Sporność pojęcia danych osobowych
Szkolenia dla współpracowników (B2B) stanowią koszt podatkowy spółki
31 stycznia 2023
Łączenie się spółek z udziałem spółki komandytowo-akcyjnej – a obowiązek badania planu połączenia przez biegłego rewidenta
13 lutego 2023
W maju minie 5 lat od momentu, w którym RODO[1] bezpośrednio weszło do polskiego porządku prawnego i wymagało, głównie od przedsiębiorców, jego wdrożenia i stosowania względem ochrony danych osobowych osób fizycznych. Niemniej jednak, w dalszym ciągu sama definicja pojęcia danych osobowych, uregulowana w art. 4 pkt 1 RODO wzbudza wątpliwości co do jego interpretacji i zastosowania.
Wobec powyższego, przede wszystkim należy wspomnieć o jednym z niedawno opublikowanych wyroków NSA[2], w którym stwierdził, że treść tablicy rejestracyjnej nie stanowi danych dotyczących prywatności osoby fizycznej[3]. Powyższe jest pokłosiem wcześniejszego wyroku NSA, który wskazał, że numer rejestracyjny samochodu nie podlega ochronie wynikającej z prawa do prywatności, gdyż identyfikuje samochód a nie osobę[4]. Pomimo jednolitego stanowiska po stronie orzecznictwa, to nie jest ono tak oczywiste i podzielane zarówno przez przedstawicieli doktryny prawniczej oraz organów ochrony danych osobowych. Zgodnie ze stanowiskiem Prezesa UODO[5], przedstawianym przykładowo we wspomnianym wyroku z 2022 roku, ale także w innych sprawach, dane zawarte w tablicach rejestracyjnych to w rozumieniu prawa dane osobowe, które podlegają ochronie w świetle RODO. Powyższe podziela także ICO[6], który wskazuje, że m.in. numer rejestracyjny pojazdu może stanowić daną osobową, gdyż za jego pomocą możliwe jest zidentyfikowanie danych osoby fizycznej.
Sporność występuje także w postaci kwalifikacji numeru telefonu pod pojęcie danych osobowych. Z jednej strony numery składające się na numer telefonu same w sobie nie odpowiadają definicji danych osobowych, z drugiej jednak, użycie numeru telefonu umożliwia nam kontakt z tą osobą. W świetle stanowiska GIODO[7] objęcie numeru telefonu kwalifikowało się pod pojęcie danych osobowych. Z przeciwnego założenia wyszedł Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 13 kwietnia 2021 roku, w którym stwierdził, że „numer telefonu nie pozwala na identyfikację konkretnej osoby. Może być wyłącznie podstawą dla podjęcia określonych czynności w celu identyfikacji posiadacza numeru – abonenta lub osoby, która faktycznie używa danego numeru.”[8] Pomimo rozbieżności zdań w doktrynie związanych z kwalifikacją numeru telefonu pod pojęcie danych osobowych, to przeważająca część z nich wskazuje jednak, że możliwość identyfikowania osoby fizycznej należy odnosić do określenia tożsamości konkretnej osoby fizycznej na podstawie posiadanych lub ewentualnie możliwych do uzyskania informacji, a nie do podejmowania samych działań, które zmierzają do ustalenia informacji, stanowiących dane osobowe.
W ostatnim czasie także rozważano, czy adres poczty elektronicznej prezesa spółki, zawierający jego imię lub nazwisko podlega pod zakres pojęcia danych osobowych. Tożsame stanowisko w tym zakresie zajął zarówno Prezes UODO oraz WSA w Warszawie wskazując, że skoro adres e-mail członka organu, który działa w imieniu danej osoby prawnej jest związany z jej istnieniem i służy do kontaktu z podmiotami zewnętrznymi, to w takiej sytuacji, imienny adres e-mail nie może zostać uznany za daną identyfikującą osobę fizyczną, gdyż jest on wykorzystywany do działalności osoby prawnej[9]. Odmienne zdanie wyraża doktryna prawnicza wskazując, że skoro imienny adres e-mail identyfikuje osobę fizyczną i jest automatycznie przetwarzany, to co do zasady powinno się do niego stosować RODO, chyba że przewiduje się w tym zakresie wyjątki. Swoje stanowisko także przedstawiła Grupa Robocza art. 29 która uznała, że dokonując oceny, czy adres poczty elektronicznej wykorzystywanej w ramach prowadzonej działalności gospodarczej podlega pod pojęcie danych osobowych, należy brać pod uwagę kryteria dotyczące treści, celu lub skutku. Jeżeli ich uwzględnienie pozwala na uznanie informacji, która dotyczy osoby fizycznej, to należy uznać je za dane osobowe[10]. Natomiast we wspomnianej sprawie urząd oraz sąd nie biorąc pod uwagę powyższych kryteriów wspólnie uznali, że skoro adres poczty elektronicznej należał do osoby pełniącej określoną funkcję w spółce, to jest on automatycznie związany z działalnością tej spółki, a wobec czego nie podlega ochronie przewidzianej w RODO.
Mając na uwadze powyższe, należy wskazać, że pomimo kilkuletniego obowiązywania RODO w polskim porządku prawnym, kwalifikacja niektórych informacji pod pojęcie danych osobowych nadal pozostaje niejednoznaczna i jest dokonywana w zależności do konkretnej sytuacji.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
[2] Naczelny Sąd Administracyjny.
[3] Wyrok Naczelnego Sądu Administracyjnego z dnia 3 listopada 2022 roku, o sygn. III OSK 1522/21.
[4] Wyrok NSA z dnia 14 maja 2021 r., sygn. akt III OSK 1466/21.
[5] Urząd Ochrony Danych Osobowych.
[6] Urząd ochrony danych osobowych w Wielkiej Brytanii (https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/can-we-identify-an-individual-indirectly/).
[7] Generalny Inspektor Ochrony Danych Osobowych – organ do spraw ochrony danych osobowych w Polsce w latach 1997–2018.
[8] Wyrok WSA w Warszawie z 13.04.2021 r., II SA/Wa 1898/20, LEX nr 3185223.
[9] Wyrok WSA w Warszawie z 19.09.2022 r., II SA/Wa 559/22, LEX nr 3439957.
[10] Opinia 4/2007 w sprawie pojęcia danych osobowych.
Potrzebujesz pomocy w tym temacie? Napisz do nas!
