UODO nie godzi się z wyrokiem sądu. Pobieranie danych biometrycznych w szkołach budzi wątpliwości

  • AKC
  • 4 marca 2021 - 11:00
UODO nie godzi się z wyrokiem sądu. Pobieranie danych biometrycznych w szkołach budzi wątpliwości
Szkoła używała danych biometrycznych dzieci, by weryfikować, które mają opłacone obiady (fot. ilustracyjna, Shutterstock, Inc.)
Coraz częściej administratorzy danych chcą sięgać po dane biometryczne. Jednym z powodów jest choćby łatwość pozyskania niektórych takich danych (np. poprzez przyłożenie palca do czytnika lub oka do skanera) i późniejszej weryfikacji osoby na ich podstawie. Na takie rozwiązanie zdecydowała się jedna ze szkół, którą ta decyzja kosztowała 20 tys. zł. Choć sąd uznał, że kara nie powinna być nałożona, Urząd Ochrony Danych Osobowych nie zgadza się z tym stanowiskiem.
  • Różne podmioty chętnie sięgają po dane biometryczne. Nie zawsze chęć przetwarzania danych idzie jednak w parze z odpowiednio przeprowadzoną oceną ryzyka bądź analizą, czy tych samych celów nie można osiągnąć w inny, mniej ingerujący w prywatność, sposób.
  • W jednym z takich przypadków dane biometryczne przetwarzała szkoła, pobierając odcisk w celu identyfikacji uprawnienia dziecka do odebrania obiadu. 
  • W ocenie UODO pozyskiwanie danych w takim celu było zbędne. I choć WSA przychylił się do skargi szkoły, urząd powołuje się na rozstrzygnięcie wyższej instancji. 

Jak czytamy w komunikacie UODO, szkoła wprowadziła system identyfikacji biometrycznej przy wejściu do stołówki szkolnej, który pozwala dokonać weryfikacji wśród dzieci uiszczenia opłaty za posiłek. UODO prowadząc postępowanie administracyjne wobec administratora ustalił, że przepisy prawa powszechnie obowiązującego w Polsce wskazujące rodzaj danych jakie szkoła może pozyskiwać od swoich uczniów. I żaden z nich nie zezwala szkole na przetwarzanie danych biometrycznych. Szkoła w tym przypadku pozyskiwała dane biometryczne w postaci odcisku palca i przetwarzała je na podstawie pisemnej zgody rodziców lub opiekunów prawnych.

UODO w swojej decyzji stwierdził, że przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Szkoła może przeprowadzić identyfikację za pomocą innych środków, które nie ingerują tak dalece w prywatność dziecka. Ponadto szkoła obok systemu identyfikacji na podstawie odcisku linii papilarnych, miała system identyfikacji w oparciu o karty elektroniczne. Weryfikacja uczniów z opłaconymi posiłkami odbywała się również na podstawie nazwiska i numeru umowy. Zatem, w szkole były alternatywne formy identyfikacji uprawnienia dziecka do odebrania obiadu.

Jednak te dzieci, których rodzice nie wyrazili zgody na przetwarzanie ich danych biometrycznych, musiały przepuścić w kolejce na stołówce wszystkich tych, którzy identyfikowani byli na podstawie odcisku paca. Organ nadzoru uznał więc, że doszło do dyskryminacji tych osób. Ponadto wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, było w tym przypadku nieproporcjonalne.

Czytaj też: Szczepienia nauczycieli a prywatność. Rzecznik pyta prezesa UODO

Prezes UODO nałożył więc na szkołę karę w wysokości 20 tys. zł za to, że przetwarzała dane biometryczne dzieci i nakazał jej usunąć te dane. Jednak decyzja ta została zaskarżona do Wojewódzkiego Sądu Administracyjnego, który ją uchylił. WSA uznał w tej sprawie, że wyrażenie zgody przewidziane w art. 9 ust. 1 lit. a RODO legalizuje pobieranie i przetwarzanie danych biometrycznych dzieci.

UODO nie zgadza z tą decyzją. W opinii urzędu udzielona przez rodziców zgoda na przetwarzanie danych biometrycznych ich dzieci nie może być uznana za dobrowolną, skoro jej brak wywoływał negatywne skutki w postaci konieczności przepuszczenia w kolejce po posiłek, tych dzieci, których rodzice taką zgodę wyrazili.

Sądy administracyjne w Polsce zajmowały się już przetwarzaniem danych biometrycznych. Naczelny Sąd Administracyjny w wyroku z 1 grudnia 2009 r. sygn. akt I OSK 249/09 uznał, że wykorzystywanie danych biometrycznych pracowników do kontroli czasu pracy narusza zasadę adekwatności. Sąd ten wskazał, że wykorzystanie danych biometrycznych do kontroli czasu pracy pracowników jest nieproporcjonalne do zamierzonego celu ich przetwarzania.

Wyrok WSA, który uchylił decyzję prezesa UODO nakładającą karę na szkołę, przetwarzającą dane biometryczne uczniów jest w opozycji do wcześniejszego orzecznictwa NSA.

Cel nie może uświęcać środków

WSA uznał, że UODO zbyt rygorystycznie podszedł do zasady minimalizacji danych. Stwierdził, że wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.

Zdaniem UODO administrator może przetwarzać tylko te dane, które są mu niezbędne do realizacji określonego celu.

"Umożliwienie przetwarzania danych, które nie są niezbędne, a jedynie mogą pomóc osiągnąć cel może prowadzić do przetwarzania pod takim pretekstem nieograniczonego zakresu danych. Administrator mógłby wówczas tłumaczyć, że dane nie są niezbędne, ale mogą okazać się przydatne w realizacji danego celu. Takie podejście naruszałoby zasady minimalizacji i adekwatności" - czytamy w komunikacie.

Czytaj też: UODO musi sprawdzić, czy gmina złamała przepisy o danych osobowych

Biorąc pod uwagę ryzyka związane z przetwarzaniem danych i zasady określone w RODO, prezes UODO złożył do Naczelnego Sądu Administracyjnego kasację od wyroku WSA, który uchylił decyzję organu nadzorczego. Zdaniem UODO w sprawie doszło nie tylko do naruszenia zasad określonych w RODO, tj. minimalizacji i adekwatności, dobrowolności wyrażenia zgody, ale i do dyskryminacji niektórych uczniów.

Ponadto RODO duży nacisk kładzie na ochronę danych osobowych dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych.

"Tymczasem negatywne konsekwencje ewentualnego naruszenia ochrony danych biometrycznych w takim przypadku będą miały miejsce przez całe życie tych osób, nawet po osiągnięciu przez nie pełnoletności, z uwagi na niezmienność tych danych" - czytamy w komunikacie.

TAGI
KOMENTARZE0

Artykuł nie posiada jeszcze żadnych komentarzy.

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!