18 października br. lokalne władze (North Ayrshire Council) wprowadziły w dziewięciu szkołach w Szkocji (w obrębie North Ayrshire) technologię do rozpoznawania twarzy dzieci w celu zapewnienia im dostępu do szkolnych stołówek. W założeniu nowe rozwiązanie usprawnić ma obsługę uczniów i zmniejszyć kolejki do odebrania przez nich posiłków podczas przerw obiadowych. W praktyce budzi ono jednak duże wątpliwości z punktu widzenia przepisów o ochronie danych osobowych. Nie tylko specjalistów, ale także organów nadzorczych.
Większość rodziców za systemem
Według zapewnień firmy wdrażającej nowy system o nazwie iPayimpact, zainstalowana technologia – umożliwiająca rozpoznawanie twarzy uczniów – pozwala skrócić średni czas oczekiwania na wydanie posiłku aż do pięciu sekund. Być może to właśnie ta okoliczność skłoniła ponad 97% rodziców do wyrażenia zgody na wdrożenie systemu, a co za tym idzie na przetwarzanie przez szkołę danych osobowych szczególnych kategorii ich podopiecznych. Przed wdrożeniem nowej technologii lokalni włodarze podnosili, że takie rozwiązanie pozwoli uniknąć konieczności przynoszenia przez podopiecznych do szkoły gotówki. Dodatkowo zapewniali, że uczniowie, których rodzice nie zdecydują się na wyrażenie zgody, będą mieli zapewnione alternatywne rozwiązanie oparte o weryfikację za pomocą dedykowanego kodu PIN. Argumenty te nie przekonały jednak części specjalistów z zakresu ochrony danych osobowych.
Zagrożenie dla bezpieczeństwa danych
Eksperci podnoszą, że wykorzystywanie w szkołach zaawansowanych technologii służących do rozpoznawania wizerunku twarzy może wiązać się z licznymi zagrożeniami dla ochrony danych osobowych uczniów. Z jednej strony wątpliwości budzić mogą zabezpieczenia stosowane przez placówki oświatowe, które – przynajmniej w powszechnej opinii – nie są zbyt zaawansowane. Z drugiej strony podnosi się, że przyzwyczajanie dzieci do tego typu technologii może prowadzić do obniżenia ich czujności w kontekście ochrony danych osobowych oraz konsekwentnie do bezrefleksyjnej zgody w przyszłości na udostępnianie swoich danych osobowych szczególnych kategorii w różnych celach.
Przeciwnicy wdrożenia tego typu systemu podkreślają, że istnieje dużo innych rozwiązań, które w znacznie mniejszym stopniu będą ingerowały w prywatność uczniów. Jako przykłady wskazali m.in. opcję wniesienia opłaty za posiłki z góry, czy też wydłużenie trwania przerwy obiadowej, co również mogłoby przyczynić się do uniknięcia uciążliwych kolejek.
Sprzeciw organów nadzorczych
Warto zwrócić uwagę, że wdrożenie podobnych technologii w innych krajach spotkało się ze zdecydowanym sprzeciwem unijnych organów nadzorczych. Przykładowo, w 2019 r. szwedzki regulator ukarał (20 000 euro) szkołę za naruszenie przepisów o ochronie danych osobowych w związku z wdrożeniem technologii rozpoznawania twarzy w celu śledzenia obecności uczniów i kontrolowania dostępu do placówki. Organ nadzorczy podkreślił, że ukarana szkoła przetwarzała dane biometryczne uczniów bez podstawy prawnej, nie przeprowadziła odpowiedniej oceny ryzyka, jak również nie przeprowadziła uprzednich konsultacji z regulatorem, pomimo że były ku temu wskazania.
Kwestią przetwarzania danych biometrycznych (w tym przypadku linii papilarnych) w placówce oświatowej zajmował się również polski organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych). Regulator ukarał Szkołę Podstawową nr 2 w Gdańsku (20 000 złotych) za wykorzystanie linii papilarnych w celu dostępu do szkolnej stołówki. W jego ocenie zastosowane rozwiązania technologiczne zmierzały do nierównego traktowania uczniów. Z argumentacją regulatora nie zgodził się Wojewódzki Sąd Administracyjny w Warszawie, który w sierpniu 2020 r. uchylił decyzję organu nadzorczego. Sprawa obecnie czeka na swój finał w Naczelnym Sądzie Administracyjnym w związku ze złożoną przez Urząd Ochrony Danych Osobowych skargą kasacyjną.
ICO też nie jest przekonany
Swoje wątpliwości co do rozwiązań wdrożonych w szkockich szkołach podniósł również brytyjski organ właściwy do spraw ochrony danych osobowych (The Information Commissioner’s Office – ICO). ICO wskazał, że zgoda może nie być najwłaściwszą podstawą do przetwarzania danych biometrycznych uczniów. W jego ocenie podmiot planujący wdrożenie technologii przetwarzającej dane biometryczne powinien dokładnie rozważyć konieczność i proporcjonalność gromadzenia tego typu danych osobowych, w szczególności jeżeli sprawa dotyczy dzieci. ICO podkreślił, że administrator powinien w każdym przypadku poszukać innych rozwiązań, które są mniej inwazyjne dla prywatności osób, których dane dotyczą.
W związku z przedstawionymi przez ICO wątpliwościami co do właściwości wykorzystywania danych biometrycznych dzieci, władze lokalne North Ayrshire ogłosiły, że wstrzymują czasowo wykorzystywanie systemu. Jedna ze szkół poinformowała, że całkowicie rezygnuje z systemu rozpoznawania twarzy. Szkoły powróciły do wykorzystywania systemu z którego korzystano wcześniej, a który nie wzbudzał tak wielu kontrowersji.
Źródła:
https://www.bbc.com/news/technology-59037346
O karze szwedzkiego regulatora:
