W ciągu ostatnich miesięcy, polskie sądy administracyjne wydały kilka wyroków związanych z problematyką definicji danych osobowych. W orzeczeniach tych, sądy rozpatrywały kiedy konkretna informacja umożliwia identyfikację osoby, której dane dotyczą, jednocześnie poddając w wątpliwość np. charakter numeru telefonu, w kontekście uznania go za daną osobową. Orzeczenia te mogą zmierzać do ukształtowania linii orzeczniczej, która może mieć wpływ na interpretację definicji danych osobowych.
Dane osobowe muszą pozwalać na identyfikację
Zgodnie z RODO, danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Jako że zidentyfikowanie co do zasady oznacza ustalenie tożsamości danej osoby (według SJP PWN), można przyjąć, że dane pozwalające na identyfikację, to dane pozwalające na odróżnienie jednej osoby od innych osób. Bez wątpienia, na identyfikację pozwalają takie dane jak, np. imię i nazwisko, czy numer PESEL, lub też zestawy innych informacji, które łącznie pozwalają na ustalenie tożsamości konkretnej osoby.
Kwestia ta ma doniosłe konsekwencje praktyczne. Dane które nie pozwalają na identyfikację nie są bowiem danymi osobowymi, a zatem nie stosuje się do nich przepisów RODO. Jakkolwiek w przypadku wielu danych (wspomniany już numer PESEL) możliwość identyfikacji co do zasady jest bezsporna, to istnieją również dane, co do których pojawić się mogą wątpliwości. Przykładami są numer telefonu, adres e-mail, czy też adres IP. W sprawie tych kategorii danych najważniejsze pytanie brzmi: czy informacje te pozwalają na identyfikacje same z siebie, czy też wymagają one dodatkowego kontekstu umożliwiającego identyfikację konkretnej osoby? Z tego typu pytaniami zmierzyły się w ostatnim czasie sądy administracyjne.
NSA – sam numer telefonu to nie dane osobowe
W styczniu 2026 roku, Naczelny Sąd Administracyjny orzekł w sprawie dotyczącej przetwarzania danych przez firmę zajmującą się marketingiem telefonicznym. Firma prowadziła działalność marketingową, wykorzystując numery telefonów z zakupionych baz danych. Firma posiadała jedynie numery telefonów. Wykonując więc połączenia, nie wiedziała do kogo się dodzwoni, przynajmniej do czasu aż rozmówca sam się przedstawi. NSA nie podzielił argumentów przedstawionych przez Prezesa UODO. Zdaniem sądu, numer telefonu sam w sobie nie pozwala na zidentyfikowanie konkretnej osoby.
NSA – adres IP to nie zawsze dane osobowe
W drugiej połowie 2025 roku, Naczelny Sąd Administracyjny orzekał w sprawie portalu internetowego iSecure. W tym wypadku, kością niezgody między administratorem, a organem nadzorczym, była kwestia przyjęcia przez regulatora, że adresy IP i dane z plików cookie, to zawsze dane osobowe. NSA orzekł, że zakwalifikowanie tych informacji jako danych osobowych, musi odbywać się ad casum i uwzględniać indywidualny kontekst i możliwość identyfikacji w konkretnym przypadku. Sąd wskazał, że uznanie adresu IP za daną osobową zależeć może, m.in. od tego czy jest on przypisany na stałe lub przez dłuższy czas do konkretnego użytkownika.
WSA w Warszawie – nie musi być daną osobową
Trzeci z wyroków dotyczących problematyki definicji danych osobowych został wydany w styczniu przez Wojewódzki Sąd Administracyjny w Warszawie. W przedmiotowej sprawie, WSA stwierdził, że organ nadzorczy zobowiązany jest do wykazania w decyzji, że w konkretnym przypadku adres e-mail jest daną osobową. WSA uznał, że adres e-mail nie może być automatycznie uznany za daną osobową, a brak odpowiedniego uzasadnienia tej kwestii w ramach rozpatrywanej sprawy był uchybieniem proceduralnym regulatora, które poskutkowało uchyleniem decyzji.
Trzeba brać pod uwagę wszelkie okoliczności
Nie tylko polskie sądy mierzą się z tym zagadnieniem. Na przykład, w 2025 roku Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok (C-413/23), w którym stwierdził, że dane spseudonimizowane, przekazane odbiorcy niebędącemu w stanie odwrócić pseudonimizacji, nie są danymi osobowymi. Nie ulega wątpliwości, że do problemu kwalifikacji określonych informacji jako danych osobowych należy podchodzić ostrożnie. Wydaje się, że administratorzy powinni badać tę kwestię indywidualnie, w konkretnych przypadkach, przy uwzględnieniu wszelkich okoliczności związanych z konkretnymi procesami przetwarzania danych oraz możliwościami identyfikacji konkretnych osób fizycznych. Wskazane orzeczenia sądowe wskazują jednak, że te same informacje w jednym przypadku mogą być, a w innym niekoniecznie będą danymi osobowymi.
Sygnatury przytoczonych orzeczeń:
II SA/Wa 250/25;
III OSK 2595/22;
III OSK 6041/21.
