III OSK 907/23

WyrokNaczelny Sąd Administracyjny2026-04-15

Skład orzekający: Przemysław Szustakiewicz, Artur Kuś, Maciej Kobak

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy numer telefonu komórkowego, sam w sobie, stanowi dane osobowe w rozumieniu RODO, umożliwiające pośrednią identyfikację osoby fizycznej, nawet jeśli administrator nie dysponuje innymi danymi pozwalającymi na tę identyfikację?
Ratio decidendi
Numer telefonu komórkowego, sam w sobie, nie stanowi danych osobowych w rozumieniu RODO, jeśli administrator nie dysponuje dodatkowymi informacjami, które w sposób obiektywny i racjonalnie prawdopodobny pozwoliłyby na jego powiązanie z konkretną osobą fizyczną. Sama możliwość wykonania połączenia telefonicznego lub hipotetyczna możliwość identyfikacji nie jest wystarczająca do uznania numeru za dane osobowe.
Stan faktyczny
Spółka z o.o. otrzymała upomnienie od Prezesa UODO za naruszenie RODO, polegające na nieusunięciu danych osobowych (numeru telefonu) T.M. po otrzymaniu żądania. Spółka argumentowała, że sam numer telefonu nie stanowi danych osobowych, a ona nie dysponuje innymi danymi pozwalającymi na identyfikację rozmówcy. WSA w Warszawie oddalił skargę spółki, uznając numer telefonu za dane osobowe. NSA uchylił wyrok WSA i decyzję Prezesa UODO, stwierdzając, że numer telefonu sam w sobie nie jest daną osobową bez dodatkowych informacji identyfikujących.
Rozstrzygnięcie
Uchylił zaskarżony wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie w całości oraz zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz (sprawozdawca) Sędziowie: Sędzia NSA Artur Kuś Sędzia del. WSA Maciej Kobak Protokolant: asystent sędziego Dawid Lis po rozpoznaniu w dniu 15 kwietnia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Sp. z o.o. [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 grudnia 2022 r., sygn. akt II SA/Wa 881/22 w sprawie ze skargi [...] Sp. z o.o. [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 marca 2022 r., nr DS.523.5329.2020.PR.KK w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok w całości oraz zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. [...] kwotę 1154 (jeden tysiąc sto pięćdziesiąt cztery) złote tytułem zwrotu kosztów postępowania sądowego. Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 30 grudnia 2022 r., sygn. akt II SA/Wa 881/22, oddalił skargę [...] Sp. z o.o. [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 marca 2022 r., nr DS.523.5329.2020.PR.KK w przedmiocie przetwarzania danych osobowych. Wyrok został wydany w następującym stanie faktycznym i prawnym sprawy: Prezes Urzędu Ochrony Danych Osobowych, decyzją z dnia 21 marca 2022 r., nr DS.523.5329.2020.PR.KK, wydaną na podstawie art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), art. 6 ust. 1, art. 12 ust. 3 w zw. z art. 17 ust. 1 lit. d oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; dalej: "RODO"), udzielił: 1) [...] Sp. z o.o. [...], działającą przez oddział w Polsce, upomnienia za naruszenie art. 17 ust. 1 lit. d w zw. z art. 6 ust. 1 i art. 12 ust. 3 RODO, polegające na spełnieniu żądania T.M. w zakresie usunięcia jego danych osobowych w postaci numeru telefonu po upływie przewidzianego prawem terminu. W uzasadnieniu decyzji organ wskazał, że T.M. w piśmie z 17 października 2020 r. wniósł do Prezesa Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Sp. z o. o., polegające na nieuwzględnianiu żądania usunięcia jego danych osobowych. Prezes UODO ustalił, że Spółka wykonuje połączenia telefoniczne pod posiadane numery telefonów, z propozycją zorganizowania pokazów oraz prezentacji towarów oferowanych przez podmioty z branży sprzedaży bezpośredniej. Telemarketer kontaktujący się z daną osobą nie zna jakichkolwiek danych osobowych rozmówcy, w tym imienia, nazwiska, adresu zamieszkania, do czasu ewentualnego ich podania drogą telefoniczną, celem przesłania zaproszenia, vouchera lub dalszych informacji o oferowanym produkcie. Spółka podniosła, że numer telefonu składającego skargę nie stanowi dla niej danej osobowej oraz nie dysponuje środkami prawnymi, technicznymi bądź organizacyjnymi, umożliwiającymi jej dokonanie identyfikacji rozmówców, nie jest również w stanie przypisać danego numeru telefonu do konkretnej osoby fizycznej. Podniosła również, że w toku przeprowadzonej rozmowy, ani w inny sposób nie pozyskała żadnych danych osobowych wnoszącego skargę, ponieważ nie wyraził zgody na ich przetwarzanie, a w konsekwencji nie ma możliwości jego identyfikacji. Skoro numer telefonu, pod który wykonała połączenie, nie stanowi danej osobowej w rozumieniu RODO, to nie można jej zarzucić, że przetwarzała dane osobowe uczestnika (w postaci numeru telefonu) bez podstawy prawnej. Spółka potwierdziła, że numery telefonów, z których wnoszący skargę otrzymał połączenia telefoniczne, należą do niej. Podniosła, że odmowa podania przez uczestnika danych osobowych uniemożliwiła jego prawidłową identyfikację i w konsekwencji ustalenie legitymacji do złożenia żądania zaprzestania przetwarzania danych. Wskazała, że nie ustosunkowała się do żądania w zakresie usunięcia danych osobowych wnoszącego skargę, ponieważ nie dysponowała jego danymi na etapie prowadzonej rozmowy telefonicznej i nie miała możliwości dokonania jego prawidłowej identyfikacji. Spółka wyjaśniła ponadto, że numer telefonu uczestnika został pozyskany w pakiecie danych na podstawie umowy o udostępnienie pakietu danych z dnia 1 lipca 2020 r. zawartej pomiędzy Spółką a P. Sp. z o.o. [...]