Czy numer telefonu to dana osobowa?

Na prośbę jednego z naszych Czytelników zmierzymy się dziś z problemem, czy numer telefonu to dana osobowa.

telefon

Wyobraźmy sobie, że jako ABI doradzamy naszemu mocodawcy, w jaki sposób należy dostosować smsowy konkurs do wymogów ustawy o ochronie danych osobowych. Konkurs polegać ma na tym, że w jednym z branżowych pism pojawi się ulotka reklamowa konkursu, zachęcająca czytelników do wysłania na podany numer telefonu wiadomości z wymyślonym przez czytelnika nowym hasłem reklamowych organizatora konkursu. Czy numer telefonu to dana osobowa? To podstawowe i najważniejsze pytanie w tym momencie (pozostałe kwestie związane z ochroną danych osobowych przy prowadzeniu konkursów zostaną omówione w innych artykułach). Odpowiedź na nie przesądza w omawianym przypadku o tym, czy do oceny konkursu stosować należy ustawę o ochronie danych osobowych.

Numer telefonu to ciąg cyfr identyfikujących abonenta telefonicznego, których wybranie za pomocą urządzeń telekomunikacyjnych (telefon, telefaks, modem) powoduje zestawienie połączenia, przy wykorzystaniu publicznej sieci telefonicznej, z żądanym abonentem (któremu ten numer został przypisany przez operatora telekomunikacyjnego). Format i schemat wybierania numerów telefonicznych w Polsce są określone przez ministra właściwego ds. łączności (obecnie Minister Administracji i Cyfryzacji) w Planie Numeracji Krajowej dla publicznych sieci telefonicznych. Z kolei numery telefoniczne przydziela operatorom Prezes Urzędu Komunikacji Elektronicznej (UKE). Skoro już wiemy co to jest numer telefonu od strony technicznej możemy przejść do sedna sprawy.

Definicję pojęcia danych osobowych zawiera art. 6 ustawy o ochronie danych osobowych. Poniżej zamieszczam jego treść:

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Z samej definicji możemy błyskawicznie wyciągnąć trzy wnioski. Chodzi o:

  1. wszelkie informacje,
  2. dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby,
  3. przyporządkowane osobie fizycznej.

Czy numer telefonu spełnia te wymogi? Tutaj, a więc w miejscu gdzie przechodzimy z poziomu przepisów na praktykę, zaczynają się schody… Nie mam wątpliwości, że warunki wymienione w pkt 1 i 3 powyżej mogą być spełnione. Co jednak z wymogiem, by informacja dotyczyła zidentyfikowanej lub możliwej do zidentyfikowania osoby? Czy jeśli mamy numer telefonu pozwoli to nam na identyfikację lub choćby potencjalną identyfikację? Czy jeśli mamy bazę 100 numerów telefonów, to ile z nich powinno pozwalać na identyfikację (również potencjalną identyfikację) osoby? Czy odpowiedź na ostatnie pytanie w ogóle ma znaczenie w kontekście omawianego problemu? Co w takim razie z art. 6 ust. 3 ustawy, a więc ograniczeniem definicji danych osobowych w przypadku, gdy ustalenie tożsamości wymagałoby nadmiernych kosztów czasu, lub działań? Co na to GIODO? W tym miejscu pozwolę sobie na dygresję. Nie wiem jak Ty Czytelniku, ale ja mam wrażenie, że im bardziej staram się znaleźć odpowiedź, tym więcej pojawia się pytań i niewiadomych. Tak to jest w branży ochrony danych osobowych… Pora na chwilę oddechu i zaraz wracam w następnej linii…

Moim osobistym zdaniem, numer telefonu pozwala zazwyczaj na identyfikację a jeszcze częściej na potencjalną identyfikację. Gdybyśmy stworzyli standardowy wzorzec człowieka, który korzystając ze standardowo dostępnych narzędzi miałby przyporządkować numer telefonu do jego właściciela, to jestem zdania, że w standardowej sytuacji operacja zakończyłaby się sukcesem i nastąpiłaby identyfikacja. W dobie książek telefonicznych, internetu, poczty elektronicznej nie wydaje się to trudne. Powyższe przesądza moim zdaniem również o tym, że ograniczenie definicji danych osobowych zawarte w art. 6 ust. 3 ustawy nie będzie miało w przypadku numeru telefonu zastosowania. Nie ma znaczenia czy mamy jeden numer telefonu czy więcej – ten wątek związany jest z tematem zbioru danych, ale o tym innym razem.

