Przyglądamy się ostatniej decyzji Prezesa UODO obciążającej karą 20 tys. zł gdańską podstawówkę za stosowanie czytnika linii papilarnych w stołówce oraz wyrokowi WSA utrzymującego decyzję UODO o karze ponad 55 tys. zł dla dolnośląskiego Związku Piłki Nożnej za publikowanie na stronie internetowej zbyt szerokiego zakresu danych osobowych sędziów.
Podsumowanie
- Gdańska Szkoła Podstawowa nr 2 stosowała czytnik linii papilarnych do identyfikacji uczniów korzystających ze szkolnej stołówki, faworyzując przy pobieraniu posiłków tych, których rodzice wyrazili zgodę na taką weryfikację tożsamości.
- Prezes UODO w sprawie SP nr 2 z Gdańska uznał, że szkoła naruszała zasadę minimalizacji danych osobowych oraz dyskryminowała uczniów nie posiadających identyfikacji biometrycznej.
- Dolnośląski Związek Piłki Nożnej publikował na swojej stronie internetowej szczegółowe dane osobowe sędziów, podając m.in. ich dokładny adres zamieszkania oraz nr PESEL.
- Wojewódzki Sąd Administracyjny w Warszawie w sprawie praktyk dolnośląskiego ZPN uznał, że doszło do naruszenia zasad minimalizacji danych osobowych oraz stworzenia potencjalnie niebezpiecznych sytuacji umożliwiających podszycie się pod osoby fizyczne w celu zaciągania w ich imieniu zobowiązań finansowych.
Szkoła Podstawowa nr 2 w Gdańsku została ukarana karą 20 000,00 zł przez prezesa UODO – jak czytamy w komunikacie – za stosowanie czytnika linii papilarnych dzieci korzystających z usług stołówki szkolnej. Szkoła stosowała wspomniane urządzenie, by usprawnić proces wydawania posiłków i identyfikować uczniów uprawnionych do ich pobierania.
Uzasadnienie decyzji UODO wobec gdańskiej SP nr 2
UODO uznał, że szkoła przetwarzała dane biometryczne uczniów w sytuacji, w której nie było to konieczne do celów przetwarzania. Jako że dane biometryczne należą do grupy szczególnej kategorii danych osobowych, w ocenie UODO szkoła naruszała zasadę minimalizacji danych osobowych (o której mowa w art. 5 ust. 1 lit. c RODO).
Prezes UODO zakwestionował także podstawę prawną, na której oparto przetwarzanie danych osobowych uczniów, jakim była zgoda. Jako poprawną podstawę wskazano niezbędność przetwarzania do wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Słuszne wydaje się stanowisko, które już dawno prezentowała tzw. Grupa robocza art. 29 w swoich opiniach, wskazujące na to, że brak ewentualnej zgody nie może powodować znaczących negatywnych konsekwencji dla osób fizycznych. Zgoda nie jest dobrowolna także wówczas, gdy pojawia się element przymusu. W przedmiotowej sprawie można wskazać na pewnego rodzaju element przymusu – dyskryminację. Sprowadzała się ona do tego, że dzieci, których rodzicie wyrazili zgodę na przetwarzanie danych biometrycznych, miały pierwszeństwo w odbieraniu posiłków. Jak czytamy w uzasadnieniu decyzji Prezesa UODO: „Wskazane powyżej zasady wprowadzają nierówne traktowanie uczniów, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną.
Niepełne informacje w sprawie działań szkoły
W omawianej decyzji UODO nie ma wzmianki o tym, czy administrator:
- wprowadzając system identyfikacji dokonał oceny ryzyka naruszenia praw i wolności podmiotów danych,
- jaki był ewentualny wynik wyżej wspomnianej oceny,
- czy administrator wprowadzając sporny system identyfikacji stosował zasadę ochrony prywatności w fazie projektowania.
Waga danych biometrycznych
W ocenie SP 2 z Gdańska nie dochodziło do przetwarzania danych biometrycznych. Trudno się z tym jednak zgodzić, skoro sporne odciski palców przetwarzane w ramach systemu umożliwiały identyfikację osób fizycznych.
Sprawa jest o tyle istotna, że – choć z pozoru dotyczy błahej kwestii wydawania posiłków w szkole, w praktyce może mieć ważny wpływ na postrzeganie regulacji dotyczących stosowania czytników linii papilarnych, jako czynników generujących wysokie ryzyko naruszenia praw i wolności osób fizycznych. Choćby w zakładach pracy, chcących limitować dostęp do wybranych pomieszczeń przy pomocy identyfikacji odcisku palca.
Zainteresowane podmioty powinny obserwować, czy ukarana szkoła wniesie skargę oraz jak będą brzmiały ewentualne orzeczenia wydane w jej następstwie.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Ryzykowne praktyki dolnośląskiego ZPN
Kolejna decyzja Prezesa UODO, która w ostatnich dniach stała się ponownie przedmiotem dyskusji, odnosi się do ukarania Dolnośląskiego Związku Piłki Nożnej. Dla przypomnienia – ukarany związek publikował na swojej stronie internetowej dane osobowe sędziów w zbyt szerokim zakresie, tj. wraz z dokładnymi adresami zamieszkania oraz numerami PESEL. Taki zestaw informacji może powodować ryzyko składania fikcyjnych oświadczeń woli – np. zawarcia umowy. Jest to możliwe w wyniku – wciąż – słabej weryfikacji osób fizycznych oraz nadużywania stosowania numeru PESEL jako identyfikatora osób fizycznych przez administratorów danych osobowych. Stąd bezsprzeczne jest stanowisko Prezesa UODO, podzielone także przez Wojewódzki Sąd Administracyjny w Warszawie (w wyroku z 28 lutego 2020 roku), wskazujące na naruszenie zasad minimalizacji danych osobowych i stworzenie potencjalnie niebezpiecznych sytuacji umożliwiających podszycie się pod osoby fizyczne, w celu zaciągania w ich imieniu zobowiązań finansowych.