. Następnie Prezes UODO, odnosząc się do treści art. 4 pkt 1 RODO wskazał, że możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Przy weryfikacji, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania osoby fizycznej, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania oraz technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Organ wskazał, że tożsamość osoby można ustalić bezpośrednio poprzez jej nazwisko lub pośrednio poprzez jej numer telefonu, numer rejestracyjny samochodu, numer ubezpieczenia społecznego, numer paszportu lub poprzez zestawienie istotnych kryteriów, które umożliwią odróżnienie tej osoby poprzez zawężenie grupy, do której ona należy (wiek, zajęcie, miejsce zamieszkania, itp.) i nie ma podstaw do przyjęcia, że "niekompletne" informacje o osobie fizycznej (bez jakiejkolwiek wzmianki o nazwisku lub innym bezpośrednim czynniku identyfikującym) nie pozwalają na jej zidentyfikowanie, a w konsekwencji nie stanowią danych osobowych. W przypadku, gdy celem przetwarzania jest identyfikacja osób, można przypuszczać, że administratorzy lub inne zainteresowane osoby, dysponują sposobami "jakimi można się posłużyć" w celu zidentyfikowania osoby, której dane dotyczą. Twierdzenie, że osoby nie są możliwe do zidentyfikowania, podczas gdy celem przetwarzania danych jest właśnie ich identyfikacja, zawierałoby wewnętrzną sprzeczność. W związku z tym, Prezes UODO uznał, że w sprawie mamy do czynienia z pośrednią identyfikacją uczestnika poprzez jego numer telefonu. Spółka, dysponując informacją w postaci numerów telefonów i wykonując połączenia na te numery, podejmowała działania nakierowane na identyfikację osób, w tym wnoszącego skargę, jako klienta dla podmiotów współpracujących ze Spółką. Identyfikacja ta nie wymagała od Spółki poniesienia nadmiernych kosztów, bądź czasu. Z uwagi na działania nakierowane na identyfikację rozmówcy, brak nadmiernych kosztów i czasu, jakich potrzeba na jej dokonanie, przetwarzanie numeru telefonu uczestnika stanowi przetwarzanie jego danych osobowych i podlega przepisom dotyczącym ochrony danych osobowych. W ocenie Prezesa UODO, przetwarzanie numeru telefonu uczestnika nie znajdowało oparcia w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych, w tym w art. 6 ust. 1 lit. f RODO, który stanowi, że przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Organ wyjaśnił, że RODO w motywie 47 dopuszcza możliwość prowadzenia marketingu bezpośredniego na podstawie prawnie uzasadnionych interesów administratora. Aby jednak przetwarzanie danych było dopuszczalne na podstawie art. 6 ust. 1 lit. f RODO, interesy administratora danych muszą być nadrzędne wobec praw i wolności osób, których dane dotyczą. Uznaje się zatem, że powyższa przesłanka jest spełniona w przypadku, kiedy podmiot danych może oczekiwać przetwarzania dla tych celów - tj. między innymi w przypadku, w którym pomiędzy osobą a administratorem istnieje relacja prawna, np. strony wiąże umowa. Organ nadzorczy ustalił, że przetwarzanie danych osobowych uczestnika miało miejsce dla celów marketingu bezpośredniego, co wymaga zgody podmiotu danych. Spółka nie miała podstaw do pozyskania oraz następczo przetwarzania danych osobowych uczestnika. Sama umowa o udostępnianie pakietu danych nie jest bowiem przesłanką legalizującą proces przetwarzania. W tych okolicznościach organ nadzorczy uznał interesy wnoszącego skargę za nadrzędne wobec interesu administratora. W związku z tym stwierdził, że pozyskując i przetwarzając dane osobowe uczestnika Spółka naruszyła art. 6 ust. 1 RODO. Ponadto Prezes UODO stwierdził, że uczestnik legitymował się uprawnieniem do żądania usunięcia jego danych osobowych (art. 17 ust. 1 lit d RODO). Spółka jednak nie dopełniła ciążącego na niej zobowiązania, ani bezzwłocznie - zgodnie ze wskazaniem z art. 17 ust. 1 RODO, nie podjęła też żadnych działań w terminach określonych w art. 12 ust. 3 RODO, a numer telefonu wnoszącego skargę usunęła dopiero po otrzymaniu od organu wezwania do złożenia wyjaśnień w sprawie. W związku z powyższym organ nadzorczy uznał, że Spółka dopuściła się naruszenia art. 6 ust. z w. z art. 17 ust. 1 lit. d RODO. Z powyższą decyzją nie zgodziła się Spółka, wnosząc skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. W odpowiedzi na skargę organ wniósł o jej oddalenie. Powołanym na wstępie wyrokiem, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329 ze zm., dalej: "P.p.s.a."), uznał, że skarga nie zasługuje na uwzględnienie. W motywach rozstrzygnięcia Sąd pierwszej instancji wskazał, że kwestią sporną w sprawie było czy Prezes UODO prawidłowo stwierdził, że numer telefonu komórkowego uczestnika stanowi daną osobową. O ile bowiem okazałoby się, że ustalenia organu w tym zakresie są błędne, niedopuszczalna byłaby ocena przetwarzania przez skarżącą tej informacji pod względem zgodności z przepisami RODO. W związku z tym WSA w Warszawie zwrócił uwagę, że zgodnie z art. 4 pkt 1 RODO, dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Z motywu 26 RODO wynika natomiast, że zasady ochrony danych powinny mieć zastosowanie do wszelkich informacji o zidentyfikowanych lub możliwych do zidentyfikowania osobach fizycznych. Spseudonimizowane dane osobowe, które przy użyciu dodatkowych informacji można przypisać osobie fizycznej, należy uznać za informacje o możliwej do zidentyfikowania osobie fizycznej. Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. [...] Rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych. Jakkolwiek art. 4 pkt 1 RODO wyjaśnia, jaką osobę należy uznać za "możliwą do zidentyfikowania", a motyw 26 RODO zawiera swoisty test "możliwości identyfikacji" osoby fizycznej, to przepisy RODO nie wyjaśniają wprost, co oznacza "identyfikacja". Określeniem niejednoznacznym jest zatem również "możliwość zidentyfikowania", czy "ustalenia tożsamości". Niemniej jednak, w ocenie Sądu pierwszej instancji, zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu. Nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób. Taką możliwość daje numer telefonu osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych. WSA w Warszawie przywołał ponadto przepisy ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. z 2021r., poz. 576 ze zm.) i wyjaśnił, że przepisy tej ustawy świadczą o ścisłym związku numeru telefonu z abonentem, a w przypadku, w którym umowa o świadczenie usług telekomunikacyjnych zawierana jest przez użytkownika końcowego, z tym użytkownikiem, gwarantując mu możliwość przeniesienia przydzielonego numeru przy zmianie dostawcy usług oraz chroniąc przed arbitralną zmianą przydzielonego numeru przez dostawcę usług. Można zakładać, że w wielu przypadkach numer telefonu jest związany z abonentem, będącym osobą fizyczną, silniej i przez dłuższy czas niż miejsce jego zamieszkania. Numer telefonu osoby fizycznej stanowi zatem wspomniany wyżej "punkt kontaktowy", ponieważ umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną, a w konsekwencji wywierania na nią określonego wpływu. Numer telefonu osoby fizycznej stanowi niepowtarzalną kombinację