Duża część dyskusji w zakresie ochrony danych osobowych krąży wokół tego czy jakieś konkretne dane można uznać za dane osobowe czy nie. Czasami granica jest bardzo cienka. Przykładowo czy sam numer telefonu – bez imienia i nazwiska – może stanowić daną osobową. Wyrok Wojewódzkiego Sądu Administracyjnego we Wrocławiu z 27 marca 2024 r. (II SA/Wa 1378/23) rzuca nowe światło na tę problematykę, jednocześnie poruszając kluczowe aspekty odpowiedzialności administratorów danych osobowych.
Sprawa, którą zajął się sąd, dotyczy pozornie prostej sytuacji – numeru telefonu pozostawionego na stronie internetowej przedsiębiorcy mimo cofnięcia zgody przez byłą pracownicę. Jednak w swojej istocie dotyka ona fundamentalnych zagadnień prawa ochrony danych osobowych: definicji danych osobowych, zakresu odpowiedzialności administratora oraz skuteczności realizacji praw podmiotów danych w obliczu przeszkód technicznych.
Historia sporu
Początkiem sprawy była typowa sytuacja biznesowa – prowadzący dom weselny przedsiębiorca zatrudnił menedżerkę, która zgodziła się na publikację swojego prywatnego numeru telefonu na firmowej stronie internetowej. Numer miał służyć do kontaktów z klientami, co jest powszechną praktyką w branży eventowej. Sytuacja skomplikowała się w sierpniu 2019 roku, gdy pracownica zakończyła współpracę z przedsiębiorcą. Wraz z rozwiązaniem stosunku pracy cofnęła ona zgodę na wykorzystywanie jej numeru telefonu. Mimo to, numer pozostawał widoczny na stronie internetowej, co skutkowało tym, że była pracownica nadal otrzymywała połączenia w sprawach dotyczących działalności domu weselnego.
Dwukrotnie, w grudniu 2019 roku, zwróciła się ona pisemnie do byłego pracodawcy z żądaniem usunięcia jej danych ze wszystkich miejsc, gdzie były one publikowane. Przedsiębiorca twierdził, że podjął działania w celu realizacji tego żądania – usunął numer z portalu społecznościowego, do którego miał dostęp, jednak nie był w stanie zmodyfikować strony internetowej.
Szczególnie interesujący jest wątek dotyczący problemów technicznych z dostępem do strony. Przedsiębiorca argumentował, że stronę internetową założył jego brat, który następnie zmienił do niej hasła dostępowe. Mimo prób odzyskania kontroli nad witryną, w tym zatrudnienia specjalisty IT i kontaktu z właścicielem domeny, nie udało się uzyskać dostępu do panelu administracyjnego. Sprawa ta stała się nawet przedmiotem postępowania karnego dotyczącego nieuprawnionej modyfikacji danych informatycznych.
Sprawdź również: Outsourcing IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?
Stanowisko organu nadzorczego
Prezes Urzędu Ochrony Danych Osobowych, analizując sprawę, skupił się na fundamentalnej kwestii odpowiedzialności za przetwarzanie danych osobowych. W wydanej decyzji organ uznał, że przedsiębiorca, jako administrator danych, ponosi pełną odpowiedzialność za przetwarzanie numeru telefonu byłej pracownicy.
Kluczowym argumentem było powiązanie strony internetowej z prowadzoną działalnością gospodarczą. PUODO uznał, że skoro strona została utworzona na dane przedsiębiorcy i służy promocji jego biznesu, to właśnie on jest administratorem wszystkich znajdujących się na niej danych osobowych. Problemy techniczne z dostępem do strony, w ocenie organu, nie mogły zwolnić administratora z odpowiedzialności za zgodne z prawem przetwarzanie danych.
Sprawdź: Audyt zgodności z RODO – jak go przeprowadzić?
Rozstrzygnięcie Wojewódzkiego Sądu Administracyjnego
Wojewódzki Sąd Administracyjny, rozpatrując skargę przedsiębiorcy, musiał zmierzyć się z kilkoma istotnymi zagadnieniami prawnymi. Pierwszym z nich było ustalenie, czy sam numer telefonu stanowi dane osobowe w rozumieniu RODO.
Sąd przedstawił w tej kwestii podejście, wskazując, że dla uznania informacji za dane osobowe nie jest konieczne bezpośrednie powiązanie jej z konkretną osobą poprzez takie identyfikatory jak imię i nazwisko. Kluczowa jest możliwość wywarcia wpływu na konkretną osobę fizyczną. Numer telefonu, jako unikalny „punkt kontaktowy”, spełnia to kryterium, pozwalając na nawiązanie bezpośredniej komunikacji z konkretną osobą.
W zakresie odpowiedzialności administratora sąd podzielił stanowisko organu nadzorczego. Szczególnie istotne jest stwierdzenie, że problemy techniczne z dostępem do strony internetowej nie mogą wyłączać odpowiedzialności za przetwarzanie danych osobowych. Sąd podkreślił, że administrator, decydując się na wykorzystanie określonych rozwiązań technicznych do przetwarzania danych, musi zapewnić sobie możliwość realizacji praw podmiotów tych danych.
