Blog prawniczy

RODO a numer telefonu pracownika – nowy ważny wyrok WSA

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY | PARTNER

Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: sekretariat@linkekulicki.pl
tel. +48 789 178 462

Opublikowano:

Numery telefonów pracowników są powszechnie wykorzystywane przez pracodawców do kontaktu. Rodzi to pytanie o status prawny tych numerów w kontekście ochrony danych osobowych. Kluczowe pytanie brzmi tutaj: czy numer telefonu pracownika lub członka zarządu to dane osobowe? Odpowiedź na to pytanie ma istotne konsekwencje prawne i praktyczne dla pracodawców. Wpływa na sposób, w jaki firmy powinny gromadzić, przechowywać i przetwarzać numery telefonów swoich pracowników. W tym artykule odpowiemy na to pytanie.

Dane osobowe według RODO

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Kim jest osoba możliwa do zidentyfikowania? To taka osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Osoba „możliwa do zidentyfikowania” to więc taka, którą można rozpoznać:

  1. Bezpośrednio lub pośrednio
  2. Na podstawie różnych identyfikatorów, takich jak:
    1. Imię i nazwisko,
    2. Numer identyfikacyjny,
    3. Dane lokalizacyjne,
    4. Identyfikator internetowy.

Ponadto, identyfikacja może nastąpić poprzez jeden lub kilka czynników specyficznych dla danej osoby, określających jej:

  1. cechy fizyczne,
  2. cechy fizjologiczne,
  3. cechy genetyczne,
  4. cechy psychiczne,
  5. kwestie ekonomiczne
  6. kwestie kulturowe lub społeczne.

Kluczowe jest zrozumienie, że RODO obejmuje szeroki zakres informacji, które mogą prowadzić do identyfikacji osoby, nawet jeśli nie są to oczywiste dane identyfikacyjne.

Wobec tego z całą pewnością numery telefonu w pewnych sytuacjach mogą zostać zakwalifikowane jako dane osobowe.

Numer służbowy pracownika a RODO

Co jednak w sytuacji gdy mamy do czynienia ze służbowym numerem telefonu pracownika, członka zarządu lub rady nadzorczej, który używa go wyłącznie w celach służbowych? Z pomocą przychodzi tutaj najnowsze orzeczenie z 4 października 2024 r. wydane przez Wojewódzki Sąd Administracyjny w Warszawie (II SA/Wa 1592/23).

Sprawa dotyczyła konfliktu między prezesem pewnej spółki a firmą świadczącą usługi spedycyjne. Prezes zażądał usunięcia swoich danych osobowych, w tym numeru telefonu, z bazy danych spedytora. Mimo tego żądania, firma nadal kontaktowała się z nim telefonicznie w sprawach biznesowych. Wydawałoby się, że to jasne naruszenie RODO, prawda? Nie tak szybko!

Prezes złożył skargę do Urzędu Ochrony Danych Osobowych, który przyznał mu rację i ukarał spedytora. Jednak firma nie poddała się i zaskarżyła decyzję do sądu. I tu zaczyna się prawdziwa ciekawostka prawna. Sąd administracyjny uchylił decyzję UODO, argumentując, że wcale nie doszło do naruszenia RODO! Jak to możliwe? Sąd zwrócił uwagę na fundamentalną kwestię: czy numer telefonu, o który toczy się spór, to prywatny numer prezesa, czy może numer kontaktowy do firmy? To rozróżnienie okazało się kluczowe. Jeśli numer był podany jako kontakt do firmy (osoby prawnej), a nie do osoby fizycznej, to nie podlega ochronie RODO!

Sąd stwierdził, że:

Ustalenia dokonane w sprawie potwierdzają jedynie, że numer telefonu, na który Spółka kontaktowała się ze skarżącym, jest związany z osobą prawną, ponieważ wskazany zostały w ramach zawierania umowy. To, że do skarżącego – prezesa spółki – skierowano ofertę przeznaczoną dla Zarządu spółki, nie zmienia faktu, że wykorzystano do tego dane firmy. W takiej sytuacji numer telefonu nie może zostać uznany za daną identyfikującą osobę fizyczną, ponieważ jest wykorzystywany w działalności osoby prawnej, i tym samym należało przyjąć, że kwestionowane przetwarzanie numeru telefonu, stanowiącego dane kontaktowe osoby prawnej wyklucza traktowanie go w postępowaniu administracyjnym w oparciu o RODO, jako wyłącznie danych osobowych osoby fizycznej.

RODO chroni dane osób fizycznych, ale już niekoniecznie dane kontaktowe firm. Sąd przypomniał, że zgodnie z motywem 14 RODO, rozporządzenie to nie dotyczy danych przedsiębiorstw, w tym ich danych kontaktowych.

Motyw 14 RODO stanowi, że:

Ochrona zapewniana niniejszym rozporządzeniem powinna mieć zastosowanie do osób fizycznych – niezależnie od ich obywatelstwa czy miejsca zamieszkania – w związku z przetwarzaniem ich danych osobowych. Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej.

Ta sprawa pokazuje, jak ważne jest precyzyjne określenie, jakie dane i w jakim charakterze są przetwarzane przez firmy. Dla przedsiębiorców oznacza to konieczność dokładnego rozróżniania między danymi osobowymi a danymi firmowymi.