WSA w wyroku z dnia 2023-03-23, sygn. akt II SA/Wa 2219/22, wskazał na postacie identyfikacji i skutki dla statusu nr telefonu jako informacji która samodzielnie stanowi dane osobowe:
„Trafnego, zdaniem Sądu, podziału możliwych postaci identyfikacji dokonał Yves Poullet i jego zespół w – opracowanym dla Komitetu Konsultacyjnego Rady Europy ds. konwencji o ochronie osób – Sprawozdaniu na temat stosowania zasad ochrony danych w stosunku do ogólnoświatowych sieci telekomunikacyjnych (Strasbourg 2004 r., T-PD(2004)04 final). Według autorów (str. 30 powołanego dokumentu), koncepcja tożsamości może obejmować trzy różne aspekty:
(1) cechy charakteryzujące osobę fizyczną dotyczące jej lub jej życia (np. imię i nazwisko, płeć, wiek, hobby, rodzina, pracodawca, kwalifikacje zawodowe, zakupy, etc.);
(2) pewien „punkt zaczepienia” (np. identyfikator internetowy, numer klienta, sesyjny plik cookie), który pozwala na powiązanie ze sobą kilku cech charakteryzujących daną osobę, o których mowa w pkt 1 („punkt zaczepienia” nie jest sam w sobie informacją o cechach danej osoby, niemniej stanowi „ślad” wskazujący miejsce, w którym są przechowywane takie informacje i pozwala je połączyć w sposób określający tożsamość danej osoby fizycznej);
(3) „punkt kontaktowy”, który umożliwia osobie trzeciej podjęcie inicjatywy kontaktu z osobą fizyczną (np. pocztą elektroniczną, pocztą, faksem, telefonicznie itp.).
Wymienione trzy aspekty tożsamości osoby fizycznej pozostają koncepcyjnie odrębne, chociaż mogą w praktyce współistnieć lub nawet się łączyć, czego przykładem jest adres zamieszkania osoby fizycznej (składający się z imienia i nazwiska, numeru ulicy i miejscowości). Łączy on w sobie co najmniej dwa z wyżej wymienionych aspektów tożsamości – jest informacją o miejscu pobytu osoby fizycznej, a także stanowi „punkt kontaktowy”, ponieważ umożliwia każdemu wysłanie poczty do konkretnej osoby (zob. szerzej powołane Sprawozdanie – str. 30 i nast.).
4. W świetle powyższego nie budzi wątpliwości, że zidentyfikowanie osoby fizycznej nie musi polegać na określeniu jej imienia i nazwiska, a wystarczające jest oznaczenie danej osoby w sposób umożliwiający wywieranie na nią określonego wpływu (zob. Opinia Grupy Roboczej z 20 czerwca 2007 r. nr 4/2007; str. 14; zob. też D. Lubasz [w:] Ochrona Danych Osobowych [red.] D. Lubasz, Warszawa 2020 r., str. 81). Nie chodzi zatem o możliwość odniesienia konkretnej informacji do konkretnej osoby, lecz o możliwość wskazania danej osoby, rozumianego jako faktyczne wyodrębnienie jej spośród innych osób (zob. P. Litwiński [w:] Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, Komentarz [red.] P. Litwiński, Warszawa 2018 r., str. 181).
Taką możliwość daje numer telefonu osoby fizycznej, także wtedy gdy podmiot, który jest w jego posiadaniu, nie dysponuje innymi danymi identyfikującymi tę osobę lub rozsądnie prawdopodobnym do wykorzystania sposobem uzyskania takich danych.”
Komentarz
Czyli nr tel to nie jest informacja, która stanowi jedynie narzędzie umożliwiające zbieranie dodatkowych informacji identyfikacyjnych (stanowiących tożsamość). Nr telefonu stanowi tożsamość osoby, czyli odróżniającą cechę która nadaje się do wykorzystania (kontaktu). Zebranie i przechowywanie nr tel stanowi identyfikację, a przez dzwonienie administrator wykorzystuje (przetwarza) dane osobowe (informacje o zidentyfikowanej osobie, a nie jedynie osobie możliwej do zidentyfikowania przez zestawienie z innymi danymi).
Identyfikować znaczy odróżniać w sposób umożliwiający wykorzystanie (przetwarzanie), żeby odróżniać trzeba mieć informację odróżniającą (tożsamość) – kto zebrał nr telefonu (tożsamość) ten odróżnia (identyfikuje) osobę przypisaną, przez posiadanie urządzenia końcowego, do tego ciągu znaków.
Według SJP identyfikacja to rozpoznanie ale żeby rozpoznać trzeba odróżnić, a przy tym zgodnie z funkcją rodo istotne jest tylko takie odróżnienie, które pozwala na wykorzystanie, ponieważ głównym przedmiotem regulacji prawa ochrony danych osobowych jest problematyka dopuszczalności wykorzystania informacji o osobie:
identyfikacja
2. «rozpoznanie czegoś na podstawie jakichś cech»
tożsamość
3. «fakty, cechy, dane personalne pozwalające zidentyfikować jakąś osobę»
Dane identyfikacyjne to szczególny rodzaj danych bowiem samodzielnie stanowią dane osobowe. Jeśli już administrator przetwarza dane identyfikacyjne, to wszelkie inne dane o osobie zidentyfikowanej stanowią jej dane osobowe, jeśli jej dotyczą ze względu na swą treść, cel czy skutek (TSUE C‑434/16, Nowak, pkt 34-35).