Interesujący jest także wątek dotyczący równoległego postępowania karnego. Sąd uznał, że fakt prowadzenia śledztwa w sprawie nieuprawnionej modyfikacji dostępów do strony internetowej nie wpływa na ocenę zgodności z prawem przetwarzania danych osobowych. Co więcej, postępowanie karne właściwie potwierdzało status przedsiębiorcy jako pierwotnie uprawnionego do administrowania stroną.
Praktyczne znaczenie wyroku
Omawiane orzeczenie ma duże znaczenie praktyczne dla wszystkich przedsiębiorców prowadzących działalność w Internecie. Przede wszystkim potwierdza, że nawet pojedyncze informacje, takie jak numer telefonu, mogą stanowić dane osobowe wymagające odpowiedniej ochrony. Wyrok stanowczo przypomina również o konieczności zachowania kontroli nad infrastrukturą techniczną służącą do przetwarzania danych osobowych. Przedsiębiorcy muszą zadbać o odpowiednie zabezpieczenie dostępów do swoich stron internetowych i systemów informatycznych, tak aby w każdej chwili móc realizować prawa podmiotów danych. Szczególnie istotne jest też wskazanie, że konflikty organizacyjne czy problemy techniczne nie mogą być usprawiedliwieniem dla naruszeń przepisów o ochronie danych osobowych. Administrator musi być przygotowany na różne scenariusze i posiadać procedury awaryjne pozwalające na realizację obowiązków wynikających z RODO.
Komentarz radcy prawnego
Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Omawiany wyrok WSA porusza istotną kwestię praktyczną, z którą spotykam się często w praktyce doradczej. Warto zwrócić uwagę na kilka kluczowych aspektów, które uzupełniają przedstawioną w artykule analizę.
Podejście ostrożnościowe jako standard postępowania
Przede wszystkim należy podkreślić, że w przypadku wątpliwości co do charakteru określonej informacji jako danej osobowej, administratorzy powinni przyjmować podejście ostrożnościowe i traktować taką informację jako daną osobową. Jest to szczególnie istotne w kontekście różnego rodzaju identyfikatorów technicznych czy danych kontaktowych, które pozornie mogą wydawać się anonimowe. Takie podejście minimalizuje ryzyko naruszenia przepisów RODO, zapewnia lepszą ochronę praw podmiotów danych, chroni administratora przed potencjalnymi sankcjami i buduje kulturę organizacyjną zorientowaną na ochronę prywatności.
Praktyczne rekomendacje dla administratorów
W świetle omawianego wyroku, rekomendowałbym przedsiębiorcom podjęcie następujących działań prewencyjnych:
- Inwentaryzacja „punktów styku” z danymi osobowymi:
- przegląd wszystkich stron internetowych i profili w mediach społecznościowych,
- analiza dokumentacji pracowniczej pod kątem zgód na publikację danych kontaktowych,
- weryfikacja umów z podmiotami zewnętrznymi dotyczących zarządzania infrastrukturą IT.
- zabezpieczenie alternatywnych metod modyfikacji treści na stronach internetowych.
- Zabezpieczenie kontroli nad infrastrukturą techniczną:
- dokumentowanie dostępów administracyjnych do wszystkich systemów,
- wdrożenie procedur przekazywania i zmiany haseł,
- regularne tworzenie kopii zapasowych zawartości stron internetowych,
- przechowywanie kodów źródłowych i danych dostępowych w bezpiecznym miejscu.
- Przygotowanie procedur awaryjnych:
- opracowanie ścieżki szybkiego reagowania na żądania osób, których dane dotyczą,
- utrzymywanie kontaktu z zaufanymi specjalistami IT,
- zabezpieczenie alternatywnych metod modyfikacji treści na stronach internetowych.
Omawiane orzeczenie potwierdza, że PUODO i sądy administracyjne przyjmują szeroką interpretację pojęcia danych osobowych. W praktyce oznacza to, że administratorzy powinni traktować jako dane osobowe wszystkie informacje, które choćby pośrednio mogą prowadzić do identyfikacji osoby fizycznej, wdrażać mechanizmy kontroli i dokumentowania zgód na przetwarzanie danych, regularnie weryfikować aktualność podstaw prawnych przetwarzania oraz zapewniać skuteczne mechanizmy realizacji praw osób, których dane dotyczą.
Kancelaria Linke Kulicki to kancelaria prawna, która od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowej pomocy dla firm. Rzetelnie sprawdzamy wszystkie kwestie, dzięki czemu jesteśmy w stanie wykazać ewentualne braki w zakresie ochrony danych osobowych i zaproponować skuteczne zmiany gwarantujące bezpieczeństwo. Nasza aktywność koncentruje się także na reprezentowaniu Klientów przed Prezesem Urzędu Ochrony Danych Osobowych oraz w postępowaniach sądowych z zakresu ochrony danych osobowych.