cyfr, która jest do tej osoby przypisana i odróżnia ją, po pierwsze od osób niekorzystających z usługi telekomunikacyjnej (połączeń telefonicznych), a po drugie, korzystających z innych numerów telefonów. Jest informacją na temat tej osoby, która umożliwia podmiotowi, który wejdzie w posiadanie numeru telefonu, kontakt z nią i skierowanie do niej określonej informacji (zarówno ustanej, jak i tekstowej). W realiach rozpoznanej sprawy nie budzi natomiast wątpliwości, że uczestnik, jest użytkownikiem końcowym, o którym mowa w art. 2 pkt 50 ustawy Prawo telekomunikacyjne. Sąd stwierdził, że skarżąca Spółka, pozyskując numer telefonu komórkowego uczestnika postępowania, przechowując go i wykorzystując następnie do nawiązania połączenia telefonicznego przetwarzała jego dane osobowe. Sąd zaznaczył, że przyjął, iż numer telefonu komórkowego użytkownika końcowego będącego osobą fizyczną definiuje tego użytkownika jako osobę korzystającą dla zaspokojenia własnych potrzeb z usług telekomunikacyjnych przypisanych do tego numeru, w tym z podstawowej usługi połączeń telefonicznych, a zatem umożliwia jego zidentyfikowanie poprzez nawiązanie z nim kontaktu w określonym celu i wywieranie na niego określonego wpływu. Sąd dodatkowo wywiódł, że nawet przy założeniu, iż sam numer telefonu nie pozwala na zidentyfikowanie osoby fizycznej, należy stwierdzić, że skarżąca dysponowała sposobami pozwalającymi na uzyskanie dodatkowych danych identyfikujących uczestnika postępowania, które mogła z uzasadnionym prawdopodobieństwem wykorzystać. Zdaniem Sądu, Prezes UODO prawidłowo stwierdził, że przetwarzanie danych osobowych uczestnika odbywało się dla celów marketingu bezpośredniego. Choć skarżąca Spółka wywodzi, że celem połączenia telefonicznego było ustalenie zainteresowania rozmówcy udziałem w organizowanych spotkaniach lub prezentacjach, a dopiero w przypadku wyrażenia woli udziału w spotkaniu rozmówca wyrażał zgodę na przetwarzanie jego danych osobowych i podawał niezbędne dane w celu wzięcia udziału w spotkaniu; że jej działalność skupia się na zapraszaniu na organizowane spotkania, podczas których kontrahenci Spółki poruszają tematykę spotkań wcześniej określoną podczas składania zaproszenia abonentom; że zapraszając na spotkania, w rozmowie nie prowadzi żadnej sprzedaży, nie informuje też o żadnych konkretnych produktach, a jedynie o tematyce spotkania oraz kategoriach prezentowanych produktów; że realizuje połączenia we własnym imieniu oraz we własnym imieniu umawia spotkania, które następnie są sprzedawane na rzecz jej kontrahentów z branży sprzedaży bezpośredniej - zatem nie można jej przypisać korzyści z rzekomego marketingu, gdyż nie prowadzi podczas połączeń sprzedaży, a produkty oferowane na pokazach nie stanowią w żadnym razie jej własności, to zasadnie Prezes UODO odwołał się do definicji pojęcia "marketingu bezpośredniego" zawartej w rekomendacji R (85)20 Komitetu Ministrów dla Państw Członkowskich w sprawie ochrony danych osobowych używanych dla celów marketingu bezpośredniego Rady Europy "Ochrona danych osobowych wykorzystywanych dla potrzeb marketingu bezpośredniego" z 25 października 1985r. Zgodnie z tą definicją "marketing bezpośredni", to ogół działań, jak również wszelkich dotyczących go usług pomocniczych, umożliwiających oferowanie produktów lub usług bądź przekazywanie innych informacji do grupy ludności - za pośrednictwem poczty, telefonu lub innych bezpośrednich środków - w celach informacyjnych bądź w celu wywołania reakcji ze strony osoby, której dane dotyczą. W związku z tym wykonywanie połączeń telefonicznych w celu zaproszenia konsumenta na pokaz lub spotkanie, podczas którego istnieje możliwość zakupu produktów, jest marketingiem bezpośrednim, ponieważ jest przekazaniem informacji w celu wywołania reakcji ze strony konsumenta w postaci udania się na pokaz i zakupienia oferowanych produktów. Nie ma przy tym znaczenia, że produkty oferowane na pokazach, na które zapraszała Spółka, nie były jej własnością, czy też nie były oferowane przez nią, lecz przez jej kontrahentów. Skoro Spółka używała telekomunikacyjnych urządzeń końcowych w celu zaproszenia konsumentów na pokazy lub spotkania, podczas których istniała możliwość zakupu produktów, to używała tych urządzeń w celu marketingu bezpośredniego. To, kto następnie oferował produkty na umawianych przez nią spotkaniach nie ma znaczenia z perspektywy normy prawnej zawartej w art. 172 ust. 1 ustawy Prawo telekomunikacyjne. Stwierdzenie, że przetwarzanie danych osobowych uczestnika odbywało się dla celów marketingu bezpośredniego ma o tyle istotne znaczenie, że zgodnie z art. 6 ust. 1 lit. f RODO, przetwarzanie jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W świetle natomiast motywu 47 zd. 6 RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Niemniej jednak, prawnie uzasadnione interesy administratora mogą być podstawą prawną przetwarzania, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. WSA w Warszawie zaznaczył, że w świetle art. 172 ust. 1 ustawy Prawo telekomunikacyjne, dookreślającego i precyzującego przepisy RODO, zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego (...), chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z art. 174 ustawy Prawo telekomunikacyjne, do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Skoro zatem używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego dopuszczalne jest pod warunkiem uprzedniego wyrażenia zgody przez abonenta lub użytkownika końcowego, to brak takiej zgody ze strony uczestnika/uczestniczki postępowania, powoduje, że nie mógł on/mogła ona mieć rozsądnych przesłanek, by spodziewać się, że może nastąpić przetwarzanie jego/jej danej osobowej w postaci numeru telefonu do tych celów. Skarżąca nie była uprawniona do przetwarzania danych osobowych uczestnika w zakresie numeru telefonu, na mocy art. 6 ust. 1 lit. f RODO. Prezes UODO trafnie uznał więc, że Spółka przetwarzała dane osobowe uczestnika bez podstawy prawnej, przez co naruszyła art. 6 ust. 1 RODO. WSA w Warszawie zgodził się z Prezesem UODO, że w sprawie został naruszony art. 17 ust. 1 lit. d RODO, zgodnie z którym osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe były przetwarzane niezgodnie z prawem. Spółka spełniła żądanie uczestnika dopiero po wniesieniu skargi do organu nadzorczego, a zatem po upływie terminów przewidzianych w art. 12 ust. 3 RODO. Z powyższym wyrokiem nie zgodziła się Spółka, wnosząc skargę kasacyjną i domagając się uchylenia zaskarżonego wyroku w całości i przekazania sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, zasądzenia kosztów postępowania kasacyjnego, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz rozpoznania skargi kasacyjnej na rozprawie. Zaskarżonemu wyrokowi zarzucono naruszenie: 1. art. 8 ust. 2 w zw. z art. 90 ust. 1 oraz art. 87 Konstytucji RP w zw. z art. 4 pkt 1 RODO poprzez oparcie rozstrzygnięcia na dokumentach nie będących źródłami prawa powszechnie obowiązującego w Polsce, tj. Sprawozdaniu T-PD(2004)04 opracowanym dla Komitetu Konsultacyjnego Rady Europy ds. konwencji o ochronie osób oraz projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego i ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE, a w konsekwencji dokonanie nieuprawnionej wykładni rozszerzającej pojęcia danych osobowych oraz osoby zidentyfikowanej lub możliwej do zidentyfikowania, podczas gdy dokumenty te w żadnym razie nie mają mocy prawnej, nie odnoszą się do treści przepisów RODO i nie mogą stanowić podstawy interpretacyjnej przepisów RODO; 2. art. 4 pkt 1 RODO w zw. z motywem 26 RODO poprzez jego błędną wykładnię i bezzasadne uznanie, że numer telefonu stanowi daną osobową umożliwiającą zidentyfikowanie osoby fizycznej, w sytuacji gdy numer telefonu nie jest informacją o charakterze osobowym, czyli nie obejmuje żadnych danych identyfikujących osoby fizyczne, a zatem nie pozwala na ustalenie sama w sobie tożsamości (personaliów) podmiotu nim się posługującego; 3. art. 4 pkt 2 RODO poprzez błędną jego wykładnię i bezzasadne uznanie, że skarżąca przetwarzała dane osobowe T.M., w sytuacji gdy w zaistniałym stanie faktycznym, brak jest możliwości przypisania Spółce jakiejkolwiek roli w procesie przetwarzania danych osobowych, w tym na potrzeby marketingu bezpośredniego, albowiem numer telefonu nie stanowi sam w sobie danych osobowych w rozumieniu RODO; 4. art. 4 pkt 7 i pkt 8 RODO poprzez błędną jego wykładnię i bezzasadne uznanie, że skarżąca pełniła rolę administratora danych osobowych lub podmiotu przetwarzającego, w sytuacji gdy Spółka (ani samodzielnie ani wspólnie z innymi osobami trzecimi) w ramach prowadzonej działalności gospodarczej, tj. w szczególności w zakresie umawiania pokazów nie decydowała nigdy o celach i środkach przetwarzania danych osobowych anonimowych rozmówców, w tym danych osobowych T.M.; 5. art. 6 ust. 1 RODO poprzez błędną wykładnię i nieprawidłowe uznanie, że skarżąca przetwarzała dane osobowe T.M. bez podstawy prawnej, podczas gdy skarżąca do momentu otrzymania korespondencji od organu z dnia 12 stycznia 2021 r. nie przetwarzała danych osobowych T.M.; 6. art. 11 ust. 1 RODO w zw. z motywem 57 RODO poprzez nieprawidłowe przyjęcie, że do czynności realizowanych przez Spółkę i objętych przez organ zaskarżoną decyzją, zastosowanie odnajduje RODO, podczas gdy w ich toku, przy posiadaniu samego numeru telefonu, nie dochodzi do przetwarzania danych osobowych, w tym na potrzeby marketingu bezpośredniego, co skutkuje konkluzją, że Spółka nie jest obowiązana do pozyskiwania innych danych celu zastosowania RODO; 7. art. 12 ust. 3 RODO w zw. z art. 17 ust. 1 lit. d RODO poprzez błędną ich wykładnię w wyniku bezzasadnego uznania, że skarżąca dopuściła się uchybienia polegającego na zwłoce w zakresie usunięcia danych osobowych T.M., podczas gdy Spółka nie była obowiązana do usunięcia numeru telefonu uczestnika (brak przetwarzania danych osobowych) oraz aby stosować RODO, a mimo tego usunęła numer telefonu uczestnika z posiadanej przez siebie bazy danych, a gdyby nawet była obowiązana do usunięcia numeru T.M., usunęła jego numer w przepisanym prawem terminie; 8. art. 58 ust. 2 lit. b RODO poprzez nietrafną ocenę prawidłowości jego zastosowania przez organ, który bezzasadnie uznał skarżącą, jako pełniącą rolę administratora danych lub podmiotu przetwarzającego, podczas gdy przywołany przepis przyznaje uprawnienie do udzielenia upomnień organowi nadzorczemu wyłącznie w odniesieniu do administratora lub podmiotu przetwarzającego w przypadku naruszenia przepisów RODO przez operacje przetwarzania, co w niniejszej sprawie nigdy nie miało miejsca z uwagi na niepełnienie takich ról przez Spółkę; 9. art. 58 ust. 1 w zw. z art. 11 ust. 1 RODO poprzez nietrafną ocenę, że organ nie wykroczył poza zakres przyznanych jemu kompetencji i prawidłowo wydał swoją decyzję w stosunku do podmiotu niepełniącego roli administratora lub podmiotu przetwarzającego dane osobowe a nadto nieprzetwarzającego danych osobowych, podczas gdy zakres kompetencji organu nadzorczego odnosi się wyłącznie do podmiotów dokonujących czynności przetwarzania oraz pełniących w tym procesie jedną z powyższych ról, których nie sposób przypisać skarżącej; 10. art. 145 § 1 pkt 2 w zw. z art. 134 § 1 P.p.s.a. w zw. z art. 156 § 1 pkt 5 k.p.a. poprzez zaniechanie stwierdzenia nieważności decyzji Prezesa Urzędu Ochrony Danych Osobowych w sytuacji, gdy pozyskany na podstawie umowy o udostępnieniu pakietu danych numer telefonu T.M. został usunięty przed zakończeniem postępowania przed organem, a zatem stało się ono bezprzedmiotowe i powinno zostać umorzone, co należy kwalifikować jako rażące naruszenie prawa, względnie naruszenie: 11. art. 151 P.p.s.a. poprzez oddalenie skargi, mimo rażącego naruszenia przez Prezesa Urzędu Ochrony Danych Osobowych przepisów art. 7, art. 77 i art. 80 k.p.a. poprzez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, wybiórcze gromadzenie i weryfikowanie dowodów, zastąpienie swobodnej oceny dowodów całkowitą dowolnością, a co za tym idzie przyznania uczestnikowi racji w zakresie złożonej przez niego skargi, w sytuacji w której: – sam numer telefonu, bez innych danych umożliwiających ustalenie podmiotu danych nie stanowi danej osobowej umożliwiającej zidentyfikowanie osoby fizycznej, – brak adekwatnej, skutecznej, prawidłowej i dostępnej metody identyfikacji uczestnika wyłącznie przy pomocy jego numeru telefonu; – Spółka nie znajdowała się w posiadaniu danych osobowych T.M., tym samym nie przetwarzała danych osobowych uczestnika, – skarżąca nie prowadzi