Przyglądamy się ostatniej decyzji Prezesa UODO obciążającej karą 20 tys. zł gdańską podstawówkę za stosowanie czytnika linii papilarnych w stołówce oraz wyrokowi WSA utrzymującego decyzję UODO o karze ponad 55 tys. zł dla dolnośląskiego Związku Piłki Nożnej za publikowanie na stronie internetowej zbyt szerokiego zakresu danych osobowych sędziów.

Szkoła Podstawowa nr 2 w Gdańsku została ukarana karą 20 000,00 zł przez prezesa UODO – jak czytamy w komunikacie – za stosowanie czytnika linii papilarnych dzieci korzystających z usług stołówki szkolnej. Szkoła stosowała wspomniane urządzenie, by usprawnić proces wydawania posiłków i identyfikować uczniów uprawnionych do ich pobierania.

Uzasadnienie decyzji UODO wobec gdańskiej SP nr 2

UODO uznał, że szkoła przetwarzała dane biometryczne uczniów w sytuacji, w której nie było to konieczne do celów przetwarzania. Jako że dane biometryczne należą do grupy szczególnej kategorii danych osobowych, w ocenie UODO szkoła naruszała zasadę minimalizacji danych osobowych (o której mowa w art. 5 ust. 1 lit. c RODO).

Prezes UODO zakwestionował także podstawę prawną, na której oparto przetwarzanie danych osobowych uczniów, jakim była zgoda. Jako poprawną podstawę wskazano niezbędność przetwarzania do wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Słuszne wydaje się stanowisko, które już dawno prezentowała tzw. Grupa robocza art. 29 w swoich opiniach, wskazujące na to, że brak ewentualnej zgody nie może powodować znaczących negatywnych konsekwencji dla osób fizycznych. Zgoda nie jest dobrowolna także wówczas, gdy pojawia się element przymusu. W przedmiotowej sprawie można wskazać na pewnego rodzaju element przymusu – dyskryminację. Sprowadzała się ona do tego, że dzieci, których rodzicie wyrazili zgodę na przetwarzanie danych biometrycznych, miały pierwszeństwo w odbieraniu posiłków. Jak czytamy w uzasadnieniu decyzji Prezesa UODO: „Wskazane powyżej zasady wprowadzają nierówne traktowanie uczniów, ponieważ wyraźnie promują uczniów posiadających identyfikację biometryczną.

Niepełne informacje w sprawie działań szkoły

W omawianej decyzji UODO nie ma wzmianki o tym, czy administrator:

  • wprowadzając system identyfikacji dokonał oceny ryzyka naruszenia praw i wolności podmiotów danych,
  • jaki był ewentualny wynik wyżej wspomnianej oceny,
  • czy administrator wprowadzając sporny system identyfikacji stosował zasadę ochrony prywatności w fazie projektowania.

Waga danych biometrycznych

W ocenie SP 2 z Gdańska nie dochodziło do przetwarzania danych biometrycznych. Trudno się z tym jednak zgodzić, skoro sporne odciski palców przetwarzane w ramach systemu umożliwiały identyfikację osób fizycznych.

Sprawa jest o tyle istotna, że – choć z pozoru dotyczy błahej kwestii wydawania posiłków w szkole, w praktyce może mieć ważny wpływ na postrzeganie regulacji dotyczących stosowania czytników linii papilarnych, jako czynników generujących wysokie ryzyko naruszenia praw i wolności osób fizycznych. Choćby w zakładach pracy, chcących limitować dostęp do wybranych pomieszczeń przy pomocy identyfikacji odcisku palca.

Zainteresowane podmioty powinny obserwować, czy ukarana szkoła wniesie skargę oraz jak będą brzmiały ewentualne orzeczenia wydane w jej następstwie.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Ryzykowne praktyki dolnośląskiego ZPN

Kolejna decyzja Prezesa UODO, która w ostatnich dniach stała się ponownie przedmiotem dyskusji, odnosi się do ukarania Dolnośląskiego Związku Piłki Nożnej. Dla przypomnienia – ukarany związek publikował na swojej stronie internetowej dane osobowe sędziów w zbyt szerokim zakresie, tj. wraz z dokładnymi adresami zamieszkania oraz numerami PESEL. Taki zestaw informacji może powodować ryzyko składania fikcyjnych oświadczeń woli – np. zawarcia umowy. Jest to możliwe w wyniku – wciąż – słabej weryfikacji osób fizycznych oraz nadużywania stosowania numeru PESEL jako identyfikatora osób fizycznych przez administratorów danych osobowych. Stąd bezsprzeczne jest stanowisko Prezesa UODO, podzielone także przez Wojewódzki Sąd Administracyjny w Warszawie (w wyroku z 28 lutego 2020 roku), wskazujące na naruszenie zasad minimalizacji danych osobowych i stworzenie potencjalnie niebezpiecznych sytuacji umożliwiających podszycie się pod osoby fizyczne, w celu zaciągania w ich imieniu zobowiązań finansowych.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Kary za czytnik linii papilarnych w stołówce oraz upublicznienie danych

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.