Oczywiście takie ujęcie tematu, że numer telefonu będzie zawsze daną osobową byłoby błędne. Na potrzeby niniejszego opracowania byłbym bardziej skłonny powiedzieć, że co do zasady, w standardowej sytuacji tak będzie. Oczywiście jeśli mamy bazę numerów, zdecydowanie bezpieczniej z punktu widzenia administratora danych jest przyjąć, że posiadając numery telefonów – administrator przetwarza dane osobowe. Jeden z moich znajomych zajmujących się bezpieczeństwem w IT odpowiedział na moje pytanie o identyfikację właściciela numeru telefonu w ten sposób:

Chcesz poznać imię i nazwisko właściciela numeru telefonu? Wykręć numer i zapytaj z kim masz przyjemność.

Fakty są takie, że odbierając połączenie od nieznanego mi numeru faktycznie się przedstawiam imieniem i nazwiskiem… Jeśli moje argumenty nie są w tej materii przekonujące, proszę o ciętą ripostę w komentarzach.

Bardzo trudno znaleźć jakiekolwiek przesądzające rozstrzygnięcie GIODO w tej materii. Na różnych spotkaniach w których biorą udział inspektorzy GIODO można usłyszeć sprzeczne informacje. Raz numer telefonu jest daną osobową, innym razem nie jest. Podobnie „lawirują” zazwyczaj wszelkiego rodzaju podmioty zajmujące się doradztwem w zakresie ochrony danych osobowych, a nawet kancelarie prawne. Udało mi się dotrzeć jednak do jednej z sygnalizacji GIODO. Sprawa dotyczyła ujawnienia prywatnych numerów telefonów policjantów. W tejże właśnie sygnalizacji (DOLiS-440-211/07) GIODO stwierdził, że:

W świetle przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, nie budzi wątpliwości, iż numer telefonu jest daną osobową w rozumieniu art. 6 ust. 1 ustawybowiem dotyczy możliwej do zidentyfikowania osoby fizycznej. Ponadto wskazać należy, iż na podstawie art. 159 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.) ww. dana objęta jest tajemnicą telekomunikacyjną.

Proszę jednak aż tak bardzo nie sugerować się przywołanym stanowiskiem GIODO. To tylko sygnalizacja…

Co na to Świat? Poniżej kilka cytatów.

Data Protection Technical Guidance – Determining what is personal data (opracowanie odpowiednika naszego GIODO w UK)

For example, if searching a public register or reverse directory would enable the individual to be identified from an address or telephone number, and this resource is likely to be used for this purpose, the address or telephone number data should be considered to be capable of identifying an individual.

 Judgment of the European Court of Justice C-101/2001 of 06.11.2003 (Lindqvist), § 27

The European Court of Justice has spoken in that sense when considering that „referring, on an internet page, to various persons and identifying them by name or by other means, for instance by giving their telephone number or information regarding their working conditions and hobbies, constitutes the processing of personal data […] within the meaning of […] Directive 95/46/CE.

Dla odmiany, odpowiednik GIODO w Australii twierdzi, że:

Finally, the ALRC suggested that information that simply allows an individual to be contacted—such as a stand alone telephone number, street address or IP address—would not, and should not, fall within the proposed definition of ‘personal information’.

Był to pierwszy artykuł, który pojawił się na prośbę jednego z Czytelników. Mam nadzieję, że udało się rzucić trochę światła na temat numeru telefonu w kontekście definicji danych osobowych. Jeżeli ktoś ma pomysł na następny wpis to bardzo proszę o kontakt. Z przyjemnością zmierzymy się z praktycznymi problemami związanymi ze stosowaniem przepisów o ochronie danych osobowych.