Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę finansową na szkołę podstawową nr 2 w Gdańsku za naruszenie przepisów z zakresu ochrony danych osobowych. Wymiar kary to 20 000 złotych. Kwota co prawda nie jest znaczna, niemniej nie można zapominać, że w przypadku tego typu podmiotów, kara może sięgać maksymalnie 100 000 zł, a więc stanowi to 20% kwoty maksymalnej. Oprócz grzywny Prezes UODO nakazał także szkole usunięcie zgromadzonych danych biometrycznych uczniów (odcisków palców) oraz zaprzestanie pozyskiwania takich danych w przyszłości. Jest to pierwszy przypadek ukarania placówki oświatowej przez Prezesa UODO. Z komunikatu zamieszczonego na stronie internetowej Urzędu Miasta w Gdańsku wynika, że szkoła zamierza zaskarżyć decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Ustalenia UODO
Postępowanie w tej sprawie zostało wszczęte przez Prezesa UODO z urzędu. Organ ustalił, że szkoła gromadziła dane biometryczne uczniów (odciski palców) w celu ich weryfikacji przed wejściem do szkolnej stołówki, służyć to miało weryfikacji opłat za posiłki. System funkcjonował w placówce od 1 kwietnia 2015 r. W bieżącym roku szkolnym do szkoły uczęszcza 1121 uczniów, z czego aż 680 korzystało z czytnika linii papilarnych.
W toku postępowania szkoła wskazała, że nie posiada żadnego zbioru, który zawierałby obraz linii papilarnych podopiecznych. Dane związane z elektronicznym czytnikiem gromadzone były tylko w samym urządzeniu w postaci zapisu ciągu bajtów. Zdaniem placówki,
po przyłożeniu przez ucznia palca do urządzenia, system porównywał tylko czy istniał odpowiedni ciąg bajtów. Po pozytywnej weryfikacji, wskazywał on jedynie numery pozycji przypisanej do danego ucznia.
Prezes UODO ustalił, że dostęp do danych znajdujących się na czytniku elektronicznym posiadali jedynie administrator systemu oraz upoważnieni pracownicy szkoły. Informacje zapisane na urządzeniu były usuwane po rezygnacji rodziców ucznia z korzystania przez niego z obiadów na szkolnej stołówce. W sytuacji jednak, gdy rodzic nie wycofał zgody na korzystanie z czytnika biometrycznego, informacje te były przechowywane przez placówkę do czasu rozwiązania umowy lub zakończenia roku szkolnego. Zaskakujące jest, że przed usunięciem danych z urządzenia szkoła – z niewiadomych względów – robiła kopię tych danych na karcie micro SD, a następnie przechowywała je w placówce.
Szkoła broniła się tym , że zapewniła rodzicom możliwość wyrażenia dobrowolnej zgody na przetwarzanie danych biometrycznych ich dzieci. Świadczyć o tym miała opcja wyboru alternatywnych wariantów weryfikacji podopiecznych, w tym np. poprzez karty elektroniczne. Prezes UODO ustalił jednak, że placówka de facto dyskryminowała uczniów, którzy nie korzystali z tego innowacyjnego rozwiązania. Uczniowie ci zobowiązani byli bowiem do przepuszczenia w kolejce wszystkich uczniów, których dostęp do stołówki był weryfikowany przy użyciu czytnika linii papilarnych. Tego typu zasady – zdaniem Prezesa UODO – wyraźnie promowały uczniów korzystających z identyfikacji biometrycznej, jak również stanowiły nierówne traktowanie i bezpodstawne zróżnicowanie podopiecznych placówki.
Zgoda nie była dopuszczalna
Prezes UODO podkreślił w uzasadnieniu decyzji, że dane osobowe dzieci wymagają szczególnej ochrony. Dzieci są mniej świadome ryzyka, konsekwencji, zabezpieczeń oraz praw przysługujących im w związku z przetwarzaniem ich danych osobowych. Z drugiej strony zwrócił uwagę, że system biometryczny identyfikuje te cechy człowieka, które co do zasady są niezmienne i niemożliwe do zmiany. Z tego względu przetwarzanie danych biometrycznych musi odbywać się ze szczególną ostrożnością i rozwagą. Ewentualny wyciek takich danych skutkowałby dużym ryzykiem naruszenia praw i wolności uczniów.