działalności o charakterze marketingowym, w tym na potrzeby marketingu bezpośredniego, – Spółka nie pełniła roli administratora, współadministratora ani podmiotu przetwarzającego dane osobowe T.M. w rozumieniu art. 4 pkt 1 RODO, – skarżąca nie pozyskiwała danych osobowych od innych podmiotów, pozyskała wyłącznie pakiety danych, wśród których znajdował się wyłącznie numer telefonu wytypowany w oparciu o kryterium geograficzne, na podstawie którego skarżąca nie jest w stanie dokonać identyfikacji T.M., – Spółka pozyskuje dane osobowe wyłącznie od osoby, której dane dotyczą, – celem kierowanych połączeń przez skarżącą nie były działania nakierowane na identyfikację osób; 12. art. 141 § 4 P.p.s.a. polegające na przedstawieniu stanu sprawy niezgodnie ze stanem rzeczywistym poprzez uznanie, że: – skarżąca nawiązała połączenie telefoniczne o charakterze marketingowym, w sytuacji gdy nie prowadzi ona działalności marketingowej i nie wykonuje połączeń o tym charakterze; – Spółka wykonywała połączenia telefoniczne mające na celu zachęcenie do skorzystania z usług oferowanych przez podmioty współpracujące ze skarżącą, co stanowiło treści marketingowe, podczas gdy [...] Sp. z o. o. nie promuje konkretnego produktu, czy też konkretnego oferenta (beneficjenta czynności marketingowych). Skarżąca również nie dokonuje sprzedaży produktów ani ich nie oferuje w trakcie bezpośredniego kontaktu telefonicznego; – celem wykonania przez Spółkę połączenia do uczestnika było pozyskanie jego danych osobowych, podczas gdy celem połączenia było zbadanie zainteresowania udziałem w spotkaniach o różnej tematyce i dopiero w dalszej kolejności ewentualne zaproszenie uczestnika na takie spotkanie po uzyskaniu jego zgody; – możliwą metodą identyfikacji uczestnika jest wykonanie połączenia pod jego numer podczas gdy z okoliczności sprawy wynika, iż telefon taki został wykonany, a uczestnik odmówił podania swoich danych; – metodą identyfikacji uczestnika mogą być komunikatory wykorzystywane przez uczestnika, podczas gdy nie ustalono, żeby uczestnik korzystał z jakiegokolwiek komunikatora; – uczestnik podczas połączenia zgłosił jakiekolwiek żądanie w zakresie jego danych osobowych, podczas gdy poza oświadczeniem uczestnika brak jest jakichkolwiek dowodów potwierdzających ten fakt; – uczestnik legitymował się podczas połączenia przesłanką uprawniającą go do żądania usunięcia jego danych osobowych, podczas gdy skarżąca nie była obowiązana do usunięcia danych osobowych T.M. w związku z brakiem przetwarzania jego danych osobowych oraz niestosowaniem RODO do podejmowanych czynności. Skarżąca nie ma możliwości usunięcia numeru telefonu rozmówcy w toku połączenia w sytuacji, w której nie podał on swoich danych osobowych, brak bowiem możliwości wykazania przez skarżącą spełnienia zasady rozliczalności, podczas gdy uczestnik nie skorzystał ze ścieżki kontaktu przewidzianej przez skarżącą w celu usunięcia numeru telefonu z bazy danych Spółki, mimo że podczas rozmowy został o niej poinformowany; 13. art. 145 § 1 pkt 1 lit. a) i c) w zw. z art. 134 § 1 P.p.s.a. polegające na tym, że WSA w Warszawie w wyniku niewłaściwej kontroli działalności organu nie uchylił zaskarżonej decyzji w całości, podczas gdy w realiach niniejszej spawy zaistniały ku temu podstawy z uwagi na naruszenie przez Prezesa Urzędu Ochrony Danych Osobowych zarówno mających istotny wpływ na wynik sprawy naruszenia prawa materialnego oraz przepisów postępowania. W uzasadnieniu skargi kasacyjnej rozwinięto przedstawione zarzuty. W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie. W replice na odpowiedź na skargę kasacyjną Spółka podtrzymała stanowisko zajęte w skardze kasacyjnej. Naczelny Sąd Administracyjny zważył, co następuje: Stosownie do art. 183 § 1 P.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 P.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 P.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych. Skarga kasacyjna okazała się zasadna. Należy odnotować, że sprawy o analogicznym skonfigurowaniu faktyczno-prawnym były już przedmiotem rozpoznania Naczelnego Sądu Administracyjnego w wyrokach z 14 stycznia 2025 r., sygn. akt. III OSK 6041/21; z 15 października 2025 r., sygn. akt III OSK 2357/22 i z 8 stycznia 2026 r., sygn. akt III OSK 274/23. Stosownie do postanowień art. 4 pkt 1 RODO "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Prawodawca unijny definiując dane osobowe dokonał dychotomicznego podziału informacji, które je stanowią. Po pierwsze, jako dane osobowe traktuje wszelkie informacje o osobie zidentyfikowanej. Nie musi to zatem być informacja, która identyfikuje daną osobę, lecz informacja o takiej osobie. Co do zasady będzie to więc dodatkowa informacja o osobie, którą administrator już zidentyfikował i w tym znaczeniu poszerzająca zakres dostępnych dla administratora danych, które jej dotyczą. Chodzi zatem o wszystkie komunikaty, wyrażone i zapisane w jakikolwiek sposób, np.: znakami graficznymi, symbolami, w języku komputerowym, na fotografii na taśmie magnetofonowej lub magnetowidowej, których treść odnosi się do konkretnej osoby. Innymi słowy, jest to każda informacja, która dotyczy osoby, którą administrator danych może w sposób pewny wskazać bez konieczności podejmowania jakichkolwiek dalszych czynności w celu jej identyfikacji. W realiach niniejszej sprawy nie ma wątpliwości, że numer telefonu uczestnika nie stanowi danych osobowych o osobie zidentyfikowanej. Z niekwestionowanego stanu faktycznego sprawy wynika bowiem, że skarżąca, poza numerem telefonu, nie dysponowała żadną inną informacją dotyczącą uczestnika, a zatem bez podejmowania dalszych czynności identyfikacyjnych, nie mogła przypisać go do jakiejkolwiek osoby fizycznej. Zasadnicze znaczenie w sprawie ma kwestia dopuszczalności zakwalifikowania numeru telefonu, jako informacji o "możliwej do zidentyfikowania osobie fizycznej". W art. 4 pkt 1 RODO definiuje osobę możliwą do zidentyfikowania jako osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W motywie 26 RODO postanowiono, że "[a]by stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych." Dane osobowe umożliwiające zidentyfikowanie osoby fizycznej bezpośrednio to takie informacje, które same w sobie inkorporują treść pozwalającą na identyfikację tej osoby, bez