osobowe, nawet jeżeli jest to tylko i aż ich numer telefonu.

Pamiętajmy, że numer telefonu jest dla wielu osób daną osobową bardzo poufną, chronioną przed obcymi osobami.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk