Kara dla szkoły za przetwarzanie danych biometrycznych dzieci korzystających ze szkolnej stołówki.

Przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Wyżej wymienioną identyfikację Szkoła może przeprowadzić za pomocą innych środków, mniej ingerujących w prywatność dziecka korzystającego z usług stołówki szkolnej” uznał Prezes Urzędu Ochrony Danych po przeprowadzeniu postępowania w sprawie gromadzenia przez Szkołę Podstawową Nr 2 w Gdańsku odcisków palców dzieci w celu ich identyfikacji biometrycznej podczas korzystania przez nie z usług stołówki szkolnej.

Jak ustalono, Szkoła w celu sprawdzenia uiszczenia przez ucznia opłaty za posiłek, korzystała z czytnika biometrycznego przy wejściu do stołówki szkolnej. Tym samym, przetwarzała dane szczególnych kategorii (dane biometryczne) 680 dzieci bez podstawy prawnej, z naruszeniem zasady minimalizacji danych, zgodnie z którą dane nie powinny być pozyskiwane ponad miarę. Mogła przy tym stosować alternatywne formy identyfikacji uczniów,  bowiem w tym samym czasie umożliwiała im korzystanie z usług stołówki szkolnej nie tylko za pomocą odcisku linii papilarnych, ale również karty elektronicznej lub na podstawie nazwiska i numeru umowy (z czego skorzystały 4 osoby).

W ocenie Prezesa UODO, przepisy prawa powszechnie obowiązującego, precyzyjnie wskazują, jaki rodzaj danych Szkoła może pozyskiwać od swoich uczniów. Żaden z nich nie zezwala na przetwarzanie, w tym pozyskiwanie i gromadzenie danych biometrycznych uczniów w celu świadczenia usług przez stołówkę szkolną, a pozyskane w tym celu pisemne zgody rodziców (opiekunów prawnych) nie mogą być przesłanką legalizującą ich przetwarzanie. W takim przypadku, Szkoła przetwarza dane osobowe uczniów na podstawie przepisów prawa, wykonując swoje ustawowe zadania. Tak więc podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. e RODO.  

Organ nadzorczy, po zakończeniu prowadzonego postępowania uznał, że kontrolowana  Szkoła nie miała podstawy prawnej zezwalającej na przetwarzanie danych biometrycznych dzieci korzystających z usług stołówki szkolnej. Stwierdził tym samym naruszenie przez nią przepisów art. 5 ust. 1 lit. c oraz art. 9 ust. 1 RODO. W konsekwencji, nałożył na nią karę pieniężną w wysokości 20 tys. zł, nakazując jednocześnie usunięcie danych osobowych przetworzonych do postaci cyfrowej informacji o charakterystycznych punktach linii papilarnych palców dzieci oraz zaprzestanie dalszego ich zbierania. Ponadto wskazał, że placówka ustalając i egzekwując określone zasady wydawania obiadów, zgodnie z którymi uczniowie bez identyfikacji biometrycznej zanim sami weszli do stołówki, musieli przepuszczać wszystkich innych posiadających taką identyfikację, doprowadziła do ich nierównego traktowania i bezpodstawnego zróżnicowania ich sytuacji.

Według Prezesa UODO, dane biometryczne z racji swej charakterystykisą szczególnie wrażliwe w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony, przede wszystkim w odniesieniu do dzieci ze względu na ich mniejszą świadomość ryzyka, konsekwencji, zabezpieczeń i  przysługujących im praw w związku z przetwarzaniem danych osobowych (motyw 38 RODO). Co do zasady więc takich danych nie powinno się przetwarzać, za wyjątkiem przesłanek legalizujących ten proces wskazanych w RODO. Dla podkreślenia wagi danych biometrycznych, należy wskazać, iż ich przetwarzanie może być rozważane jako uzasadnione z uwagi na przedmiot ochrony lub powagę realizowanego celu m.in. w celu zapewnienia bezpieczeństwa osobowego, przemysłowego, ochrony informacji, w celu weryfikacji osób podejrzanych i oceny ich udziału w przestępstwach, wydawania dokumentów identyfikacyjnych (paszportów), kontroli dostępu do określonych sfer bezpieczeństwa. Tymczasem weryfikacja tego, kto zamierza skorzystać z usług stołówki szkolnej i czy jest uprawniony do odbioru obiadu, poprzez pozyskane od uczniów dane biometryczne, stanowi w ocenie organu zbyt dużą ingerencję w ich prywatność, w zestawieniu z powagą celu, w jakim mają być przetwarzane.

Pełna treść decyzji Prezesa UODO dostępna jest pod linkiem: https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018