konieczności integrowania (łączenia) tych danych z innymi informacjami. A contrario, danymi osobowymi umożliwiającymi zidentyfikowanie osoby fizycznej pośrednio, będą takie informacje, które w celu identyfikacji tej osoby należy treściowo zespolić z innymi informacjami. Zastrzec przy tym należy, iż nie jest wymagane, aby wszystkie dane umożlwiające zidentyfikowanie danej osoby fizycznej znajdowały się w dyspozycji jednego podmiotu. Potwierdzeniem przyjętych założeń jest treść art. 4 pkt 5 RODO w zw. z motywem 26 RODO. Prawodawca unijny przyjął bowiem, że spseudoanimizowane informacje, a więc takie, których nie można przypisać do konkretnej osoby fizycznej (art. 4 pkt 5 RODO) należy uznać, za informacje o możliwej do zidentyfikowania osobie fizycznej, jeżeli takie przypisanie jest możliwe, przy użyciu dodatkowych informacji (motyw 26). Dla ustalenia pośredniej możliwości identyfikacji osoby fizycznej istotne jest zatem to, czy administrator lub inna osoba (tak w motywie 26) ma możliwość treściowego skorelowania będącej w jego dyspozycji informacji z innymi, posiadanymi przez siebie lub inny podmiot informacjami, tworząc w ten sposób zbiór danych identyfikujących daną osobę fizyczną. Za dane osobowe należy zatem uznać informację, która po połączeniu z innymi informacjami (informacją), pozwala zidentyfikować daną osobę fizyczną albo administratorowymi tej informacji, albo innemu podmiotowi, który ją od administratora pozyskał. Z postanowień art. 4 pkt 1 oraz pkt 5 RODO w zw. z motywem 26 RODO wynikają istotne dla niniejszej sprawy wnioski. Po pierwsze, trzeba przyjąć, że możliwość pośredniej identyfikacji osoby fizycznej odnosi się wyłącznie do takich układów, w których występuje "informacja zasadnicza", która samodzielnie nie stanowi danych osobowych, albowiem bez połączenia jej z innymi informacjami nie identyfikuje osoby fizycznej, oraz "informacje dodatkowe" (taką terminologią posługuje się RODO w art. 4 pkt 5 oraz w motywie 26), które samodzielnie albo po ich treściowym skorelowaniu z "informacja zasadniczą", pozwalają na zidentyfikowanie osoby fizycznej. W pierwszym układzie "informacja zasadnicza" będzie informacją dołączoną do zbioru informacji o zidentyfikowanej osobie fizycznej. Konstytutywną cechą takiej informacji będzie to, że dopiero w zestawieniu z "informacjami dodatkowymi" będzie można przypisać jej cechy identyfikujące. W drugim układzie, zarówno "informacja zasadnicza" jak i "informacje dodatkowe" samodzielnie nie identyfikują osoby fizycznej, do której się odnoszą. Dopiero w momencie ich połączenia powstaje zbiór informacji identyfikujących daną osobę fizyczną. Możliwość stworzenia zbioru informacji, w zakres którego wchodzą "informacja zasadnicza" i "informacje dodatkowe", a następnie zidentyfikowania na ich podstawie danej osoby fizycznej ma ten skutek, że "informacja zasadnicza" uzyskuje przymiot danych osobowych. Po drugie, należy przyjąć, że "informacja zasadnicza" zawsze znajduje się w posiadaniu administratora danych osobowych, natomiast dysponentem "informacji dodatkowych" jest albo również ten administrator, albo "inna osoba" (tak motyw 26 RODO). Po trzecie, nie ma znaczenia, czy zespolenia "informacji zasadniczej" z "informacjami dodatkowymi" i tym samym identyfikacji danej osoby fizycznej dokonuje administrator – dysponent "informacji zasadniczej" – czy inna osoba – dysponent "informacji dodatkowych". Dla przypisania "informacji zasadniczej" przymiotu danych osobowych istotne jest wyłącznie to, czy któryś z tych podmiotów ma możliwość zespolenia jej z "informacjami dodatkowymi" tworząc w ten sposób zbiór danych identyfikujących konkretną osobę fizyczną. Po czwarte, ustalenie, czy administrator bądź inna osoba ma możliwość zespolenia "informacji zasadniczej" z "informacjami dodatkowymi" powinno opierać się na przewidzianych w motywie 26 kwantyfikatorach, a zatem uwzględniać "rozsądnie prawdopodobne sposoby", w stosunku do których istnieje "uzasadnione prawdopodobieństwo", iż zostaną wykorzystane w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Oznacza to, że o sprofilowaniu "informacji zasadniczej" jako danych osobowych nie decyduje to, czy rzeczywiście posłużyła ona do zidentyfikowania danej osoby fizycznej, po uprzednim zespoleniu jej z "informacjami dodatkowymi", tylko to, czy może posłużyć do takiej identyfikacji, uwzględniając racjonalność dostępnych mechanizmów połączenia jej z "informacjami dodatkowymi" oraz prawdopodobieństwo wykorzystania tych mechanizmów przez administratora bądź inną osobę. Po piąte, o możliwości identyfikacji konkretnej osoby fizycznej na gruncie art. 4 pkt 1 RODO w zw. z motywem 26 RODO można mówić wówczas, gdy do stworzenia zbioru informacji identyfikujących tę osobę, na który składają się "informacja zasadnicza" i "informacje dodatkowe" dochodzi niezależnie od tej osoby. Chodzi o to, że zgodnie z powołanymi unormowaniami RODO, źródłem "informacji dodatkowych" może być wyłącznie administrator, albo "inna osoba", nie zaś osoba fizyczna, której identyfikacja jest możliwa przy wykorzystaniu tych informacji. Po szóste, zasadnicze znaczenie przy ustaleniu, czy dana osoba fizyczna jest możliwa do zidentyfikowania w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 RODO ma przyjęty sposób rozumienia użytego w tych przepisach przymiotnika "możliwa". W ocenie Naczelnego Sądu Administracyjnego "możliwa do zidentyfikowania osoba fizyczna " w rozumieniu art. 4 pkt 1 RODO w zw. z motywem 26 to osoba, w stosunku do której istnieje "możliwość" połączenia dotyczących jej "informacji podstawowej" z "informacjami dodatkowymi" i przez to ustalenia jej tożsamości. "Możliwość" zidentyfikowania danej osoby fizycznej odnosi się więc do samej dostępność zagregowania "informacji podstawowej" z "informacjami dodatkowymi". Nie odnosi się natomiast do rezultatu tej agregacji. Przez "możliwość" zidentyfikowania danej osoby fizycznej należy więc rozumieć dostępność połączenia "informacji zasadniczej" z "informacjami dodatkowymi", których rezultatem zawsze będzie zidentyfikowanie tej osoby. "Możliwość" zidentyfikowania danej osoby fizycznej nie oznacza więc niepewności co do rezultatów połączenia "informacji zasadniczej" z "informacjami dodatkowymi", ta bowiem jest z założenia wykluczona. Odnosi się ona