„ Przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Wyżej wymienioną identyfikację Szkoła może przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej” uznał Prezes Urzędu Ochrony Danych po przeprowadzeniu postępowania w sprawie gromadzenia przez Szkołę Podstawową Nr 2 w Gdańsku odcisków palców dzieci w celu ich identyfikacji biometrycznej podczas korzystania przez nie z usług stołówki szkolnej.
Jak ustalono, Szkoła w celu sprawdzenia uiszczenia przez ucznia opłaty za posiłek, korzystała z czytnika biometrycznego przy wejściu do stołówki szkolnej. Tym samym, przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, z naruszeniem zasady minimalizacji danych, zgodnie z którą dane nie powinny być pozyskiwane ponad miarę. Mogła przy tym stosować alternatywne formy identyfikacji uczniów, bowiem w tym samym czasie umożliwiała im korzystanie z usług stołówki szkolnej nie tylko za pomocą odcisku linii papilarnych, ale również karty elektronicznej lub na podstawie nazwiska i numeru umowy (z czego skorzystały 4 osoby).
W ocenie Prezesa UODO, przepisy prawa powszechnie obowiązującego, precyzyjnie wskazują, jaki rodzaj danych Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala na przetwarzanie, w tym pozyskiwanie i gromadzenie danych biometrycznych uczniów w celu świadczenia usług przez stołówkę szkolną, a pozyskane w tym celu pisemne zgody rodziców (opiekunów prawnych) nie mogą być przesłanką legalizującą ich przetwarzanie. W takim przypadku, Szkoła przetwarza dane osobowe uczniów na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Tak więc podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. e RODO.
Organ nadzorczy, po zakończeniu prowadzonego postępowania uznał, że kontrolowana Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej. Stwierdził tym samym naruszenie przez nią przepisów art. 5 ust. 1 lit. c oraz art. 9 ust. 1 RODO. W konsekwencji, nałożył na nią karę pieniężną w wysokości 20 tys. zł, nakazując jednocześnie usunięcie danych osobowych przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci oraz zaprzestanie dalszego ich zbierania. Ponadto wskazał, że placówka ustalając i egzekwując określone zasady wydawania obiadów, zgodnie z którymi uczniowie bez identyfikacji biometrycznej zanim sami weszli do stołówki, musieli przepuszczać wszystkich innych posiadających taką identyfikację, doprowadziła do ich nierównego traktowania i bezpodstawnego zróżnicowania ich sytuacji.
Według Prezesa UODO, dane biometryczne z racji swej charakterystykisą szczególnie wrażliwe w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony, przede wszystkim w odniesieniu do dzieci ze względu na ich mniejszą świadomość ryzyka, konsekwencji, zabezpieczeń i przysługujących im praw w związku z przetwarzaniem danych osobowych (motyw 38 RODO). Co do zasady więc takich danych nie powinno się przetwarzać, za wyjątkiem przesłanek legalizujących ten proces wskazanych w RODO. Dla podkreślenia wagi danych biometrycznych, należy wskazać, iż ich przetwarzanie może być rozważane jako uzasadnione z uwagi na przedmiot ochrony lub powagę realizowanego celu m.in. w celu zapewnienia bezpieczeństwa osobowego, przemysłowego, ochrony informacji, w celu weryfikacji osób podejrzanych i oceny ich udziału w przestępstwach, wydawania dokumentów identyfikacyjnych (paszportów), kontroli dostępu do określonych sfer bezpieczeństwa. Tymczasem weryfikacja tego, kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi w ocenie organu zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane.
Pełna treść decyzji Prezesa UODO dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018