Szkoła wskazywała wprost, że w ogóle nie przetwarzała danych biometrycznych uczniów. Fakt ten – zdaniem Prezesa UODO – był jednym z powodów nałożenia administracyjnej kary pieniężnej na placówkę. Organ podkreślił w decyzji, że zgodnie z RODO, dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO). Informacje o charakterystycznych punktach linii papilarnych palców przetworzone do postaci zapisu cyfrowego stanowią zatem dane biometryczne. W zestawieniu z pozostałymi informacjami na temat poszczególnych uczniów umożliwiają bowiem ich identyfikację. Dane daktyloskopijne nie muszą oznaczać dosłownie odcisku palca. Wystarczy, że na podstawie poszczególnych informacji zawartych w zbiorze, możliwa jest identyfikacja odcisku palca danej osoby, tak jak to miało miejsce w tej sprawie.
Organ podkreślił także, że podstawa prawna przetwarzania danych osobowych w celu zapewnienia prawidłowej realizacji obowiązków szkoły, wynika z przepisów prawa oświatowego. Szkoła nie potrzebuje zgody rodziców na potrzeby realizacji zadań placówki wynikających z przepisów prawa. To one jasno wskazują jaki zakres danych osobowych uczniów może być przetwarzany przez szkołę. Prawo oświatowe nie zezwala na przetwarzanie danych biometrycznych uczniów w celu realizacji zadań realizowanych w interesie publicznym. Zdaniem Prezesa UODO, zgoda rodzica nie mogła w tym przypadku stanowić podstawy legalizującej przetwarzanie danych biometrycznych ucznia, właśnie ze względu na przepisy prawne regulujące kwestie przetwarzania danych osobowych podopiecznych placówki. Ponadto – w ocenie Prezesa UODO – przetwarzanie danych biometrycznych uczniów w zestawieniu z celem, w jakim były one wykorzystywane (dostęp do stołówki), było w istotny sposób nieproporcjonalne, a tym samym niezgodne z przepisami o ochronie danych osobowych.
Oświadczenie Urzędu Miasta
Sprawę skomentował Urząd Miasta w Gdańsku. Urząd wskazał w oświadczeniu zamieszczonym na jego stronie internetowej, że zainstalowanie w szkole systemu identyfikacji biometrycznej wynikało z inicjatywy rady rodziców. Wcześniej szkoła korzystała z systemu kart magnetycznych, który nie spełniał oczekiwań rodziców. Uczniowie często gubili swoje karty bądź pozostawiali je w domu. To powodowało, że wydłużał się czas wydawania posiłków lub korzystały z nich inne dzieci. Po konsultacjach system został zatem wprowadzony do szkoły. Rodzice corocznie podpisywali umowę na korzystanie ze stołówki, pisemnie oświadczając czy wyrażają zgodę na korzystanie z czytnika biometrycznego.
W przypadku braku takiej zgody, uczeń również korzystał ze stołówki szkolnej, lecz jego weryfikacja odbywała się poprzez wpisanie do systemu numeru umowy i nazwiska ucznia, co jednak – zdaniem Urzędu Miasta – wydłużało czas oczekiwania dziecka na obiad. Urząd wskazał również, że podczas jednego z najbliższych, comiesięcznych spotkań dyrektorów gdańskich szkół podstawowych, zostanie poruszony temat z zakresu ochrony danych osobowych, celem przypomnienia podstawowych zasad wynikających z przepisów RODO, aby zapobiec podobnym sytuacjom w przyszłości.
Spójna polityka Prezesa UODO
Dotychczasowe rozstrzygnięcia urzędu wskazują, że podchodzi on negatywnie do wszelkich prób kreatywnego rozszerzania przez administratorów wykorzystywania tego typu danych na podstawie zgód (np. w celu dostępu do zakładu pracy, czy też – jak w tej sprawie – do stołówki szkolnej). Rozstrzygnięcie zawarte we wskazanej decyzji zatem nie zaskakuje. Co więcej, postępowanie szkoły w tej konkretnej sprawie było zaskakujące. Starała się ona bowiem wymusić zgody na przetwarzanie danych biometrycznych uczniów, jak również z niewiadomych względów archiwizowała je. Co istotne, w sprawie chodziło o przetwarzanie danych biometrycznych dzieci, które w myśl przepisów RODO, powinny być objęte szczególną ochroną. Nie ulega wątpliwości, że zabrakło tu przeprowadzenia procesu projektowania ochrony danych, oceny ryzyka i analizy wyniku tychże działań. Powinno to być wskazówką dla innych administratorów przetwarzających albo projektujących systemy wykorzystujące biometrię albo szerzej monitoring do natychmiastowego przeprowadzenia wskazanych działań. Oczywiście będziemy śledzić dalsze losy tej decyzji, która jest niezmiernie ważna dla wszystkim zajmujących się ochroną danych osobowych.
Źródła:
https://uodo.gov.pl/pl/138/1453