Marek A. (dane zmienione) skierował do prezesa Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez spółkę. W piśmie wskazał, że drogą mailową wyraził wolę usunięcia jego numeru telefonu z systemów spółki. Pomimo tego, po dwóch miesiącach zadzwoniono do niego z ofertą handlową.

Prezes UODO udzielił upomnienia

Organ ustalił, że spółka pozyskała numer telefonu skarżącego na podstawie umowy o korzystanie z serwisu internetowego zawartej ze swoim klientem, który był reprezentowany przez Marka A., jako prezesa zarządu. Ponadto jego dane (imię i nazwisko oraz numer telefonu) były podawane do wysyłki zamówionego towaru. Przetwarzanie danych osobowych skarżącego było wówczas niezbędne do wykonania umowy. Prezes UODO wskazał, że Marek A. zwrócił się z żądaniem usunięcia danych osobowych. W świetle powyższego, spółka nie była uprawniona do dalszego przetwarzania jego danych w celach marketingowych. Nawiązanie przez nią kontaktu telefonicznego wskazywało jednak, że sporne dane osobowe nadal były przetwarzane. Organ uznał więc, że doszło do naruszenia przepisów RODO i udzielił spółce upomnienia. Wydana w tym przedmiocie decyzja została zaskarżona.

Czytaj w LEX: Stosowanie zasady adekwatności w procesie przetwarzania danych osobowych > >

Ochrona danych osobowych nie dotyczy osób prawnych 

Sprawą zajął się Wojewódzki Sąd Administracyjny w Warszawie, który wskazał, że RODO ustanawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych. Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Sąd podkreślił, że przepisy RODO nie dotyczą przetwarzania danych osób prawnych, w szczególności przedsiębiorstw, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Oznacza to, że RODO chroni dane osobowe możliwych do zidentyfikowania osób fizycznych i wyklucza spod tej ochrony dane dotyczące osób prawnych. Wynika to z faktu, że podmiotom innym niż osoby fizyczne nie przysługuje prawo do prywatności.

Czytaj także: TSUE: Urząd Ochrony Danych nie ma obowiązku nakładać kar za każde naruszenie RODO >>>

Numer telefonu stanowił kontakt do klienta

Z zaskarżonej decyzji wynikało, że prezes UODO przyjął, że numer telefonu należał do Marka A., jako osoby prywatnej, a nie do spółki, którą reprezentował. Wniosek ten został sformułowany pomimo faktu, że sporny numer został podany przy rejestracji konta w portalu spółki jako numer klienta. WSA ocenił, że ustalenie czy numer telefonu, z którym kontaktowała się spółka należał do skarżącego czy też do klienta było kluczowe dla wydania prawidłowego rozstrzygnięcia. Natomiast na gruncie niniejszej sprawy, nie można było przesądzić, że sporny numer był daną osobową, ponieważ stanowił on numer kontaktowy do klienta będącego osobą prawną. W takim przypadku nie może być mowy o naruszeniu przepisów RODO.

Zobacz także w LEX: Niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych – aspekty prawnokarne > >

Ochrona danych osobowych. Poradnik praktyczny

Dominik Lubasz, Adam Szkurłat

Sprawdź  

Istniało powiązanie z osobą prawną

WSA wskazał, że dokonane w sprawie ustalenia potwierdzały jedynie, że numer telefonu, na który spółka kontaktowała się ze skarżącym był związany z osobą prawną. Natomiast okoliczność, że ofertę przeznaczoną dla klienta skierowano do prezesa zarządu, nie zmienia faktu, że wykorzystano do tego dane firmy. Sąd podkreślił, że w takiej sytuacji numer telefonu nie może zostać uznany za daną identyfikującą osobę fizyczną, ponieważ był wykorzystywany w działalności osoby prawnej. Natomiast skarżący, używając swojego numeru telefonu, jako prezes zarządu spółki, działał w jej imieniu. Mając powyższe na uwadze, WSA uchylił zaskarżoną decyzję.

Wyrok WSA w Warszawie z 10 kwietnia 2024 r., sygn. akt II SA/Wa 1592/23, prawomocny