Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na szkołę podstawową, która przetwarzała dane z odcisków palców 680 uczniów w ramach ich identyfikacji w związku z korzystaniem przez nich ze szkolnej stołówki. Nałożona kara wyniosła 20 tysięcy złotych. Ponadto Prezes UODO nakazał szkole usunięcie tych danych osobowych oraz zaprzestanie dalszego zbierania danych osobowych.
Dane daktyloskopijne należą do danych biometrycznych, które wynikają ze specjalnego przetwarzania technicznego cech fizycznych oraz umożliwiają lub potwierdzają jednoznaczną identyfikację osoby fizycznej, a zatem stanowią szczególną kategorię danych osobowych, o których mowa w art. 4 pkt. 4 i art. 9 RODO1. Przetwarzanie takich danych jest co do zasady zabronione, chyba że spełniony jeden z warunków wskazanych w art. 9 ust. 2 RODO. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Jedną z takich przesłanek jest zgoda osoby, której dane dotyczą. Postępowanie Prezesa PUODO wykazało, że szkoła pozyskuje te dane i przetwarza je na podstawie pisemnej zgody rodziców lub opiekunów prawnych. Podstawa prowadzenia stołówki i przetwarzania jakichkolwiek danych osobowych dzieci w związku z realizacją tego zadania szkoły została jednak zawarta w art. 106 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe (Dz. U. z 2019 r., poz. 1148).
Podstawą przetwarzania danych dzieci nie mogła być zatem zgoda. W powyższej sytuacji zdaniem Prezesa UODO podstawą do przetwarzania danych osobowych dzieci w tym celu przez szkołę jest art. 6 ust. 1 lit. e RODO, zgodnie z którym przetwarzanie jest zgodne z prawem między innymi wtedy, gdy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. W takiej sytuacji, w opinii Prezesa UODO, zgoda rodzica nie może być podstawą przetwarzania danych biometrycznych, ponieważ zgoda stanowi taką podstawę jedynie wtedy, gdy nie istnieją inne przesłanki na takie przetwarzanie.
Dane biometryczne mają wyjątkowy charakter w świetle podstawowych praw i wolności, dlatego też wymagają wyjątkowej ochrony. Dane biometryczne dotyczą cech, które są niezmienne i niejednokrotnie – jak w przypadku danych daktyloskopijnych – niemożliwe do zmiany. Ewentualny ich wyciek może skutkować dużym ryzykiem naruszenia praw i wolności osób fizycznych. W opinii Prezesa UODO przetwarzanie danych biometrycznych nie jest niezbędne dla osiągnięcia celu, jakim jest identyfikacja uprawnienia dziecka do odebrania obiadu. Szkoła mogła jednocześnie zastosować inne metody identyfikacji uczniów bez posługiwania się danymi biometrycznymi, w szkole bowiem funkcjonowały także karty elektroniczne lub można było podać nazwisko i numeru umowy.
Dodatkowym elementem, na który zwrócił uwagę Prezesa UODO, była dyskryminacja uczniów niekorzystających z biometrycznego systemu identyfikacji. Zgodnie z zasadami wydawania obiadów, umieszczonymi na stronie internetowej stołówki prowadzonej przez szkołę, uczniowie, którzy nie posiadają identyfikacji biometrycznej, przepuszczają wszystkich i oczekują na końcu kolejki. Gdy wszyscy uczniowie z identyfikacją biometryczną wejdą do stołówki, rozpoczyna się wpuszczanie pojedynczo uczniów bez identyfikacji biometrycznej. W opinii Prezesa UODO takie zachowanie jest nierównym traktowaniem uczniów i ich bezpodstawnym zróżnicowaniem, ponieważ wyraźnie promuje uczniów posiadających identyfikację biometryczną. Ponadto w ocenie Prezesa UODO wykorzystywanie danych biometrycznych w zestawieniu z celem, w jakim są one przetwarzane, jest w istotny sposób nieproporcjonalne.
W ustalonych okolicznościach niniejszej sprawy, Prezes UODO stwierdził naruszenie zasady minimalizacji wynikającej z art. 5 ust. 1 lit. c RODO oraz art. 9 ust. 1 RODO.
Nałożona kara stanowi 20 % maksymalnej wysokości kary nakładanej na jednostki sektora finansów publicznych. Zgodnie bowiem z art. 102 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 100 000 złotych m.in. na jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869).
Przypisy:
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie).