W niedawno opublikowanym uzasadnieniu wyroku Naczelnego Sądu Administracyjnego (sygn. sprawy III OSK 1522/21) po raz kolejny tablice rejestracyjne nie zostały uznane za dane osobowe w rozumieniu RODO. To kontynuacja kontrowersyjnej linii orzeczniczej, która pozostaje w sprzeczności nie tylko ze stanowiskiem UODO, ale również z opiniami innych europejskich organów nadzoru.
Informacja publiczna
W przedstawionej sprawie obywatel – na podstawie wniosku o udostępnienie informacji publicznej – chciał uzyskać informacje w postaci nagrania z wideoprojektora samochodu policyjnego. Organy policji stały na stanowisku, że nie mogą w całości przekazać nagrania, bo przedstawia ono wizerunki kontrolowanych osób oraz marki, modele i numery rejestracyjne pojazdów. Ich publikacja miała stanowić naruszenie prawa prywatności wywodzonego z art. 47 Konstytucji RP. Wojewódzki Sąd Administracyjny zgodził się z tą argumentacją, uznając że znajomość numeru rejestracyjnego, marki i koloru pojazdu pozwala na ustalenie tożsamości właściciela. Sprawa finalnie trafiła jednak do Naczelnego Sądu Administracyjnego.
Stanowisko NSA
NSA nie zgodził się z tą argumentacją, przywołał przy tym wcześniejszy wyrok NSA, gdzie wskazano:
„numer rejestracyjny samochodu nie podlega ochronie wynikającej z prawa do prywatności, gdyż identyfikuje samochód a nie osobę, odnoszona winna być do przypadków standardowych numerów rejestracyjnych składających się z liter i cyfr, nie pozwalających na powiązanie samochodu z właścicielem oraz do przypadków, w których samochód z tablicą rejestracyjną znajduje się lub jest prezentowany bez połączenia z innymi informacjami odnoszącymi się do czasoprzestrzeni lub w powiązaniu z innymi danymi osobowymi, w tym wizerunku osób nim podróżujących”
NSA argumentowało że:
„(..)Tak więc jeżeli definicja „danych osobowych” odnosi się do osób fizycznych – dane dotyczące rzeczy (samochód) nie stanowią informacji o których mowa w art. 4 pkt 1 RODO, jeżeli zidentyfikowanie posiadacza tej rzeczy możne być dokonane tylko poprzez dostęp do odpowiednich rejestrów lub katalogów.”
Takie stanowisko wywołało liczne kontrowersje w polskim środowisku ekspertów ochrony danych osobowych. Argumentacja NSA, zgodnie z którą numer rejestracyjny identyfikuje wyłącznie samochód, została powszechnie uznana za chybioną. Idąc bowiem tym torem rozumowania, numer dowodu osobistego (który jest daną osobową), zostałby uznany za identyfikujący jedynie sam dokument. Dodatkowo znając numer rejestracyjny, można nie bez dużego wysiłku ustalić właściciela pojazdu, np. występują z wnioskiem do CEPIK.
Stanowisko organów nadzoru
Pogląd NSA stoi również w kontrze do stanowisk sądów europejskich oraz organów nadzoru. Francuski CNIL w jednym z opublikowanych materiałów wprost wskazuje, że numer rejestracyjny j dana osobowa w rozumieniu przepisów RODO[1]
Te samo stanowisko podziela brytyjskie ICO:
„The following is a non-exhaustive list of information that could constitute personal data on the basis that it allows for an individual to be singled out from others:
car registration number and/or VIN; (…)”[2]
Włoski organ nadzoru również uznał, że numer rejestracyjny jest daną osobową. W jednej z decyzji[3] zbieranie numerów rejestracyjnych w parkomacie, zostało uznane za przetwarzanie danych osobowych.
Na koniec warto wskazać, że PUODO opiniując zmiany w Prawie o ruchu drogowym, wskazał:
„Projektowana regulacja dotyczy tablic rejestracyjnych stanowiących daną osobową właściciela pojazdu. Jest to bowiem informacja, za pośrednictwem której możliwe jest zidentyfikowanie — w sposób pośredni — osoby fizycznej, będącej właścicielem pojazdu”
Podsumowując, stanowisko NSA jest w Europie odosobnione. Być może w przyszłości ta kontrowersyjna linia orzecznicza ulegnie zmianie.
Źródło: https://orzeczenia.nsa.gov.pl/doc/313258073F
[1] https://www.cnil.fr/sites/default/files/atoms/files/cnil_pack_vehicules_connectes_gb.pdf
[2] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/what-is-personal-data/can-we-identify-an-individual-indirectly/
[3] https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9698724
