Odpowiedź:

W zależności od kontekstu sytuacji, wskazane w pytaniu działanie może stanowić naruszenie przepisów RODO bądź może być prawnie irrelewantne z punktu widzenia ochrony danych w zależności od źródła przekazanych informacji.

Uzasadnienie odpowiedzi:

W pierwszej kolejności należy jednoznacznie określić, że pobranie numeru telefonu od osoby trzeciej powzięte przez osobę fizyczną w celach prywatnych, nie stanowi naruszenia ochrony danych z punktu widzenia osoby, która otrzymała dane osobowe. Zgodnie z art. 2 ust 2 lit. c) RODO  „niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze”. Uwzględniając powyższe należy stwierdzić zatem, że naruszenie nie może mieć miejsca. Wynika to z faktu, że takie zachowanie osoby fizycznej nie jest objęte materialnym zakresem stosowania rozporządzenia.

Należy zwrócić natomiast uwagę na drugą perspektywę przedmiotowej sprawy. Zatem nie od strony adresata określonych danych osobowych (osoba, która uzyskała informacje) lecz ze strony podmiotu będącego nadawcą informacji (osoba, która udostępniła numer telefonu). Uwzględniając wskazany aspekt możemy mieć do czynienia z dwiema sytuacjami po stronie osoby udostępniającej dane.

Pierwsza, w przypadku kiedy udostępniającym była również osoba fizyczna, która posiadała dane osobowe w ramach użytku prywatnego. W tej sytuacji pozostaje ponownie powołać się na art. 2 RODO i uznać, że rozporządzenie nie ma zastosowania do opisanego stanu faktycznego. A co za tym idzie, nie ma również możliwości powołania się na naruszenie ochrony danych, co oczywiście nie stanowi potwierdzenia kompletnej zgodności z prawem podjętych działań. Bowiem można sobie wyobrazić taki stan faktyczny, w którym udostępnienie numeru kontaktowego będzie działaniem na szkodę podmiotu danych i będzie skutkować możliwością dochodzenia ewentualnych roszczeń drogą cywilną czy nawet odpowiedzialnością karną. Opisane sytuacje pozostają jednak poza zainteresowaniem prawa ochrony danych.

Ostatnią perspektywą jest przypadek, w którym osoba udostępniająca dane nie dysponuje nimi w celach prywatnych lecz przetwarza dane w imieniu (na polecenie) administratora danych zgodnie z art. 29 RODO. We wskazanym kontekście przekazanie danych osobowych ( w postaci numeru telefonu osoby, której dane dotyczą) osobie fizycznej w sposób nieuzasadniony będzie stanowiło nieuprawnione udostępnienie danych osobowych. Przy omawianej konfiguracji dojdzie zatem do naruszenia ochrony danych, za które odpowiedzialność będzie ponosił Administrator.