do dostępności działań integrujących te informacje w celu identyfikacji danej osoby fizycznej. "Możliwa" do zidentyfikowania będzie więc taka osoba fizyczna, w stosunku do której albo administrator, albo "inna osoba" będą posiadali dostęp do połączenia dotyczących ją "informacji zasadniczej" i "informacji dodatkowych" w rezultacie czego, dojdzie do ustalenia jej tożsamości. Prezentowanych wniosków nie podważają użyte w motywie 26 zwroty: "rozsądnie prawdopodobne sposoby" i "uzasadnione prawdopodobieństwo". W przywołanych zwrotach prawdopodobieństwo, a zatem nie pewność lecz potencjalność, dotyczy samych metod/form połączenia "informacji zasadniczej" z "informacjami dodatkowymi" oraz potencjalności ich wykorzystania. "Rozsądnie prawdopodobne sposoby" należy więc korelować z racjonalnością każdej z możliwych dla administratora lub "innej osoby" metod integracji "informacji zasadniczej" z "informacjami dodatkowymi". Z kolei "uzasadnione prawdopodobieństwo" odnosić trzeba do przewidywalności skorzystania z tych metod przez te podmioty. Omawiane zwroty stanowią koordynaty dla formułowania ocen, co do tego, czy dostępne dla administratora lub "innej osoby" sposoby połączenia "informacji zasadniczej" z "informacjami dodatkowymi" nie są dla tych podmiotów zbyt kosztowne w sensie finansowym, czasowym, infrastrukturalnym, etc., w stosunku do efektów (korzyści), jakie spowoduje identyfikacja osoby fizycznej, której te informacje dotyczą. Zaznaczyć przy tym należy, że chodzi oczywiście o sposoby zgodne z prawem. Świadczy to jednoznacznie o tym, że kwalifikacja danej informacji jako umożliwiającej identyfikację danej osoby fizycznej nie opiera się wyłącznie na jej treści, ale również na potencjale konkretnego podmiotu, który nią dysponuje do połączenia jej z "informacjami dodatkowymi". Przy takim założeniu należy potwierdzić formułowany w doktrynie pogląd o relatywizacji danych osobowych, który sprowadza się do możliwości różnego kwalifikowania takiej samej informacji z punktu widzenia definicji danych osobowych w zależności od tego, jaki podmiot tę informację przetwarza, jakimi środkami identyfikacji dysponuje, jakie jeszcze inne informacje przetwarza ( zob. D. Lubasz, A Szkurłat, Relatywizacja pojęcia danych osobowych w świetle orzecznictwa polskich sądów administracyjnych i powszechnych, Monitor Prawniczy 2021, nr 23). Przedstawione uwagi odnoszące się do sposobu interpretacji art. 4 pkt 1 RODO znajdują istotne przełożenie w niniejszej sprawie. Na ich podstawie należy bowiem stwierdzić, że skarżąca kasacyjnie Spółka dysponowała wyłącznie numerem telefonu uczestnika, przy czym nie posiadała wiedzy ani co do tego, który z numerów telefonów dostępnych w zakupionym zbiorze należy do uczestnika, ani że w ogóle którykolwiek z tych numerów należy do uczestnika. Innymi słowy, skarżąca kasacyjnie Spółka nie miała informacji pozwalających jej na stwierdzenie, że któryś z posiadanych przez nią numerów należy do uczestnika, jak też na wyodrębnienie konkretnego numeru telefonu z posiadanego zbioru i przypisanie go do uczestnika. Skarżąca kasacyjnie Spółka przy pomocy posiadanych numerów mogła wykonać połączenie telefoniczne i realizując swoje cele gospodarcze pozyskać dodatkowe informacje pozwalające skorelować dany numer telefonu z konkretną osobą fizyczną. Naczelny Sąd Administracyjny zauważa, że do momentu podania przez rozmówcę swoich danych osobowych skarżąca kasacyjnie Spółka nie mogła zidentyfikować osoby fizycznej, do której ten numer należy. Co ma zasadnicze znaczenie, skarżąca kasacyjnie nie łączyła informacji w postaci numeru telefonu z dodatkowymi informacjami pozwalającymi zidentyfikować jego właściciela, na podstawie posiadanych przez siebie danych. Nie czyniła tego również w oparciu o dostęp do informacji posiadanych przez inne podmioty. Jedynym dostępnym dla skarżącej kasacyjnie sposobem zidentyfikowania uczestnika, jako osoby fizycznej, do której należy posiadany przez nią numer telefonu, był bezpośredni kontakt telefoniczny z uczestnikiem, w ramach którego mógł on udostępnić dane osobowe, które go identyfikują. Źródłem dodatkowych informacji pozwalających na przypisanie numeru telefonu do konkretnej osoby fizycznej, a zatem na jego pośrednią identyfikację, nie były własne zasoby podmiotu, który dysponował tym numerem, jak też zasoby "innej osoby", do których podmiot ten mógł się zwrócić. Nie można zatem przyjąć, że posiadany przez skarżącą kasacyjnie numer telefonu uczestnika był "rozsądnie prawdopodobnym sposobem" pozyskania przez nią "informacji dodatkowych" pozwalających na jego identyfikację, albowiem skorzystanie z tego sposobu nie gwarantowało takiego rezultatu. Co więcej, w trakcie rozmowy uczestnik odmówił podania swoich danych osobowych, co wyłączyło możliwość przypisania mu numeru telefonu, na który zadzwoniła skarżąca kasacyjnie Spółka. Nie można zatem podzielić twierdzeń organu, że "skarżąca Spółka bez nieproporcjonalnie dużych nakładów wysiłku, kosztów i czasu była w stanie zidentyfikować właścicieli numerów telefonu". Trzeba jednoznacznie stwierdzić, że dopóki skarżąca kasacyjnie Spółka nie miała dostępu do "informacji dodatkowych" pozwalających jej na stwierdzenie, że posiadany numer telefonu należy do uczestnika, nie można przyjąć, że posiadała jego dane osobowe. Sama możliwość wykonania połączenia telefonicznego nie stanowi o możliwości identyfikacji właściciela numeru telefonu, albowiem nie ma żadnej pewności, że dane pozwalające na taką identyfikację zostaną pozyskane. Skarżąca Spółka tak we własnych zasobach, jak i w zasobach innych podmiotów, do których miała dostęp, nie posiadała informacji pozwalających przypisać jej konkretny numer telefonu do uczestnika. Z przyjętymi wnioskami nie pozostają w sprzeczności wyrok ETS z 19 października 2016 r., Breyer, C-582/14, EU:C:2016:779. Wzmiankowany wyrok zapadł wprawdzie na gruncie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), która została uchylona przez RODO, jednakże z uwagi na treściową tożsamość obu aktów orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje co do zasady zastosowanie również w odniesieniu do RODO – wyrok ETS z dnia 17 czerwca 2021 r., C-597/19, EU:C:2021:492, pkt 107. W powołanym wyroku Trybunał rozważał możliwość uznania za dane osobowe adresów IP rejestrowanych przez dostawcę internetowych usług medialnych, w sytuacji, gdy dodatkowe informacje pozwalające na identyfikację użytkownika strony internetowej posiada inny podmiot – dostawca usług internetowych. Trybunał jednoznacznie stwierdził, iż taka sytuacja wystąpi jedynie po ustaleniu, że istnieje możliwość połączenia adresu IP z owymi dodatkowymi informacjami będącymi w posiadaniu dostawcy dostępu do Internetu w sposób, który może, racjonalnie rzecz biorąc, zostać zastosowany w celu zidentyfikowania osoby, której dane dotyczą. Trybunał nakazał zbadać, czy dostawca internetowych usług medialnych może zwrócić się do właściwych organów państwowych o pozyskanie informacji identyfikujących użytkownika adresu IP od dostawcy Internetu, w sytuacji gdy doszło do popełnienia przestępstwa – pkt 44-48 wyroku. Trybunał uzależnił więc kwalifikację adresu IP jako danych osobowych od ustalenia, czy istnieje możliwość połączenia go z informacjami dodatkowymi identyfikującymi użytkownika tego adresu. W układzie powołanej sprawy chodziło więc o dostęp do informacji posiadanych przez inny podmiot, niż osoba fizyczna podlegająca identyfikacji, a nadto o dostęp, który gwarantuje identyfikację tej osoby, a nie jedynie potencjalność tej identyfikacji zależną od woli tego podmiotu. Analogiczne oceny prawne Naczelny Sąd Administracyjny wyraził w wyroku z 19 maja 2011 r., I OSK 1079/10. Również w innych wyrokach Naczelny Sąd Administracyjny traktował numer telefonu jako dane osobowe wyłącznie w takich układach, w których dostępne były informacje dodatkowe pozwalające na przypisanie go do konkretnej osoby fizycznej - wyroki z 5 lutego 2008 r., I OSK 37/07 i z 14 marca 2019 r., I OSK 1429/17. W powołanym wyroku ETS z 6 listopada 2003 r., C-101/01, ECR 2003/11A/I-12971 ETS istotnie stwierdził, że "operacja polegająca na zamieszczeniu na stronie internetowej danych różnych osób pozwalających je zidentyfikować za pomocą nazwiska albo innych środków, np. numeru telefonu lub informacji dotyczących ich warunków pracy i sposobów spędzania przez nie wolnego czasu stanowi 'przetwarzanie danych osobowych w całości lub w części w sposób zautomatyzowany' w rozumieniu art. 3 ust. 1 dyrektywy 95/46" – pkt 27 wyroku. Skarżący kasacyjnie pomija jednak, że uczynił to po uprzedniej konkluzji, że termin dane osobowe, jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej odnosi się "bez wątpienia do nazwiska osoby w połączeniu z jej numerem telefonu lub informacjami dotyczącymi jej warunków pracy czy sposobów spędzania przez nią wolnego czasu" – pkt 24 wyroku. Trybunał wprost więc przyjął, że numer telefonu będzie stanowił dane osobowe, jeżeli zostanie połączony z informacjami dodatkowymi, identyfikującymi osobę fizyczną, do której należy. Przyjętych założeń nie podważają powołane w zaskarżonym wyroku Wytyczne Grupy Roboczej Art. 29, zawarte w Opinii 4/2007. Grupa Robocza Art. 29 była niezależnym organem doradczym w zakresie ochrony danych i prywatności, powołanym na podstawie art. 29 dyrektywy 95/46/WE. Działalność Grupy zakończyła się z dniem wejścia w życie RODO (25 maja 2018 r.). Aktualnie zadania Grupy Roboczej Art. 29 przejęła Europejska Rada Ochrony Danych (EROD). Opinie i wytyczne wydawane przez Grupę Roboczą Art. 29 (podobnie, jak opinie i wytyczne EROD) nie są wiążące dla sądów państw członkowskich. Wyrażają jedynie postulaty organów ochrony danych osobowych krajów członkowskich Unii w zakresie stosowania RODO (wcześniej dyrektywy 95/46/WE). W powołanej opinii 4/2007 stwierdza się, że o tym czy dana informacja stanowi dane osobowej należy decydować kontekstowo, w zależności od tego czy w powiązaniu z innymi informacjami, może doprowadzić do zidentyfikowania danej osoby. Zwrócono również uwagę, że do pośredniej identyfikacji dochodzi wówczas, gdy daną informację można połączyć z innymi czynnikami identyfikującymi i w ten sposób odróżnić daną osobę od innych. W opinii stwierdzono stanowczo, że "czysto hipotetyczna możliwość odróżnienia osoby nie wystarcza, żeby uznać tę osobę za możliwą do zidentyfikowania". Jak wyżej wyjaśniono, dysponowanie przez skarżącą Spółkę numerem telefonu stwarzało jedynie hipotetyczną możliwość zidentyfikowania tożsamości uczestnika i to wyłącznie w razie jego samoidentyfikacji. Ostatecznie działania Spółki polegające na telefonicznym kontakcie z uczestnikiem nie doprowadziły do jego zidentyfikowania i tym samym do przypisania informacji w postaci numeru telefonu do konkretnej osoby fizycznej. Dysponowanie przez skarżącą kasacyjnie Spółkę numerem telefonu nie było więc równoznaczne z posiadaniem informacji o osobie możliwej do zidentyfikowania. Adekwatnego przełożenia na realia niniejszej sprawy nie znajdują oceny prawne wyrażone przez Sąd Najwyższy w uchwale 17 lutego 2016 r., III SZP 7/15. Dotyczyły one zasad odpowiedzialności przedsiębiorcy komunikacyjnego za używanie automatycznych systemów wywołujących wobec własnych abonentów, bez uprzedniego uzyskania zgody na podjęcie takich działań. Zagadnienie prawne rozważane przez Sąd Najwyższy nie dotyczyło więc tego, czy numer telefonu stanowi dane osobowe. Nie ma jednak wątpliwości, że przedsiębiorca komunikacyjny na gruncie powołanej sprawy dysponował nie tylko numerem telefonu abonenta, ale również innymi danymi, które w sposób jednoznaczny go identyfikowały. W takim układzie numer telefonu, z uwagi na skorelowanie go z konkretną osobą fizyczną, będzie stanowił dane osobowe. Potwierdza to wprost art. 169 ust. 1 pkt 1 ustawy Prawo telekomunikacyjne, który odnosi się do sytuacji, gdy numer telefonu, obok innych danych identyfikujących abonenta – imię i nazwisko - wchodzi w zbiór informacji będących w posiadaniu przedsiębiorcy telekomunikacyjnego i zamieszczanych w publicznie dostępnym spisie abonentów. Mając na uwadze powyższe, Naczelny Sąd Administracyjny, działając na podstawie art. 188 i art. 145 § 1 pkt 1 lit. a w zw. z art. 193 P.p.s.a. uchylił w całości zaskarżony wyrok WSA w Warszawie oraz decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 marca 2022 r., nr DS.523.5329.2020.PR.KK. O kosztach postępowania sądowego Naczelny Sąd Administracyjny orzekł jak w pkt 2 wyroku, na podstawie art. 200, art. 203 pkt 1 i art. 205 § 2 P.p.s.a.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło